IT-Sicherheitsgesetz 2.0: Was ändert sich für KRITIS-Einrichtungen?

Mit dem 2021 erlassenen IT-Sicherheitsgesetz 2.0 hat die deutsche Bundesregierung strengere Anforderungen für kritische Infrastrukturen definiert. Doch was genau steckt in dem Gesetz? Wir erklären, welche Änderungen das IT-Sicherheitsgesetz 2.0 für KRITIS-Einrichtungen, Unternehmen im besonderen öffentlichen Interesse (UBI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit sich bringt.

IT-Sicherheitsgesetz 2.0 – Alle Details

Während digitale Systeme sich rasant weiterentwickeln, ist Gesetzgebung eher für ihr träges Tempo bekannt. Um mit der stetig wachsenden Bedrohung durch Hacker und Cyberattacken mitzuhalten, hat die deutsche Bundesregierung das 2015 erlassene IT-Sicherheitsgesetz 2021 durch eine neue Version angepasst. Das IT-Sicherheitsgesetz 2.0 erweitert unter anderem die Kompetenzen des BSI, den Geltungsbereich der KRITIS-Verordnung und die Pflichten für KRITIS-Betreiber.

Achtung: Aufgrund neuer Vorgaben durch die NIS2-Verordnung der EU ist das Sicherheitsgesetz 2.0 nicht mehr aktuell. Näheres zum neuesten Stand der KRITIS-Gesetzgebung finden Sie unter: NIS2 Anforderungen für Unternehmen

Was genau ist das IT-Sicherheitsgesetz 2.0?

Bei dem zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) handelt es sich um ein Artikelgesetz, was bedeutet, dass darin Änderungen an verschiedenen anderen Gesetzen zusammengefasst sind.

Der Großteil dieser Anpassungen betrifft das BSI-Gesetz (BSIG), das die Kompetenzen und Aufgaben des Bundesministeriums für Sicherheit in der Informationstechnik definiert. Weitere Änderungen betreffen unter anderem das Energiewirtschaftsgesetz, Telemedien- und Telekommunikationsgesetz und Bundeskriminalgesetz.

Was sind kritische Infrastrukturen?

Durch das erste IT-Sicherheitsgesetz sowie die nachfolgende KRITIS-Verordnung wurden Sektoren von Wirtschaft und Verwaltung definiert, die nach Ansicht der Bundesregierung besonders starken Schutz vor Ransomware und Cyberangriffen brauchen.

Laut Definition des BSI sind kritische Infrastrukturen “Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen”. Ein Ausfall oder eine Störung in einer solchen Einrichtung würde gravierende Folgen bedeuten. Im Rahmen des IT-Sicherheitsgesetzes zählen insgesamt acht Sektoren zu den kritischen Infrastrukturen:

  • Wasser
  • Energie
  • Ernährung
  • Gesundheit
  • Transport und Verkehr
  • Finanz- und Versicherungswesen
  • Internet und Telekommunikation
  • Siedlungsabfallentsorgung (neu durch IT-SiG 2.0)

Welche Pflichten gelten für KRITIS-Betreiber?

Die bisher gültigen Pflichten für KRITIS-Betreiber umfassen Kontakt mit dem BSI, das Melden von IT-Störungen und -Beeinträchtigungen, sowie die Umsetzung von IT-Sicherheit nach aktuellem Stand der Technik. Ein Nachweis im Abstand von zwei Jahren dient dabei als Bestätigung. Dieser Nachweis kann zum Beispiel durch die Zertifizierung einer international anerkannten Norm wie ISO 27001 erfolgen. Allerdings ist dabei auf mögliche zusätzliche Pflichten, die durch das Sicherheitsgesetz entstehen, zu achten.

Ebenso besteht für Branchenverbände die Möglichkeit, eigene Sicherheitsstandards zu definieren und diese beim BSI zur Zertifizierung einzureichen. Bei Erfolg sind diese branchenspezifischen Sicherheitsstandards (B3S) für zwei Jahre gültig und müssen anschließend erneut zertifiziert werden. Unser Beitrag zum Thema liefert etwa detaillierte Informationen zur Umsetzung des B3S-Standards für Krankenhäuser.

Durch das IT-Sicherheitsgesetz 2.0 ergeben sich nun neue Pflichten für betroffene Einrichtungen. Zum einen wird der Einsatz von Systemen zur Angriffserkennung (Security Incident & Event Management bzw. SIEM) zur Vorschrift. Zum anderen müssen KRITIS-Betriebe künftig sogenannte kritische Komponenten beim BSI registrieren. Das Innenministerium kann somit den Einsatz bestimmter Software- und Hardware-Produkte wegen Sicherheitsbedenken untersagen.

Whitepaper

Identity und Access Management in der KRITIS-Verordnung

Finden Sie heraus, wie tenfold Ihnen die Umsetzung der KRITIS-Anforderungen erleichtern kann.

Wann ist das IT-Sicherheitsgesetz 2.0 in Kraft getreten?

Die deutsche Bundesregierung hat im Dezember 2020 einen ersten Entwurf für eine Anpassung des IT-Sicherheitsgesetzes vorgelegt. Das neue Sicherheitsgesetz wurde vom Bundestag am 23. April 2021 beschlossen und vom Bundesrat am 7. Mai 2021 gebilligt. Das IT-Sicherheitsgesetz 2.0 ist am 28. Mai 2021 offiziell in Kraft getreten, nachdem es am Tag zuvor im Bundesgesetzblatt veröffentlicht worden ist (Link zum PDF).

Wer ist vom IT-Sicherheitsgesetz 2.0 betroffen?

Durch die Anpassung des Sicherheitsgesetzes ergeben sich zusätzliche Pflichten für KRITIS-Betreiber, allen voran der Einsatz von Systemen zur Angriffserkennung. Obwohl der Gesetzgeber keine konkrete Softwarekategorie nennt, dürfte sich diese Anforderung auf automatisiertes Security Incident & Event Management (SIEM) beziehen.

Gleichzeitig wird die KRITIS-Verordnung ausgeweitet: Neben einer zusätzlichen KRITIS-Kategorie, dem Sektor Siedlungsabfallentsorgung, werden auch einige Schwellenwerte der bestehenden Sektoren angepasst, etwa in den Bereichen Stromerzeugung, Transport und Informationstechnologie.

Hinzu kommt ebenso die neue Kategorie der “Unternehmen im besonderen öffentlichen Interesse”. Für Betriebe in diesem Segment gelten, sofern sie nicht bereits zu den kritischen Infrastrukturen zählen, eigene Richtlinien, die etwas weniger streng als jene der KRITIS-Verordnung sind. Betroffene Unternehmen müssen sich beim BSI identifizieren, regelmäßig Erklärungen über ihre IT-Sicherheit abgeben und Vorfälle an das BSI melden. Zu den Unternehmen im besonderen öffentlichen Interesse zählen:

  • Rüstungsunternehmen und Hersteller von Produkten für staatliche Verschlusssachen
  • Unternehmen und ihre Zulieferer, die von erheblicher Bedeutung für die deutsche Wirtschaft sind
  • Unternehmen die Gefahrstoffe verarbeiten und daher der Störfall-Verordnung unterliegen
Arzt greift über einen Computer auf Patienten-Daten zu.
Wichtige Einrichtungen wie Krankenhäuser sollen durch das IT-SiG 2.0 zusätzlich geschützt werden. Adobe Stock, (c) Rostislav Sedlacek

Neuerungen im IT-Sicherheitsgesetz 2.0

Die Anpassung des IT-Sicherheitsgesetzes bringt sowohl neue als auch überarbeitete Maßnahmen mit sich. Unser Überblick verrät, welche Änderungen im IT-Sicherheitsgesetz 2.0 konkret enthalten sind und worauf sich betroffene Unternehmer in den kommenden Jahren einstellen müssen.

Zusätzliche Kompetenzen für das BSI

Durch die Gesetzesänderung wird das Bundesministerium für Sicherheit in der Informationstechnik mit knapp 800 zusätzlichen Stellen ausgestattet und mit einigen neuen Aufgaben betraut. Das BSI wird etwa zur zentralen Meldestelle für Schwachstellen und darf künftig nicht nur Portscans und aktive Honeypots zur Nachforschung einsetzen, sondern auch Auskünfte von den Herstellern von IT-Produkten verlangen.

Netzbetreibern mit mehr als 100.000 Kunden kann das BSI bei Bedarf Anordnungen zur Störungsbeseitigung erteilen. Möglich wäre etwa eine Einschränkung des Betriebs, Anweisungen zur Bereinigung betroffener Systeme oder auch das Weiterleiten von Datenverkehr an eine vom BSI vorgegebene Adresse. Ebenso wird das BSI dazu berechtigt, verbindliche Sicherheitsstandards für die IT der Bundesbehörden festzulegen und die betroffenen Systeme zu kontrollieren. Davon ausgenommen sind das Auswärtige Amt und die Bundeswehr.

Auch der Bereich Verbraucherschutz wird ausgebaut: Das Ministerium soll Verbraucher künftig im öffentlichen Interesse in Sicherheitsfragen warnen und beraten. Dazu wird ein freiwilliges IT-Sicherheitskennzeichen eingeführt, mit dem Hersteller nachweisen können, dass Sie Vorgaben des BSI erfüllen. Die Antragstellung ist aktuell bereits für zwei Produktkategorien möglich: Breitbandrouter und E-Mail-Dienste.

Zuletzt macht die Gesetzesänderung das BSI auch zur nationalen Behörde für Cybersicherheitszertifizierung, womit Deutschland eine der Vorgaben des Cybersecurity Act der Europäischen Union erfüllt. Das Ministerium ist somit für die Durchsetzung und Zertifizierung europäischer Standards verantwortlich.

Einsatz von Systemen zur Angriffserkennung

Die Vorgabe von Sicherheitsmaßnahmen nach Stand der Technik wird durch das neue Gesetz explizit um Angriffserkennung (Security Incident & Event Management) erweitert. Dabei handelt es sich um Software, die durch die Überwachung der Netzwerk- und System-Aktivität Angriffe und Schadsoftware erkennen soll.

Für KRITIS-Einrichtungen ergibt sich durch diese Verpflichtung zusätzlicher Aufwand: Um SIEM-Lösungen effektiv einzusetzen, müssen diese durch einen qualifizierten Administrator gewartet und überwacht werden. Nur so können Betriebe Fehlalarme ausschließen, im schlimmsten Fall angemessen reagieren und einen Störfall zeitnah an das BSI melden.

UPDATE: Zur Unterstützung von betroffenen Betrieben hat das BSI eine Orientierungshilfe für den Einsatz von Systemen zur Angriffserkennung veröffentlicht.

Erweiterung der KRITIS-Sektoren

Zu den bisher definierten Sektoren der KRITIS-Verordnung wie Energie, Wasser, Gesundheit und Transport kommt durch die Gesetzesänderung die neue Kategorie Siedlungsabfallentsorgung hinzu. Die Schwellenwerte für den Sektor Abfallwirtschaft wurden 2023 mit einer vierten Änderungsverordnung etabliert.

Die Anpassung der Schwellenwerte in den Bereichen IT, Energie, Transport und Finanzen sorgt zudem dafür, dass weitere Einrichtungen künftig unter die Verordnung fallen. Die Zahl an KRITIS-Einrichtungen steigt so auf insgesamt rund 1.870 Betreiber an.

Unternehmen im besonderen öffentlichen Interesse

Neben der Erweiterung der KRITIS-Sektoren schafft das Gesetz die neue Kategorie der Unternehmen im besonderen öffentlichen Interesse, für die im Vergleich zu kritischen Infrastrukturen etwas weniger strenge Auflagen gelten. Zu dieser Gruppe gehören:

  • Rüstungsunternehmen und Hersteller von Produkten für staatliche Verschlusssachen (im Sinne von § 60 Absatz 1 Nr. 1-5 der Außenwirtschaftsordnung).
  • Unternehmen, die aufgrund ihrer hohen inländischen Wertschöpfung von erheblicher Bedeutung für die Wirtschaft in Deutschland sind (inklusive ihrer Zulieferer).
  • Unternehmen, die Gefahrstoffe verarbeiten und daher in die obere Klasse der Störfall-Verordnung fallen.
Außenansicht einer Fabrik eines wichtigen deutschen Konzerns.
Betriebe, die gefährliche Stoffe verarbeiten, fallen in eine neue Kategorie. Adobe Stock, (c) Shinonome Production

Kennzahlen und Schwellenwerte, um Unternehmen mit hoher volkswirtschaftlicher Bedeutung genau zu bestimmen, müssen noch durch eine Rechtsverordnung festgelegt werden. Sämtliche betroffenen Firmen sind jedenfalls verpflichtet, sich binnen zwei Jahren beim BSI zu registrieren, schwere Störungen an das BSI zu melden und zudem alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit abzugeben.

