IT-Sicherheitsgesetz 2.0 verabschiedet

Nach langen Verhandlungen hat der Bundestag am 23.4.2021 „nach halbstündiger Aussprache“ – sprich, kurz und (je nach Standpunkt) schmerzlos bzw. -voll die Neuausgabe des IT-Sicherheitsgesetzes von 2015 beschlossen. Seit 2019 hatte es für die Novelle des Gesetzes, welches bis zuletzt nicht evaluiert worden war, eine Reihe von öffentlichen, nichtöffentlichen, geleakten und teilweise schnell wieder veralteten Entwürfen gegeben, die der kommentierenden Zivilgesellschaft einiges an Agilität abverlangten.

Am Ende konnte die viele – nicht wenige sagen: vernichtende – Kritik am Gesamtwerk nur wenig Änderungen bewirken; auch die Anträge der verschiedenen Oppositionsparteien wurden sämtlich abgeschmettert. Nun ist es, was es ist – und wird, wie bereits das ursprüngliche IT-SiG – konkret vor allem mit den folgenden Rechtsverordnungen ausgestaltet werden.

Klar ist aber schon, dass die Kompetenz des BSI stark erweitert wird. Es kann künftig Sicherheitslücken in IT-Systemen über öffentliche Telekommunikationsnetze mithilfe von Portscans suchen und semi-offensive Methoden wie Honeypots und Sinkholes einsetzen. Dazu mischt das BSI jetzt im Verbraucherschutz mit, etwa mit einem IT-Sicherheitskennzeichen.

Kritis-Betreiber sowie Betreiber im Energie-Sektor müssen bald Systeme zur Angriffserkennung („SOC“/„SIEM“) einsetzen. Außerdem müssen Erklärungen von Herstellern kritischer Komponenten eingeholt werden, dass keine Sabotage oder Spionage zu erwarten ist.

Bestimmte bislang schon geltende Pflichten für Kritis-Betreiber (v. a. die Meldepflicht) betreffen demnächst auch „Unternehmen in besonderem öffentlichen Interesse“ („UNBÖFI“), etwa in der Rüstungsindustrie und im Bereich Verschlusssachen („KRITIS-light“). Ebenso auf dem Radar sind nun Unternehmen, die der Störfallverordnung unterliegen, und Konzerne „von erheblicher volkswirtschaftlicher Bedeutung“ im Inland oder als Zulieferer mit „Alleinstellungsmerkmalen“. Neu betroffen ist der Sektor Entsorgung.

https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2020/12/it-sig-2-kabinett.html

Medientipps Januar 2021

Heute einmal nichts zu lesen. Aber zu:


Hören: DLF Kultur Feature „Datensicherheit oder Abwehr von Cyberkriminalität“

Unter anderem zu KRITIS und IT-Sicherheitsgesetz 2.0, mit Manuel Atug von HiSolutions.

https://www.deutschlandfunkkultur.de/datensicherheit-oder-abwehr-von-cyberkriminalitaet-politik.976.de.html?dram:article_id=491400


Sehen: ZDF WISO – Gestohlene Payback-Punkte

Cyberangriff auf Payback-Punkte? Banken und andere Zahlungsdienstleister wie Paypal haben aufgrund der EU-Zahlungsdiensterichtlinie PSD2 ihre Sicherheitsmaßnahmen hochfahren müssen. Dadurch ist der Druck auf Anbieter wie Payback gestiegen. Eine Recherche von ZDF WISO ging dem am 11.1.2021 von 19:25-20:15 mit der Expertise von HiSolutions auf den Grund. Nachzuschauen online (ab Minute 25’40):

https://research.hisolutions.com/2021/01/zdf-wiso-gestohlene-payback-punkte/


Meeten: Scalable Security am 17.2.2021 16-17 Uhr beim it’s.BB – Das IT-Sicherheitsnetzwerk

Zweifellos wird Informationssicherheit für alle Arten von Organisationen immer wichtiger. Während Konzerne oder Behörden sich im Wesentlichen auf die „großen“ Standards IT-Grundschutz und ISO 27001 stürzen, stellt sich für viele andere Akteure die Frage: Wo fange ich an? Was sind die ersten drei Schritte, wenn ich ein junges Startup, ein mittelgroßer Verein, eine größere NGO, ein Sportclub oder ein KMU bin? Was könnte oder sollte mein Ziel in fünf Jahren sein? Dieser Vortrag versucht, die Grundfragen und  aufgaben der Security auf ein Modell herunterzubrechen, aus dem sich für jede Größe und jeden Organisationstyp eine Leiter von Reifegraden und eine Security-Roadmap ableiten lassen.

https://www.itsbb.net/veranstaltungen/its-bb-webinar-19-januar-2021/

IT-SiG 2.0 v0.3

Das IT-Sicherheitsgesetz 2.0 ist immer noch nicht fertig – und wird es auch in diesem Jahr nicht mehr. Immerhin wurde am 19.11. der dritte Referentenentwurf bekannt.

