Definition IT-Sicherheitsgesetz

Was ist das IT-Sicherheitsgesetz?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ziel des IT-Sicherheitsgesetzes ist der Schutz der IT-Systeme sowie digitalen und kritischen Infrastrukturen Deutschlands und die Verbesserung der IT-Sicherheit bei Unternehmen und Verwaltung.
Ziel des IT-Sicherheitsgesetzes ist der Schutz der IT-Systeme sowie digitalen und kritischen Infrastrukturen Deutschlands und die Verbesserung der IT-Sicherheit bei Unternehmen und Verwaltung. (Bild: Pixabay / CC0)

Beim IT-Sicherheitsgesetz (IT-SiG) handelt es sich um ein 2015 vom deutschen Bundestag verabschiedetes Gesetz. Es soll die Sicherheit informationstechnischer Systeme erhöhen und zum Schutz von kritischen Infrastrukturen (KRITIS) in Deutschland beitragen.

Das im Juli 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme wird als IT-Sicherheitsgesetz oder abgekürzt als IT-SiG / ITSiG bezeichnet. Das Gesetz betrifft Telekommunikationsunternehmen, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen.

Das IT-SiG verpflichtet diese Organisationen zur Einhaltung eines definierten Mindestmaßes an IT-Sicherheit. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen und nachzuweisen. Durch das Gesetz besteht die Anforderung, ein Information Security Management System umzusetzen. Zudem muss der geforderten Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und gegenüber den Kunden nachgekommen werden.

Für wen gilt das IT-Sicherheitsgesetz?

Laut Gesetz fallen folgende Unternehmen und Organisationen in den Geltungsbereich des IT-SiG: Unternehmen aus der Telekommunikationsbranche, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen (KRITIS).

Zu digitalen Diensten zählen beispielsweise Online-Marktplätze, Suchmaschinen und Anbieter von Cloud-Computing-Diensten. Die Betreiber haben nach dem IT-Sicherheitsgesetz geeignete Maßnahmen zu treffen, um die Daten ihrer Kunden und der von diesen genutzten Systeme zu schützen. Unternehmen aus der Telekommunikationsbranche sind laut Gesetz unter anderem dazu verpflichtet, Kunden darauf hinzuweisen, wenn der Kundenanschluss für widerrechtliche Aktionen genutzt wird. Für die Betreiber kritischer Infrastrukturen besteht die Verpflichtung, ihre IT nach dem aktuellen Stand der Technik abzusichern und sie regelmäßig zu überprüfen. Sicherheitsvorfälle sind dem BSI zu melden. Gleichzeitig stellt das BSI die aus den Meldungen gewonnenen Erkenntnisse den Betreibern zur Verfügung. Durch die Verabschiedung des IT-SiG erweitern sich die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik.

Was sind kritische Infrastrukturen?

Zu den kritischen Infrastrukturen zählt eine ganze Reihe verschiedener Sektoren. Durch die besonderen Anforderungen an die Betreiber dieser Infrastrukturen verfolgt das IT-Sicherheitsgesetz die Ziele, Schaden vom Einzelnen abzuwenden, das Gemeinwesen zu schützen und negative Auswirkungen für alle zu minimieren. Als kritische Infrastrukturen sind unter anderem die Sektoren Energie, Ernährung und Wasser, Informationstechnik und Telekommunikation, Finanzen, Gesundheit sowie Transport und Verkehr definiert. Anhand der aufgestellten messbaren und nachvollziehbaren Kriterien wie Schwellenwerte können Betreiber prüfen, ob sie zu der Zielgruppe KRITIS gehören. Zu bemerken ist in diesem Zusammenhang, dass auch Partner, Dienstleister und Lieferanten der identifizierten Unternehmen in indirekter Form dem IT-Sicherheitsgesetz nachkommen müssen.

Welche Folgen hat das IT-SiG für Webseitenbetreiber?

Betreiber von Webseiten, Webshops und Webanwendungen haben mit Inkrafttreten des IT-Sicherheitsgesetzes Maßnahmen umzusetzen, um unerlaubte Zugriffe auf IT-Systeme und Daten sowie Störungen zu verhindern. Eine dieser Maßnahmen ist das zeitnahe und regelmäßige Einspielen von Updates oder Patches der genutzten Anwendungen und Betriebssysteme. Nicht von dieser Absicherungspflicht betroffen sind Webseiten von Privatpersonen oder Einrichtungen, die keinen kommerziellen Zweck verfolgen. Werden mit den Webangeboten jedoch regelmäßig Einnahmen zum Beispiel durch bezahlte Werbung erzielt, gilt auch in diesem Fall das IT-SiG.

Das IT-Sicherheitsgesetz und der „Stand der Technik“

ITSiG-Pflichten

Das IT-Sicherheitsgesetz und der „Stand der Technik“

02.11.15 - Mit dem IT-Sicherheitsgesetz (ITSiG) werden vom Gesetzgeber Mindeststandards für die IT-Sicherheit von Betreibern besonders gefährdeter Infrastrukturen gefordert. Doch kann Sicherheit angeordnet werden? Welche technischen Herausforderungen stehen betroffenen Unternehmen ins Haus? lesen

Was versteht man unter Stand der Technik?

