Skip to main content

IT-Sicherheitsgesetz

Was ist das IT-Sicherheitsgesetz?

Bereits im Jahr 2015 wurde vom deutschen Bundestag mit dem IT-Sicherheitsgesetz – kurz IT-SiG – ein neues Gesetz verabschiedet. Dieses Gesetz soll die Sicherheit von informationstechnischen Systemen erhöhen und darüber hinaus auch dem Schutz vor kritischen Infrastrukturen (KRITIS) förderlich sein.

Das Gesetz zum Schutz von informationstechnischen Systemen betrifft insbesondere Unternehmen der Telekommunikationsbranche. Aber auch Betreiber von sogenannten kritischen Infrastrukturen und Anbieter von digitalen Diensten unterliegen dem ITSiG, welches seit Juli 2015 in Kraft ist. Das IT-Sicherheitsgesetz gibt den verschiedenen Organisationen und Unternehmen ein definiertes Mindestmaß für die IT-Sicherheit vor. Betroffene Unternehmungen sind verpflichtet organisatorische sowie technische Maßnahmen vorzunehmen, um diese Sicherheitsstandards zu erfüllen. Gleichzeitig sind sie verpflichtet, auch einen Nachweis zu erbringen. So fordert das Gesetz unter anderem die Umsetzung von einem Information Security Management System. Außerdem besteht auch eine Meldepflicht, welcher die Unternehmen unterliegen. Diese Meldepflicht gilt gegenüber den jeweiligen Kunden und darüber hinaus auch gegenüber dem BSI – dem Bundesamt für Sicherheit in der Informationstechnik.

Wen betrifft das IT-Sicherheitsgesetz im Einzelnen?

Dem IT-Sicherheitsgesetz unterliegen wie bereits oben erwähnt alle Betreiber von kritischen Infrastrukturen, Anbieter von digitalen Diensten sowie die Unternehmen der Telekommunikationsbranche. Zu den digitalen Diensten gehören beispielsweise auch Suchmaschinen, Online-Marktplätze und Cloud-Computing-Dienste beziehungsweise deren Anbieter. Diese Betreiber müssen nach dem IT-SiG geeignete Maßnahmen ergreifen, um die Daten der Kunden zu schützen und darüber hinaus natürlich auch die von den Kunden genutzten Angebote und Systeme sichern. Außerdem müssen dem Gesetz zufolge Unternehmen der Telekommunikationsbranche ihre Kunden darüber informieren, dass der Anschluss widerrechtlich verwendet wird. Ebenso sind Unternehmen, die kritische Infrastrukturen unterhalten, verpflichtet die IT immer nach dem neuesten Stand der Technik zu schützen und die IT-Technik diesbezüglich fortwährend zu überprüfen. Kommt es zu einem Sicherheitsvorfall, so muss dieser umgehend dem BSI gemeldet werden. Jegliche Erkenntnisse, die das Bundesamt für Sicherheit in der Informationstechnik aus diesen Meldungen zieht, werden wiederum den Betreibern bereitgestellt. Seit dem Inkrafttreten von dem ITSiG besitzt das BSI wesentlich mehr Befugnisse als früher.

Was versteht man unter kritischen Infrastrukturen?

Viele verschiedene Sektoren zählen zu den sogenannten kritischen Infrastrukturen (KRITIS). An die Betreiber solcher Infrastrukturen werden ganz spezielle Anforderungen gestellt. Die Ziele von dem IT-Sicherheitsgesetz sind, das Gemeinwesen zu schützen, negative Auswirkungen für die Allgemeinheit zu minimieren und jeden Einzelnen vor etwaigen Schäden zu bewahren. In die Rubrik der kritischen Infrastrukturen fallen die Bereiche Ernährung, Wasser, Energie, Telekommunikation, Informationstechnik, Finanzen, Transport und Verkehr sowie Gesundheit. Ob ein Betreiber in den Bereich KRITIS fällt, kann er an bestimmten Kriterien und Messwerten nachvollziehen. Wichtig zu berücksichtigen hierbei ist, dass auch Lieferanten, Dienstleister und Partner von KRITIS Betreibern zumindest indirekt ebenso den Vorgaben von dem IT-Sicherheitsgesetz unterliegen, diese erfüllen und sich daran halten müssen.

Hat das ITSiG Folgen für Webseitenbetreiber?

Auch die Betreiber von Webanwendungen, Webshops und Webseiten unterliegen dem IT-Sicherheitsgesetz. Sie müssen Maßnahmen umsetzen, um Störungen ihrer angebotenen Dienste zu verhindern sowie, um Zugriffe auf Daten und IT-Systeme zu vermeiden. Eine der Maßnahmen ist die regelmäßige Durchführung von Updates sowie Patches für Betriebssysteme und Anwendungen. Webseiten von privaten Einrichtungen und Personen, die keinen kommerziellen Hintergrund besitzen, sind von dieser Absicherungspflicht ausgenommen. Für Webangebote, mit denen regelmäßig Einnahmen erzielt werden, zum Beispiel durch bezahlte Werbung, gilt das IT-Sicherheitsgesetz ebenfalls im vollen Umfang.

Was bedeutet aktueller Stand der Technik in Verbindung mit dem ITSiG?

Das IT-Sicherheitsgesetz gibt vor, dass sowohl technische als auch organisatorische Maßnahmen umzusetzen sind, die dem Stand der Technik entsprechen. Dabei ist der Begriff Stand der Technik allerdings unbestimmt, denn es gibt hierbei keine messbare Größe. Vielmehr stellt er eher einen Grundsatz dar, welchen sich betroffene Unternehmen unterwerfen müssen. Das Bundesamt für Sicherheit in der Informationstechnik stellt dann auch selbst fest, dass dieser Begriff nicht abschließend und allgemeingültig definiert werden kann. Daher wird der Stand der Technik fallspezifisch und branchenspezifisch bestimmt. Hierfür werden auch praxisnahe Vorbilder herangezogen. Ob die jeweiligen Maßnahmen dem Stand der Technik berücksichtigen, kann laut BIS gegebenenfalls im Rahmen der Nachweispflicht und Meldepflicht ermittelt werden. In der Umsetzung kann die Begrifflichkeit Stand der Technik für Ungewissheit und Unsicherheit bei betroffenen Unternehmen sorgen. Die Einhaltung von den verschiedensten internationalen und nationalen Normen wie zum Beispiel den ISO-, DIN-, ISO/TEC- und DKE-Standardreihen, sollte in zweifelhaften Fällen erfolgen, um auf Nummer sicher zu gehen.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG