IBsolution Blog

IT-Sicherheitsgesetz 2.0: Zusätzliche Pflichten für KRITIS-Unternehmen

Geschrieben von Simon Toepper | 30. November 2022

Der Countdown läuft: Bis 1. Mai 2023 müssen die Betreiber kritischer Infrastrukturen (KRITIS) erweiterte Sicherheitsmaßnahmen für ihre IT umgesetzt haben. So schreibt es das IT-Sicherheitsgesetz 2.0 vor, das im Mai 2021 in Kraft getreten ist und die Bestimmungen des ursprünglichen IT-Sicherheitsgesetzes (IT-SiG) von 2015 deutlich ausbaut. Das Ziel ist es, die IT-Sicherheit von kritischen Infrastrukturen angesichts von rasant zunehmenden Cyber-Angriffen und der immer weiter voranschreitenden Digitalisierung zu erhöhen.

 

 

Erfüllen Sie bereits die Bestimmungen des IT-Sicherheitsgesetzes 2.0?

 

 

Welche Pflichten definiert das IT-Sicherheitsgesetz 2.0?

Aus der elementaren Rolle, welche die kritischen Infrastrukturen für das Gemeinwesen in Deutschland spielen, ergeben sich besondere Anforderungen an die IT-Sicherheit ab, die sie erfüllen müssen. Daher sind kritische Infrastrukturen verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche Störungen ihrer IT zu melden, sofern sie negative Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben können.

 

Das IT-Sicherheitsgesetz 2.0 schreibt vor, dass die Betreiber kritischer Infrastrukturen ihre IT-Systeme auf den neuesten Stand der Technik bringen müssen, um Störungen der Systeme zu verhindern. Der neueste Stand der Technik wird vom BSI definiert. Nachweisen lässt er sich über Sicherheitsaudits, Prüfungen und Zertifizierungen wie ISO27001. Die Betreiber kritischer Infrastrukturen müssen sich beim BSI registrieren und eine Kontaktstelle benennen, welche die Kommunikation zwischen Betreiber und BSI koordiniert.

 

Darüber hinaus müssen kritische Infrastrukturen Systeme zur Erkennung von Cyber-Angriffen einführen, die auf Algorithmen basieren und anhand der Log-Daten Attacken auf Computer, Server oder Netzwerke identifizieren – idealerweise in Echtzeit. Intrusion Detection Systems (IDS) und SIEM-Tools (SIEM = Security Information Event Management) stellen passende Lösungen dar, um die gesetzlichen Anforderungen in Bezug auf die Angriffserkennung zu erfüllen.

 

Weiterhin schreibt das IT-Sicherheitsgesetz 2.0 vor, dass die Arbeitsfähigkeit des Unternehmens nach einem Angriff auf seine IT-Systeme möglichst schnell und effektiv wiederhergestellt werden muss. Um dies zu gewährleisten, müssen Betreiber sogenannte Desaster-Recovery-Szenarien entwerfen. Diese beinhalten Reaktionspläne und Präventionsmaßnamen, die im Falle einer massiven Versorgungsstörung Anwendung finden. Mithilfe von vordefinierten Wiederherstellungsprozessen ist die kritische Infrastruktur in der Lage, ihrem gesellschaftlichen Nutzen nach einem Ausfall schnellstmöglich wieder nachzukommen.

 

Was bedeutet das IT-SiG 2.0 für SAP-Systeme?

SAP-Systeme sind sehr häufig Teil von kritischen Infrastrukturen und müssen entsprechend geschützt werden. Die SIEM-Lösung der Wahl für SAP-Landschaften ist SAP Enterprise Threat Detection (ETD). Damit gewinnen Unternehmen Echtzeit-Einblicke in kritische Handlungen und auffällige Vorgänge innerhalb ihrer SAP-Systemlandschaft. So sind sie in der Lage, Cyber-Angriffe auf SAP-Anwendungen frühzeitig zu erkennen, zu analysieren und zu neutralisieren, bevor ernsthafter Schaden entsteht.

