Beiträge

IT –Sicherheitsgesetz 2.0 vom Kabinett verabschiedet

IT –Sicher­heits­gesetz 2.0 vom Kabinett verabschiedet

Am Schluss folgte Entwurf auf Entwurf – und dann ging es ganz schnell. Am vergan­genen Mittwoch, den 16. Dezember 2020, hat das Kabinett das IT-Sicher­heits­gesetz 2.0 verab­schiedet. Bundes­in­nen­mi­nister Horst Seehofer bezeichnet es als „Durch­bruch für Deutsch­lands Sicherheit“. Branchen­ver­bände sowie die UP KRITIS äußern scharfe Kritik über die Einbindung der dortigen Experten sowohl bei der inhalt­lichen Ausge­staltung als auch bei der sehr kurzen Kommen­tie­rungs­frist von nur wenigen Werktagen für Entwurf Nr. 3 und 4. Dies spiegelt nicht die Wichtigkeit der geplanten Geset­zes­an­pas­sungen wider.

Diskus­si­ons­start im November

Überra­schend wurde im November die Diskussion um das IT-Sicher­heits­gesetz mit einem dritten Referen­ten­entwurf neu entfacht. Nach langem Still­stand kam wieder Bewegung in die Diskussion um kritische Infra­struk­turen, deren Betreiber sowie der Rolle des BSI. Die Kommen­tie­rungen der Fachex­perten, die auf inhalt­liche Verbes­serung wesent­licher Punkte sowie die Klärung offener Fragen, z. B. das z. T. unver­hält­nis­mäßige Sankti­onsmaß, Übergangs­fristen, die Zerti­fi­zierung und Meldung des Einsatzes sog. Kriti­scher Kompo­nenten oder auch die Aufnahme neuer Sektoren wie z. B. die Abfallwirtschaft.

Mehr Befug­nisse für das BSI

Klar ist, dass die Befug­nisse des BSI stark erweitert werden. Dies lässt sich nicht nur in der Zahl neuge­schaf­fender Stellen ablesen, sondern auch im Bestreben, schnellst­möglich eine Cyber­ein­griffs­truppe zu schaffen.

Evalu­ierung des IT-Sig 1.0

Weiterhin steht die gesetzlich festge­legte Evalu­ierung des IT-SIG 1.0 gemäß Artikel 10 weiterhin aus. Auch laut § 9 KritisV muss die BSI-Kritis­ver­ordnung – und damit insbe­sondere auch die Schwell­werte, ab denen ein Betreiber als Kritische Infra­struktur betrachtet wird – alle zwei Jahre evaluiert werden.

Inhalt­liche Änderungen

Folgenden Punkte sind aus Sicht der SRC-Experten die wesent­lichen Änderungen im neuen IT-SIG:

  • Regelungen zum Einsatzes kriti­scher Komponenten
  • Konkre­ti­sierung der Kennzahlen und Schwell­werte für die größten Unter­nehmen in Deutschland, Einfügen einer Rechts­ver­ordnung zur Offen­legung von Schnitt­stellen und zur Einhaltung etablierter techni­scher Standards.
  • Bußgeld­vor­schriften und Santionierung
  • Änderung der Vorgaben zur Speicherung von Protokolldaten
  • Anglei­chung der Bestands­da­ten­aus­kunft an die Vorgaben der Entscheidung des BVerfG vom 27. Mai 2020 („Bestands­da­ten­aus­kunft II“)
  • Eingrenzung der Durch­führung von Detek­ti­ons­maß­nahmen für die Netz- und IT-Sicherheit („Hacker-Paragraf“)
  • Änderung von Fristen für die KRITIS-Regelungen in § 8a BSIG und eine Anpassung bzw. Einschränkung der Vorla­ge­pflicht von Betrei­ber­do­ku­menten, soweit die Regis­trie­rungs­pflicht nicht erfüllt wurde.
  • Regelungen zur IT-Sicherheit von Unter­nehmen in beson­derem öffent­lichen Interesse: Vom BSI bereit­ge­stellte Formulare zur Selbst­er­klärung sind nicht mehr verbindlich, mit der Vorlage der Selbst­er­klärung besteht eine Regis­trie­rungs­pflicht beim BSI.
  • Zeitliche Einschränkung der Betre­tens­be­fugnis des BSI zur Prüfung der Voraus­set­zungen der EU VO 2019/881 (EU Cyber­se­curity Act).

