NTT DATA Business Solutions
Christoph Fischer | Mai 8, 2023 | 5 min.

IT-Sicherheitsgesetz 2.0: Sind Sie ganz sicher?

Das neue IT-Sicherheitsgesetz 2.0 erweitert die bisherige Regulierung von 2015 deutlich – mit mehr Pflichten für einen größeren Betreiberkreis und höheren Security-Anforderungen. Ihr Unternehmen muss jetzt abklären, ob es zur Kritischen Infrastruktur gehört und wie es seine Cyber-Security gegen Angriffe stärken kann. Fragen und Antworten dazu liefert unser aktueller Blogbeitrag.

Fragen und Antworten zum neuen IT-Sicherheitsgesetz

Fragen und Antworten zum neuen IT-Sicherheitsgesetz

Neben ihren zahlreichen Chancen schafft die Digitalisierung auch neue Risiken. Beispielsweise eröffnet sie neue Möglichkeiten für virtuelle Angriffe. Aktuell geht das BKA davon aus, dass bereits mehr als 80 Prozent der deutschen Unternehmen direkt oder indirekt von einem Cybervorfall betroffen waren, dies aber häufig nicht einmal bemerkt haben, weil moderne Überwachungswerkzeuge fehlten. Besonders attraktiv für Hacker sind die Betreiber kritischer Infrastrukturen (KRITIS), dazu zählen Unternehmen und Organisationen, die eine wichtige Bedeutung für das staatliche Gemeinwesen haben. Kommt es zu Störungen oder Ausfällen bei einem KRITIS-Betreiber, können Versorgungsengpässe entstehen und die öffentliche Sicherheit gefährdet werden.

Was bedeutet das neue IT-Sicherheitsgesetz 2.0 für Unternehmen?

Deshalb verpflichtet das 2021 verabschiedete IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) alle KRITIS-Betreiber, bis zum 1. Mai 2023 erweiterte Sicherheitsmaßnahmen für ihre IT umzusetzen. Die bisherige Regulierung von 2015 wird dabei deutlich erweitert – mit mehr Pflichten für einen größeren Betreiberkreis, höheren Security-Anforderungen und mehr Befugnissen für den Staat und Regulierungsbehörden. Für die Überwachung und Durchsetzung ist weiterhin das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig.

In Deutschland gehören jetzt zehn Sektoren zur kritischen Infrastruktur:

  • Staat und Verwaltung
  • Energie
  • Gesundheit
  • IT und TK
  • Transport und Verkehr
  • Wasser
  • Ernährung
  • Finanzen und Versicherungen
  • Medien und Kultur
  • Siedlungsabfallentsorgung (neu seit 2021)

Entscheidend ist nicht nur die Sektor-Zugehörigkeit, sondern auch, ob ein Unternehmen einen gewissen Schwellenwert überschreitet, etwa eine bestimmte Zahl der Transaktionen oder Passagiere, Gütermenge in Tonnen, Leistung in Megawatt etc.

Welche neuen Pflichten erwarten die Betreiber von kritischen Infrastrukturen?

Die neu geforderten erhöhten Anstrengungen für Cyber-Security zeigen sich unter anderem in diesen drei neuen Pflichten.

Systeme zur Angriffserkennung

Diese gehören nun explizit zu den technischen und organisatorischen Sicherheitsvorkehrungen in KRITIS-Anlagen. Die Betreiber müssen kontinuierlich Bedrohungen im laufenden Betrieb mittels Mustern erkennen und vermeiden. Der Einsatz ist spätestens ab dem 1. Mai 2023 verpflichtend und muss in KRITIS-Prüfungen explizit nachgewiesen werden. Die gesetzliche Definition spricht von technischen Werkzeugen und unterstützenden Prozessen — die 2022 publizierte Orientierungshilfe für Systeme zur Angriffserkennung legt die Anforderungen an Betreiber aus Sicht des BSI ab 2023 fest.

Meldepflichten bei Störungen

KRITIS-Betreiber müssen bei erheblichen Störungen dem BSI auf Nachfrage nun Informationen zur Verfügung stellen, die für die Störungsbewältigung notwendig sind, einschließlich personenbezogener Daten. Dazu kommt die neue Meldepflicht für den Einsatz kritischer Komponenten.

Unmittelbare Registrierung

Betreiber sind verpflichtet, sich nun unmittelbar nach Feststellung als KRITIS-Betreiber beim BSI zu registrieren und eine Kontaktstelle zu benennen. Das BSI darf Betreiber mit dem neuen IT-SiG 2.0 auch von sich aus als Kritische Infrastruktur registrieren, und bei bestimmten Sachverhalten Einblick bei Betreibern in Unterlagen verlangen, falls diese ihrer Registrierungspflicht nicht nachkommen.

Was können Unternehmen jetzt tun?

Im ersten Schritt muss jedes Unternehmen klären, ob es nach den neuen Kriterien zur KRITIS gehört, also einem der Sektoren und Schwellwerten entspricht. Dann gilt es, das Gesetz in der aktuellen Fassung in der Tiefe kennenzulernen und anzuwenden. Ein Beispiel dazu– eine Leitlinie im BSI-Katalog lautet: Die eingesetzte IT muss „Stand der Technik“ sein. Dieser vermeintlich einfache Begriff wird bereits vielfach in Gesetzen und Vorschriften genutzt und hat direkte Auswirkungen auf die Gestaltung der Security im eigenen Unternehmen. Es sind aber keine klar umgrenzten Handlungsempfehlungen oder eindeutigen Definitionen hinterlegt.

Praktikabel ist daher, eine einschlägige Zertifizierung nachzuweisen, etwa die ISO 27001. Dort sind Anforderungen spezifiziert für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Eine gängige Bezeichnung für ein solches System ist „Security Information and Event Management“ (SIEM). Ab Mai 2023 können Wirtschaftsprüfer in den Unternehmen die Einhaltung des neuen IT-SiG 2.0 überprüfen und werden dabei das SIEM unter die Lupe nehmen.

Warum ist das Sicherheitsmonitoring so im Fokus?

Die neuen Pflichten im IT-SiG 2.0 machen die Einrichtung eines Sicherheitsmonitorings zu einem entscheidenden Faktor. Denn um überhaupt auf einen Sicherheitsvorfall sinnvoll reagieren zu können, müssen Unternehmen diesen detektieren können, um dann einen Reaktionsprozess zu starten.

Welche Anforderungen sollte ein Sicherheitsmonitoring idealerweise erfüllen?

Wichtig ist, ein aktives Sicherheitsmonitoring zu implementieren, das autark und zyklisch den Ist-Zustand der Security-Level liefert und darstellt. Eine Sicherheitsmonitoring-Lösung sollte dabei außerhalb der überwachten IT-Infrastruktur implementiert sein, damit es nicht selbst durch einen Cyberangriff kompromittiert werden kann. Weitere wichtige Faktoren:

  • Die eingeführten Security-Werkzeuge müssen agil sein – also leicht erweiterbar, anpassbar und modular aufgebaut, damit die IT schnell auf veränderte Sicherheitsanforderungen reagieren kann.
  • Damit die neuen Security-Werkzeuge konsequent und fehlerarm genutzt werden, sind anpassbare und leicht verständliche Dashboards wichtig. Sie unterstützen die Mitarbeiter der IT-Abteilung bei der Alarmierung und einer folgenden Auswertung von Angriffsversuchen.
  • Für SAP-Systeme gibt es spezielle Security-Lösungen, die die forensische und automatisierte Auswertung der SAP Security Logs beherrschen. Bei der Entwicklung und Implementierung eines vollumfassenden SIEM-Systems müssen die ausgewerteten Logfiles harmonisiert werden. Das gilt auch für Microsoft-Systeme, die besonders häufig Ziel von Cyberangriffen sind.

Haben Sie Fragen zu Ihrem KRITIS-Status, zu geeigneten Monitoring-Werkzeugen oder einer zukunftsfähigen Security Roadmap? Wir beraten Sie gerne.

-von Christoph Fischer, Head of SAP Business- & Cybersecurity, NTT DATA Business Solutions AG –
E-Mail: [email protected]