IT-Sicherheitsgesetz (ITSiG)

Deutschland gehört zu den führenden industriellen und technologieorientierten Ländern der Welt. Um sich in seiner Rolle in den globalen Märkten behaupten und den Wohlstand und die Sicherheit der eigenen Bevölkerung sichern zu können, muss es sich auf eine hoch performante und reibungsfrei funktionierende Infrastrukturen verlassen können. Eine ernsthafte Unterbrechung oder Störung von entscheidenden Infrastrukturen, beispielsweise der Ausfall einer Stromversorgung, kann zu schwerwiegenden Folgen in unserer Gesellschaft führen. Die Bundesregierung definiert diese Kritischen Infrastrukturen wie folgt:

„Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Die Verfügbarkeit und Sicherheit der IT-Systeme von Kritischen Infrastrukturen spielen für die Bundesregierung eine elementare Rolle. Seit 2015 behandelt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) den Schutz der IT-Sicherheit in Unternehmen. Am 3. Mai 2016 ist der erste Teil der BSI-Kritisverordnung (§10 BSI-Gesetz) zur Umsetzung des IT-Sicherheitsgesetzes mit den Sektoren Energie, Wasser, Ernährung und Informationstechnik & Telekommunikation in Kraft getreten. Die erste Verordnung zur Änderung der BSI-Kritisverordnung vom 30. Juni 2017 ergänzte die Kritische Infrastrukturen um die Sektoren Finanz- und Versicherungswesen, Gesundheit und Transport & Verkehr.

Schutzziele

Nach §8a des IT-Sicherheitsgesetzes (ITSiG) sind Betreiber Kritischer Infrastrukturen verpflichtet, spätesten zwei Jahre nach Inkrafttretung der Verordnung, also seit dem 18. Juli 2017, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme […] zu treffen.“ Diese Anforderungen setzen den Einsatz eines Logmanagements voraus und sind wie folgt zu verstehen:

Verfügbarkeit

Die Verfügbarkeit von informationstechnischen Systemen und Komponenten ist vorhanden, wenn diese stets gemäß ihrem Zweck und Funktionsumfang genutzt werden können.

Integrität

Die Integrität bezieht sich insbesondere auf die Daten. Dabei ist die Integrität vorhanden, wenn sichergestellt ist, dass die gesendeten Daten den Empfänger unverändert und vollständig erreichen.

Vertraulichkeit

Die Vertraulichkeit ist gegeben, wenn die schützenswerten Daten nur in der zulässigen Art und Weise ausschließlich an die Befugten verfügbar gemacht werden.

Authentizität

Die Authentizität ist vorhanden, wenn die eindeutige Identität der Kommunikationspartner (aber auch der kommunizierenden Komponenten) sichergestellt ist. Diese Identität lässt sich nur über eine saubere Protokollierung und Alarmierung festhalten, indem jeder Zugriff auf ein kritisches Datum überwacht wird.

Kritische Infrastrukturen nach Sektoren

Energie

Ernährung

Finanz- und Versicherungswesen

Gesundheit

Informationstechnik und Telekommunikation

Transport und Verkehr

Wasser