In der Selbsterklärung zur IT-Sicherheit müssen Firmen festhalten, welche Sicherheitsmaßnahmen sie aktuell umsetzen und welche Zertifizierungen bzw. Audits in diesen zwei Jahren durchgeführt wurden. Im Unterschied zu kritischen Infrastrukturen sind Unternehmen im besonderen öffentlichen Interesse jedoch nicht zur Einhaltung konkreter Sicherheitsstandards verpflichtet und müssen auch keine Kontaktstelle zum BSI einrichten.

Einsatz von kritischen Komponenten

Um Supply-Chain-Attacken sowie Spionage und Sabotage auszuschließen, kann das Bundesministerium für Inneres künftig den Einsatz von kritischen Komponenten untersagen, falls sich deren Hersteller als nicht vertrauenswürdig erweist. Jedenfalls müssen Betreiber künftig den geplanten Einbau bzw. Einsatz von kritischen Komponenten an das BMI melden und eine Garantie-Erklärung des Herstellers beilegen, die bestätigt, dass die Komponente nicht missbräuchlich eingesetzt werden kann.

Die Mindestanforderungen an eine Garantieerklärung sind bislang nur für die Branche Telekommunikation bekannt, dürften sich aber für die übrigen Sektoren analog gestalten.

Auch die nachträgliche Untersagung des Einsatzes von Komponenten ist möglich, wenn Verstöße oder Sicherheitslücken bei einem Hersteller festgestellt werden. Details zu dem Überprüfungsverfahren sind jedoch noch unklar. Entsprechend groß ist aktuell die Unsicherheit bezüglich des Einsatzes von Produkten, die von ausländischen Herstellern gefertigt werden.

Was genau sind kritische Komponenten?

Laut offizieller Definition sind kritische Komponenten IT-Produkte (Hardware und Software), die in kritischen Infrastrukturen eingesetzt werden und deren Ausfall zu einer “erheblichen Beeinträchtigung der Funktionsfähigkeit […] oder zu Gefährdungen für die öffentliche Sicherheit” führen kann. Da diese Definition recht vage gefasst ist, definiert das Gesetz kritische Komponenten alternativ über das Erfüllen von kritischen Funktionen.

Eine Liste kritischer Funktionen muss je nach Anwendungsbereich durch eigene Gesetzesänderungen festgelegt werden. Bis jetzt ist dies aber nur im Telekommunikationsgesetz geschehen. Hintergrund dieser Anpassung im Dezember 2020 ist der Ausbau des 5G-Netzes in Deutschland. Hier gab es im Vorfeld Bedenken rund um die mögliche Verwendung von Antennen des chinesischen Herstellers Huawei. Einige Stimmen halten diesen Abschnitt des Sicherheitsgesetzes daher für Anlassgesetzgebung. Zudem wird die Effektivität und Verhältnismäßigkeit der neuen BMI-Befugnis in Frage gestellt.

Anpassung von Geldbußen

Der bisherige Strafrahmen für Verstöße gegen die KRITIS-Verordnung sah Bußgelder von bis zu € 100.000 vor. Diese Obergrenze wird durch das neue Gesetz auf bis zu 2 Millionen Euro erhöht (bzw. vier Prozent des weltweiten Jahresumsatzes aus dem vergangen Jahr). Für einige Tatbestände sind sogar Strafen von bis zu 20 Millionen Euro möglich. Die Aufstockung orientiert sich hier am Strafrahmen der DSGVO.

Symbolbild für einfache Benutzerverwaltung, Hand die Zugriff auf kritische Informationen steuert.
Benutzerkonten und Zugriffsrechte sind ein wesentlicher Teil der Informationssicherheit. Adobe Stock, (c) jirsak

IT-Sicherheit und Compliance: Identity Access Management mit tenfold

Mit dem IT-Sicherheitsgesetz 2.0 schreitet die Regulierung des Themas Cyber-Security weiter voran. Angesichts der stetig wachsenden Bedrohung durch Schadsoftware und immer neuer Hackerangriffe auf essentielle Infrastruktur wie die Colonial Pipeline, dürfte das Interesse der öffentlichen Hand an der Absicherung von Computersystemen auch in Zukunft nicht nachlassen. Im Gegenteil: Um Vorschriften auf dem neuesten Stand zu halten, sind noch einige Gesetzesänderungen und Rechtsverordnungen zu erwarten.

Auch für Betriebe, die aktuell noch nicht unter die KRITIS-Regelung fallen, lohnt sich daher die vorausschauende Auseinandersetzung mit empfohlenen Sicherheitsstandards. Wer Grundlagen der Cybersicherheit erfolgreich abdeckt, schützt seine Organisation nicht nur vor Cyber-Attacken und Datenlecks, sondern ist auch gut vorbereitet, falls die Definition der betroffenen Sektoren erneut angepasst wird. So bleibt mehr Zeit für das Erreichen spezifischer Anforderungen wie dem Einrichten von Kontaktstellen.

Die IAM-Lösung tenfold dient als zentrale Plattform für die Verwaltung von Benutzern und Zugriffsrechten und hilft Unternehmen dabei, den Zugriff auf IT-Ressourcen und sensible Daten nicht nur sicher, sondern auch compliance-gerecht zu steuern. Identity und Access Management zählt zu den elementaren Bausteinen der IT-Sicherheit und ist neben dem BSI-IT-Grundschutz und der Norm ISO 27001 auch Teil des empfohlenen Vorgehens für B3S-Standards. Automatisierte Software für Identitäts- und Rechtemanagement wie tenfold erleichtert dabei die Umsetzung eines Berechtigungskonzepts und schützt vor Bedrohungen wie:

  • Missbrauch gestohlener Zugangsdaten (Phishing, Skimming, Credential Stuffing)
  • Datendiebstahl und Insider Threats
  • Datenpannen und -Lecks
  • Fehlhandlungen durch Mitarbeiter

In unserem Artikel zum Thema finden Sie nähere Informationen zur Rolle von IAM in der BSI-Kritisverordnung und den spezifischen Sicherheitsanforderungen, die tenfold dabei abdeckt.

Sichere und effiziente Verwaltung mit tenfold

tenfold bringt Ordnung in das Chaos organisch gewachsener Berechtigungen und hilft Organisationen so dabei, ihre IT zu entlasten und überflüssige Berechtigungen samt der daraus resultierenden Sicherheitslücken zu eliminieren. Im Kern der IAM-Lösung steht die rollenbasierte Berechtigungsvergabe: tenfold analysiert bei seiner Installation existierende Zugriffsrechte und leitet daraus automatisch Standard-Sets an Zugriffsrechten ab.

Werden Benutzer nun zu diesen Rollen hinzugefügt oder daraus entfernt (etwa weil sie die Abteilung wechseln), sorgt tenfold für die automatische Anpassung der Rechte in sämtlichen verknüpften Systemen: dem lokalen Fileserver und Active Directory, in Microsoft 365 und Azure AD, sowie zahlreichen Drittanwendungen, die sich über vorgefertigte Plugins verbinden lassen.

Über ein umfangreiches Self-Service-Feature können Benutzer bei Bedarf zusätzliche Rechte anfordern. Indem Data Owner für bestimmte Ressourcen ernannt werden, erfolgt die Entscheidung über die Freigabe dabei innerhalb des betroffenen Fachbereichs, ohne Umwege über Support-Tickets. Um sicherzugehen, dass der Zugriff auch in diesem Fall zeitgerecht wieder entfernt wird, müssen Data Owner im Rahmen der Rezertifizierung von Berechtigungen regelmäßig bestätigen, ob von ihnen vergebene Rechte noch aktuell sind.

Dabei dokumentiert tenfold sämtliche Prozesse und Änderungen an Zugriffsrechten automatisch und generiert auf Wunsch übersichtliche Reports zu den aktuellen und historischen Rechten von Benutzern. So lässt sich jederzeit nachvollziehen, welche Mitarbeiter Zugang zu sensiblen Daten hatten und haben. So können Unternehmen im Rahmen von Compliance-Audits nachweisen, dass ihre Daten bestmöglich geschützt sind.

Whitepaper

Identity und Access Management Software: Produkte im Vergleich

Finden Sie heraus, welche Kategorien von IAM Software am Markt erhältlich sind und welches Produkt optimal auf Ihre Bedürfnisse abgestimmt ist.

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.