Kommunikationstechnik gegen Cyberangriffe BSI-Gesetz: Für mehr Sicherheit im Internet Autor: Gero Appel
Cybersicherheit ist mittlerweile in jedem Unternehmen ein Thema. Als Folge der Digitalisierung müssen viele Unternehmen nachrüsten, da sie nur unzureichend auf das Zeitalter der Technik vorbereitet sind. Gerade im Bereich Cybersicherheit sind oft klare Mängel festzustellen. Ein Großteil der Unternehmen ist anfällig gegenüber Hackerangriffen oder Phishingversuchen. Das BSI-Gesetz soll die Sicherheit der Unternehmen im Internet stärken und die IT-Infrastruktur langfristig schützen. Was es mit dem BSI-Gesetz genau auf sich hat, welchen Nutzen es hat und wie euer Unternehmen BSI zertifiziert wird, das erfahrt ihr hier.
Themen in diesem Beitrag
Leistungen Erstklassige Absicherung ab 83,- EUR mtl.
- Bestellung von Fachkraft für Arbeitssicherheit und Betriebsarzt
- Erstellung von Gefährdungsbeurteilungen, Unterweisungen und vieles mehr
- Dauerhafte Preisgarantie
Was ist das BSI-Gesetz?
Das BSI-Gesetz ist ein deutsches Bundesgesetz, welches die Sicherheit im Internet regelt. Seit 2009 gibt das Gesetz die Aufgaben des Bundesamtes für Sicherheit (BSI) vor. Im Jahr 1991 trat es zum ersten Mal in Kraft, zur Errichtung des Bundesamtes für Sicherheit und Informationstechnik. Das Gesetz soll die Sicherheit von informationstechnischen Systemen (IT-Systemen) stärken und die IT-Infrastruktur des Landes vor Angriffen schützen. Es gilt für alle Unternehmen, die in Deutschland ansässig sind und IT-Systeme betreiben.
Das Gesetz sieht vor, dass Unternehmen bestimmte Sicherheitsmaßnahmen ergreifen müssen, um ihre IT-Systeme vor Angriffen zu schützen. Dazu gehören zum Beispiel die regelmäßige Überprüfung der Sicherheitseinstellungen, die Einführung eines Notfallplans für den Fall eines Cyberangriffs sowie die Schulung der Mitarbeiter in Sachen Cybersicherheit. Außerdem müssen Unternehmen laut BSI-Gesetz einen Cybersecurity Officer ernennen, der für die Umsetzung der Sicherheitsmaßnahmen verantwortlich ist.
Falls ein Unternehmen gegen das BSI-Gesetz verstößt, können Bußgelder in Höhe von bis zu 100 Millionen Euro verhängt werden.
Erweiterung des BSI-Gesetzes durch das IT-Sicherheitsgesetz 2.0
Am 28. Mai 2021 ist das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in Kraft gesetzt. Das IT-Sicherheitsgesetz 2.0, oder auch IT-SiG 2.0 ist ein sogenanntes Artikelgesetz. Das bedeutet, es ändert mehrere, thematisch nicht unbedingt zusammenhängende Gesetze. Die betroffenen Gesetze des IT-SiG 2.0 sind:
- das BSI-Gesetz,
- das Telekommunikationsgesetz,
- das Energiewirtschaftsgesetz,
- die Außenwirtschaftsverordnung,
- das SGB X.
Die meisten Änderungen des IT-SiG 2.0 beziehen sich auf Änderungen des BSI-Gesetzes. Insgesamt 15 der 17 Seiten. Das BSI ist nach dem aktualisierten IT-Sicherheitsgesetz 2.0 die zentrale Organisation für Informationssicherheit im nationalen Kontext. Es wird künftig als Informationszentrum für die Abwehr von IT-Risiken fungieren. Damit wird das BSI in allen Fragen der IT-Sicherheit auch die Meldestelle für die Betreiber:innen von kritischen Infrastrukturen sein. Das Aufgabenspektrum des BSI hat dadurch stark an Komplexität gewonnen.
So fungiert das BSI im Rahmen des überarbeiteten Tätigkeitskatalogs nun ebenfalls als nationale Behörde für die Cyber-Zertifizierung. Darüber hinaus ist die Behörde für die Erarbeitung von Spezifikationen und die umfassende Bewertung von Identitäts- und Authentifizierungsverfahren unter dem Aspekt der IT-Sicherheit zuständig.
