22.04.2021

IT-Sicherheit

Die Bundesregierung hat den Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vorgelegt.

Hintergrund
Cyber-Angriffe stellen für Staat, Wirtschaft und Gesellschaft ein großes Gefahrenpotential dar, so die Bundesregierung. Die Angriffe würden qualitativ immer ausgefeilter und somit für alle Betroffenen auch gefährlicher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachte einen stetigen Anstieg von Schadprogrammen, jährlich kämen mehr als 100 Millionen neue Varianten hinzu. Die Schadsoftware „Emotet“ dominiere bereits seit Jahren die Gefährdungslage. Vorfälle wie die Ransomware „WannaCry“ verdeutlichten die Situation. Mittlerweile würden Daten bei Ransomware-Angriffen nicht mehr nur verschlüsselt, sondern zudem vorher kopiert und ausgeleitet. Auch die Aufdeckung von Schwachstellen in Computerchips wie „Meltdown“ und „Spectre“ machten die Anfälligkeit für Sicherheitslücken besonders deutlich. Daneben habe der zu Beginn des Jahres 2018 in den Medien bekanntgewordene Angriff auf die Kommunikationsinfrastrukturen des Auswärtigen Amtes deutlich gemacht, dass der Staat seine Schutzmaßnahmen anpassen müsse. Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärfe die Situation zusätzlich. Diese Geräte würden teilweise nicht unter Sicherheitsaspekten entwickelt und ließen sich hierdurch zu großen Bot-Netzen zusammenschalten.
Insgesamt ist Cyber-Sicherheit nicht statisch, ein aktuelles Schutzniveau sei daher kein Garant für eine erfolgreiche Abwehr der Angriffe von morgen. Daher bedürfe es einer ständigen Anpassung und Weiterentwicklung der Schutzmechanismen und der Abwehrstrategien.
Wesentlicher Inhalt
Der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 geschaffene Ordnungsrahmen soll durch das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz – IT-Sicherheitsgesetz 2.0) erweitert werden. Schwerpunktmäßig sollen folgende Änderungen vorgenommen werden:
– Verbesserung des Schutzes der IT der Bundesverwaltung u.a. durch weitere Prüf- und Kontrollbefugnisse des BSI und Festlegung von Mindeststandards durch das BSI.
– Schaffung von Befugnissen zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze.
– Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren.
– Befugnis für das BSI, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren sowie Einsatz von Systemen und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden.
– Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit.
– Ausweitung der Pflichten für Betreiber Kritischer Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse.
– Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten.
– Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI.
– Schaffung der Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen, das die IT-Sicherheit der Produkte sichtbar macht.
– Überarbeitung des Bußgeldregimes.
Weiterführende Hinweise:
BR-Drs. 16/21