IT-SiG 2.0: Handlungsbedarf bis Mai

05. April 2023, William Fendt

Bis Mai müssen bestimmte Unternehmen noch Maßnahmen umsetzen, die 2021 im IT-Sicherheitsgesetz 2.0 festgelegt wurden. Das betrifft vor allem Betreiber Kritischer Infrastrukturen und Organisationen im besonderen öffentlichen Interesse. Wo noch Handlungsbedarf besteht? Wie künftig Selbsterklärungen zur IT-Sicherheit abgegeben werden.

Kurz & knapp

Ein erweiterter Kreis der KRITIS-Unternehmen und solche „im besonderen öffentlichen Interesse“ müssen bestimmte IT-Sicherheitsmaßnahmen umsetzen.
Cyber-Sicherheit in den Mobilfunknetzen erfordert nun eine Regelung, die den Einsatz bestimmter kritischer Komponenten untersagen kann.
IT-rechtliche Verpflichtungen für Unternehmen bedürfen der Dokumentation zur Absicherung der IT.

Ab Mai wird es ernst: die Betreiber Kritischer Infrastrukturen müssen diese Vorschriften des Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz IT-SiG 2.0 – umsetzen, sonst kann es teuer werden. Aber es betrifft nicht nur KRITIS-Unternehmen. Denn es sind mit den UBI (Unternehmen im besonderen öffentlichen Interesse) neue Organisationen hinzugekommen, die – im Vergleich zu anderen Unternehmen – hohe Sicherheitsstandards erfüllen müssen. Und für die meisten unserer Kunden ist sicherlich der wichtigste Punkt: die Unternehmensgruppen, die Information über den Stand der IT-Sicherheit an das BSI melden müssen, wurde erweitert.

Im Folgenden wollen wir uns die Verpflichtungen der UBI etwas näher anschauen, denn sie haben konkrete und direkte Auswirkungen auf das Management von IT-Infrastruktur.

UBI – was ist das?

Zunächst ist es wichtig zu wissen, dass eine Organisation nur entweder in den Bereich der kritischen Infrastrukturen (KRITIS) oder in den Bereich UBI fallen kann. Dabei geht es ausschließlich um das Unternehmen in seiner Rechtsform. Innerhalb einer Firmengruppen kann ein Tochterunternehmen in KRITIS fallen, während ein anderes eventuell als UBI gilt. Letztere hat das Gesetz in drei Bereichen definiert:

UBI 1: Unternehmen der Rüstungsindustrie oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen
UBI 2: Die größten deutschen Unternehmen und deren wichtigste Zulieferer
UBI 3: Unternehmen, die mit potenziell gefährlichen Stoffen agieren

Je nach Bereich gelten eigene Vorschriften

Jeder UBI-Bereich hat zwar seine eigenen Vorschriften, wenn es um die IT-Sicherheit geht. Allerdings sind UBI 1 und UBI 2 grundsätzlich gleich geregelt mit der Pflicht zur Meldepflicht bei Sicherheitsvorfällen UND der Pflicht zur Selbsterklärung zur IT-Sicherheit. Für UBI 3 hingegen ist diese Selbsterklärung nicht notwendig. Natürlich gibt es auch noch weitere Unterschiede wie Differenzen in Meldefristen etc. Doch wollen wir uns auf die generellen Leitlinien beschränken.

Selbsterklärung zur IT-Sicherheit

Diese Selbsterklärung der Unternehmen umfasst drei wichtige Aspekte:

IT-Sicherheitszertifizierungen in den letzten zwei Jahren
Sonstige IT-Sicherheitsaudits und -Prüfungen in letzten 2 Jahren
Informationen über Schutz besonders schützenswerter IT-Systeme, Komponenten & Prozesse

Folglich müssen die betroffenen Unternehmen genau darüber Bescheid wissen, was im Unternehmen in der IT-Infrastruktur steckt. Es stellen sich Fragen wie:

Wie viele Server, PCs, Laptops, Tablets etc. habe ich überhaupt?
Mit welchem Betriebssystem?
Welche Anwendungen laufen auf den Systemen? Welche Version oder gar welche Buildnummer?
Sind sie gepatcht und auf dem neuesten Stand?

Sind diese Informationen nicht vorhanden, so dürfte insbesondere der dritte Punkt über den „Schutz besonders schützenswerter IT-Systeme, Komponenten und Prozesse“ schwierig zu erfüllen sein. Schließlich bedeutet das fehlende Wissen um den Stand der IT-Infrastruktur auch, nicht zu wissen, was besonders schützenwert ist und wie eine Absicherung dessen am besten gewährleistet ist.

Inventarisierung als erster Schritt

Das wiederum heißt, dass betroffene Unternehmen in einem Schritt eine umfassende Lösung zur Inventarisierung ihrer IT-Landschaft über alle Ebenen benötigen, um genau diese Informationen möglichst auf Knopfdruck zu erhalten.

Doch reicht es keineswegs aus zu wissen, was wo in welcher Version mit welchem Update läuft. Vielmehr geht es dann darum, den Schutz durch ein gut strukturiertes Updatemanagement stets auf dem neuesten Stand zu halten. Dabei gilt es auch, in komplexen IT-Infrastrukturen den Überblick über Hardware, Firmware, Betriebssysteme und Anwendungen zu behalten.

bMS unterstützt Compliance

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine Liste qualifizierter APT-Response-Dienstleister zur Verfügung, die Unternehmen im Bereich Advanced Persistent Threats entlasten. Doch auch eine leistungsfähige UEM-Lösung (Unified Endpoint Management) wie unsere baramundi Management Suite (bMS) unterstützt IT-Abteilungen dabei, die Vorgaben des IT-SiG 2.0 umzusetzen. Sie ermöglicht unseren Kunden in allen Marktsegmenten inkl. der kritischen Infrastruktur, neben der Inventarisierung und Aufnahme des Softwarestandes auch die Aktualität der verwendeten Anwendungen zu prüfen und bei Bedarf zu aktualisieren.

Bis Mai ist es nicht mehr weit, die Zeit drängt. Organisationen, die die Verpflichtungen aus dem IT-SiG 2.0 nicht fristgerecht umsetzen, drohen empfindliche Strafen. Unsere bMS liefert wertvolle Unterstützung dabei, nicht nur die Bußgelder zu vermeiden, sondern auch die gesamte Organisation besser zu schützen.

Digitale Transformation braucht hohe digitale Sicherheit

Eine sichere IT-Infrastruktur, wie das IT-Sicherheitsgesetz 2.0 es einfordert, ist für Unternehmen eine Grundvoraussetzung für die sich stetig weiterentwickelnden digitalen Anforderungen des Marktes. Mehr dazu erfahren Sie in unserem kostenlosen Whitepaper „Ihr Fundament für die Digitale Transformation“.