Daneben wurden über den gesamten Gesetz­entwurf verteilt, begriff­liche Anpas­sungen und Konkre­ti­sie­rungen vorge­nommen. Am 16.12.2020 hat das Bundes­ka­binett den Entwurf für das IT-SiG 2.0 beschlossen. Die Kabinetts­fassung steht zum Download zur Verfügung.

Weitere Regelung zur IT-Sicherheit

Der am 09.12.2020 ebenso vorge­legte Referen­ten­entwurf zum Telekom­mu­ni­ka­ti­ons­mo­der­ni­sie­rungs­gesetz (Gesetz zur Umsetzung der Richt­linie (EU) 2018/1972 des Europäi­schen Parla­ments und des Rates vom 11. Dezember 2018 über den europäi­schen Kodex für die elektro­nische Kommu­ni­kation (Neufassung) und zur Moder­ni­sierung des Telekom­mu­ni­ka­ti­ons­rechts) enthält ebenfalls Vorgaben zur IT-Sicherheit.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

IT-Sicherheitsgesetz 2.0

Kommt das IT-Sicher­heits­gesetz 2.0?

Nach einem längeren Still­stand ist nun wieder Bewegung in die Diskussion um das IT-Sicher­heits­gesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referen­ten­entwurf durch das Bundes­mi­nis­te­riums des Innern, für Bau und Heimat (BMI) veröffentlicht.

Aktueller Status der Novellierung

Die Novel­lierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die recht­lichen Anfor­de­rungen beim Einsatz von techni­schen Produkten aus Dritt­ländern durch Betreiber von kriti­schen Infra­struk­turen. Der nun vorlie­gende dritte Referen­ten­entwurf ist nun bereit, in die Ressort­ab­stimmung zu gehen. Eine Verab­schiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.

Welche Schwer­punkte setzt der Gesetzesentwurf?

Schwer­punkte des neuen Referen­ten­ent­wurfs sind die Bedro­hungen für die Cyber­si­cherheit. Daneben werden auch die Befug­nisse des BSI erweitert werden und neue Aufga­ben­felder, z.B. als nationale Cyber­si­cher­heits­zer­ti­fi­zie­rungs­be­hörde mit der Umsetzung von aktiven Detektionsmaßnahmen.

Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kriti­schen Kompo­nenten enthalten:

Der Einsatz einer kriti­schen Kompo­nente (…), ist durch den Betreiber einer Kriti­schen Infra­struktur dem Bundes­mi­nis­terium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Kompo­nente und die Art ihres Einsatzes anzugeben“.

Kritische Kompo­nenten sind insbe­sondere solche IT-Produkte, die in KRITIS einge­setzt werden und von hoher Bedeutung für das Funktio­nieren des Gemein­wesens sind. Für TK-Netzbe­treiber oder TK-Diens­teer­bringer werden diese Kompo­nenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entspre­chenden BSI-Katalog konkretisiert.

Es dürfen nur kritische Kompo­nenten einge­setzt werden, deren Hersteller eine Erklärung über ihre Vertrau­ens­wür­digkeit gegenüber dem Betreiber der Kriti­schen Infra­struktur abgeben haben (Garan­tie­er­klärung). Das BMI legt die Mindest­an­for­de­rungen für die Garan­tie­er­klärung unter Berück­sich­tigung überwie­gender öffent­licher Inter­essen, insbe­sondere sicher­heits­po­li­ti­scher Belange, fest. Aus der Garan­tie­er­klärung muss hervor­gehen, ob und wie der Hersteller hinrei­chend sicher­stellen kann, dass die kritische Kompo­nente über keine techni­schen Eigen­schaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfüg­barkeit oder Funkti­ons­fä­higkeit der Kriti­schen Infra­struktur (etwa Sabotage, Spionage oder Terro­rismus) einwirken zu können.

Hier entsteht eine neue Anzei­ge­pflicht für die Betreiber der Kompo­nenten. Bisher mussten die Hersteller beim BSI eine Zerti­fi­zierung dieser Kompo­nenten beantragen. Diese neue Listung von kriti­schen Kompo­nenten enthält hochsen­sible Angriffs­ziele. Erfolg­reiche Angriffe durch Hacker oder Geheim­dienste können den kriti­schen Infra­struk­turen in der Bundes­re­publik nachhaltig schaden.

