Das IT-Sicherheitsgesetz 2.0 kommt – welche Konsequenzen hat dies für Ihre IT Security Strategie?

von

Lesezeit: Minuten ( Wörter)

Die Überarbeitung des IT-Sicherheitsgesetzes – das steckt dahinter

Die Sicherheitslage im IT-Bereich wandelt sich so schnell wie in kaum einem anderen Sektor. Stetig gibt es neue Bedrohungen. Staaten müssen schnell auf diese Situationen reagieren können, wenn sie im Kampf gegen Cyberkriminelle, Terroristen und andere Bedrohungen die Oberhand behalten wollen. Dies gilt selbstverständlich auch für Unternehmen.  

Die Gewährleistung der Cyber- und Informationssicherheit ist ein Schlüsselthema für Staat, Wirtschaft und Gesellschaft. Bereits 2011 hat die Bundesregierung mit der Cyber-Sicherheitsstrategie für Deutschland einen gesetzlichen Grundstein für mehr Cybersicherheit gelegt. Am 17. Juli 2015 wurde das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz bzw. „IT-SiG 1.0“) verabschiedet. Am 19. November 2020 hat das Bundesministerium des Innern, für Bau und Heimat („BMI“) den nunmehr dritten Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-SiG 2.0“) veröffentlicht.

Um welche Maßnahmen zur Erhöhung der IT- und Informationssicherheit geht es?

Im Frühjahr 2019 präsentierte die Bundesregierung den ersten Entwurf für das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Ziel war es, einen allumfassenden Ansatz bei der IT-Sicherheit sowie verbindliche Mindeststandards einzuführen. Dies beinhaltete sowohl Änderungen, die den Verbraucherschutz betrafen, als auch den Fokus auf den Schutz der kritischen Infrastruktur. Zudem erfolgt eine Stärkung der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Den endgültigen Entwurf für die Gesetzesvorlage präsentierte Innenminister Horst Seehofer im Dezember 2020.

Die Hintergründe für die Novellierung liegen in der veränderten Sicherheitslage. Immer häufiger sind auch kritische Infrastrukturen sowie Unternehmen mit volkswirtschaftlicher Bedeutung das Ziel von Cyberangriffen. Die Motive der Cyberkriminellen sind unterschiedlicher Natur. Kriminelle mit finanziellen Interessen gehören ebenso dazu wie staatliche Akteure, die gezielt versuchen, Infrastrukturen in feindlich gesinnten Ländern zu stören. Auch die terroristische Bedrohung spielt eine zentrale Rolle. Terroristen nutzen vermehrt das Internet und IT-Systeme für die Ausübung ihrer Angriffe. Ein breiter Angriff auf die Energieversorgung eines Landes beispielsweise hat das Potenzial, deutlich weitreichendere Folgen zu haben als ein lokaler Anschlag - insbesondere, wenn es Schwachstellen in den IT-Sicherheitssystemen gibt, die sich im Visier der Angreifer befinden.  

Mit dem IT-Sicherheitsgesetz 2.0 verfolgt der Gesetzgeber nun einen ganzheitlicheren Ansatz, was im Sinne der IT-Sicherheit grundsätzlich zu begrüßen ist. Es geht um konkrete Maßnahmen zum Schutz der Bürger, zur Stärkung des Staates, zum Schutz der öffentlichen Informationstechnik und für eine informationstechnisch robuste Wirtschaft.

Mit dem IT-Sicherheitsgesetz 2.0 verfolgt der Gesetzgeber einen ganzheitlicheren Ansatz zum Schutz von IT- und Informationssicherheitssystemen.

Das ändert sich mit der Verabschiedung des IT-SIG 2.0 für Ihr Unternehmen

Die Gesetzesnovelle gliedert sich in mehrere Teilbereiche. Für Unternehmen und die Allgemeinheit sind in erster Linie die Punkte zur Stärkung der unternehmerischen Vorsorgepflichten sowie des Verbraucherschutzes von Relevanz. Das neue IT-Sicherheitsgesetz nimmt auch Einfluss auf den Verantwortungsbereich des Bundesamts für Sicherheit in der Informationstechnik (BSI). Demnach sollen die Befugnisse des BSI künftig massiv ausgeweitet werden. Die Behörde soll stärker die Rolle eines Verbraucherschützers wahrnehmen und beispielsweise ein IT-Sicherheitskennzeichen einführen, welches die IT-Sicherheit von Produkten sichtbar machen. Außerdem soll das BSI künftig stärker mit Sicherheitsbehörden wie dem Bundeskriminalamt oder dem Verfassungsschutz zusammenarbeiten. Speziell erhält das BSI z.B. die Befugnis, Bestandsdaten von Telekommunikationsanbietern zu verlangen.

