:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition IT-Sicherheitsgesetz Was ist das IT-Sicherheitsgesetz?
Beim IT-Sicherheitsgesetz (IT-SiG) handelt es sich um ein 2015 vom deutschen Bundestag verabschiedetes Gesetz. Es soll die Sicherheit informationstechnischer Systeme erhöhen und zum Schutz von kritischen Infrastrukturen (KRITIS) in Deutschland beitragen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Das im Juli 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme wird als IT-Sicherheitsgesetz oder abgekürzt als IT-SiG / ITSiG bezeichnet. Das Gesetz betrifft Telekommunikationsunternehmen, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen.
Das IT-SiG verpflichtet diese Organisationen zur Einhaltung eines definierten Mindestmaßes an IT-Sicherheit. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen und nachzuweisen. Durch das Gesetz besteht die Anforderung, ein Information Security Management System umzusetzen. Zudem muss der geforderten Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und gegenüber den Kunden nachgekommen werden.
Für wen gilt das IT-Sicherheitsgesetz?
Laut Gesetz fallen folgende Unternehmen und Organisationen in den Geltungsbereich des IT-SiG: Unternehmen aus der Telekommunikationsbranche, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen (KRITIS).
Zu digitalen Diensten zählen beispielsweise Online-Marktplätze, Suchmaschinen und Anbieter von Cloud-Computing-Diensten. Die Betreiber haben nach dem IT-Sicherheitsgesetz geeignete Maßnahmen zu treffen, um die Daten ihrer Kunden und der von diesen genutzten Systeme zu schützen. Unternehmen aus der Telekommunikationsbranche sind laut Gesetz unter anderem dazu verpflichtet, Kunden darauf hinzuweisen, wenn der Kundenanschluss für widerrechtliche Aktionen genutzt wird. Für die Betreiber kritischer Infrastrukturen besteht die Verpflichtung, ihre IT nach dem aktuellen Stand der Technik abzusichern und sie regelmäßig zu überprüfen. Sicherheitsvorfälle sind dem BSI zu melden. Gleichzeitig stellt das BSI die aus den Meldungen gewonnenen Erkenntnisse den Betreibern zur Verfügung. Durch die Verabschiedung des IT-SiG erweitern sich die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik.
Was sind kritische Infrastrukturen?
Zu den kritischen Infrastrukturen zählt eine ganze Reihe verschiedener Sektoren. Durch die besonderen Anforderungen an die Betreiber dieser Infrastrukturen verfolgt das IT-Sicherheitsgesetz die Ziele, Schaden vom Einzelnen abzuwenden, das Gemeinwesen zu schützen und negative Auswirkungen für alle zu minimieren. Als kritische Infrastrukturen sind unter anderem die Sektoren Energie, Ernährung und Wasser, Informationstechnik und Telekommunikation, Finanzen, Gesundheit sowie Transport und Verkehr definiert. Anhand der aufgestellten messbaren und nachvollziehbaren Kriterien wie Schwellenwerte können Betreiber prüfen, ob sie zu der Zielgruppe KRITIS gehören. Zu bemerken ist in diesem Zusammenhang, dass auch Partner, Dienstleister und Lieferanten der identifizierten Unternehmen in indirekter Form dem IT-Sicherheitsgesetz nachkommen müssen.
Welche Folgen hat das IT-SiG für Webseitenbetreiber?
Betreiber von Webseiten, Webshops und Webanwendungen haben mit Inkrafttreten des IT-Sicherheitsgesetzes Maßnahmen umzusetzen, um unerlaubte Zugriffe auf IT-Systeme und Daten sowie Störungen zu verhindern. Eine dieser Maßnahmen ist das zeitnahe und regelmäßige Einspielen von Updates oder Patches der genutzten Anwendungen und Betriebssysteme. Nicht von dieser Absicherungspflicht betroffen sind Webseiten von Privatpersonen oder Einrichtungen, die keinen kommerziellen Zweck verfolgen. Werden mit den Webangeboten jedoch regelmäßig Einnahmen zum Beispiel durch bezahlte Werbung erzielt, gilt auch in diesem Fall das IT-SiG.
:quality(80)/images.vogel.de/vogelonline/bdb/939700/939732/original.jpg "Wie bei der Gurtpflicht wird Schutz mit dem IT-Sicherheitsgesetz für Unternehmen vorgeschrieben. (Archiv)")
ITSiG-Pflichten
Das IT-Sicherheitsgesetz und der „Stand der Technik“
Was versteht man unter Stand der Technik?
Das IT-Sicherheitsgesetz fordert organisatorische und technische Maßnahmen, die den Stand der Technik berücksichtigen. Allerdings handelt es sich bei dem Begriff "Stand der Technik" um einen unbestimmten Rechtsbegriff, der keine messbare Größe, sondern eher einen Grundsatz darstellt. Das BSI stellt lediglich fest, dass es nicht möglich ist den Begriff allgemeingültig und abschließend zu definieren. Er muss fall- und branchenspezifisch anhand praxisnaher Vorbilder bestimmt werden. Im Rahmen der regelmäßigen Melde- und Nachweispflicht kann unter Umständen festgestellt werden, ob die Maßnahmen dem geforderten Stand der Technik entsprechen. Für die Umsetzung sorgt der Begriff "Stand der Technik" für eine gewisse Unsicherheit. Im Zweifelsfall sind zahlreiche nationale und internationale Normen aus beispielsweise den DIN-, ISO-, DKE- oder ISO/IEC-Standardreihen zu berücksichtigen.
(ID:44895095)
:quality(80)/p7i.vogel.de/wcms/aa/d1/aad1394a0674a7cccb58191e9e3f6140/0104106469.jpeg "Unternehmen, die mit dem IT-Sicherheitsgesetz 2.0 angesichts geänderter Schwellenwerte zu den KRITIS-Betreibern, oder zur neuen Kategorie der Unternehmen im besonderen öffentlichen Interesse zählen, sollten sich frühzeitig mit den geänderten Anforderungen auseinandersetzen. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/97/3897fc02666631708709ec8b1f5bdfa5/0109843742.jpeg "Der cognitix Threat Defender von genua hilft bei der Erfüllung der Anforderungen an die Angriffserkennung gemäß IT-SiG 2.0. (Bild: stock.adobe.com - JT_Jeeraphun)")