IT-SiG 2.0 – Fragen und Antworten zur überarbeiteten Version

Inhalt

• IT-SiG 2.0 – seit Ende Mai 2021 in Kraft
• Konkrete Änderungen im Überblick
• Ein neuer KRITIS-Sektor
• KRITIS-Betreiber: Wie kann der Nachweis erfolgen?
• Neue Pflichten in den KRITIS-Sektoren
• Neue Kategorie: „Unternehmen im besonderen öffentlichen Interesse"
• Schwellenwerte bleiben unverändert
• Das BSI mit neuen Kompetenzen und Befugnissen
• Das IT-Sicherheitskennzeichen
• Verschärfte Bußgelder
• Auswirkungen auf KRITIS-Betreiber
• IT-SIG 2.0 – unser Fazit

IT-SIG 2.0 – seit Mai 2021 in Kraft

Die Gefahr durch Cyber-Angriffe auf die öffentlichen Strukturen nimmt seit Jahren zu, die möglichen Folgeszenarien sind besorgniserregend. Die Stromversorgung bricht zusammen oder es fließt kein Wasser mehr, es kommt zu einem Blackout, der uns alle betreffen kann. Als besonders bedroht sind beispielsweise Einrichtungen und Organisationen wie Krankenhäuser, Energieversorger, Finanz- oder Transportunternehmen anzusehen. Sie gelten unter der Bezeichnung „Kritische Infrastrukturen (KRITIS-Betreiber)“ als nachhaltig schützenswert.

Das IT-Sicherheitsgesetz 1.0 wurde seit März 2019 weiterentwickelt und als Referentenentwurf vorgelegt. Im Dezember 2020 überschlugen sich die Ereignisse, als weitere, teils tiefgreifende Veränderungen in den Referentenentwurf eingearbeitet und innerhalb weniger Tage durch das Bundeskabinett beschlossen wurden. Anfang Mai 2021 hat der Bundesrat zugestimmt. Mit der Veröffentlichung im Bundesgesetzblatt (BGBl) Nr. 25 ist das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) Ende Mai 2021 in Kraft getreten.

Die weiterentwickelte Version 2.0 verfolgt einen ganzheitlichen Ansatz. Sie enthält Maßnahmen zum Schutz der Gesellschaft, zur Stärkung des Staates mittels Schutz der öffentlichen Informationstechnik und für eine widerstandsfähige Wirtschaft.

IT-SIG 2.0 – konkrete Änderungen im Überblick

Wie sehen also die Veränderungen aus? Relevante Anpassungen gab es bei den folgenden Kernbestandteilen des IT-Sicherheitsgesetzes 2.0:

1. Es wurden ein neuer KRITIS-Sektor „Abfallentsorgung“ und neue Pflichten hinzugefügt.
2. Die Kategorie „Infrastrukturen im besonderen öffentlichen Interesse“ ist präzisiert.
3. Die Kompetenz und Befugnisse des BSI (Bundesamtes für Sicherheit in der Informationstechnik) wurden ausgeweitet.
4. Es wurde ein neues, freiwilliges IT-Sicherheitskennzeichen eingeführt.
5. Die Bußgelder zur Nichteinhaltung des Gesetzes wurden angepasst.
6. Es kam zu Klarstellungen im Bereich der kritischen Komponenten.

Im Folgenden beleuchten wir die Aspekte des neuen Referentenentwurfs näher, ebenso wie weitere ergänzende Informationen zum IT- SiG 2.0.

IT-SIG 2.0 – ein neuer KRITIS-Sektor

Neu hinzugekommen ist der Sektor der Siedlungsabfallentsorgung. Das bedeutet, dass die Entsorgung vom Hausmüll, wie auch hausmüllähnlichen gewerblichen Abfällen nun als eine kritische Infrastruktur (KRITIS) angesehen wird. Demzufolge werden hier die gleichen Anforderungen an die Entsorgungsfachbetriebe und -unternehmen gestellt, wie es für die bisherigen KRITIS-Sektoren seine Gültigkeit hat.

KRITIS-Betreiber sind gesetzlich dazu verpflichtet, angemessene Vorkehrungen zur Vermeidung von Störungen der informationstechnischen Systeme, Komponenten und Prozesse nach dem neuesten „Stand der Technik“ umzusetzen. Es geht dabei um branchenübliche Maßnahmen bis hin zur nachhaltigen Implementierung eines Informationssicherheits-Managementsystems, beispielsweise nach der internationalen Norm ISO 27001.

Damit sollen die IT-Systeme und Prozesse unempfindlich gegenüber Störungen der Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität sein. Der Status Quo ist dem BSI in geeigneter Art und Weise alle zwei Jahre nachzuweisen. Für viele Organisationen keine leichte Aufgabe.

Bei Nichterfüllung der gesetzlich geforderten IT-Sicherheitsstandards drohen im schlimmsten Fall Sanktionen. Zudem gibt es die Pflicht zur Registrierung mit der Benennung einer jederzeit erreichbaren Kontaktstelle gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI kann die Registrierung übrigens auch selbst vornehmen, wenn das KRITIS-Unternehmen die Pflicht zur Registrierung nicht erfüllt.

KRITIS-Betreiber: wie kann der Nachweis erfolgen?

Grundsätzlich ist eine Vielzahl an Prüfgrundlagen möglich, sofern diese geeignet sind, die Erfüllung von §8a Absatz 1 BSI-Gesetz (BSIG) nachzuweisen: Sicherheitsaudits, Prüfungen oder Zertifizierungen. Ein möglicher Nachweis sind die sogenannten Branchenspezifische Sicherheitsstandards (B3S). Sie wurden von KRITIS-Betreibern und ihren Verbänden erarbeitet und bieten eine geeignete Orientierungshilfe zur Einhaltung der gesetzlich vorgeschriebenen Schutzmaßnahmen. 

Auch eine Zertifizierung gemäß der international anerkannten Norm für ein Informationssicherheits-Managementsystem ISO 27001 ist eine Möglichkeit. Dazu muss der Geltungsbereich von ISO 27001 die Kritische Infrastruktur beziehungsweise die kritische Dienstleistung (kDL) vollständig umfassen. Auch der Informationssicherheitsprozess bezüglich der kritischen Dienstleistung wird mit der „KRITIS-Brille“ betrachtet. Dazu gehören unter anderem besondere Anforderungen der Vermeidung von Versorgungsengpässen für die Bevölkerung.

Wichtig ist allerdings, dass eine „prüfende Stelle“ wie die DQS über die geforderten Kompetenzen in den folgenden Bereichen verfügt:

• spezielle Prüfverfahrenskompetenz für §8a BSIG
• Auditkompetenz
• IT-Sicherheitskompetenz bzw. Informationssicherheits-Kompetenz
• Branchenkompetenz

Die DQS ist vom BSI anerkannte Prüfstelle mit spezieller Prüfverfahrenskompetenz und akkreditierte Zertifizierungsstelle, unter anderem für ISO 27001.

IT-SIG 2.0 – neue Pflichten in den KRITIS-Sektoren

Als neue Pflicht ist jene zum Einsatz von Systemen zur Angriffserkennung hervor zu heben. Zudem besteht für den KRITIS-Betreiber bei einer erheblichen Störung die Pflicht zur Herausgabe aller zur Bewältigung der Störung notwendigen Informationen. Dazu können auch personenbezogene Daten gehören, die dem Datenschutz unterliegen.

Das Energiewirtschaftsgesetz (EnWG) fordert in den Absätzen 1d bis 1f §11 EnWG auf Basis des neuen IT-SiG 2.0 ebenso den Einsatz von Angriffserkennungssystemen. An den IT-Sicherheitskatalogen ändert sich nichts.

Wenngleich diese neuen Pflichten durchaus nachvollziehbar sind, bedürfen sie dennoch einer kritischen Betrachtung. Systeme zur Angriffserkennung erzeugen nach wie vor noch eine Menge an Fehlalarmen. Um bei einem echten Alarm agieren zu können, sind die Systemmeldungen zeitnah auszuwerten und zu interpretieren. Hier wird, wie auch bei der täglichen Wartung und Pflege dieser Systeme, ein erheblicher Ressourcenbedarf zu berücksichtigen sein.