Veränderungen soll es auch im Zusammenhang mit dem Schutz kritischer Infrastrukturen (KRITIS) geben. Das Gesetz sieht einen besonderen Schutz dieser Unternehmen vor. Die KRITIS-Verordnung (BSI-KritisV) definiert dabei exakt, welche Einrichtungen, Unternehmen und Organisationen zu den KRITIS gehören: Als kritische Infrastrukturen bezeichnet die Verordnung die Bereiche Energieversorgung, Telekommunikation, Transport und Verkehr, die Wasserversorgung, Ernährung, informationstechnische Einrichtungen sowie das gesamte Finanz- und Versicherungswesen. Außerdem sind Organisationen eingeschlossen, deren Ausfall die öffentliche Sicherheit oder die Versorgungssicherheit der Allgemeinheit beeinträchtigen.

Die Vorgaben des IT-Sicherheitsgesetzes 2.0: Stärkung der unternehmerischen Vorsorgepflichten

Meldepflichten

Für Unternehmen, Einrichtungen und Organisationen aus diesen Sektoren schreibt das Gesetz zukünftig bestimmte Standards sowie Verhaltensregeln für die IT-Sicherheit vor. Einerseits sieht das Gesetz Meldepflichten vor. Dieser Aspekt betrifft nicht nur die Unternehmen aus dem Bereich der kritischen Infrastruktur, sondern auch Betriebe von besonderem öffentlichen Interesse. Hierzu gehören unter anderem Rüstungsunternehmen oder Konzerne mit einer hohen Wertschöpfung, da diese eine volkswirtschaftliche Bedeutung haben. Die Meldepflicht an das BSI bezieht sich zunächst auf alle Störungen in der IT. Das Gesetz definiert meldepflichtige Ereignisse als erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit innerhalb der IT. Durchtrennt beispielsweise ein Bagger bei Bauarbeiten die Kommunikationskabel eines Energieversorgers, dann ist ebenso ein meldepflichtiges Ereignis wie Angriffe, bei denen Hacker Unternehmensdaten kompromittieren.

Angriffserkennung

Unternehmen aus dem Sektor der kritischen Infrastruktur sind unter dem neuen IT-Sicherheitsgesetz darüber hinaus dazu verpflichtet, Systeme zur Angriffserkennung zu implementieren. Diese funktionieren nach einem anderen Prinzip als herkömmliche Sicherheitstechniken. Kernpunkt ist ein aktiver Lösungsansatz, der nach verdächtigen Aktionen im eigenen Netzwerk sucht und Kompromittierungen aufdeckt. Passive Techniken, wie beispielsweise ein traditioneller Virenschutz, basieren hingegen auf bekannten Schadprogrammen, deren Muster die Software erkennt. Das IT-Sicherheitsgesetz 2.0 geht hier bewusst einen Schritt weiter und benennt Systeme für die aktive Suche nach unbekannten Angriffsmustern als Pflicht für die genannten Branchen.

Für Unternehmen bedeuten die Gesetzesänderungen, dass Anpassungen an der eigenen IT-Sicherheitsstrategie notwendig sind. Hier sind es vor allem zwei Punkte, die wichtig sind. Die bereits für Betreiber Kritischer Infrastrukturen geltenden Meldepflichten gelten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind, wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen. Zum anderen werden Betreiber Kritischer Infrastrukturen verpflichtet, Systeme zur Angriffserkennung einzusetzen. Über eine Änderung im Gesetz über die Elektrizitäts- und Gasversorgung gilt diese Pflicht auch für Betreiber von Energieversorgungsnetzen und Energieanlagen.

Tatsächlich sind beide Punkte miteinander verbunden. Die Meldepflicht betrifft vielfach Vorfälle aus dem Bereich der Cyberkriminalität. Damit ist es von zentraler Bedeutung, dass Unternehmen solche meldepflichtigen Ereignisse schnellstmöglich entdecken. Dies ist jedoch nur möglich, wenn entsprechende Systeme für die Erkennung von Angriffen vorhanden sind. Durch die Implementierung von Maßnahmen für die umgehende Angriffsidentifizierung kommen Unternehmen somit direkt beiden Verpflichtungen nach.

Monitoring und Erkennung von Anomalien in Anlage: Mit Active Cyber Defense die Anforderungen des neuen IT-Sicherheitsgesetzes umsetzen

Die Kernthemen sind in der BSI CS 134 beschrieben. Dazu gehören das Monitoring – die systemische Überwachung und Beobachtung der Kommunikation, die Anomalieerkennung in der Kommunikation mit entsprechender Archivierung, Protokollierung und Analyse sowie die Angriffserkennung (Intrusion Detection) mit Alarmierung im Bedarfsfall.