Warum ist das BSI-Gesetz wichtig?
Betreiber:innen kritischer Infrastrukturen sind verpflichtet, dem BSI regelmäßig nachzuweisen, dass sie den Stand der IT-Sicherheit nach der aktuellen BSIG § 8a einhalten. Werden Sicherheitsmängel festgestellt, kann das BSI in Abstimmung mit den Aufsichtsbehörden deren Beseitigung anordnen. Darüber hinaus fungiert das BSI gemäß § 8b BSIG als primäre Meldestelle für die IT-Sicherheit kritischer Infrastrukturen.
Wenn größere IT-Störungen die Verfügbarkeit wichtiger Dienste beeinträchtigen könnten, müssen die Betreiber:innen das BSI informieren. Demgegenüber hat das BSI die Aufgabe, für die kritischen Betreiber:innen und die verantwortlichen (Aufsichts-)Behörden relevante Daten zur Bekämpfung von Angriffen auf die IT-Sicherheit kritischer Infrastrukturen zu sammeln und auszuwerten.
Was sind die Aufgaben des BSI?
Das „Gesetz zur Stärkung der Informationssicherheit des Bundes“ legt den Auftrag des BSI fest (BSI-Gesetz). Ziel des BSI ist es, durch die proaktive Förderung der Informations- und Cybersicherheit die sichere Nutzung der Informations- und Kommunikationstechnik in unserer Gesellschaft voranzutreiben und zu ermöglichen. IT-Sicherheit soll als wichtiges Thema in Staat, Wirtschaft und Gesellschaft akzeptiert und mit Hilfe des BSI eigenständig umgesetzt werden.
Um Anwender bei der Vermeidung von Risiken zu unterstützen, entwickelt das BSI beispielsweise praxisorientierte Mindeststandards und zielgruppenspezifische Handlungsempfehlungen zur IT- und Internetsicherheit. Das BSI ist auch für die Absicherung der IT-Infrastruktur des Bundes zuständig. Dazu gehört der Schutz vor Trojanern, Viren und anderen technischen Bedrohungen für die Systeme und Netze des Bundes. Der Innenausschuss des Deutschen Bundestages erhält hierzu einmal jährlich einen Bericht des BSI.
Weitere Aufgaben des BSI sind:
- Abwehr von Angriffen auf Regierungsnetzwerke, Erkennung von Angriffen auf die Netzwerke der Bundesregierung und Netzwerkschutz,
- Evaluierung, Zertifizierung und Akkreditierung von IT-Dienstleistungen und -Produkten,
- Meldung von Schadsoftware oder Sicherheitsmängeln in IT-Gütern und -Dienstleistungen,
- IT-Sicherheitsberatungsdienste für die Bundesregierung und andere Zielgruppen,
- Information und Aufklärung der Öffentlichkeit über IT- und Internetsicherheit,
- Erstellung von standardisierten, rechtlich verbindlichen IT-Sicherheitsrichtlinien,
- Schaffung von Kryptosystemen für die staatliche IT.
Was ist eine BSI-Zertifizierung?
Die moderne Kommunikations- und Informationstechnologie ist in vielen Lebens- und Arbeitsbereichen nicht mehr wegzudenken. Da der Informationstechnologie jedoch immer mehr sensible Daten anvertraut werden, sind mit den Möglichkeiten, die dieser Fortschritt bietet, auch die Gefahren deutlich gestiegen. Die Verlässlichkeit und Sicherheit der Informationstechnologie sind eine wesentliche Voraussetzung für das effiziente Funktionieren wichtiger gesellschaftlicher Komponenten. Sicherheitsmerkmale müssen ein grundlegender Bestandteil der modernen Informationstechnologie sein, um die mit ihrer Nutzung verbundenen Gefahren zu verringern.
Für große Nutzergruppen ist die technische Funktionsweise von IT-Gütern und -Systemen nicht mehr transparent. Aber nur wenn sich die Verbraucher auf ihre Anwendung verlassen können, wächst das Vertrauen in die Informationstechnologie. Dies gilt insbesondere für die Datensicherheit. Die Prüfung, Bewertung und Zertifizierung von IT-Systemen und -Produkten nach einheitlichen Standards durch unabhängige, vom BSI anerkannte Prüforganisationen ist eine Möglichkeit, die Transparenz über die Sicherheitseigenschaften von IT-Produkten zu fördern.
