IT-Sicherheitsgesetz

IT Sicherheitsgesetz

Copyright ┬ę Shutterstock / Jirsak

Was ist das IT-Sicherheitsgesetz?

Bereits im Jahr 2015 wurde vom deutschen Bundestag mit dem IT-Sicherheitsgesetz – kurz IT-SiG – ein neues Gesetz verabschiedet. Dieses Gesetz soll die Sicherheit von informationstechnischen Systemen erh├Âhen und dar├╝ber hinaus auch dem Schutz vor kritischen Infrastrukturen (KRITIS) f├Ârderlich sein.

Das Gesetz zum Schutz von informationstechnischen Systemen betrifft insbesondere Unternehmen der Telekommunikationsbranche. Aber auch Betreiber von sogenannten kritischen Infrastrukturen und Anbieter von digitalen Diensten unterliegen dem ITSiG, welches seit Juli 2015 in Kraft ist. Das IT-Sicherheitsgesetz gibt den verschiedenen Organisationen und Unternehmen ein definiertes Mindestma├č f├╝r die IT-Sicherheit vor. Betroffene Unternehmungen sind verpflichtet organisatorische sowie technische Ma├čnahmen vorzunehmen, um diese Sicherheitsstandards zu erf├╝llen. Gleichzeitig sind sie verpflichtet, auch einen Nachweis zu erbringen. So fordert das Gesetz unter anderem die Umsetzung von einem Information Security Management System. Au├čerdem besteht auch eine Meldepflicht, welcher die Unternehmen unterliegen. Diese Meldepflicht gilt gegen├╝ber den jeweiligen Kunden und dar├╝ber hinaus auch gegen├╝ber dem BSI – dem Bundesamt f├╝r Sicherheit in der Informationstechnik.

Wen betrifft das IT-Sicherheitsgesetz im Einzelnen?

Dem IT-Sicherheitsgesetz unterliegen wie bereits oben erw├Ąhnt alle Betreiber von kritischen Infrastrukturen, Anbieter von digitalen Diensten sowie die Unternehmen der Telekommunikationsbranche. Zu den digitalen Diensten geh├Âren beispielsweise auch Suchmaschinen, Online-Marktpl├Ątze und Cloud-Computing-Dienste beziehungsweise deren Anbieter. Diese Betreiber m├╝ssen nach dem IT-SiG geeignete Ma├čnahmen ergreifen, um die Daten der Kunden zu sch├╝tzen und dar├╝ber hinaus nat├╝rlich auch die von den Kunden genutzten Angebote und Systeme sichern. Au├čerdem m├╝ssen dem Gesetz zufolge Unternehmen der Telekommunikationsbranche ihre Kunden dar├╝ber informieren, dass der Anschluss widerrechtlich verwendet wird. Ebenso sind Unternehmen, die kritische Infrastrukturen unterhalten, verpflichtet die IT immer nach dem neuesten Stand der Technik zu sch├╝tzen und die IT-Technik diesbez├╝glich fortw├Ąhrend zu ├╝berpr├╝fen. Kommt es zu einem Sicherheitsvorfall, so muss dieser umgehend dem BSI gemeldet werden. Jegliche Erkenntnisse, die das Bundesamt f├╝r Sicherheit in der Informationstechnik aus diesen Meldungen zieht, werden wiederum den Betreibern bereitgestellt. Seit dem Inkrafttreten von dem ITSiG besitzt das BSI wesentlich mehr Befugnisse als fr├╝her.

Was versteht man unter kritischen Infrastrukturen?

Viele verschiedene Sektoren z├Ąhlen zu den sogenannten kritischen Infrastrukturen (KRITIS). An die Betreiber solcher Infrastrukturen werden ganz spezielle Anforderungen gestellt. Die Ziele von dem IT-Sicherheitsgesetz sind, das Gemeinwesen zu sch├╝tzen, negative Auswirkungen f├╝r die Allgemeinheit zu minimieren und jeden Einzelnen vor etwaigen Sch├Ąden zu bewahren. In die Rubrik der kritischen Infrastrukturen fallen die Bereiche Ern├Ąhrung, Wasser, Energie, Telekommunikation, Informationstechnik, Finanzen, Transport und Verkehr sowie Gesundheit. Ob ein Betreiber in den Bereich KRITIS f├Ąllt, kann er an bestimmten Kriterien und Messwerten nachvollziehen. Wichtig zu ber├╝cksichtigen hierbei ist, dass auch Lieferanten, Dienstleister und Partner von KRITIS Betreibern zumindest indirekt ebenso den Vorgaben von dem IT-Sicherheitsgesetz unterliegen, diese erf├╝llen und sich daran halten m├╝ssen.

Hat das ITSiG Folgen f├╝r Webseitenbetreiber?

Auch die Betreiber von Webanwendungen, Webshops und Webseiten unterliegen dem IT-Sicherheitsgesetz. Sie m├╝ssen Ma├čnahmen umsetzen, um St├Ârungen ihrer angebotenen Dienste zu verhindern sowie, um Zugriffe auf Daten und IT-Systeme zu vermeiden. Eine der Ma├čnahmen ist die regelm├Ą├čige Durchf├╝hrung von Updates sowie Patches f├╝r Betriebssysteme und Anwendungen. Webseiten von privaten Einrichtungen und Personen, die keinen kommerziellen Hintergrund besitzen, sind von dieser Absicherungspflicht ausgenommen. F├╝r Webangebote, mit denen regelm├Ą├čig Einnahmen erzielt werden, zum Beispiel durch bezahlte Werbung, gilt das IT-Sicherheitsgesetz ebenfalls im vollen Umfang.

Was bedeutet aktueller Stand der Technik in Verbindung mit dem ITSiG?

Das IT-Sicherheitsgesetz gibt vor, dass sowohl technische als auch organisatorische Ma├čnahmen umzusetzen sind, die dem Stand der Technik entsprechen. Dabei ist der Begriff Stand der Technik allerdings unbestimmt, denn es gibt hierbei keine messbare Gr├Â├če. Vielmehr stellt er eher einen Grundsatz dar, welchen sich betroffene Unternehmen unterwerfen m├╝ssen. Das Bundesamt f├╝r Sicherheit in der Informationstechnik stellt dann auch selbst fest, dass dieser Begriff nicht abschlie├čend und allgemeing├╝ltig definiert werden kann. Daher wird der Stand der Technik fallspezifisch und branchenspezifisch bestimmt. Hierf├╝r werden auch praxisnahe Vorbilder herangezogen. Ob die jeweiligen Ma├čnahmen dem Stand der Technik ber├╝cksichtigen, kann laut BIS gegebenenfalls im Rahmen der Nachweispflicht und Meldepflicht ermittelt werden. In der Umsetzung kann die Begrifflichkeit Stand der Technik f├╝r Ungewissheit und Unsicherheit bei betroffenen Unternehmen sorgen. Die Einhaltung von den verschiedensten internationalen und nationalen Normen wie zum Beispiel den ISO-, DIN-, ISO/TEC- und DKE-Standardreihen, sollte in zweifelhaften F├Ąllen erfolgen, um auf Nummer sicher zu gehen.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte