Interessantes aus den Online-Medien

IT-Sicherheitsgesetz 2.0 - was ist geplant?

Strom, Wasser, Verkehr, Gesundheitsversorgung – alles ist IT-gesteuert und miteinander vernetzt. Die Digitalisierung ist die Zukunft, daran besteht kein Zweifel. Aber sie bietet auch Raum für physische und virtuelle Angriffe. Besonders anfällig sind so genannte Kritische Infrastrukturen (KRITIS), für die das im Jahr 2015 veröffentlichte IT-Sicherheitsgesetz (IT-SiG) angemessene Schutzmaßnahmen verlangt. Nun wird das IT-Sicherheitsgesetz 1.0 weiterentwickelt: Demnach soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich mehr Befugnisse erhalten, um Sicherheitslücken aufzudecken und so die IT-Systeme von Gesellschaft, Wirtschaft und Staat zu schützen.

Am 27. März 2019 wurde der Referentenentwurf zum IT-Sicherheitsgesetz 2.0 des Bundesministeriums des Innern, für Bau und Heimat fertiggestellt und verschickt. Der Entwurf wird nun mit anderen Ministerien diskutiert und abgestimmt, ehe die Bundesregierung ihn im Bundestag einbringt.

Welche Änderungen am IT-Sicherheitsgesetz sind zu erwarten?

IT-SiG – KRITIS

Beim Thema Kritische Infrastrukturen (KRITIS) kommt der Bereich Abfallentsorgung zur Liste der Sektoren hinzu.

Präzisiert wird die Kategorie „Infrastrukturen mit besonderem öffentlichen Interesse“. Sie beinhaltet nun die Bereiche Rüstungsindustrie, Prime Standard nach §48 Börsenordnung der Frankfurter Wertpapierbörse sowie Kultur und Medien.

Hersteller von Komponenten, die im KRITIS-Bereich eingesetzt werden, müssen künftig die Vertrauenswürdigkeit ihrer gesamten Lieferkette gewährleisten und hierzu eine Erklärung ihrer Vertrauenswürdig gegenüber dem Betreiber abgeben. Art und Umfang dieser Erklärung sind allerdings noch zu definieren. Zudem unterliegen sie, ebenso wie alle Hersteller von IT-Produkten, einer Meldepflicht gegenüber dem BSI bei Sicherheitsvorfällen.

Bei Pflichtverletzung kann das BSI deutlich höhere Bußgelder verhängen, sie sollen sich zukünftig am Bußgeldrahmen der DS-GVO orientieren. Dies bedeutet, dass Bußgelder bis maximal 20 Mio. Euro oder von bis zu 4 Prozent des gesamten, weltweiten Umsatzes eines Unternehmens verhängt werden können.

IT-SiG IT-Sicherheits-Kennzeichen / Verbraucherschutz

Das Angebot eines IT-Sicherheits-Kennzeichens kann Verbrauchern bei der Auswahl eines IT-Systems oder Online-Dienstes unterstützen, indem für sie auf einen Blick zu erkennen ist, welches System oder welcher Dienst ein konkretes Sicherheitsniveau aufweist. Dies führt zu einer Erhöhung der Verbrauchertransparenz und zur Förderung der Sicherheit in der IT im Bereich von Verbraucherprodukten und -diensten.

IT-SiG – Cybersicherheit / IoT

Bislang informierte das BSI die Öffentlichkeit über Angriffe auf IT-Systeme (Trojaner, Viren, Schadprogramme) und wehrte diese ab. Nun soll die Rolle des Bundesamts weitaus aktiver gestaltet werden. So soll das BSI zukünftig durch systematisches Scannen im Internet unsichere Gerätezugänge identifizieren. Hierunter fallen neben Servern und Smartphones auch Geräte aus dem „Internet der Dinge“ (IoT), über die ein Angreifer in das WLAN von Privatpersonen oder Organisationen eindringen könnte.

Auch soll das BSI Internetprovidern anordnen können, den Datenverkehr eines oder mehrerer Geräte, die zum Beispiel Kritische Infrastrukturen (KRITIS) angreifen, zu blockieren oder umzuleiten. Diese Umleitung kann auf eigene BSI-Server erfolgen. Dies soll insbesondere Botnetze treffen, also Gruppen ferngesteuerter Geräte, die solche Angriffe durchführen.

IT-SiG – Gesetzesänderungen

Der Entwurf beinhaltet zudem wesentliche Reformen des Telekommunikations- und Telemediengesetzes sowie des Strafgesetzbuches und der Strafprozessordnung. So werden Computerstraftaten zu „schweren Straftaten“ im Sinne der strafprozessrechtlichen Telekommunikationsüberwachung (§ 100a StPO) erklärt, und Telekommunikationsdienste, die zur „Weitergabe oder Veröffentlichung rechtswidrig erlangter Daten“ genutzt werden, sollen dazu verpflichtet werden, diese Daten zu sperren und zu löschen. Laut Entwurf betrifft dies Dienste wie z. B. Facebook, Google oder den Messenger Telegram.

Der Marschrichtung des IT-Sicherheitsgesetz 2.0 ist eindeutig auszumachen. Ab jetzt heißt es: Offensiv statt defensiv.

Der komplette Entwurf kann hier eingesehen werden: http://intrapol.org/wp-content/uploads/2019/04/IT-Sicherheitsgesetz-2.0-_-IT-SiG-2.0.pdf