 

Darüber hinaus sind die Betreiber kritischer Infrastrukturen gefordert, präventive Maßnahmen zu ergreifen, die einen Angriff auf die SAP-Systeme so schwer wie möglich machen. Dazu zählen beispielsweise die automatisierte Verwaltung von Identitäten, ein maßgeschneidertes Berechtigungsmanagement sowie ein klares Rollenkonzept. Ebenso stehen die Themen Authentifizierung und Verschlüsselung auf der Agenda. Hier lässt sich etwa mit der Multi-Faktor-Authentifizierung (MFA) ein deutlich höheres Schutzniveau erreichen.

 

Wer sind die Betreiber kritischer Infrastrukturen?

Als kritische Infrastrukturen werden in Deutschland Organisationen oder Einrichtungen definiert, die eine wichtige Bedeutung für das staatliche Gemeinwesen haben und deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen für Wirtschaft, Gesellschaft und Staat nach sich ziehen würde. Daher spielen die Verfügbarkeit und die Sicherheit der IT-Systeme im Bereich der kritischen Infrastruktur eine entscheidende Rolle.

 

Laut IT-Sicherheitsgesetz 2.0 gelten Unternehmen aus den folgenden Sektoren als nachhaltig schützenswert:

  • Ernährung
  • Staat und Verwaltung
  • Energie
  • Gesundheit
  • IT und Telekommunikation
  • Transport und Verkehr
  • Medien und Kultur
  • Wasser
  • Finanzen und Versicherungen
  • Abfallwirtschaft (im IT-SiG 2.0 neu hinzugekommen)

 

Was passiert bei einer Verletzung der IT-Sicherheitspflichten?

Bei Verstößen gegen das IT-Sicherheitsgesetz 2.0 drohen Unternehmen empfindliche Sanktionen in Form von Bußgeldern. Im Vergleich zum IT-SiG wurden die Bußgeldvorschriften komplett überarbeitet und die zu zahlenden Summen deutlich erhöht. In Abhängigkeit vom genauen Tatbestand gibt es vier unterschiedliche Stufen, die sich zwischen 100.000 Euro (bei Nicht-Erreichbarkeit der Kontaktstelle) und 2 Millionen Euro (bei Zuwiderhandlung gegen eine Anordnung des BSI auf Abstellung eines Sicherheitsmangels) bewegen. Unter bestimmten Voraussetzungen können die Strafzahlungen sogar auf bis 20 Millionen Euro bzw. 4 % des weltweiten Unternehmensumsatzes steigen.

 

Wen das IT-Sicherheitsgesetz 2.0 sonst noch betrifft

Neben den Betreibern kritischer Infrastrukturen führt das IT-Sicherheitsgesetz 2.0 auch die Kategorie „Unternehmen im besonderen öffentlichen Interesse“ ein. Sie umfasst Unternehmen aus bestimmten Branchen bzw. von bestimmter Größe, die zwar nicht zur kritischen Infrastruktur zählen, aber dennoch eine spezielle Relevanz haben: Unternehmen der Rüstungsindustrie, Unternehmen mit besonderer volkswirtschaftlicher Bedeutung und Unternehmen, die der Störfall-Verordnung (StöV) unterliegen. Sie müssen gegenüber dem BSI alle zwei Jahre nachweisen, dass sich ihre IT-Sicherheit auf dem neuesten Stand der Technik befindet.

 

Andere Unternehmen und Organisationen, die weder zu den kritischen Infrastrukturen zählen noch „Unternehmen im besonderen öffentlichen Interesse“ sind, können die im IT-Sicherheitsgesetz 2.0 definierten Standards auf freiwilliger Basis nutzen und umsetzen.

 

Fazit: Mehr Pflichten für besseren Schutz

Mit der Verschärfung des IT-Sicherheitsgesetzes trägt der Gesetzgeber dafür Sorge, dass die IT-Systeme von kritischen Infrastrukturen zuverlässig funktionieren und die Versorgungssicherheit der Bevölkerung dauerhaft gewährleistet ist. KRITIS-Betreiber müssen zahlreiche neue und weitreichende Pflichten erfüllen. Den erweiterten Bestimmungen des IT-Sicherheitsgesetzes 2.0 vollumfänglich nachzukommen, erfordert nicht nur eine sorgfältige Planung, sondern angesichts der Deadline zum 1. Mai 2023 auch eine zeitnahe Umsetzung.