Schauen wir in dem Zusammenhang noch auf SCADA*-Systeme, die primär in den Produktionsbetrieben zum Einsatz kommen, wird oft auf eine technische Nicht-Anwendbarkeit verwiesen.

* SCADA: Supervisory Control and Data Acquisition, also Überwachung, Steuerung und Datenerfassung

Bei der geforderten Herausgabe notwendiger Informationen über die Störungen sollte das Risiko des „Single-Point of Information“ betrachtet werden. Alle Störungen und somit auch die ausgenutzten Schwachstellen, werden an einer zentralen Stelle gesammelt. Habe ich ein Interesse an derlei Informationen, habe ich damit auch nur noch ein Ziel. Dies ist ein nicht zu unterschätzendes Risiko.

Neue Kategorie: „Unternehmen im besonderen im öffentlichen Interesse“

Diese neue Kategorie schließt nun folgende Unternehmen mit ein:

• Bereiche der Rüstungsindustrie,
• mit besonderer volkswirtschaftlicher Bedeutung sowie
• Unternehmen, die der Störfall-Verordnung (StöV) unterliegen.

Hervorzuheben ist die Pflicht zur Vorlage einer Selbsterklärung zur IT-Sicherheit in einem 2-Jahres-Rhythmus für Unternehmen der Rüstungsindustrie sowie jene mit besonderer volkswirtschaftlicher Bedeutung. Der Grund für die Aufnahme der Rüstungsindustrie ist aus Sicht des Gesetzgebers, dass ein Ausfall der Herstellungs- und Entwicklungstätigkeiten dieser Unternehmen wesentliche Sicherheitsinteressen der Bundesrepublik Deutschland gefährden könnte. Ebenso besteht für die Unternehmen die Pflicht zur sofortigen Störungsmeldung, wenn es zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Wertschöpfung gekommen ist oder noch kommen könnte.

Die bisher für alle KRITIS-Sektoren verpflichtende Registrierung beim BSI wurde für die unter die Störfall-Verordnung (StöV) fallenden Unternehmen in eine freiwillige Registrierung überführt, um „ebenfalls vom vertrauensvollen Austausch profitieren zu können“. Für Unternehmen, die der StöV unterliegen, besteht die Pflicht zur unverzüglichen Meldung von Störungen, wenn diese zu einem Störfall gemäß StöV geführt haben oder noch führen könnten.

Wie immer gilt auch hier, dass manche neuen Begrifflichkeiten oder Formulierungen noch nicht abschließend spezifiziert sind. In den Runden der KRITIS-Experten wird noch über Abgrenzungen und Bedeutungen, auch juristisch, diskutiert.

IT-SIG 2.0 – Schwellenwerte bleiben unverändert

Über die Anpassungen bzw. Senkungen der bestehenden Schwellenwerte wird schon lange diskutiert. Auch gab es immer wieder Hinweise darauf, diese in den KRITIS-Verordnungen zu senken.

Aktuell gibt es jedoch keine erkennbaren Zeichen zur Anpassung. Es bleibt daher spannend. Zumindest wäre eine Senkung aber ein nachvollziehbarer Schritt, um die Widerstandsfähigkeit der deutschen Unternehmen im gesellschaftlichen Interesse weiter zu stärken.

Das BSI mit neuen Kompetenzen und Befugnissen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat im Zuge des IT-Sicherheitsgesetzes 2.0 erhebliche Ausweitung der Kompetenzen und Befugnisse erfahren. Bislang informierte das BSI die Öffentlichkeit über Angriffe auf IT-Systeme (Trojaner, Viren, Schadprogramme) und wehrte diese ab. Nun wird die Rolle des Bundesamts weitaus aktiver gestaltet.

1. Das BSI soll künftig den „Stand der Technik“ für sicherheitstechnische Anforderungen an IT-Produkte definieren. Dies ist sicherlich zu begrüßen. In den letzten Jahren diskutierte man die Frage nach dem „Stand der Technik“ recht kontrovers, da die Antwort danach nicht immer eindeutig ist. Mit diesem Schritt kann es daher zu Klarstellungen kommen, was sehr wünschenswert ist.
    
2. Gemäß dem Cyber Security Act der EU wird das BSI zur nationalen Stelle für Cybersicherheitszertifizierungen. Die Befugnisse dazu haben sich nochmals deutlich erweitert. Dazu gehören unter anderem das von Zertifizieren oder Konformitätsbewertungsstellen die Räumlichkeiten überprüft werden können.
   Ebenso kann das BSI von diesen Stellen und auch von Inhabern einer Konformitätserklärung oder Cybersicherheitszertifizierung notwendige Auskünfte und Unterstützung einfordern. Um diesem Kontrollmechanismus zu genügen, hat das BSI zudem das Recht erhalten, europäische Cybersicherheitszertifikate zu widerrufen.
    
3. Neben der neu formulierten Definition zur allgemeinen Meldestelle für die IT-Sicherheit auf nationaler Ebene soll das BSI auch Sicherheitsrisiken detektieren dürfen. Der unter dem Pseudonym bekannt gewordene Hackerparagraf erlaubt dem BSI das „Angreifen“ von Unternehmen und Infrastrukturen, um anschließend Anforderungen zur Umsetzung (zum Beispiel erforderliche technische und organisatorische Maßnahmen) zu geben.
   Die Ziele sind nachvollziehbar: Schadprogramme, Sicherheitslücken oder mögliche Sicherheitsrisiken sollen proaktiv gefunden und eliminiert werden.
    
4. Für Endanwender oder Endkunden sollte vor allem interessant sein, dass das BSI über sicherheitsrelevante IT-Eigenschaften von IT-Produkten informieren und auch warnen darf. Dazu darf es Untersuchungen der auf dem Markt bereitgestellten IT-Produkte und IT-Systeme durchführen. Das fördert sicherlich den Verbraucherschutz, haben sich viele IT-Produkte (unter anderem diverse Smart-Home-Komponenten) doch als nützlich, allerdings auch als völlig unsicher und angreifbar in den letzten Jahren dargestellt.

IT-SIG 2.0 – das IT-Sicherheitskennzeichen

Mit dem IT-Sicherheitskennzeichen haben Hersteller nun eine freiwillige Möglichkeit, die Sicherheitseigenschaften ihres Produktes in einer Herstellererklärung dem BSI zu melden. Die Eignung der branchenspezifischen Sicherheitseigenschaften des Produktes wird durch das BSI selbst festgestellt.

Eine weitere Voraussetzung für die Herstellererklärung muss eine Technische Richtlinie des BSI sein. Nach einem Antrag zur Nutzungsfreigabe kann einer Nutzung des IT-Sicherheitskennzeichens nur die negative Prüfung, die auch durch Dritte erfolgen kann, im Wege stehen. Das BSI prüft natürlich regelmäßig, ob die Vorgaben zum IT-Sicherheitskennzeichen eingehalten werden und spricht gegebenenfalls geeignete Maßnahmen bei einer Nichteinhaltung aus.

Das IT-Sicherheitskennzeichens kann Verbrauchern bei der Auswahl eines IT-Systems oder Online-Dienstes unterstützen, indem für sie auf einen Blick zu erkennen ist, welches System oder welcher Dienst ein konkretes Sicherheitsniveau aufweist. Dies führt zu einer Erhöhung der Verbrauchertransparenz und zur Förderung der IT-Security im Bereich von Verbraucherprodukten und Verbraucherdiensten.

IT-SIG 2.0 – verschärfte Bußgelder

Das IT-Sicherheitsgesetz 2.0 hat in Punkto Bußgeld (Ordnungswidrigkeiten) die Höchstbeträge in definierten Stufen festgelegt, zum Beispiel von 100 Tausend bis 2 Mio. Euro. Unter bestimmten Rahmenbedingungen kann eine Verzehnfachung des Maximalbetrages auf bis zu 20 Mio. Euro möglich sein. Als Grund für die teilweise hohen Anpassungen der Bußgelder wird eine Harmonisierung mit anderen regulatorischen Vorgaben auf EU-Ebene genannt.

IT-SIG 2.0 – Festschreibung der kritischen Komponenten

Grundsätzlich sind im Sinne des IT-SIG kritische Komponenten IT-Produkte, die in den Kritischen Infrastrukturen eingesetzt sind und deren sichere Funktion von hoher Bedeutung ist. Der Grund: Störungen dieser Komponenten können zum Beispiel eine Gefährdung für die öffentliche Sicherheit darstellen.

