Beiträge

IT –Sicherheitsgesetz 2.0 vom Kabinett verabschiedet

IT –Sicher­heits­gesetz 2.0 vom Kabinett verabschiedet

Am Schluss folgte Entwurf auf Entwurf – und dann ging es ganz schnell. Am vergan­genen Mittwoch, den 16. Dezember 2020, hat das Kabinett das IT-Sicher­heits­gesetz 2.0 verab­schiedet. Bundes­in­nen­mi­nister Horst Seehofer bezeichnet es als „Durch­bruch für Deutsch­lands Sicherheit“. Branchen­ver­bände sowie die UP KRITIS äußern scharfe Kritik über die Einbindung der dortigen Experten sowohl bei der inhalt­lichen Ausge­staltung als auch bei der sehr kurzen Kommen­tie­rungs­frist von nur wenigen Werktagen für Entwurf Nr. 3 und 4. Dies spiegelt nicht die Wichtigkeit der geplanten Geset­zes­an­pas­sungen wider.

Diskus­si­ons­start im November

Überra­schend wurde im November die Diskussion um das IT-Sicher­heits­gesetz mit einem dritten Referen­ten­entwurf neu entfacht. Nach langem Still­stand kam wieder Bewegung in die Diskussion um kritische Infra­struk­turen, deren Betreiber sowie der Rolle des BSI. Die Kommen­tie­rungen der Fachex­perten, die auf inhalt­liche Verbes­serung wesent­licher Punkte sowie die Klärung offener Fragen, z. B. das z. T. unver­hält­nis­mäßige Sankti­onsmaß, Übergangs­fristen, die Zerti­fi­zierung und Meldung des Einsatzes sog. Kriti­scher Kompo­nenten oder auch die Aufnahme neuer Sektoren wie z. B. die Abfallwirtschaft.

Mehr Befug­nisse für das BSI

Klar ist, dass die Befug­nisse des BSI stark erweitert werden. Dies lässt sich nicht nur in der Zahl neuge­schaf­fender Stellen ablesen, sondern auch im Bestreben, schnellst­möglich eine Cyber­ein­griffs­truppe zu schaffen.

Evalu­ierung des IT-Sig 1.0

Weiterhin steht die gesetzlich festge­legte Evalu­ierung des IT-SIG 1.0 gemäß Artikel 10 weiterhin aus. Auch laut § 9 KritisV muss die BSI-Kritis­ver­ordnung – und damit insbe­sondere auch die Schwell­werte, ab denen ein Betreiber als Kritische Infra­struktur betrachtet wird – alle zwei Jahre evaluiert werden.

Inhalt­liche Änderungen

Folgenden Punkte sind aus Sicht der SRC-Experten die wesent­lichen Änderungen im neuen IT-SIG:

  • Regelungen zum Einsatzes kriti­scher Komponenten
  • Konkre­ti­sierung der Kennzahlen und Schwell­werte für die größten Unter­nehmen in Deutschland, Einfügen einer Rechts­ver­ordnung zur Offen­legung von Schnitt­stellen und zur Einhaltung etablierter techni­scher Standards.
  • Bußgeld­vor­schriften und Santionierung
  • Änderung der Vorgaben zur Speicherung von Protokolldaten
  • Anglei­chung der Bestands­da­ten­aus­kunft an die Vorgaben der Entscheidung des BVerfG vom 27. Mai 2020 („Bestands­da­ten­aus­kunft II“)
  • Eingrenzung der Durch­führung von Detek­ti­ons­maß­nahmen für die Netz- und IT-Sicherheit („Hacker-Paragraf“)
  • Änderung von Fristen für die KRITIS-Regelungen in § 8a BSIG und eine Anpassung bzw. Einschränkung der Vorla­ge­pflicht von Betrei­ber­do­ku­menten, soweit die Regis­trie­rungs­pflicht nicht erfüllt wurde.
  • Regelungen zur IT-Sicherheit von Unter­nehmen in beson­derem öffent­lichen Interesse: Vom BSI bereit­ge­stellte Formulare zur Selbst­er­klärung sind nicht mehr verbindlich, mit der Vorlage der Selbst­er­klärung besteht eine Regis­trie­rungs­pflicht beim BSI.
  • Zeitliche Einschränkung der Betre­tens­be­fugnis des BSI zur Prüfung der Voraus­set­zungen der EU VO 2019/881 (EU Cyber­se­curity Act).