Welchen Nutzen hat eine Zertifizierung?
Das BSI verspricht, dass die Prüfung unvoreingenommen, einheitlich und objektiv sein wird. Auch an der Formulierung der Sicherheitskriterien ist das BSI maßgeblich beteiligt. Die technische Prüfung eines Produktes erfolgt in der Regel durch vom BSI anerkannte und lizenzierte Prüfstellen, nachdem ein Zertifizierungsantrag gestellt wurde. Den Antragsteller:innen steht es frei, eine beliebige Prüfstelle für die Durchführung des Prüfverfahrens auszuwählen und zu beauftragen. Die Prüfstellen stehen neben dem BSI für die Beratung über alle Aspekte des Verfahrens zur Verfügung.
Anbieter von IT-Produkten und -Dienstleistungen können mit Hilfe von Zertifizierungen das Sicherheitsniveau ihrer Angebote eindeutig nachweisen. Um das geforderte Informationssicherheitsniveau bei der Nutzung dieser Güter und Lösungen zu erreichen, können die Nutzer:innen von zertifizierten IT-Produkten und -Lösungen bestimmen, für welche Anwendungsbereiche die IT-Produkte und -Dienstleistungen akzeptabel sind und welchen Beitrag die Nutzer:innen selbst leisten müssen.
Was sind die “Regierungsnetze”?
Die Infrastruktur für eine sichere und zuverlässige Sprach- und Datenkommunikation zwischen den obersten Bundesbehörden und Verfassungsorganen wird als „Regierungsnetze“ bezeichnet. Die Infrastruktur hierfür und für die interne Kommunikation der Bundesbehörden steht über den Informationsverbund Berlin-Bonn (IVBB) zur Verfügung, der elektronische Informations-, Kommunikations- und Transaktionsdienste bereitstellt. Ergänzt wird er durch den Informationsverbund der Bundesverwaltung (IVBV), an den die kommunalen Bundesverwaltungen angeschlossen sind.
Der Umzug des Deutschen Bundestages und der Bundesregierung nach Berlin war der Anstoß für den Aufbau des Informationsverbundes Berlin-Bonn. Ziel war es, mit Hilfe modernster und sicherer Informations- und Kommunikationstechnik die Aufgabenteilung zwischen Berlin und Bonn zu ermöglichen. Noch vor dem Umzug von Regierung und Verwaltung im Januar 1999 nahm der IVBB seine Arbeit auf.
Das Informationsnetz ist vor allem für die Bundesbehörden mit Sitzen an mehreren Standorten von großer Bedeutung. Der Bundestag, der Bundesrat, das Bundeskanzleramt, die Bundesministerien, der Bundesrechnungshof und die Sicherheitsorgane in Berlin, Bonn und anderen Städten gehören zu den Organisationen, die den IVBB nutzen.
Welche Bedrohungen gibt es für die IT-Systeme in Deutschland?
In Deutschland bestehen vor allem folgende Bedrohungen für die IT-Systeme: Cyberangriffe auf Unternehmen, Behörden und Organisationen:
- Angriffe auf kritische Infrastrukturen,
- Sabotageakte gegen IT-Systeme,
- Datendiebstahl,
- Betrug mit digitalem Identitätsraub,
- Phishingangriffe.
Was ist ein Cyberangriff?
Ein Cyberangriff ist eine Attacke auf computergestützte Systeme, Netzwerke oder Daten mit dem Ziel, diese zu manipulieren oder unbrauchbar zu machen sowie den Betrieb von Unternehmen und Organisationen lahmzulegen. Die Cyberangreifer:innen nutzen dabei unter anderem Computerviren, Trojaner und Spyware. In diesem Beitrag erfahrt ihr mehr dazu.
Welche Folgen hat ein Cyberangriff?
Die Folgen eines Cyberangriffs können je nach Schweregrad sehr unterschiedlich ausfallen: Von der Störung des Betriebsablaufs bis hin zu erheblichen Schäden an Reputation und Image; vom Datendiebstahl bis hin zur Zerstörung von IT-Systemen; von finanziellen Verlusten bis hin zu existenzbedrohendem Schaden.
Was ist Phishing?
Phishing ist eine Methode des Internetbetrugs, bei der Kriminelle mittels gefälschter E-Mails oder Websites versuchen, illegal an sensible Daten wie Benutzernamen, Passwörter, Kreditkartennummern oder Gesundheitsdaten heranzukommen. Um sich vor Phishing Attacken zu schützen, solltet ihr folgende Regeln beachten: Seid misstrauisch bei Mails mit Anhängen von unbekannten Absendern sowie gefälschten Links und Websites; Öffnet keine Anhänge in verdächtigen Mails und klickt nicht auf verdächtige Links; Verwendet auf keinen Fall die im Mail angegebenen Kontaktdaten; Gebt niemals eure Zugangsdaten zu Online-Diensten wie E-Mail, soziale Netzwerke oder Online-Banking per Mail oder über verdächtige Links preis.
Wie könnt ihr die Sicherheit im Internet verbessern?
Um einige grundlegende Richtlinien für die verantwortungsvolle Nutzung von Online-Diensten und internetfähigen Geräten befolgen, müsst ihr keine Expert:innen für IT-Sicherheit sein. Achtet genau auf den Online-Zugang für soziale Medien, Online-Banking und E-Mail. Es ist wichtig, ausreichend komplizierte und sichere Passwörter zu verwenden und, wenn möglich, eine Zwei-Faktor-Authentifizierung einzusetzen. Daran sollte kein Weg vorbeiführen.
Außerdem muss das Gerät, das ihr verwendet, gut abgesichert sein. Der wichtigste Ratschlag in diesem Fall ist die Verwendung eines aktuellen Virenschutzes, der eine Firewall umfassen sollte, sowie die sofortige (wenn möglich automatische) Installation von Sicherheitsupdates. Nicht nur der heimische Router, auch Laptops, Handys oder Tablets gehören dazu. Vor dem Kauf oder der Nutzung weiterer vernetzter Produkte mit Bluetooth- oder WLAN-Schnittstelle, wie Überwachungskameras, Drohnen, Kühlschränke oder Staubsaugerroboter, ist es wichtig, auf regelmäßige Updates und andere Sicherheitseinstellungen zu achten. Hier ist eine Schnellübersicht an Tipps zur sicheren Nutzung des Internets:
- Passt euren Webbrowser an und aktualisiert ihn regelmäßig,
- Haltet euer Betriebssystem und andere Software aktuell,
- Nutzt einen Virenschutz und Firewall zum Browsen,
- Schützt eure Online- und Benutzerkonten mit sicheren Passwörtern,
- Seid vorsichtig bei E-Mails und unbekannten Anhängen,
- Vorsicht bei Downloads von Programmen und ähnlichem,
- Gebt eure persönlichen Daten nicht freigiebig weiter,
- Schützt eure Daten mit Verschlüsselungen,
- Fertigt regelmäßige Sicherheitskopien, Backups, an.
Immer gut vorbereitet mit der Arbeitssicherheit Sofort
Im Bereich der Cybersicherheit gibt es viel zu beachten. Unternehmen, die nicht ausreichend vorbereitet sind, laufen Gefahr, wichtige Daten zu verlieren oder Opfer eines Betrugs zu werden. Die Arbeitssicherheit Sofort unterstützt euch in allen Belangen zur Arbeitssicherheit im Unternehmen. Wir stellen euch alle gesetzlich geforderten Unterweisungen und viele mehr auf unserer Web-Plattform SMART CAMPUS zur Verfügung. Dazu zählt auch die Cybersicherheit im Unternehmen. Holt euch jetzt euer unverbindliches Angebot ein. Folgt uns auch gerne auf LinkedIn, um immer auf dem neuesten Stand zu sein. Wir freuen uns auf eure Anfrage!
Angebot Jetzt unverbindliches Angebot anfordern
- Bestellung von Fachkraft für Arbeitssicherheit und Betriebsarzt
- Erstellung von Gefährdungsbeurteilungen, Unterweisungen und vieles mehr
- Rechtlich perfekt abgesichert
Beitragsbild: © Shutterstock, Fit Ztudio