MH - Fotolia
Das IT-Sicherheitsgesetz 2.0 und die Bedeutung für KRITIS
Die im neuen IT-SiG 2.0 vorgeschlagenen Maßnahmen können als Ansporn für KRITIS gesehen werden. Was bedeuteten die Neuerungen für die Betreiber kritischer Infrastrukturen?
Am 16. Dezember 2020 wurde der Entwurf des zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, auch bekannt unter dem Namen IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0, PDF), vom Bundeskabinett beschlossen.
Nun steht noch die Zustimmung des Bundestags aus, was innerhalb der nächsten Monate erwartet wird. Mit den Neuerungen sollen zahlreiche weitere Befugnisse auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) übertragen werden und dieses soll unter anderem bei Digitalisierungsprojekten des Bundes frühzeitig involviert werden.
Mit der Änderung des IT-Sicherheitsgesetzes, wird auch das weniger bekannte, aber deutlich ältere BSI-Gesetz verändert. Das BSI soll nun Protokolldaten zwölf Monate lang speichern dürfen und außerdem befugt werden, „Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen zu detektieren (Port-Scans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots).“ Darüber hinaus darf das BSI nun Maßnahmen gegen Telekommunikationsunternehmen bei bestimmten Bedrohungen für deren Informationssicherheit verhängen.
Soweit die zentralen Änderungen, die das BSI betreffen. Es folgen noch mehr, die an dieser Stelle jedoch keine wesentliche Rolle spielen sollen. Wer sich genauer informieren möchte, kann dies im Blog von Dr. Dennis-Kenji Kipker tun. Genauso wenig soll in diesem Beitrag auf die massive Kritik der verschiedenen Verbände eingegangen werden, die Ihre Bedenken am neuen IT-Sicherheitsgesetz bereits mehrfach geäußert hatten – und meist außen vor gelassen wurden – seit dieses zweimalig vorab als Referentenentwurf an die Öffentlichkeit gelangt war.
Keine Produkthaftung, aber eine Garantieerklärung für Software
Viel spannender ist der folgende Passus, der die Betreiber Kritischer Infrastrukturen (KRITIS) betrifft: „[Der] Einsatz einer kritischen Komponente gegenüber dem Betreiber der Kritischen Infrastruktur im Einvernehmen mit den betroffenen Ressorts [...] untersagen oder Anordnungen erlassen, wenn überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, dem Einsatz entgegenstehen.“
Generell sind hier im Bereich der kritischen Infrastruktur einige Entscheidungen getroffen worden, die im Vergleich zum ersten Gesetz große Auswirkungen haben werden. Denn es heißt weiter, dass nur dann kritische Komponenten eingesetzt werden dürfen, wenn eine Vertrauenswürdigkeitserklärung vom Hersteller abgegeben werden kann. Dies wird als Garantieerklärung gedeutet. Diese Technologien sollen dadurch frei von Schwachstellen sein, die von einem Angreifer für Sabotage, Spionage oder andere Attacken genutzt werden können.
Diese Erklärung ist knifflig, auch wenn im Vorfeld eine Art Produkthaftung im Gespräch war, doch diese nun deutlich entschärft wurde, denn: In dem Begriff „Garantieerklärung“ schwingt eine Art von Produkthaftung mit, nämlich die, dass in KRITIS-Systemen eingesetzte Software sicher sein muss, und zwar nach den Bestimmungen des BSI. Aus Sicht eines Sicherheitsherstellers ist diese Sichtweise zu begrüßen.
Die betroffenen Sektoren sind Energie, Transport, Ernährung, Finanz- und Versicherungswesen, Gesundheit, Informationstechnik und Telekommunikation, Staat und Verwaltung, Wasser sowie Medien und Kultur. Bis auf den Sektor Staat und Verwaltung werden die Branchen durch die öffentlich-private Kooperation zwischen Betreibern kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen, genannt UP KRITIS, vertreten.
