Nahezu die gesamte deutsche Wirtschaft ist von Cyber-Attacken betroffen. Die Schäden erreichten zuletzt eine jährliche Summe von 220 Milliarden Euro. Nun ist es am 28. Mai 2021 in Kraft getreten: das IT-Sicherheitsgesetz 2.0. Doch was umfasst das Gesetz und was soll es erreichen?
Niclas Matz: Zum Beginn des Jahres startete die Bundesregierung den zweiten Entwurf des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, das sogenannte IT-Sicherheitsgesetz 2.0. Ziel dieser Gesetzesänderung ist die zunehmende Bedeutung der Informations- und Cyber-Sicherheit in Deutschland. Insbesondere soll hiermit der Schutz der Bundesverwaltung, Kritische Infrastrukturen (KRITIS) sowie Organisationen im besonderen öffentlichen Interesse geregelt werden. Die erste Fassung des IT-Sicherheitsgesetz wurde erweitert und angepasst, um die Angemessenheit von organisatorischen und technischen Vorkehrungen zu schärfen sowie Störungen im Informationsverbund und der darin betriebenen IT-gestützten Systeme, -Komponenten und/oder -Prozesse zu reduzieren. Die Betreiber kritischer Infrastrukturen werden im BSI-Gesetz (BSIG) definiert. Zu den aktuell geregelten kritischen Infrastrukturen gehören Einrichtungen, Systeme und Komponenten, die in den Sektoren Energie, Informations- und Telekommunikationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angesiedelt sind. Die im BSIG verdeutlichte Kritikalität in den soeben genannten Sektoren begründet sich aus den resultierenden Schäden auf das Gemeinwesen, der durch den Ausfall oder Beeinträchtigung hervorgerufen wird. Es sollen damit Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eingedämmt werden. Der Adressatenkreis des IT-Sicherheitsgesetzes 2.0 hat mindestens alle zwei Jahre die ordnungsgemäße Erfüllung der entsprechenden Anforderungen nachzuweisen. Sämtliche Störungen der Schutzziele (Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit) der im Informationsverbund betriebenen IT-Systeme, Anwendungen und -Prozesse sind unverzüglich bei der Vermutung sowie beim Eintreten unverzüglich an die Kontaktstelle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu melden. Das Unterlassen der verpflichtenden Umsetzung der Anforderungen sowie das ausbleibende Melden von Informationssicherheitsvorfällen ist bußgeldbewehrt.
Bereits am 17. Juli 2015 sollte das IT-Sicherheitsgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme beitragen. Was hat sich nun mit dem IT-Sicherheitsgesetz 2.0 konkret im Vergleich zum ersten Gesetz geändert?
Niclas Matz: In erster Linie wurde der Umfang an Pflichten für die als KRITIS festgestellten Betreiber signifikant ausgebaut. So wurden diese beispielsweise um die umfassenderen Meldepflichten bei erheblichen Störungen, Inventarisierung von kritischen Komponenten und Registrierungspflicht beim BSI erweitert. Des Weiteren wurde mit dem IT-SIG 2.0 der Adressatenkreis erweitert, indem die Schwellenwerte zur Identifizierung einer KRITIS-Relevanz niedriger angesetzt worden sind und zeitgleich mit der “Siedlungsabfallentsorgung” und “Unternehmen im besonderen öffentlichen Interesse” neue KRITIS-Sektoren aufgenommen worden sind. Für den Bund impliziert das IT-SIG 2.0 insbesondere erweiterte Befugnisse, sodass bspw. für das BSI neue Aufgabenbereiche und zugleich intensivere Untersuchungsmöglichkeiten hinzukommen. Letztendlich müssen KRITIS-Betreiber mit dem IT-SIG 2.0 im Falle von Ordnungswidrigkeiten auch mit höheren Sanktionen und Bußgeldern rechnen.
Vor allem für das BSI hält das Gesetz viele Änderungen bereit. Wie genau profitiert das Bundesamt für Sicherheit in der Informationstechnik von der Erlassung?
Niclas Matz: Wie bereits angesprochen impliziert das IT-SIG 2.0 erweiterte Befugnisse und neue Aufgabenbereiche für das BSI. Konkret heißt dies, dass im Rahmen von Untersuchungen nun auch IT-Systeme genauer geprüft werden und Auskünfte von den zugehörigen Herstellern verlangt werden können. Weiterhin werden die Möglichkeiten der forensischen Prüfungshandlungen erweitert, indem Cyber Curriculum © 11/2021 z.B. nun auch Scans an den Schnittstellen (APIs) der IT-Systeme von KRITIS-Betreibern und des Bundes durchgeführt werden können. Weiterhin ermöglicht das IT-SIG 2.0 dem BSI die Erlassung bzw. Anordnung von konkreten Maßnahmen für Anbieter von Telekommunikations-Netzen, wenn dies im Kontext der Beseitigung von Störungen notwendig ist.
Für KRITIS-Betreiber bedeutet das IT-SiG. 2.0 neue Pflichten. Was müssen KRITIS-Unternehmen dank neuem Gesetz in Zukunft tun? Welchen Anforderungen müssen diese jetzt gerecht werden?
Niclas Matz: KRITIS-Betreiber müssen im Zuge des IT-SIG 2.0 spätestens ab Mai 2023 spezifisch aus Angriffserkennung ausgerichtete Systeme, wie beispielsweise im Kontext eines Security Incident and Event Management Systems (SIEM), betreiben, um kontinuierliche Gefährdungen für die KRITIS-Komponenten zu identifizieren und rechtzeitig gegensteuern zu können. Weiterhin müssen von Herstellern eingesetzte kritische Komponenten KRITIS-Betreibers Mindestanforderungen erfüllen, die mit einer entsprechenden Garantieerklärung oder Zertifizierung versehen ist. Darüber hinaus unterliegen die KRITIS-Betreiber, wie bereits angesprochen, verschärften Meldepflichten, die u.a. Informationen rund um die Behebung des Sicherheitsvorfalls bzw. der Störung umfassen, als auch ggf. betroffene personenbezogene Daten.
Denken Sie, dass dank IT-Sicherheitsgesetz 2.0 Cyberangriffe in Zukunft reduziert werden?
Niclas Matz: Cyberangriffe perse werden – analog zu den vergangenen Jahren – auch in der Zukunft zunehmen. Demgegenüber unterstützten regulatorische und gesetzliche Anforderungen zur Umsetzung von informationssicherheitsrelevanten Maßnahmen die angemessene Reaktion auf entsprechende Cyber Attacken. Demnach wird das Problem nicht im Kern behoben, jedoch die Resilienz der Angriffsziele (der KRITIS-Betreiber) erheblich gefestigt.
Der Gesetzesentwurf erntete Kritik von vielen Seiten. Besonders der Datenschutz und die Vorratsdatenspeicherung wurde hier immer wieder erwähnt. Denken Sie die Kritik am Entwurf ist gerechtfertigt?
Niclas Matz: In Kritik am IT-SIG 2.0 scheint auf den ersten Blick nicht unberechtigt zu sein. Insbesondere die prägnante Rolle des BSI, bei zeitgleicher Unterordnung durch das Bundesministerium des Inneren, verweisen viele Kritiker auf die Integritäts-Problematik. Insbesondere die Möglichkeiten der Langzeitdatenspeicherung von Protokolldaten des KRITIS-Betreibers von bis zu 18 Monaten sowie der darin u.U. enthaltenen personenbezogenen Daten (bspw. im Falle der Kommunikation zwischen Behörde und Bürger). Darüber hinaus steht dem BSI aufgrund ihres Hoheitsrecht frei, künftig derartige Informationen anzufordern.