Viele Punkte sind aus den vorigen Entwürfen bekannt, es gibt aber auch Neuerungen. So sollen Bußgelder nicht mehr analog zur DSGVO bis zu 4 % des weltweiten Jahresumsatzes umfassen, sondern bei 2 Mio. Euro gedeckelt werden. Sicherheitsanforderungen sind nun auch für „Unternehmen im besonderen öffentlichen Interesse“ vorgesehen, für wirtschaftlich systemrelevante Unternehmen und für Gefahrstoffbetriebe (Chemie). Das BSI soll weiterhin die Befugnis bekommen, öffentlich zugängliche Internetdienste und Geräte zu hacken, um Sicherheitslücken aufzudecken. Letzteres ist problematisch aufgrund der fehlenden Unabhängigkeit des Bundesamts vom Innenministerium, das auch Strafermittlungsbehörden und Verfassungsschutz beherbergt. Es besteht damit die Gefahr, dass gefundene Sicherheitslücken für diese Zwecke geheim gehalten werden, anstelle bei den Softwareherstellern und  Anwendern für die Beseitigung zu sorgen.

Der dritte Referentenentwurf soll nun in die sogenannte Ressortabstimmung gehen. Eine Verabschiedung des Gesetzes im Frühjahr 2021 wäre möglich, einige Beobachter rechnen aber eher mit einer Punktlandung vor dem Ende der Legislaturperiode im Sommer. Unklar ist aktuell aber auch noch, ob es bereits einen Konsens in der Bundesregierung für diesen Entwurf gibt – oder ob demnächst ein weiterer folgt.

Eine detaillierte Analyse der Änderungen:

Keine Portokasse: IT-Sicherheitsgesetz 2.0 könnte drastische Bußgelder bringen

Die Weiterentwicklung des IT-Sicherheitsgesetzes „2.0“ zieht sich nun schon über geraume Zeit. Es ist ein weiterer Referentenentwurf bekannt geworden, der in die Ressortabstimmung geht und über den Sommer mit den Verbänden diskutiert werden soll. Hierin ist geplant, die Bußgelder auf bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes anzuheben – dieses scharfe Schwert hat sich aus Regulierer-Sicht bereits bei der DSGVO bewährt. Die Entsorgung soll sich zu den KRITIS-Sektoren gesellen, außerdem kommen ggf. Auflagen für diverse Typen von „Unternehmen im besonderem öffentlichen Interesse“. Auch letztere sollen alle zwei Jahre ein IT-Sicherheitskonzept nach dem Stand der Technik beim BSI vorlegen. Komponenten für KRITIS-Anlagen rücken zukünftig ebenfalls in den Fokus: Diese sollen zugelassen werden bzw. Herstellergarantien enthalten, dass keine technischen Hintertüren vorhanden sind. Bei Verstößen könnte der Einsatz durch das BMI unterbunden werden.

Das BSI soll künftig Honeypots und Sinkholes betreiben, Portscans im Internet aktiv durchführen und in bestimmten Fällen auch Kommunikation umlenken und Botnetze ausschalten. Bei angreifbaren Systemen könnte die Behörde, die ihre größtenteils passive Schutzrolle verändern würde, aktiv Sicherungsmaßnahmen vornehmen. Darüber hinaus sind auch Erweiterungen von Befugnissen der Strafverfolgungsbehörden geplant, welche bestimmte Daten von sozialen Netzwerken automatisch erhalten sollen. Das BKA soll des Weiteren das BSI als Erfüllungsgehilfen etwa für die Auswertung von Sicherheitslücken heranziehen. Das Fernmeldegeheimnis (Artikel 10 GG) würde unter anderem hierfür entsprechend eingeschränkt. Im Bereich Verbraucherschutz soll das BSI auf dem Feld Cyber neue Aufgaben bekommen und u. a. ein „IT-Sicherheitskennzeichen“ als eine Art elektronischen Beipackzettel für IoT u. ä. einführen. Das Ganze soll mit einem Aufbau von fast 600 (BSI) bzw. 50 (BBK) Stellen einhergehen.

https://ag.kritis.info/2020/05/13/kommentar-zum-neuen-referentenentwurf-des-it-sicherheitsgesetz-2-0-it-sig2/