Viele dieser Verbände und auch UP KRITIS selbst hatten im Vorfeld deutliche Kritik an der jetzt beschlossenen Version geäußert. Vor allem das noch einmal verschärfte Strafmaß, das bislang eine Höchststrafe von 100.000 Euro vorsah, wurde nun auf ein mit der DSGVO vergleichbares Strafmaß erhöht. Maximal können nun 20 Millionen Euro oder aber bis zu vier Prozent des gesamten jährlichen Umsatzes verlangt werden. Doch wann wird eine solche Strafzahlung überhaupt fällig?
Was KRITIS-Betreiber tun müssen
Werden Betreiber kritischer Infrastruktur Opfer eines Cyberangriffes und entdecken ihn, müssen sie diesen umgehend an eine seit dem ersten Gesetz 2015 eingerichtete Meldestelle des BSI übermitteln. Das BSI wiederum übernimmt dann die Kommunikation an betroffene Dritte, wenn dies deren Interessen erforderlich machen.
Bei akuter Gefahr soll sogar die Öffentlichkeit informiert werden, was sicherlich bei großangelegten Attacken mit Auswirkungen auf den Alltag der Bürger dringend angezeigt ist. Bei den Ransomware-Angriffen durch WannaCry, Emotet und anderer Malware zeigte sich in den letzten Jahren, dass viel zu viele Unternehmen noch Nachholbedarf in Sachen IT-Sicherheit haben.
„Die Gefährdungslage hat sich enorm verändert und machte eine Novellierung des IT-Sicherheitsgesetzes notwendig – wie lange die zweite Auflage jetzt Bestand haben wird, bleibt aber abzuwarten.“
Lothar Geuenich, Check Point Technologies
Aus diesem Grund empfiehlt das IT-Sicherheitsgesetz 2.0 neben dem Einsatz von Antiviren-Software und Firewall vor allem Software zur Angriffserkennung: „§8a Absatz 1a ergänzt die Verpflichtung der Betreiber Kritischer Infrastrukturen, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, nun auch ausdrücklich um Systeme zur Angriffserkennung.“
Hierzu zählt das Gesetz die unterschiedlichsten Konzepte, wie den Abgleich von statischen Mustern zu Software und Kommunikation, außerdem generische Muster sowie Verfahren mit künstlicher Intelligenz oder Systeme, die Abweichungen im Betriebsablauf erkennen (Anomaliedetektion).
Mehr IT-Sicherheit oder Nachbesserungsbedarf?
Seit der Einführung des IT-Sicherheitsgesetzes im Jahr 2015 ist viel Zeit vergangen. Fünf Jahre in der IT und vor allem in der IT-Sicherheit sind eine lange Zeitspanne. Unsere Sicherheitsforscher stellen tagtäglich fest, dass cyberkriminelle Gruppierungen professioneller werden, sogar Dienste und Produkte anbieten, die aus einem normalen Kriminellen schnell einen Hackerexperten machen können, wenn er nur genug Geld mitbringt.
Die Gefährdungslage hat sich enorm verändert und machte eine Novellierung des IT-Sicherheitsgesetzes notwendig – wie lange die zweite Auflage jetzt Bestand haben wird, bleibt aber abzuwarten. Die vielstimmige Kritik im Vorfeld und die vielen offenen Fragen lassen eher einen kürzeren Zeitraum erwarten. Wichtig ist vielmehr, dass es zusammen mit der aktuellen Situation der gestiegenen Telearbeit zu einer Überprüfung der Lage kommt.
Vielfach erleben wir, dass Unternehmen mit den bisher eingesetzten Technologien nicht gegen Cyberangriffe der fünften oder sechsten Generation gesichert sind. Entsprechend haben sie nicht nur bei ihren Detection-, sondern auch bei ihren Prevention-Maßnahmen und -Technologien erheblichen Nachholbedarf – und dies alle Sektoren übergreifend. Daher sollten die im IT-Sicherheitsgesetz 2.0 vorgeschlagenen Maßnahmen und verschärften Strafmaße nicht als Warnung, sondern viel mehr als Ansporn für die KRITIS-Betreiber interpretiert werden. Eine Digitalisierung ohne IT-Sicherheit kann für kein KRITIS-Unternehmen das Ziel sein und gerade in Krisenzeiten gilt es, die Chancen zu nutzen und zu investieren.
Über den Autor:
Lothar Geuenich ist Regional Director Central Europe bei Check Point Technologies GmbH.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.