Diese IT-Produkte sind im Sinne des IT-Sicherheitsgesetzes einzelne oder miteinander verbundene Hardwareprodukte sowie Softwareprodukte. Dabei kann es sich auch nur um eine als kritisch eingestufte Funktion des IT-Produktes handeln. Ferner soll diese Einstufung sektorspezifisch erfolgen. Um der Erfordernis einer gesetzlichen Bestimmung der IT-Produkte zu genügen, werden kritische Komponenten sektorspezifisch definiert.

Sobald ein IT-Produkt in einem Sektor als kritisch eingestuft wurde, ist dessen Einsatz durch den KRITIS-Betreiber gegenüber dem Bundesministerium des Inneren (BMI) vor dem Einbau bzw. Einsatz anzuzeigen. Spätestens hier kommt das BMI ins Spiel. Es kann dann an den KRITIS-Betreiber Anforderungen zum Einsatz oder eben auch zum Nicht-Einsatz stellen.

Wichtig sind hier vor allem die Garantien oder die Vertrauenswürdigkeit des Herstellers, die hier hinterfragt werden. Dies schließt unter anderem die Betrachtungen der gesamten Lieferkette für diese IT-Produkte ein. Fortan unterliegen die Unternehmen, ebenso wie alle Hersteller von IT-Produkten, einer Meldepflicht gegenüber dem BSI bei Sicherheitsvorfällen.

Bekannt geworden sind diese Passagen im neuen IT-Sicherheitsgesetz 2.0 vor allem durch die Diskussion über den Ausbau des 5G-Netzes und dem damit verbundenen Einsatz von Huawei als Hersteller. Die Vertrauenswürdigkeit wurde hier grundsätzlich in Frage gestellt, da die eingesetzten Komponenten über technische Eigenschaften verfügen könnten, die missbräuchlich zum Beispiel zur Spionage genutzt werden könnten.

IT-SIG 2.0 – Auswirkungen auf KRITIS-Betreiber

Gehören Sie zur neuen Kategorie der Unternehmen in besonderem öffentlichen Interesse, dann gelten für Sie die Fristen der Gesetzgebung ab der endgültigen Verabschiedung des IT-SiG 2.0. Dann müssen Sie in einer geeigneten Art und Weise alle 2 Jahre dem BSI die Umsetzung des Standes der Technik nachweisen. Dies erfolgt z.B. über den Nachweis einer durchgeführten KRITIS-Prüfung, auch in Verbindung mit einer Zertifizierung nach ISO 27001.

Für bestehende KRITIS-Betreiber ändert sich an den Fristen erst einmal nichts.

Im Laufe des letzten Jahres hat das BSI damit begonnen, bei Einreichung der erforderlichen KRITIS-Prüfungsergebnisse die Betreiber über Fristen für die nächsten Abgaben und somit auch erforderliche KRITIS-Prüfungen zu informieren. Diese gelten dann individuell für jeden KRITIS-Betreiber.

Die Implementierung von Systemen zur Angriffserkennung soll innerhalb von einem Jahr nach Inkrafttreten des neuen IT-Sicherheitsgesetztes durch die betroffenen Unternehmen umgesetzt werden. Aufgrund der Komplexität solcher Systeme, wie bereits beschrieben, ein sicherlich sportliches Unterfangen.

IT-SIG 2.0 – unser Fazit

Das übereilte Vorgehen im Dezember 2020, um das Gesetz schnellstmöglich durch das Bundeskabinett zu bekommen, ist nur einer von den großen Kritikpunkten aus den unterschiedlichen Branchen oder den Verbänden im Umfeld der IT-Sicherheit. Viele Anforderungen werden in diesen Diskussionen als nicht umsetzbar angesehen.

Besonders dann, wenn es um nicht leistbare Bereitstellung von Ressourcen geht, wie zum Beispiel bei der Angriffserkennung. Gerade in Verbindung mit der Erhöhung der Bußgelder ist es sicherlich erlaubt, dies kritisch zu hinterfragen. Vor allem die durch die Corona-Pandemie getroffenen Branchen, beispielhaft genannt nur die dramatische wirtschaftliche Situation in großen Teilen des Gesundheitswesens, lässt die Verpflichtung zu weiteren Investitionen aufhorchen.

