Definition IT-Sicherheitsgesetz

Was ist das IT-Sicherheitsgesetz?

| Autor / Redakteur: Tutanch / Peter Schmitz

Ziel des IT-Sicherheitsgesetzes ist der Schutz der IT-Systeme sowie digitalen und kritischen Infrastrukturen Deutschlands und die Verbesserung der IT-Sicherheit bei Unternehmen und Verwaltung.
Ziel des IT-Sicherheitsgesetzes ist der Schutz der IT-Systeme sowie digitalen und kritischen Infrastrukturen Deutschlands und die Verbesserung der IT-Sicherheit bei Unternehmen und Verwaltung. (Bild: Pixabay / CC0)

Beim IT-Sicherheitsgesetz (IT-SiG) handelt es sich um ein 2015 vom deutschen Bundestag verabschiedetes Gesetz. Es soll die Sicherheit informationstechnischer Systeme erhöhen und zum Schutz von kritischen Infrastrukturen (KRITIS) in Deutschland beitragen.

Das im Juli 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme wird als IT-Sicherheitsgesetz oder abgekürzt als IT-SiG / ITSiG bezeichnet. Das Gesetz betrifft Telekommunikationsunternehmen, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen.

Das IT-SiG verpflichtet diese Organisationen zur Einhaltung eines definierten Mindestmaßes an IT-Sicherheit. Hierfür sind geeignete technische und organisatorische Maßnahmen zu treffen und nachzuweisen. Durch das Gesetz besteht die Anforderung, ein Information Security Management System umzusetzen. Zudem muss der geforderten Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und gegenüber den Kunden nachgekommen werden.

Für wen gilt das IT-Sicherheitsgesetz?

Laut Gesetz fallen folgende Unternehmen und Organisationen in den Geltungsbereich des IT-SiG: Unternehmen aus der Telekommunikationsbranche, Anbieter von digitalen Diensten und Betreiber von kritischen Infrastrukturen (KRITIS).

Zu digitalen Diensten zählen beispielsweise Online-Marktplätze, Suchmaschinen und Anbieter von Cloud-Computing-Diensten. Die Betreiber haben nach dem IT-Sicherheitsgesetz geeignete Maßnahmen zu treffen, um die Daten ihrer Kunden und der von diesen genutzten Systeme zu schützen. Unternehmen aus der Telekommunikationsbranche sind laut Gesetz unter anderem dazu verpflichtet, Kunden darauf hinzuweisen, wenn der Kundenanschluss für widerrechtliche Aktionen genutzt wird. Für die Betreiber kritischer Infrastrukturen besteht die Verpflichtung, ihre IT nach dem aktuellen Stand der Technik abzusichern und sie regelmäßig zu überprüfen. Sicherheitsvorfälle sind dem BSI zu melden. Gleichzeitig stellt das BSI die aus den Meldungen gewonnenen Erkenntnisse den Betreibern zur Verfügung. Durch die Verabschiedung des IT-SiG erweitern sich die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik.

Was sind kritische Infrastrukturen?

Zu den kritischen Infrastrukturen zählt eine ganze Reihe verschiedener Sektoren. Durch die besonderen Anforderungen an die Betreiber dieser Infrastrukturen verfolgt das IT-Sicherheitsgesetz die Ziele, Schaden vom Einzelnen abzuwenden, das Gemeinwesen zu schützen und negative Auswirkungen für alle zu minimieren. Als kritische Infrastrukturen sind unter anderem die Sektoren Energie, Ernährung und Wasser, Informationstechnik und Telekommunikation, Finanzen, Gesundheit sowie Transport und Verkehr definiert. Anhand der aufgestellten messbaren und nachvollziehbaren Kriterien wie Schwellenwerte können Betreiber prüfen, ob sie zu der Zielgruppe KRITIS gehören. Zu bemerken ist in diesem Zusammenhang, dass auch Partner, Dienstleister und Lieferanten der identifizierten Unternehmen in indirekter Form dem IT-Sicherheitsgesetz nachkommen müssen.

Welche Folgen hat das IT-SiG für Webseitenbetreiber?

Betreiber von Webseiten, Webshops und Webanwendungen haben mit Inkrafttreten des IT-Sicherheitsgesetzes Maßnahmen umzusetzen, um unerlaubte Zugriffe auf IT-Systeme und Daten sowie Störungen zu verhindern. Eine dieser Maßnahmen ist das zeitnahe und regelmäßige Einspielen von Updates oder Patches der genutzten Anwendungen und Betriebssysteme. Nicht von dieser Absicherungspflicht betroffen sind Webseiten von Privatpersonen oder Einrichtungen, die keinen kommerziellen Zweck verfolgen. Werden mit den Webangeboten jedoch regelmäßig Einnahmen zum Beispiel durch bezahlte Werbung erzielt, gilt auch in diesem Fall das IT-SiG.

Das IT-Sicherheitsgesetz und der „Stand der Technik“

ITSiG-Pflichten

Das IT-Sicherheitsgesetz und der „Stand der Technik“

02.11.15 - Mit dem IT-Sicherheitsgesetz (ITSiG) werden vom Gesetzgeber Mindeststandards für die IT-Sicherheit von Betreibern besonders gefährdeter Infrastrukturen gefordert. Doch kann Sicherheit angeordnet werden? Welche technischen Herausforderungen stehen betroffenen Unternehmen ins Haus? lesen

Was versteht man unter Stand der Technik?

Das IT-Sicherheitsgesetz fordert organisatorische und technische Maßnahmen, die den Stand der Technik berücksichtigen. Allerdings handelt es sich bei dem Begriff "Stand der Technik" um einen unbestimmten Rechtsbegriff, der keine messbare Größe, sondern eher einen Grundsatz darstellt. Das BSI stellt lediglich fest, dass es nicht möglich ist den Begriff allgemeingültig und abschließend zu definieren. Er muss fall- und branchenspezifisch anhand praxisnaher Vorbilder bestimmt werden. Im Rahmen der regelmäßigen Melde- und Nachweispflicht kann unter Umständen festgestellt werden, ob die Maßnahmen dem geforderten Stand der Technik entsprechen. Für die Umsetzung sorgt der Begriff "Stand der Technik" für eine gewisse Unsicherheit. Im Zweifelsfall sind zahlreiche nationale und internationale Normen aus beispielsweise den DIN-, ISO-, DKE- oder ISO/IEC-Standardreihen zu berücksichtigen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Breitband bedroht Kritische Infrastrukturen

DDoS-Angriffe bald per Glasfaser

Breitband bedroht Kritische Infrastrukturen

Die Bundesregierung will das Internet breitbandig ausbauen – Security-Insider will von Marc Wilczek, Geschäftsführer von Link11 und Spezialist zur Abwehr von DDoS-Angriffen wissen, welche Maßnahmen zur Sicherung dieser Kapazität – etwa im Hinblick auf unsere kritischen Infrastrukturen – erforderlich sind, ob die Anwender diese tatsächlich umgesetzt haben und was das alles für den kriminellen Markt bedeutet. lesen

Teletrust aktualisiert Paper zum Stand der Technik

Was ist „Stand der Technik“ nach dem IT-Sicherheitsgesetz und DSGVO?

Teletrust aktualisiert Paper zum Stand der Technik

Das IT-Sicherheitsgesetz und die EU-Datenschutz-Grundverordnung (DSGVO) haben hohe Anforderungen an die technischen und organisatorischen Maßnahmen. In beiden soll sich am Stand der Technik orientiert werden. Der Bundesverband IT-Sicherheit (TeleTrusT) hat deshalb seinen Leitfaden zum Stand der Technik entsprechend aktualisiert. lesen

Security-Konzepte für Maschinen- und Anlagenbauer

Security-Normenreihe IEC 62443

Security-Konzepte für Maschinen- und Anlagenbauer

Für die Betreiber von Anlagen im Bereich der kritischen Infrastrukturen schreibt das IT-Sicherheitsgesetz ab 2018 die Einführung eines Security-Management-Systems vor. Aufgrund der aktuellen Bedrohungslage sollten jedoch alle Anlagenbetreiber Security-Maßnahmen umsetzen, um eine reibungslose Funktionsweise sicherzustellen und damit wirtschaftlichen Schaden zu vermeiden. lesen

Token für die Multi-Faktor-Authentifizierung (MFA)

Zweiter Faktor zum Schutz digitaler Identitäten

Token für die Multi-Faktor-Authentifizierung (MFA)

Passwörter sollen unsere digitalen Identitäten sowie unsere Daten schützen. Doch leider sind sie oft die größte Sicherheitsschwachstelle. Für echten Schutz kommt es auf mindestens einen weiteren Faktor an. Moderne Token im Rahmen einer Multi-Faktor-Authentifizierung (MFA) stellen eine solide Lösung dar – und User haben in diesem Bereich heute viele verschiedene Lösungen zur Auswahl. lesen

72-Stunden-Frist für ordnungsgemäße Meldungen

Meldepflicht im IT-Sicherheitsgesetz und in der DSGVO

72-Stunden-Frist für ordnungsgemäße Meldungen

Dass IT-Sicherheitsgesetz und die EU-Datenschutz-Grundverordnung bringen Meldepflichten mit sich, die gar nicht so einfach zu erfüllen sind. Vor allem bei Datenschutzpannen haben die Unternehmen nur 72 Stunden Zeit zu reagieren. lesen

Safety, Security und Privacy in der Medizintechnik

Digitalisierung im Gesundheitswesen

Safety, Security und Privacy in der Medizintechnik

Digitalisierung ist der nächste große Trend im Gesundheitswesen. Vernetzte Medizingeräte müssen dabei dennoch sicher bleiben, vor Datenklau und Manipulation. Experten sind sich einig: Unternehmen müssen deutlich mehr Zeit und Geld in den Schutz der Systeme und der Patientendaten investieren um Datensicherheit und DSGVO-Compliance sicherstellen zu können. lesen

Melde- und Nachweispflicht für KRITIS-Betreiber

Countdown zum IT-Sicherheitsgesetz

Melde- und Nachweispflicht für KRITIS-Betreiber

Das IT-Sicherheitsgesetz (IT-SiG) will ein gesetzlich verbindliches Mindestniveau an IT-Sicherheit erreichen. Als erstes sind KRITIS-Betreiber aus den Bereichen IKT, Energie, Wasser und Ernährung betroffen. Bis Mai 2018 müssen sie ihre IT nach dem Stand der Technik absichern. Ein Dokumentenmanagement-System (DMS) kann bei der transparenten Dokumentation der Maßnahmen helfen. lesen

DSGVO sorgt mit „Stand der Technik“ für Verwirrung

Datenschutz-Grundverordnung, Artikel 32

DSGVO sorgt mit „Stand der Technik“ für Verwirrung

Die Datenschutz-Grundverordnung sorgt bei vielen Unternehmen ohnehin schon für reichlich Stress, aber eine spezielle Anforderung der DSGVO sorgt für besondere Verwirrung: Artikel 32 verpflichtet Unternehmen, ihre Daten dem „Stand der Technik“ entsprechend zu schützen. Das Problem dabei: IT-Entscheider und Hersteller sind sich in der Interpretation dieser Vorgabe alles andere als einig. lesen

ISO 27001 richtig umsetzen und verstehen

Security Compliance

ISO 27001 richtig umsetzen und verstehen

Viele IT-Entscheider stehen unter Zeitdruck, denn ab Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) anwendbar. Zudem überarbeiten viele Organisationen ihre Sicherheitsstandards und durch das IT-Sicherheitsgesetz gelten für Betreiber Kritischer Infrastruktur (KRITIS) ebenfalls neue Vorgaben. Das größte Problem ist die Umsetzung in der Praxis, wirklich brauchbare Leitfäden sind aber schwierig zu finden. Daher lohnt ein genauer Blick auf bestehende Normen wie die ISO 27001. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44895095 / Definitionen)