Das IT-Sicherheitsgesetz fordert organisatorische und technische Maßnahmen, die den Stand der Technik berücksichtigen. Allerdings handelt es sich bei dem Begriff "Stand der Technik" um einen unbestimmten Rechtsbegriff, der keine messbare Größe, sondern eher einen Grundsatz darstellt. Das BSI stellt lediglich fest, dass es nicht möglich ist den Begriff allgemeingültig und abschließend zu definieren. Er muss fall- und branchenspezifisch anhand praxisnaher Vorbilder bestimmt werden. Im Rahmen der regelmäßigen Melde- und Nachweispflicht kann unter Umständen festgestellt werden, ob die Maßnahmen dem geforderten Stand der Technik entsprechen. Für die Umsetzung sorgt der Begriff "Stand der Technik" für eine gewisse Unsicherheit. Im Zweifelsfall sind zahlreiche nationale und internationale Normen aus beispielsweise den DIN-, ISO-, DKE- oder ISO/IEC-Standardreihen zu berücksichtigen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Netzwerksicherheit in der Versicherungsbranche

Kooperation auf vielen Ebenen

Netzwerksicherheit in der Versicherungsbranche

Nachdem wir in unserer Serie über die IT-Sicherheitsanforderungen in verschiedenen Branchen letztes Mail über die Berliner Wasserbetriebe berichtet haben, kommen in der aktuellen Folge die Versicherungen an die Reihe. Ein wichtiges Thema, denn an die Sicherheit von IT-Umgebungen werden in der Versicherungsbranche hohe Ansprüche gestellt. lesen

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Ganzheitliches KRITIS-Management, Korb 2

Rettungsanker rechtzeitig vor dem Worst Case in Stellung bringen

Die Zeit drängt für Unternehmen, die als Kritische Infrastrukturen (KRITIS) eingestuft sind. Bis zum 30. Juni muss ein Gesamtkonzept für das KRITIS-Management etabliert werden. lesen

Die gesetzlichen Vorgaben zur IT-Security schon erfüllt?

IT-Security Management & Technology Conference 2019

Die gesetzlichen Vorgaben zur IT-Security schon erfüllt?

Unternehmen müssen die Vorgaben zur IT-Security gemäß dem 2019 überarbeiteten „Stand der Technik“und diverse Compliance-Vorgaben erfüllen. Aber was genau wird von Unternehmen erwartet? Wie lassen sich die Vorgaben priorisieren und wie stellt man die Awareness für deren Notwendigkeit sicher? lesen

Digitale Transformation verlangt kollektiven Dauerlauf

SPD-MdB Esken zum digitalen Immunsystem

Digitale Transformation verlangt kollektiven Dauerlauf

Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung: Es geht nicht allein um das Übertragen analoger Prozesse ins Virtuelle, sondern zusätzlich müssen auch Datenschutz und -sicherheit mitbedacht werden. Die SPD-Bundestags­abgeordnete Saskia Esken äußert sich im Interview mit Security-Insider zum Vorschlag nach einem „digitalen Immunsystem“ ihrer Fraktion. lesen

Netzwerksicherheit bei den Berliner Wasserbetrieben

Segmentiertes Netz und restriktive Zugriffe

Netzwerksicherheit bei den Berliner Wasserbetrieben

Bei Infrastrukturdienstleistern müssen die zuständigen Beschäftigten umfassende Sicherheitsvorgaben erfüllen. Gleichzeitig sind auch viele IoT-Komponenten in das Netz einzubinden. Schon kurzzeitige Ausfälle kritischer Infrastruktur-Systeme kann weit­reichende Folgen haben. Dieser Artikel gibt einen Überblick über die damit zusammen­hän­genden Anforderungen. lesen

Cybersecurity in der Medizintechnik – eine reale Bedrohung

Digitalisierung

Cybersecurity in der Medizintechnik – eine reale Bedrohung

Hackerangriffe auf Krankenhäuser mittels Computerviren haben sich zuletzt gehäuft. Sicherheitslücken bei Medizinprodukten sorgten zusätzlich für Unbehagen. Das Thema Cybersecurity können Medizintechnikfirmen nicht mehr auf die lange Bank schieben. lesen

Mit SOC as aService Gefahren frühzeitig erkennen

Vorteile durch Managed Security Services

Mit SOC as aService Gefahren frühzeitig erkennen

Cyber-Angriffe haben ein Ausmaß erreicht, das Unternehmen vor immer größere Herausforde­rungen stellt. Nur wenige verfügen aber in ihren eigenen Rechenzentren über die benötigten personellen und technischen Ressourcen für ein Security Operations Center (SOC), um der Cyber-Risiken Herr zu werden. Eine Lösung dafür bieten die Managed Services eines SOC as a Service. lesen

Compliance im Rechenzentrum

Compliance ist die Mühe wert!

Compliance im Rechenzentrum

Aufsichtsrechtliche Compliance ist vermutlich ein Thema, das Ihr Herz nicht höherschlagen lässt. Für Unternehmen ist es jedoch von zentraler Bedeutung. Verstöße jeglicher Art gegen Compliance-Anforderungen können potenziell schädliche Folgen nach sich ziehen, wie z. B. hohe Geldstrafen. Compliance-Standards sind nicht nur dazu da, uns das Leben schwer zu machen. Sie existieren zum Wohle unserer Unternehmen. lesen

Die Aufarbeitung läuft

Hackerangriff

Die Aufarbeitung läuft

Die Daten-Affäre war Thema einer Sondersitzung des Ausschusses „Digitale Agenda“. Zu Gast waren Vertreter von Twitter, Facebook, Google und GMX. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44895095 / Definitionen)