Veränderungen durch das IT-Sicherheitsgesetz 2.0 und Redispatch 2.0

Dieser Artikel ist Teil der Reihe „Inside KRITIS: Wichtige Veränderungen für Betreiber kritischer Infrastrukturen in 2023“, die sich an Betreiber kritischer Infrastrukturen richtet und zum Ziel hat, wichtige Veränderungen sowohl vorzustellen als auch deren Implikationen hinsichtlich ihrer Ausmaße einzuordnen. Der Fokus in diesem Artikel liegt auf dem IT-Sicherheitsgesetz 2.0, während sich der zweite Teil der Reihe mit den Vorgaben zu Redispatch 2.0 beschäftigt.

Das IT-Sicherheitsgesetz 2.0

In den folgenden zwei Abschnitten werden zunächst grundlegende Informationen zu den IT-Sicherheitsgesetzen präsentiert, bevor in den hieran anschließenden Ausführungen detaillierter auf die erforderlichen Umsetzungsmaßnahmen, Kriterien sowie zu erwartende Unterstützungen eingegangen wird.

IT-Sicherheitsgesetz 1.0 – Welche gesetzlichen Vorgaben haben bisher existiert?

Seit dem Juli 2015 existiert das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz oder IT-SiG 1.0) um die digitale Infrastruktur Deutschlands abzusichern [1]. Das Gesetz hat zum Ziel, die IT-Sicherheit sowohl bei Unternehmen und in der Bundesverwaltung zu erhöhen als auch den Schutz von Bürgerinnen und Bürgern zu verbessen. Ein besonderer Fokus lag von Anfang an auf der Absicherung kritischer Infrastrukturen (KRITIS) wie der Strom- und Wasserversorgung oder dem Gesundheitswesen. Durch das IT-SiG 1.0 wurde den KRITIS-Betreibern ein Mindestniveau an IT-Sicherheit sowie Meldepflichten bei Störungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgeschrieben [2]. Beispiele hierfür sind die Absicherung der IT-Systeme nach dem Stand der Technik inklusive einer Sicherheitsüberprüfung alle zwei Jahre oder die Berichterstattung bei erheblichen IT-Störungen mit einer Auswirkung auf die Verfügbarkeit der kritischen Dienstleistung.

Das IT-Sicherheitsgesetz 2.0 – Motivation und Hintergrund

Nicht zuletzt aufgrund zahlreicher Sicherheitsvorfälle im Umfeld der kritischen Infrastrukturen wurde im April 2021 eine Überarbeitung und Weiterentwicklung des IT-SiG 1.0 verabschiedet. Durch die Erfüllung erweiterter Melde- und Kontrollpflichten durch KRITIS-Betreiber profitieren diese von einer sicherheitstechnischen Unterstützung durch das BSI. Die neu eingeführten Aspekte werden in den folgenden Abschnitten jeweils genauer vorgestellt.

Obwohl einzelne Neuerungen eine rechtzeitige Planung der technischen Implementierung und der organisationalen Vorbereitung benötigen, fügen sich diese passend als Erweiterung der Maßnahmen aus dem IT-SiG 1.0 ein. Ein entsprechendes Beispiel ist der Ausbau der bereits bestehenden Zusammenarbeit von KRITIS-Betreibern mit dem BSI.

Den zeitlichen Kontext betrachtend wurde das Gesetz bereits am 23. April 2021 verabschiedet [3]. Während die Umsetzung einiger Maßnahmen allerdings bereits erfolgt sein oder so schnell wie möglich nachgeholt werden sollte, läuft etwa die Umsetzungsfrist für die Implementierung von Systemen zur Angriffserkennung sowie der dazugehörigen Nachweiserbringung bis zum 01. Mai 2023 [4]. Betreiber kritischer Infrastrukturen haben also nicht mehr viel Zeit, die restlichen Maßnahmen umzusetzen. Insbesondere, da bereits in kaum mehr als einem halben Jahr erste Nachweise zur Umsetzung dieser Maßnahmen eingereicht werden müssen.

Wie das BSI künftig mit KRITIS-Betreibern zusammenarbeitet und diese unterstützt

Ein zentrales Instrument zur Stärkung der IT-Sicherheit ist die Erweiterung der Kompetenzen des BSI als Cyber-Sicherheitsbehörde. Dabei wird dem Bundesamt die Berechtigung zur proaktiven Detektion von Sicherheitslücken und zur Abwehr von Cyber-Angriffen eingeräumt. Beispielsweise darf die Behörde unter bestimmten Umständen Penetrationstests an staatlicher, öffentlich erreichbarer IT-Infrastruktur ausüben – wozu kritische Infrastrukturen gezählt werden [4]. Zusätzlich wird das BSI zur zentralen Meldestelle für KRITIS-Betreiber, Unternehmen im besonderen öffentlichen Interesse sowie deren Zulieferer [5]. Infolgedessen verändert sich die Rolle des BSI für Betreiber kritischer Infrastrukturen von einer limitierten Berichts- und Kontrollstelle zu einem aktiven Partner bei der Verbesserung der Informationssicherheit.

Außerdem wird die weitere Maßnahme „IT-Sicherheitskennzeichen“ im Sinn des Verbraucherschutzes eingeführt, mithilfe derer Bürger die Erfüllung von Sicherheitsstandards von vernetzten Produkten anhand eines QR-Codes überprüfen können sollen [6]. Diese Kennzeichnung ist als freiwillige Versicherung von Unternehmen zu verstehen und impliziert, dass durch das BSI definierte Vorgaben umgesetzt werden. Daher spielt es in der Praxis vorerst keine entscheidende Rolle für den Betrieb kritischer Infrastrukturen. Zur erfolgreichen Erfüllung der Nachweispflicht über die erfolgten Änderungen des IT-SiG 2.0 existiert eine hiervon unabhängige und vom BSI herausgegebene Orientierungshilfe, auf welche im Abschnitt über die unterstützenden Maßnahmen eingegangen wird.

Neue Pflichten für KRITIS-Betreiber hinsichtlich Reaktion, Erkennung und Schutz bei Angriffen

Die beiden essenziellsten Neuerungen hinsichtlich der Sicherheitsvorkehrungen für KRITIS-Betreiber umfassen die Implementierung einer Angriffserkennung sowie die Erfüllung umfangreicher Meldepflichten bei erheblichen Störungen oder dem Einsatz kritischer Komponenten.

Gemäß des IT-SiG 2.0 soll die Angriffserkennung im laufenden Betrieb kontinuierlich die Detektion von Cyberangriffen anhand von Mustern ermöglichen und nach Möglichkeit auch vermeiden [4]. Darüber hinaus sieht das Gesetz im Falle einer Störung die Umsetzung von Beseitigungsmaßnahmen gemäß der KRITIS-Rechtsverordnung vor. Ergänzend hierzu umfasst die Meldepflicht eine strukturierte Berichterstattung bei erheblichen Störungen innerhalb der kritischen Infrastruktur sowie die Zurverfügungstellung aller notwendiger Informationen zur Bewältigung der Störung. Gegenüber dem Bundesministerium des Innern und für Heimat muss eine Meldung beim Einsatz einer kritischen Komponente – das sind IT-Produkte, deren Ausfall KRITIS-Anlagen erheblich beeinträchtigen kann – erfolgen [7].

Bei einem Verstoß gegen die gesetzlich auferlegten Pflichten kann der Tatbestand einer Ordnungswidrigkeit erfüllt sein, welche nach dem IT-SiG 2.0 mit einem stark erhöhten Bußgeld mit bis zu zwei Mio. Euro sanktioniert werden kann, wobei in Kombination mit anderen Vorschriften und Gesetzen auch höhere Strafen möglich sind [8].

Erwähnenswert ist außerdem die zugleich eingeführte Garantieerklärung der Hersteller von kritischen Komponenten, der die Erfüllung von Mindestanforderungen des Bundesinnenministeriums zusichern muss. In Ausnahmefällen darf der Einsatz bestimmter Komponenten sogar durch das Bundesinnenministerium untersagt werden. Die letzte in diesem Beitrag diskutierte Maßnahme, welche jedoch bereits seit dem 01. April 2022 umgesetzt sein muss, ist die Registrierung beim BSI als KRITIS-Betreiber.

Eine Übersicht der umzusetzenden Maßnahmen hinsichtlich ihres zeitlichen Umsetzungshorizonts ist in der folgenden Abbildung dargestellt:

Unterstützende Maßnahmen für KRITIS-Betreiber zur rechtskonformen Umsetzung der Anforderungen

Grundsätzlich gibt das IT-SiG 2.0 keinen expliziten technischen Anforderungskatalog vor, welcher durch Betreiber kritischer Infrastrukturen in spezieller Form erfüllt werden soll. Der Gesetzestext gibt beispielsweise etwa die kontinuierliche und automatische Erfassung „geeignete[r] Parameter und Merkmale aus dem laufenden Betrieb“ vor [9], ohne die verwendeten Begriffe genauer zu spezifizieren. Außerdem soll durch eine Auswertung der gesammelten Echtzeit-Daten die Identifikation und Vermeidung von Angriffen ermöglicht sowie der aktuelle „Stand der Technik eingehalten werden“. Im Falle eingetretener Störungen sind „geeignete Beseitigungsmaßnahmen“ anzuwenden. Jedoch überlässt das Gesetz KRITIS-Betreibern einen nicht genauer eingegrenzten Spielraum, nach welchem die Umsetzung dieser Maßnahmen nicht außer Verhältnis zu den möglichen Folgen eines Angriffs stehen muss [9].

Zur Konkretisierung des IT-Sicherheitsgesetzes und zur Unterstützung für KRITIS-Betreiber bei dessen Umsetzung erfolgte die Herausgabe zweier Dokumente, die im Folgenden vorgestellt werden.

In der KRITIS-Rechtsverordnung von 2021 [10] erfolgte eine Aktualisierung von Schwellenwerten und betroffenen Anlagen, bei welchen ein Unternehmen den Pflichten eines KRITIS-Betreibers nachkommen muss. Beispielsweise muss ein Unternehmen im Energiesektor, welches eine Erzeugungsanlage mit mehr als 104 Megawatt Leistung betreibt, diese Anlage registrieren und wird dadurch zu einem Betreiber der kritischen Infrastrukturen. Neben der Rechtsverordnung erfolgte vor kurzem die Herausgabe einer Orientierungshilfe durch das BSI Ende September 2022, welche die zu erfüllenden Anforderungen an die Umsetzung der Angriffserkennung konkretisiert [11]. Diese sind als Umsetzungsempfehlungen der Anforderungen zu verstehen, wobei das BSI in bereits früher veröffentlichten Orientierungshilfen den KRITIS-Betreibern einen Freiraum für Abweichungen von den Empfehlungen einräumt, sofern eine gleichwertige Alternativlösung verwendet wird [12].

Die Anforderungen sind auf die drei Bereiche Protokollierung, Erkennung und Reaktion untergliedert, deren Umsetzung – wie zuvor erläutert – erstmals ab dem 01. Mai 2023 und anschließend alle zwei Jahre gegenüber dem BSI nachgewiesen werden muss [9]. Beispielsweise umfassen diese Nachweise „sowohl allgemeine Informationen über Art und Umfang der durchgeführten Prüfungen als auch eine Liste der aufgedeckten Sicherheitsmängel“ [13]. Auf der Webpräsenz des Bundesamtes können die auszufüllenden Nachweisformulare heruntergeladen [13] sowie Hinweise zur erfolgreichen Nachweiserbringung [14] eingesehen werden. Dank der Orientierungshilfe wird ein konkretes Regelwerk zur Verfügung gestellt, wodurch KRITIS-Betreiber kein eigenes Sicherheitskonzept entwickeln müssen, sondern mit der Implementierung der darin aufgeführten Sicherheitsvorkehrungen mit einer erfolgreichen Nachweisprüfung rechnen können. Zusätzlich bietet das BSI eine kostenpflichtige Beratung an, in welcher vor allem die spezifischen Herausforderungen für spezielle Einsatzszenarios gelöst werden können [15]. Die Beratung erfolgt herstellerneutral, beinhaltet aber trotzdem konkrete Produktempfehlungen.

Es wird aufgrund der komplexen Natur der erforderlichen Anpassungen dazu geraten, sich mit den veröffentlichten Dokumenten vertraut zu machen. Bei offenen spezifischen oder individuellen Fragen können sich KRITIS-Betreiber zum Beispiel an Austauschplattformen und Organisationen wenden, einen externen Dienstleister beauftragen oder das Beratungsangebot des BSI wahrnehmen.

Zusammenfassung

Abschließend lässt sich zusammenfassen, dass mit dem IT-SiG 2.0 eine grundlegende Aktualisierung des IT-SiG 1.0 mit weitreichenden Änderungen und Anforderungen für KRITIS-Betreiber in Kraft tritt. Die enthaltenen Anforderungen sind allerdings eher als funktionale Vorgaben oder Voraussetzungen und nicht als detaillierte, technische Umsetzungsbedingungen zu verstehen. Hierdurch entstandene Unklarheiten zur Sicherstellung regulatorischer Konformität können durch begleitende Dokumentationen sowie zusätzliche Beratungsangebote des BSI beseitigt werden. Da die Umsetzungsfrist der letzten Maßnahme im Mai 2023 abläuft und bereits ab diesem Zeitpunkt Umsetzungsnachweise erbracht werden müssen, sollten sich KRITS Betreiber – sofern noch nicht geschehen – schnellstmöglich ihre individuelle Sicherheitssituation auf Konformität mit dem IT-SiG 2.0 überprüfen und mit der Implementierung erforderlicher Maßnahmen beginnen.

Disclaimer

Das IT-Sicherheitsgesetz ändert als Artikel- und Änderungsgesetz eine Vielzahl an bereits bestehenden Gesetzen wie dem Energiewirtschaftsgesetz, Telekommunikationsgesetz oder Telemediengesetz [16]. Dieser Beitrag dient als Übersichtsangebot, entbindet aber nicht von der Pflicht zur eigenverantwortlichen Auseinandersetzung mit den teils komplexen Anforderungen, welche für Organisationen entscheidend sein können. Ein erster Anlaufpunkt kann der Anwendungsbereich des Gesetzes sein, welcher die betroffenen Organisationen definiert [17]. Außerdem ist es möglich, dass zum Beispiel der europäische Kontext von zusätzlicher Relevanz ist [18].