Suchen

Definition IT-Sicherheitsgesetz Was ist das IT-Sicherheitsgesetz?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Beim IT-Sicherheitsgesetz (IT-SiG) handelt es sich um ein 2015 vom deutschen Bundestag verabschiedetes Gesetz. Es soll die Sicherheit informationstechnischer Systeme erhöhen und zum Schutz von kritischen Infrastrukturen (KRITIS) in Deutschland beitragen.

Ziel des IT-Sicherheitsgesetzes ist der Schutz der IT-Systeme sowie digitalen und kritischen Infrastrukturen Deutschlands und die Verbesserung der IT-Sicherheit bei Unternehmen und Verwaltung.
Ziel des IT-Sicherheitsgesetzes ist der Schutz der IT-Systeme sowie digitalen und kritischen Infrastrukturen Deutschlands und die Verbesserung der IT-Sicherheit bei Unternehmen und Verwaltung.
(Bild: Pixabay / CC0 )

Das im Juli 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme wird als IT-Sicherheitsgesetz oder abgekürzt als IT-SiG / ITSiG bezeichnet. Das Gesetz betrifft Telekommunikationsunternehmen, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen.

Das IT-SiG verpflichtet diese Organisationen zur Einhaltung eines definierten Mindestmaßes an IT-Sicherheit. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen und nachzuweisen. Durch das Gesetz besteht die Anforderung, ein Information Security Management System umzusetzen. Zudem muss der geforderten Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und gegenüber den Kunden nachgekommen werden.

Für wen gilt das IT-Sicherheitsgesetz?

Laut Gesetz fallen folgende Unternehmen und Organisationen in den Geltungsbereich des IT-SiG: Unternehmen aus der Telekommunikationsbranche, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen (KRITIS).

Zu digitalen Diensten zählen beispielsweise Online-Marktplätze, Suchmaschinen und Anbieter von Cloud-Computing-Diensten. Die Betreiber haben nach dem IT-Sicherheitsgesetz geeignete Maßnahmen zu treffen, um die Daten ihrer Kunden und der von diesen genutzten Systeme zu schützen. Unternehmen aus der Telekommunikationsbranche sind laut Gesetz unter anderem dazu verpflichtet, Kunden darauf hinzuweisen, wenn der Kundenanschluss für widerrechtliche Aktionen genutzt wird. Für die Betreiber kritischer Infrastrukturen besteht die Verpflichtung, ihre IT nach dem aktuellen Stand der Technik abzusichern und sie regelmäßig zu überprüfen. Sicherheitsvorfälle sind dem BSI zu melden. Gleichzeitig stellt das BSI die aus den Meldungen gewonnenen Erkenntnisse den Betreibern zur Verfügung. Durch die Verabschiedung des IT-SiG erweitern sich die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik.

Was sind kritische Infrastrukturen?

Zu den kritischen Infrastrukturen zählt eine ganze Reihe verschiedener Sektoren. Durch die besonderen Anforderungen an die Betreiber dieser Infrastrukturen verfolgt das IT-Sicherheitsgesetz die Ziele, Schaden vom Einzelnen abzuwenden, das Gemeinwesen zu schützen und negative Auswirkungen für alle zu minimieren. Als kritische Infrastrukturen sind unter anderem die Sektoren Energie, Ernährung und Wasser, Informationstechnik und Telekommunikation, Finanzen, Gesundheit sowie Transport und Verkehr definiert. Anhand der aufgestellten messbaren und nachvollziehbaren Kriterien wie Schwellenwerte können Betreiber prüfen, ob sie zu der Zielgruppe KRITIS gehören. Zu bemerken ist in diesem Zusammenhang, dass auch Partner, Dienstleister und Lieferanten der identifizierten Unternehmen in indirekter Form dem IT-Sicherheitsgesetz nachkommen müssen.

Welche Folgen hat das IT-SiG für Webseitenbetreiber?

Betreiber von Webseiten, Webshops und Webanwendungen haben mit Inkrafttreten des IT-Sicherheitsgesetzes Maßnahmen umzusetzen, um unerlaubte Zugriffe auf IT-Systeme und Daten sowie Störungen zu verhindern. Eine dieser Maßnahmen ist das zeitnahe und regelmäßige Einspielen von Updates oder Patches der genutzten Anwendungen und Betriebssysteme. Nicht von dieser Absicherungspflicht betroffen sind Webseiten von Privatpersonen oder Einrichtungen, die keinen kommerziellen Zweck verfolgen. Werden mit den Webangeboten jedoch regelmäßig Einnahmen zum Beispiel durch bezahlte Werbung erzielt, gilt auch in diesem Fall das IT-SiG.

Was versteht man unter Stand der Technik?

Das IT-Sicherheitsgesetz fordert organisatorische und technische Maßnahmen, die den Stand der Technik berücksichtigen. Allerdings handelt es sich bei dem Begriff "Stand der Technik" um einen unbestimmten Rechtsbegriff, der keine messbare Größe, sondern eher einen Grundsatz darstellt. Das BSI stellt lediglich fest, dass es nicht möglich ist den Begriff allgemeingültig und abschließend zu definieren. Er muss fall- und branchenspezifisch anhand praxisnaher Vorbilder bestimmt werden. Im Rahmen der regelmäßigen Melde- und Nachweispflicht kann unter Umständen festgestellt werden, ob die Maßnahmen dem geforderten Stand der Technik entsprechen. Für die Umsetzung sorgt der Begriff "Stand der Technik" für eine gewisse Unsicherheit. Im Zweifelsfall sind zahlreiche nationale und internationale Normen aus beispielsweise den DIN-, ISO-, DKE- oder ISO/IEC-Standardreihen zu berücksichtigen.

(ID:44895095)

Über den Autor