Header Gesetzliche Anforderungen IT-Sicherheitsgesetz ITSiG
Header Gesetzliche Anforderungen IT-Sicherheitsgesetz ITSiG mobil
Sie befinden sich hier: Start > Gesetzliche Anforderungen > IT-Sicherheitsgesetz (ITSiG)

IT-Sicherheitsgesetz (ITSiG)

Verabschiedet:
12.06.2015

In Kraft getreten:
17.07.2015

Betroffen:
Kritische Infrastrukturen

Deutschland gehört zu den führenden industriellen und technologieorientierten Ländern der Welt. Um sich in seiner Rolle in den globalen Märkten behaupten und den Wohlstand und die Sicherheit der eigenen Bevölkerung sichern zu können, muss es sich auf eine hoch performante und reibungsfrei funktionierende Infrastrukturen verlassen können. Eine ernsthafte Unterbrechung oder Störung von entscheidenden Infrastrukturen, beispielsweise der Ausfall einer Stromversorgung, kann zu schwerwiegenden Folgen in unserer Gesellschaft führen. Die Bundesregierung definiert diese Kritischen Infrastrukturen wie folgt:

„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Die Verfügbarkeit und Sicherheit der IT-Systeme von Kritischen Infrastrukturen spielen für die Bundesregierung eine elementare Rolle. Seit 2015 behandelt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) den Schutz der IT-Sicherheit in Unternehmen. Am 3. Mai 2016 ist der erste Teil der BSI-Kritisverordnung (§10 BSI-Gesetz) zur Umsetzung des IT-Sicherheitsgesetzes mit den Sektoren Energie, Wasser, Ernährung und Informationstechnik & Telekommunikation in Kraft getreten. Die erste Verordnung zur Änderung der BSI-Kritisverordnung vom 30. Juni 2017 ergänzte die Kritische Infrastrukturen um die Sektoren Finanz- und Versicherungswesen, Gesundheit und Transport & Verkehr.

Schutzziele

Nach §8a des IT-Sicherheitsgesetzes (ITSiG) sind Betreiber Kritischer Infrastrukturen verpflichtet, spätesten zwei Jahre nach Inkrafttretung der Verordnung, also seit dem 18. Juli 2017, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme […] zu treffen.“ Diese Anforderungen setzen den Einsatz eines Log Managements voraus und sind wie folgt zu verstehen:

Verfügbarkeit

Die Verfügbarkeit von informationstechnischen Systemen und Komponenten ist vorhanden, wenn diese stets gemäß ihrem Zweck und Funktionsumfang genutzt werden können.

Integrität

Die Integrität bezieht sich insbesondere auf die Daten. Dabei ist die Integrität vorhanden, wenn sichergestellt ist, dass die gesendeten Daten den Empfänger unverändert und vollständig erreichen.

Vertraulichkeit

Die Vertraulichkeit ist gegeben, wenn die schützenswerten Daten nur in der zulässigen Art und Weise ausschließlich an die Befugten verfügbar gemacht werden.

Authentizität

Die Authentizität ist vorhanden, wenn die eindeutige Identität der Kommunikationspartner (aber auch der kommunizierenden Komponenten) sichergestellt ist. Diese Identität lässt sich nur über eine saubere Protokollierung und Alarmierung festhalten, indem jeder Zugriff auf ein kritisches Datum überwacht wird.

Kritische Infrastrukturen nach Sektoren

Energie

Kritische Infrastrukturen nach Sektoren: Elektrizität
Kritische Infrastrukturen nach Sektoren: Gas
Kritische Infrastrukturen nach Sektoren: Mineralöl

Ernährung

Kritische Infrastrukturen nach Sektoren: Ernährungswirtschaft
Kritische Infrastrukturen nach Sektoren: Lebensmittelhandel

Finanz- und Versicherungswesen

Kritische Infrastrukturen nach Sektoren: Banken
Kritische Infrastrukturen nach Sektoren: Börsen
Kritische Infrastrukturen nach Sektoren: Finanzdienstleister
Kritische Infrastrukturen nach Sektoren: Versicherungen

Gesundheit

Kritische Infrastrukturen nach Sektoren: Arzneimittel und Impfstoffe
Kritische Infrastrukturen nach Sektoren: Labore
Kritische Infrastrukturen nach Sektoren: Medizinische Versorgung

Informationstechnik und Telekommunikation

Kritische Infrastrukturen nach Sektoren: Informationstechnik
Kritische Infrastrukturen nach Sektoren: Telekommunikation

Transport und Verkehr

Kritische Infrastrukturen nach Sektoren: Luftfahrt
Kritische Infrastrukturen nach Sektoren: Seeschifffahrt
Kritische Infrastrukturen nach Sektoren: Binnenschifffahrt
Kritische Infrastrukturen nach Sektoren: Schienenverkehr
Kritische Infrastrukturen nach Sektoren: Straßenverkehr
Kritische Infrastrukturen nach Sektoren: Logistik

Wasser

Kritische Infrastrukturen nach Sektoren: Wasserversorgung
Kritische Infrastrukturen nach Sektoren: Abwasserversorgung

Weitere Vorschriften aus der Regulatorik