Daneben wurden über den gesamten Gesetz­entwurf verteilt, begriff­liche Anpas­sungen und Konkre­ti­sie­rungen vorge­nommen. Am 16.12.2020 hat das Bundes­ka­binett den Entwurf für das IT-SiG 2.0 beschlossen. Die Kabinetts­fassung steht zum Download zur Verfügung.

Weitere Regelung zur IT-Sicherheit

Der am 09.12.2020 ebenso vorge­legte Referen­ten­entwurf zum Telekom­mu­ni­ka­ti­ons­mo­der­ni­sie­rungs­gesetz (Gesetz zur Umsetzung der Richt­linie (EU) 2018/1972 des Europäi­schen Parla­ments und des Rates vom 11. Dezember 2018 über den europäi­schen Kodex für die elektro­nische Kommu­ni­kation (Neufassung) und zur Moder­ni­sierung des Telekom­mu­ni­ka­ti­ons­rechts) enthält ebenfalls Vorgaben zur IT-Sicherheit.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

NextGenPSD2-Zertifizierung

Neue BSI Orien­tie­rungs­hilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG

Seit über fünf Jahren ist das IT-Sicher­heits­gesetz (IT-Sig) im Zusam­men­spiel mit der KRITIS-Verordnung im Einsatz. Das Hauptziel ist die Regulierung der KRITIS-Betreiber nach BSI-Gesetz. Das des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik (BSI) begleitet Gesetz und Verordnung mit der sogenannten BSI Orien­tie­rungs­hilfe zu Nachweisen.

IT-Sig 2.0 – Kommt es oder kommt es nicht?

Um das Thema „IT-Sicher­heits­gesetz 2.0“ ist es leider in letzter Zeit sehr still geworden. Somit ist auch kurzfristig mit keiner Novel­lierung der KRITIS-Verordnung zu rechnen. Dem vorlie­genden Referen­ten­entwurf zum IT-Sig 2.0 sind aber die aktuellen Überle­gungen zu entnehmen. So ist bspw. die Aufnahme der Entsorgung zu den bishe­rigen Sektoren angedacht. Zudem ist eine Erwei­terung des Adres­sa­ten­kreises über die KRITIS-Betreiber hinaus auf Unter­nehmen im beson­deren öffent­lichen Interesse (u.a. aufgrund volks­wirt­schaft­licher Bedeutung) angedacht. Für diese stehen die Erstellung von Sicher­heits­kon­zepten, die Pflicht zur Meldung von Störungen, die Regis­trierung und Führung einer Melde­stelle sowie die Vertrau­ens­wür­digkeit der Beschäf­tigten im Raum. Besonders markant ist die geplante Verschärfung des Bußgeld­rahmens von bisher maximal EUR 100.000 auf max. EUR 20.000.000 (bzw. 4% des gesamten weltweit erzielten jährlichen Unter­neh­mens­um­satzes des voran­ge­gan­genen Geschäftsjahrs).

Neue Orien­tie­rungs­hilfe zu Nachweisen

Während das IT-Sig 2.0 noch auf sich warten lässt, hat in der zweiten August­hälfte das BSI seine neue „Orien­tie­rungs­hilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG“ veröf­fent­licht. Die Versi­ons­nummer 1.1 lässt es bereits vermuten: zu den Änderungen gehören viele Konkre­ti­sie­rungen und Klarstel­lungen der Sachver­halte und Anfor­de­rungen. Darüber hinaus gibt es weitere signi­fi­kante Änderungen. So vereint das neue Formular P die Infor­ma­tionen der bisher verwen­deten Formulare PD (Prüfdurch­führung), PE (Prüfergeb­nisse) und PS (prüfende Stelle). Neben der schrift­lichen Einrei­chung ist jetzt auch eine digitale/maschinenlesbare Kopie erfor­derlich. Die Liste der Sicher­heits­mängel und der Umset­zungsplan sind ab sofort in einem Dokument zusam­men­ge­fasst, während vorhandene Prüfergeb­nisse (maximal zwölf Monate alt) explizit auf Aktua­lität und Bestand geprüft werden müssen. Eine deutliche Neuerung ist die begründete Bewertung der Reife­grade der Manage­ment­systeme für Infor­ma­ti­ons­si­cherheit (ISMS) und Business Conti­nuity (BCMS). Sehr auffällig ist auch der starke Fokus auf dem Aspekt der Nachvoll­zieh­barkeit. Dieser wird an diversen Stellen sichtbar:

  • Detail­lierte Beschreibung des Geltungs­be­reichs (mit seinen Schnitt­stellen, Abhän­gig­keiten und durch Dritte betriebene Teile der kriti­schen Dienst­leistung) sowie
  • der Anlage (inklusive zugehö­riger Teile der kriti­schen Dienst­leistung und aller wesent­lichen Merkmale) als auch
  • Bereit­stellung eines verständ­lichen Netzstrukturplan.
  • Zudem muss eine Mängel­liste auch ohne weitere Dokumente verständlich sein.

Auch ohne IT-Sig 2.0 erfordert die neue Orien­tie­rungs­hilfe des BSI Beachtung. SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der erwei­terten Anforderungen.

KRITIS 2018

Kriti­scher Tag 2018 | Wissen und Erfah­rungen im angeregten Austausch

Der Kritische Tag

Am 25. April 2018 fand der erste Kritische Tag im Konfe­renz­zentrum von SRC statt. Damit feierte eine Veran­stal­tungs­reihe ihre Premiere, die eine hochka­rätige Plattform für den Austausch bietet. Diese richtet sich in erster Linie an Vertreter von Unter­nehmen, die eine kritische Infra­struktur (KRITIS) betreiben. Der Kritische Tag dient vor allem dem Aufbau persön­licher Kontakte, sowie dem Austausch von Erfah­rungen und Best-Practices zur IT- und physi­schen Sicherheit kriti­scher Infrastrukturen.

Der Tages­ablauf

Schon nach Ankunft der ersten Teilnehmer begann ein reger Austausch zu den Themen. Zum Start des Kriti­schen Tages dokumen­tierte der ausge­buchte Saal den Infor­ma­ti­ons­bedarf der Teilnehmer.

Hochka­rätige Sprecher gaben einen Überblick über das Thema KRITIS. Isabel Münch, Fachbe­reichs­lei­terin CK3 und Vertre­terin des Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), erläu­terte Vorgehen und Abläufe in der Aufsichts­be­hörde. Randolf Skerka, Bereichs­leiter bei SRC und Verant­wort­licher für das Thema Prüfung nach §8a (3) BSIG, schil­derte die ersten Erfah­rungen aus Perspektive der prüfenden Stelle. Das Klinikum Lünen hat den Nachweis der Prüfung nach §8a (3) BSIG als Erstes erbracht. Ralf Plomann, IT-Leiter des Klinikums Lünen, gab eindrucks­volle Einblicke über die Entwicklung der Kranken­haus­or­ga­ni­sation zur Vorbe­reitung auf die Prüfung. Für die fachliche Abrundung des Vormittags sorgte Prof. Dr. med. Andreas Becker, der verdeut­lichte, dass fundierte Branchen­kom­petenz ein wesent­licher und unver­zicht­barer Grund­stein einer sinnvolle Prüfung ist.

Die Exper­ten­vor­träge vermit­telten den Teilnehmern eine 360°-Sicht auf die weitest­gehend und aus gutem Grund unscharf formu­lierten Anfor­de­rungen der BSI-Prüfungen.

Zum Abschluss des Vormittags schil­derte der bildende Künstler Frank Rogge seine Sicht auf die Fragen der Kriti­ka­lität im Bereich künst­le­ri­schen Schaffens.

Der Nachmittag wurde vollum­fänglich den Inter­es­sens­schwer­punkten der Teilnehmer gewidmet. Unter der Moderation von Jochen Schumacher, Mitor­ga­ni­sator bei SRC, wurde der Ablauf des Nachmit­tages gestaltet.

Die Teilnehmer organi­sierten eigen­ständig die vielfäl­tigen Inhalte für neun Sessions.

Die wichtigsten Ergeb­nisse des Nachmittags

Aus der Session „Zerti­fi­zie­rungs­fin­dings an das BSI übersenden“ wurde deutlich, dass das BSI zum Beispiel keine „klassi­schen“ und bis ins letzte technische Detail ausfor­mu­lierten Findings bzw. Abwei­chungen erwartet. Sinnvoll ist ein grob beschrie­bener Rahmen der Abwei­chungen und die Beschreibung eines Handlungs­weges im Prüfbe­richt. Dennoch muss für jedes Risiko innerhalb einer kriti­schen Infra­struktur eine entspre­chende Maßnahme vorhanden sein. Das hat für das BSI enorme Bedeutung.

Das BSI wünscht sich die enge Koope­ration mit den verschie­denen Kritis-Unter­nehmen. Das Ziel ist, die Sicherheit der IT in Deutschland zu stärken.

In der Session „Awareness für IT-Sicherheit im Unter­nehmen“ stellte Ralf Plomann die Methode und Maßnah­men­um­setzung im Klinikum Lünen vor. Wichtig sei hier der indivi­duelle Ansatz. Jeder Einzelne im Unter­nehmen sei für die IT-Sicherheit verant­wortlich. In der persön­lichen Ansprache müsse jeder Mitar­beiter dort abgeholt werden, wo er gerade stehe. Das gilt nach Plomann besonders, weil fast niemand mehr Richt­linien lesen würde. Deshalb seien kreativere Ansätze zu wählen. Ralf Plomanns Wunsch für die Zukunft: „Awareness für IT-Sicherheit sollte bereits in der Schule ab Sekun­dar­stufe II beginnen.“ Im Verlauf der weiteren Session kristal­li­sierte sich ein klarer Trend zu eLearning-Platt­formen für die Verbes­serung der Awareness heraus.

In einer weiteren Session widmeten sich die Teilnehmer der sicheren und einfachen Eingrenzung des Scopes. In der Diskussion wurde vor allem das Pyramiden-Modell favori­siert. Die als kritisch einge­stufte Dienst­leistung ist der beste Start­punkt zur Definition des Scope. Geht es beispiels­weise um die kritische Infra­struktur Klärwerk, muss zur Definition des Scope heraus­ge­funden und festge­halten werden, welche Systeme das Wasser klären, welche Auswir­kungen ein Ausfall hätte und wie dieser Ausfall durch andere Methoden kompen­siert und somit die kritische Dienst­leistung aufrecht erhalten werden kann.

Mit dieser Methode bewegt man sich syste­ma­tisch zum äußeren Perimeter. Gelangt man zu nicht mehr kriti­schen Systemen, ist die Grenze des Scopes erreicht.

Fazit des ersten „Kriti­schen Tag“ aus Sicht von SRC

Ausdruck der faszi­nie­renden Atmosphäre war die Weiter­führung der bilate­ralen Kommu­ni­kation der Teilnehmer zwischen den einzelnen Sessions. Die Rückmel­dungen belegten, dass die Teilnehmer viele neue Kontakte knüpfen und Erkennt­nisse aus anderen KRITIS-Projekten gewinnen konnten.