Auch die Diskussion um Anfor­de­rungen an die einge­setzten IT-Produkte, Identi­fi­zie­rungs- und Authen­ti­sie­rungs­ver­fahren und deren Bewertung hinsichtlich der Infor­ma­ti­ons­si­cherheit wird aufge­nommen und konkre­ti­siert. Diese Vorgaben münden in die Entwicklung und Veröf­fent­li­chung eines Stands der Technik bei sicher­heits­tech­ni­schen Anfor­de­rungen an IT-Produkte. Hinzu­ge­kommen sind Anfor­de­rungen an Verbrau­cher­schutz und Verbraucherinformation.

Fazit

Es bleibt abzuwarten, ob dieser Zeitplan einge­halten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbes­serung, weil Konkre­ti­sierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evalu­ierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte statt­finden sollen, immer noch aussteht.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

NextGenPSD2-Zertifizierung

Neue BSI Orien­tie­rungs­hilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG

Seit über fünf Jahren ist das IT-Sicher­heits­gesetz (IT-Sig) im Zusam­men­spiel mit der KRITIS-Verordnung im Einsatz. Das Hauptziel ist die Regulierung der KRITIS-Betreiber nach BSI-Gesetz. Das des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik (BSI) begleitet Gesetz und Verordnung mit der sogenannten BSI Orien­tie­rungs­hilfe zu Nachweisen.

IT-Sig 2.0 – Kommt es oder kommt es nicht?

Um das Thema „IT-Sicher­heits­gesetz 2.0“ ist es leider in letzter Zeit sehr still geworden. Somit ist auch kurzfristig mit keiner Novel­lierung der KRITIS-Verordnung zu rechnen. Dem vorlie­genden Referen­ten­entwurf zum IT-Sig 2.0 sind aber die aktuellen Überle­gungen zu entnehmen. So ist bspw. die Aufnahme der Entsorgung zu den bishe­rigen Sektoren angedacht. Zudem ist eine Erwei­terung des Adres­sa­ten­kreises über die KRITIS-Betreiber hinaus auf Unter­nehmen im beson­deren öffent­lichen Interesse (u.a. aufgrund volks­wirt­schaft­licher Bedeutung) angedacht. Für diese stehen die Erstellung von Sicher­heits­kon­zepten, die Pflicht zur Meldung von Störungen, die Regis­trierung und Führung einer Melde­stelle sowie die Vertrau­ens­wür­digkeit der Beschäf­tigten im Raum. Besonders markant ist die geplante Verschärfung des Bußgeld­rahmens von bisher maximal EUR 100.000 auf max. EUR 20.000.000 (bzw. 4% des gesamten weltweit erzielten jährlichen Unter­neh­mens­um­satzes des voran­ge­gan­genen Geschäftsjahrs).

Neue Orien­tie­rungs­hilfe zu Nachweisen

Während das IT-Sig 2.0 noch auf sich warten lässt, hat in der zweiten August­hälfte das BSI seine neue „Orien­tie­rungs­hilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ veröf­fent­licht. Die Versi­ons­nummer 1.1 lässt es bereits vermuten: zu den Änderungen gehören viele Konkre­ti­sie­rungen und Klarstel­lungen der Sachver­halte und Anfor­de­rungen. Darüber hinaus gibt es weitere signi­fi­kante Änderungen. So vereint das neue Formular P die Infor­ma­tionen der bisher verwen­deten Formulare PD (Prüfdurch­führung), PE (Prüfergeb­nisse) und PS (prüfende Stelle). Neben der schrift­lichen Einrei­chung ist jetzt auch eine digitale/maschinenlesbare Kopie erfor­derlich. Die Liste der Sicher­heits­mängel und der Umset­zungsplan sind ab sofort in einem Dokument zusam­men­ge­fasst, während vorhandene Prüfergeb­nisse (maximal zwölf Monate alt) explizit auf Aktua­lität und Bestand geprüft werden müssen. Eine deutliche Neuerung ist die begründete Bewertung der Reife­grade der Manage­ment­systeme für Infor­ma­ti­ons­si­cherheit (ISMS) und Business Conti­nuity (BCMS). Sehr auffällig ist auch der starke Fokus auf dem Aspekt der Nachvoll­zieh­barkeit. Dieser wird an diversen Stellen sichtbar:

  • Detail­lierte Beschreibung des Geltungs­be­reichs (mit seinen Schnitt­stellen, Abhän­gig­keiten und durch Dritte betriebene Teile der kriti­schen Dienst­leistung) sowie
  • der Anlage (inklusive zugehö­riger Teile der kriti­schen Dienst­leistung und aller wesent­lichen Merkmale) als auch
  • Bereit­stellung eines verständ­lichen Netzstrukturplan.
  • Zudem muss eine Mängel­liste auch ohne weitere Dokumente verständlich sein.

Auch ohne IT-Sig 2.0 erfordert die neue Orien­tie­rungs­hilfe des BSI Beachtung. SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der erwei­terten Anforderungen.

IT-Sicherheitskongress 2019

IT-Sicher­heits­kon­gress 2019 – Arne Schönbohm begrüßt SRC

Der IT-Sicher­heits­kon­gress 2019 bot SRC wieder die Plattform für Dialoge mit Herstellern, Partnern und Vertretern von Behörden. Das Motto der Veran­staltung : „IT-Sicherheit als Voraus­setzung für eine erfolg­reiche Digita­li­sierung“. Die Themen so vielfältig, wie die Besucher: Künst­liche Intel­ligenz und ihre Anwen­dungs­ge­biete, Common Criteria-Zerti­fi­zie­rungen von Micro-Kernel Betriebs­sys­temen und beruf­liche Perspek­tiven für Natur­wis­sen­schaftler und Infor­ma­tiker bei SRC. Am Stand wurden nahezu alle SRC-Dienst­leis­tungen nachge­fragt, egal ob Penetra­ti­ons­tests, Beratung und Zerti­fi­zierung von Infor­ma­ti­ons­si­cher­heits­ma­na­ge­nem­t­sys­temen oder die Unter­stützung von Produk­t­her­stellern bei Evalu­ie­rungen nach Common Criteria.

Rege disku­tiert wurde Sandro Amendola Vortrag auf dem IT-Sicher­heits­kon­gress 2019. Der Titel: „Gesetz­lichen Sicher­heits­an­for­de­rungen bei Zahlver­fahren für die Kunden­au­then­ti­fi­zierung mittels mobiler Endgeräte“. Das hohe Tempo der Innovation auf der einen und die sich parallel entwi­ckelnden regula­to­ri­schen Anfor­de­rungen auf der anderen Seite bieten konti­nu­ier­lichen Stoff für Gespräche und Ausblicke auf zukünftige Trends.

Auch der Gastgeber des IT-Sicher­heits­kon­gress 2019, das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) (siehe Foto), machte an unserem Stand halt. Thilo Pannen ist für das Business Develo­pment bei SRC verant­wortlich. „Wir bei SRC freuen uns, dass wir das BSI seit vielen Jahren mit einer Bandbreite an Experten unter­stützen zu können“ sagte Thilo Pannen zur Begrüßung. Das ausführ­liche Gespräch mit dem BSI-Präsi­denten Arne Schönbohm berührte alle Punkte der umfang­reichen Koope­ration mit dem BSI. Sei es die Erstellung von Studien, die Unter­stützung bei den vielfäl­tigen BSI-Projekten oder die Arbeit von SRC als vom BSI anerkannte Prüfstelle. In seiner Funktion als Prüfstelle begut­achtet SRC nicht nur nach Common Criteria. Auch die Anfor­de­rungen zu den Techni­schen Domänen „Smart­cards and similar Devices“ und „Hardware Devices with Security Boxes“ werden von SRC erfüllt.
Eine derart umfang­reiche und komplexe Zusam­men­arbeit in einem so dynami­schen Umfeld erfordert die stetige Anpassung der Prozesse. „Wenn wir beim BSI zur weiteren guten Zusam­men­arbeit beitragen können, lassen Sie es mich wissen.“ sagte der BSI-Präsident zum Abschluss seines Besuchs auf dem Stand von SRC.

Portfolio Einträge