IT Sicherheitsgesetz - Schutz vor Angriffen durch Sensibilisierung
Das IT-Sicherheitsgesetz, auch bekannt als das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0), wurde durch die Unterzeichnung des Bundespräsidenten und die Veröffentlichung im Bundesgesetzblatt in Kraft gesetzt. Verpflichtungen für KRITIS seit Mai 2023: verpflichtende Maßnahmen zur Sicherheit und Sensibilisierung.
Die KRITIS-Regulierung wurde mit dem IT-Sicherheitsgesetz 2.0 und der KRITIS-Verordnung 1.5 im Jahr 2021 erweitert. Seit Mai 2023 sind KRITIS (Organisation mit kritischer Infrastruktur) verpflichtet Systeme zum Schutz vor Angriffen einzusetzen und diese durch Dritte prüfen zu lassen.
Das IT-Sicherheitsgesetz 2.0 stärkt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in verschiedenen Bereichen. Dazu gehört die Detektion und Abwehr von Sicherheitslücken und Cyber-Angriffen, die Sicherheit in den Mobilfunknetzen, den Verbraucherschutz sowie die IT-Sicherheit von Unternehmen mit kritischen Infrastrukturen (Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG), o.D.).
Mögliche Maßnahmen zur Stärkung der IT Sicherheit:
IT Sicherheit: Sensibilisierung von Mitarbeiter:innen
Eine umfassende Sensibilisierung der Mitarbeiter:innen ist ein wichtiger Bestandteil des Gesamtkonzepts zur Sicherung der IT-Infrastruktur eines Unternehmens. Es gibt unterschiedliche Maßnahmen die ergriffen werden können:
Ein wichtiger Teil sind Schulungen zur IT Sicherheit. Klar, mag die Thematik für manche trocken sein, aber Themen wie Passwort Praktiken, Identifizierung von Phishing E-Mails, Umgang mit verdächtigen Links und Anhängen, Social Engineering und die Bedeutung von Software-Updates, sind Themen, die regelmäßig kommuniziert werden sollten, um das Bewusstsein zu erhöhen.
Kultur für IT Sicherheit entwickeln
Auch die Unterstützung des Managements ist dabei von hoher Bedeutung. Führungskräfte haben eine Vorbildwirkung. Es ist wichtig, eine Unternehmenskultur zu schaffen, in der IT-Sicherheit einen hohen Stellenwert hat und von allen Mitarbeiter:innen ernst genommen wird.
IT Sicherheit: Sensibilisierung durch interne Kampagnen
Kampagnen zur Sensibilisierung sind eine gute Möglichkeit um an das Thema heranzuführen und die Sinne zu schärfen. Ein wichtiges Ziel ist, dass bei Mitarbeiter:innen sofort die Alarmglocken läuten, wenn sie eine manipulierte Nachricht erhalten, die der IT Infrastruktur Schaden zufügen könnte.
Folgende Aktivitäten könnten den Prozess zur Sensibilisierung für die Thematik IT Sicherheit erhöhen:
- Informationsmaterial verteilen
- E-Mails versenden,
- Newsletter Kampagnen planen,
- Poster aufhängen,
- im Intranet darauf aufmerksam machen
- in der Mitarbeiter:innen Zeitung Beiträge veröffentlichen.
Die Kampagnen sollten praktische Tipps, Best Practices und Beispiele für Sicherheitsvorfälle enthalten, um den Mitarbeiter:innen die Bedeutung der IT-Sicherheit zu verdeutlichen. Phishing-Tests helfen den Mitarbeiter:innen, verdächtige E-Mails zu erkennen und nicht auf betrügerische Anfragen oder Links zu klicken. Die Erkenntnisse daraus helfen, zukünftig wachsamer mit verdächtigen Nachrichten umzugehen.
Belohnungssystem zur Steigerung der Arbeitsmotivation
Die Implementierung eines Belohnungssystems, um das IT Sicherheitsbewusstsein der Mitarbeiter:innen zu fördern, kann dabei hoch motivierend sein und den Detektiv in so manchem:mancher erwecken. Mitarbeiter:innen, die verdächtige Aktivitäten melden oder sich in Sachen IT-Sicherheit besonders engagieren, könnten beispielsweise Anerkennung oder kleine Incentives erhalten. Das steigert das Zugehörigkeitsgefühl und erhöht die Bindung zum Unternehmen. Wenn proaktives Handeln Wertschätzung erntet, wirkt sich das auch auf die Arbeitsmotivation und das gesamte Wohlbefinden von Mitarbeiter:innen aus.
Das IT-Sicherheitsgesetz 2.0 stärkt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in mehreren Bereichen:
- Detektion und Abwehr: Das BSI erhält erweiterte Kompetenzen zur Erkennung von Sicherheitslücken und zur Abwehr von Cyber-Angriffen. Als zentrales Kompetenzzentrum für Informationssicherheit gestaltet das BSI die sichere Digitalisierung und legt unter anderem verbindliche Mindeststandards für Bundesbehörden fest.
-
Cyber-Sicherheit in den Mobilfunknetzen: Das Gesetz enthält Bestimmungen zur Untersagung des Einsatzes kritischer Komponenten zum Schutz der öffentlichen Ordnung oder Sicherheit. Netzbetreiber müssen hohe Sicherheitsanforderungen erfüllen, und kritische Komponenten müssen zertifiziert werden, um die Informationssicherheit in den 5G-Mobilfunknetzen zu gewährleisten.
-
Verbraucherschutz: Das BSI übernimmt die Aufgabe des Digitalen Verbraucherschutzes (DVS) und informiert die Verbraucherinnen und Verbraucher im Bereich der IT-Sicherheit durch unabhängige und neutrale Beratung sowie Warnungen auf Bundesebene. Zukünftig soll ein einheitliches IT-Sicherheitskennzeichen die Transparenz und die Einhaltung bestimmter IT-Sicherheitsstandards für Produkte verbessern.
-
Sicherheit für Unternehmen: Der Kreis der Kritischen Infrastrukturen wird um den Sektor Siedlungsabfallentsorgung erweitert. Darüber hinaus müssen Unternehmen im besonderen öffentlichen Interesse, wie Rüstungshersteller oder Unternehmen mit großer volkswirtschaftlicher Bedeutung, bestimmte IT-Sicherheitsmaßnahmen einhalten.
-
Nationale Behörde für Cybersicherheitszertifizierung: Das BSI wird zur Nationalen Behörde für die Cybersicherheitszertifizierung (National Cybersecurity Certification Authority [NCCA]) gemäß der Verordnung (EU) 2019/881, auch bekannt als Cybersecurity Act (CSA). Diese Behörde ist insbesondere für die Zertifizierung von IT-Produkten zuständig (Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG), o.D.).
An dieser Stelle ist auf ein Video von WOTAN Partner Tobias Harmes (RZ10/Mindsquare) zu verweisen, der die Thematik IT Sicherheitsgesetz 2.0 verständlich in 90 Sekunden erklärt:
Quellen:
Bundesministerium des Innern und für Heimat. (2021, 7. Mai). Bundesrat billigt IT-Sicherheitsgesetz 2.0. https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2021/05/it-sicherheitsgesetz.html
Gesetze zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG). (o.D.). Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/it_sig_node.html
IT-Sicherheitsgesetz 3.0. (o.D.). KRITIS und Kritische Infrastrukturen – OpenKRITIS. https://www.openkritis.de/it-sicherheitsgesetz/kritis-dachgesetz-sicherheitsgesetz-3-0.html
Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0). (o.D.). Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html