Die insgesamt positive Resonanz der Teilnehmer zeigt uns als SRC, dass der Kritische Tag ein sinnvoller Hub für den Austausch von Infor­ma­tionen zu KRITIS-Projekten zwischen den beteilgten Akteuren ist. Unser Dank gilt allen Teilnehmern, die mit Ihrer Offenheit und ihrem Engagement funda­mental zum Gelingen des kriti­schen Tages beitrugen.

Den Kriti­schen Tag betrachten wir als gelun­genes Experiment. Das motiviert uns, in die Vorbe­rei­tungen für eine Neuauflage einzusteigen.

Kritische Tag

Kriti­scher Tag 2018 | am 25. April 2018 treffen sich die Betreiber kriti­scher Infra­struk­turen bei SRC

Kritische Infra­struk­turen und deren Bedeutung | Kriti­scher Tag 2018 ermög­licht Austausch 

Kritische Infra­struk­turen (KRITIS) sind Organi­sa­tionen und Einrich­tungen mit wichtiger Bedeutung für das staat­liche Gemein­wesen, bei deren Ausfall oder Beein­träch­tigung nachhaltig wirkende Versor­gungs­eng­pässe, erheb­liche Störungen der öffent­lichen Sicherheit oder andere drama­tische Folgen eintreten würden. Diese Kriti­schen Infra­struk­turen sind verschie­densten Gefahren ausge­setzt. Unter anderem gibt es auch vielfältige Szenarien, in denen die Sicherheit der infor­ma­ti­ons­tech­ni­schen Systeme in kriti­schen Infra­struk­turen in den Mittel­punkt rückt. Der Ansatz­punkt für die Konferenz „Kriti­scher Tag 2018“ mit beglei­tendem Barcamp.

Mitein­ander fachlich „Netzwerken“

Mit dem Ziel persön­liche Kontakte aufzu­bauen und fachlichen Austausch anzuregen, bietet der kritische Tag den Menschen einen regel­mä­ßigen Treff­punkt, die für den Schutz kriti­scher Infra­struk­turen verant­wortlich sind. Die Zielgruppe des  kriti­schen Tages sind dabei jene Menschen, die in einem Unter­nehmen oder einer Einrichtung arbeiten, welches die Bevöl­kerung mit lebens­wich­tigen Gütern und Dienst­leis­tungen versorgt. Darüber hinaus spricht der kritische Tag Menschen an, die sich praktisch, beratend, regula­to­risch oder wissen­schaftlich mit dem Thema kritische Infra­struk­turen ausein­an­der­setzen. Der erste kritische Tag findet am 25. April 2018 im SRC Konfe­renz­zentrum mit beglei­tendem Barcamp statt. Tickets sind ab sofort erhältlich.

Der Anspruch des kriti­schen Tages

Der kritische Tag hat den Anspruch, Vertretern betrof­fener Unter­nehmen, des öffent­lichen Sektors und von Wissen­schaft und Forschung eine hochka­rätige Plattform zu bieten, um sich über Entwick­lungen und Best Practices zur IT- und physi­schen Sicherheit von kriti­schen Infra­struk­turen zu vernetzen und Erfah­rungen auszu­tau­schen. Dabei spielt auch eine Rolle, dass die Teilnehmer angehalten werden, den zweiten Teil des kriti­schen Tages als Barcamp zu gestalten. Ein Barcamp ist eine offene Tagung mit offenen Workshops, deren Inhalte von den Teilnehmern zu Beginn der Tagung selbst entwi­ckelt und im weiteren Verlauf gestaltet wird. Barcamps dienen demnach dem inhalt­lichen Austausch und der Diskussion.

 

Portfolio Einträge