Bei einer Superbehörde, die alle Informationen sammelt und auswertet, ist das Risiko eines möglichen Missbrauchs zu betrachten. Die Schwelle dazu ist durch weitgehende Befugnisse abgesenkt. Ebenso kritisch zu hinterfragen sind die Aspekte, die schlussendlich einen Single-Point of Information nach sich ziehen, da sie somit selber zu einem der exponiertesten Angriffsziele werden kann.

Dagegen steht der grundlegende Gedanke zur Sammlung von Informationen, die wieder allen KRITIS-Betreibern zugutekommen und damit auch das gesellschaftliche Interesse nach Sicherheit berücksichtigen.

Je mehr Informationen auswertbar sind, umso höher ist der Informationsgehalt, der zur Definition von vorbeugenden Schutzmaßnahmen den entscheidenden Vorsprung bei der Digitalisierung bringen kann. Das BSI kann dieser großen Verantwortung in Zukunft hoffentlich gerecht werden. Dem Industriestandort Deutschland und somit unserem Gemeinwesen ist es in jedem Fall zu wünschen.

Zu den Autoren

Andreas Altena

Geschäftsführer der Sollence^® GmbH, Berater, Trainer und DQS-Auditor. Kernkompetenzen: Organisationsentwicklung und integrierte Managementsysteme, Qualitäts-, Informationssicherheits-, Risiko- und (IT-)Servicemanagement.

Dr. Holger Grieb

Dr. Holger Grieb – Lead Consultant Management & IT der Ksi Consult Ltd. & Co. KG. DQS-Auditor, Berater und Trainer in den Kernbereichen integrierte Managementsysteme, Qualitäts-, Informationssicherheits- und (IT-)Servicemanagement.

Bei der DQS in guten Händen

Das Gesetz zur Erhöhung der Sicherheit in der Informationstechnologie, kurz IT-Sicherheitsgesetz (IT-SIG) aus dem Jahr 2015 verpflichtet Betreiber Kritischer Infrastrukturen (KRITIS) alle zwei Jahre zum Nachweis von angemessene Vorkehrungen zur Vermeidung von Störungen der IT-Systeme, IT-Komponenten und IT-Prozesse gegenüber dem BSI (Bundesamt für die Sicherheit in der Informationstechnik).

Unter „kritisch“ werden die informationstechnischen Systeme, Komponenten oder Prozesse verstanden, die für die Funktionsfähigkeit der betriebenen Kritischen Infrastrukturen notwendig sind. Die zu ergreifenden Schutzmaßnahmen der Unternehmen müssen dem „Stand der Technik“ entsprechen.

Als Prüfgrundlage sind entweder anerkannte Normen, zum Beispiel ISO 27001, oder alternativ Branchenspezifisch Sicherheitsstandards (B3S) zugelassen, die von KRITIS-Betreibern und ihren Verbänden erarbeitet wurden. Die DQS ist anerkannte Prüfstelle und akkreditierte Zertifizierungsstelle für zahlreiche IT-Sicherheitsstandards, unter anderem für ISO 27001.

Die DQS GmbH wurde im Jahr 1985 als erste Zertifizierungsgesellschaft Deutschlands gegründet. Bereits 1986, als das Thema Qualitätsmanagement noch in den Kinderschuhen steckte, stellte die DQS das bundesweit erste Zertifikat nach ISO 9001 (Qualitätsmanagement) aus – damals noch auf der Basis der Entwurfsfassung.

Seit dieser Zeit zählen wir zu den führenden Auditspezialisten und Zertifizierern weltweit. Die Gründungsgesellschafter DGQ (Deutsche Gesellschaft für Qualität e.V.) und DIN (Deutsches Institut für Normung e.V.) sind wichtige Partner für die Aus- und Weiterbildung sowie die Normungsarbeit. So arbeiten wir aktiv für unsere Kunden in Ausschüssen und Gremien mit und bringen unser Expertenwissen in unsere Audits ein.