Zu den Services, mit deren Einsatz Unternehmen den im IT-Sicherheitsgesetz 2.0 geforderten Vorsorgepflichten gerecht werden, gehört auch der Active Cyber Defense (ACD) Service, ein 24/7 Threat Hunting- und Incident Response Service.

Der ACD Service überwacht komplette Netzwerke und sucht aktiv nach unbefugten Eindringlingen und verdächtigen Aktivitäten. Es identifiziert beispielsweise Anomalien wie die Kommunikation von Angreifern mit einem Command & Control Server. Solche Attacken bleiben ohne entsprechende Detektierungsmaßnahmen lange Zeit unentdeckt. Im Schnitt dauert es sechs Monate, bis Unternehmen Angriffe dieser Art auf ihre Netzwerke identifizieren. Bei einer solchen Verzögerung ist in der Konsequenz keine unmittelbare Meldung der IT-Störung bei dem Bundesamt für Sicherheit in der Informationstechnik sichergestellt - das neue Gesetz schreibt jedoch Mechanismen für die Erkennung von Angriffen grundsätzlich vor.

Mit dem ACD Service schließen Unternehmen diesen kritischen Bereich in der IT-Sicherheit. Zum Standard eines IT-Sicherheitskonzepts gehören Firewalls, Proxy-Filter und Antiviren-Software - alles klassische und vor allem passive Sicherheitswerkzeuge in der IT. Sie gehören nach wie vor zu einem umfassenden Sicherheitskonzept dazu. Gleichzeitig stoßen diese Techniken in bestimmten Situationen an ihre Grenzen. Sobald Angreifer einen Weg vorbei an der Firewall und den anderen Sicherheitstechniken finden, steht ihnen das Netzwerk offen. Meist nutzen die Angreifer die zur Verfügung stehende Zeit, um mehr Zugriffsrechte zu erhalten. Auf der Suche nach Informationen dringen die Angreifer unbehelligt tiefer in das Netzwerk vor und übernehmen beispielsweise Konten von Administratoren. Ein Angriffserkennungssystem wie der ACD Service schließt exakt diese Lücke. ACD ist darauf konzipiert, solche Aktionen von unbefugten Außenstehenden zu entdecken. Gerade die Kommunikation mit Command & Control Servern von Cyberkriminellen, die Angreifer für die Koordination von Attacken nutzen, ist im Fokus des ACD Services.

Gleichzeitig schaffen Unternehmen mit der Implementierung des ACD Service die entsprechenden Voraussetzungen, um weitere Bedrohungen für ihre Sicherheit aufzudecken, die im Zusammenhang mit dem novellierten IT-Sicherheitsgesetz ebenfalls von Relevanz sind.

Dies betrifft zum Beispiel das Aufdecken von riskantem Benutzerverhalten der eigenen Mitarbeiter. Durch konkrete Hinweise auf solche Vorkommnisse ist eine umgehende interne Korrektur möglich, bevor Schäden entstehen. Auch Fremdgeräte in der Netzwerkumgebung identifiziert ACD. Diese stellen häufig eine Sicherheitsbedrohung dar. Möglicherweise handelt es sich um private Geräte von Mitarbeitern oder aber um gezielt platzierte Systeme zur Spionage und für die Erreichung ähnlicher krimineller Zwecke. Selbst private Geräte wie ein Smartphone, das ein Mitarbeiter mit dem Unternehmensnetzwerk verbindet, stellt ein potenzielles Sicherheitsrisiko dar, auch wenn keine böse Absicht dahintersteckt. Dieser Punkt fällt ebenfalls unter die vom Gesetz definierte Erkennung von Angriffen. Weiterhin stellen Verletzungen von Richtlinien und Systemen, deren Software nicht auf einem aktuellen Stand ist, eine potenzielle Bedrohung für die IT-Sicherheit dar – oder auch die unerwünschte oder versteckte Übertragung von Daten. Auch diese Aktivitäten werden mit der Implementierung des ACD Service von secion aufgedeckt.

Im Falle einer verdächtigen Aktion, die Handlungsbedarf erfordert, informiert das Active Cyber Defense Team unverzüglich den Kunden. Dies erlaubt eine direkte Reaktion auf die Situation, im Falle einer durch Cyberkriminalität verursachten IT-Störung ist eine direkte Meldung an das BSI möglich. Somit erfüllen Unternehmen mit dem ACD Service von secion die gesetzliche Vorgabe, ein System für die Erkennung von Angriffen zu implementieren.


Schon das passende System zur Angriffserkennung in Ihrem Unternehmen gefunden?

Kontaktieren Sie uns - unsere IT Security Experten unterstützen Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück