Am 29.3.2019 hat das Bundesinnenministerium einen Referentenentwurf zum geplanten IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung eingebracht. Neue KRITIS-Sektoren und Bereiche Eine zentrale Änderung ist die Ausweitung der Unternehmen, die als Kritische Infrastruktur betrachtet werden. So wird der Bereich der Abfallentsorgung neu in die Liste der Sektoren aufgenommen. Die bisher schon bestehende Kategorie „Unternehmen mit hoher Bedeutung […]
IT-Sicherheitsgesetz
IT-Sicherheitskatalog gemäß § 11 Abs. 1b EnWG – Betreiber von Energieanlagen
Der „neue“ IT-Sicherheitskatalog ist da. Am 18. Dezember 2018 veröffentlichte die Bundesnetzagentur den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz (EnWG‘) für Betreiber von Energieanlagen, den sogenannten Sicherheitskatalog 2. Zum Hintergrund: Bereits 2016 wurden mit dem IT-Sicherheitskatalog 1 (gem. §11 Abs. 1a EnWG) und dem IT-Sicherheitsgesetz zwei gesetzliche Vorgaben für Netzbetreiber und Kritische Infrastrukturen veröffentlicht, […]
IT-Sicherheit macht fit
Wer sich kurz nach der letzten Jahrtausendwende mit der Einführung der sogenannten DRGs (Diagnostic Related Groups) im Gesundheitswesen und insbesondere in Krankenhäusern beschäftigte, konnte beobachten, wie sich die Einführung von Fallkostenpauschalen negativ auf die gesundheitliche Versorgung auswirkte. Nahezu buchstäblich „um´s Verrecken“ taten Krankenhäuser alles, um die durchschnittliche Verweildauer von Patienten zu reduzieren. Umso kürzer der […]
Umsetzungsgesetz zur europäischen NIS-Richtlinie tritt in Kraft
Am 29.06.2016 wurde die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) verabschiedet. Bei der Richtlinie handelt es sich im Wesentlichen um ein europäisches Pendant zum deutschen IT-Sicherheitsgesetz. Da es sich um eine EU-Richtlinie handelt, muss diese Richtlinie noch in nationales Recht umgesetzt werden. Das Umsetzungsgesetz zur EU-NIS-Richtlinie wurde am 23.06.2017 vom Bundestag […]
Die Prüfer
In den beiden letzten Beiträgen (hier und hier) über Kritische Infrastrukturen haben wir beleuchtet, dass die Betreiber Kritischer Infrastrukturen verpflichtet sind, bis zum 03.05.2018 „[…] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse“[1] zu treffen und diese Vorkehrungen gegenüber dem Bundesamt für Sicherheit (BSI) in der Informationstechnik nachzuweisen. […]
Die Standards des IT-Sicherheitsgesetzes
Im letzten Beitrag über Kritische Infrastrukturen haben wir thematisiert, dass die Betreiber Kritischer Infrastrukturen verpflichtet sind, bis 03.05.2018 die „[…] angemessene[n] organisatorische[n] und technische[n] Vorkehrungen zur Vermeidung von Störungen […] ihrer informationstechnischen Systeme, Komponenten und Prozesse“[1] zu treffen und diese Vorkehrungen gegenüber dem Bundesamt für Sicherheit in der Informationstechnik nachzuweisen. In diesem Beitrag gehen wir der […]
Aktuelles zum IT-Sicherheitsgesetz
Nachdem das IT-Sicherheitsgesetzes am 25.07.2015 in Kraft gesetzt wurde, waren wichtige Punkte noch nicht geklärt. Beispielsweise war noch nicht eindeutig, wer als Betreiber einer Kritischen Infrastruktur gilt und welche Form die nach §8a geforderte Nachweise haben werden. Rechtsverordnungen Da sich die kritischen Infrastrukturen über verschiedene Branchen verteilen, wurde diese zur besseren Strukturierung in Sektoren unterteilt. […]
Der IT-Sicherheitskatalog und Auditoren
Welchen Anforderungen unterliegen Auditoren, die Netzbetreiber gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auditieren möchten? In unseren beiden letzten Beiträgen haben wir uns bereits mit den aus dem IT-Sicherheitskatalog resultierenden Anforderungen an Netzbetreiber und Zertifizierungsstellen beschäftigt. Heute, im dritten und letzten Teil der Serie, geht es um die Auditoren. Anforderungen an Auditoren Auditoren, die Netzbetreiber auditieren […]
Der IT-Sicherheitskatalog und Zertifizierungsstellen
Nachdem wir uns vergangene Woche mit den Anforderungen an Netzbetreiber, die aus dem IT-Sicherheitskatalog der Bundesnetzagentur resultieren, beschäftigt haben, geht es heute um die Zertifizierungsstellen. Zur Erinnerung: Der IT-Sicherheitskatalog der Bundesnetzagentur stellt Anforderungen an Netzbetreiber hinsichtlich einer sicheren IT-Infrastruktur für den Netzbetrieb. Ein zentrales Element ist die Einführung eines Informationssicherheits-Managementsystems (ISMS), das bis 31.01.2018 auditiert […]
Webserver sichern, aber wie?
Das BSI zur Absicherung von Telemediendiensten Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein „Diskussionspapier: Absicherung von Telemediendiensten“ für Internet-Dienstleister veröffentlicht. In diesem Dokument werden Empfehlungen gegeben, wie die Anforderungen aus § 13 Abs. 7 TMG erfüllt werden können. Die Maßnahmen Das BSI hat für die verschiedenen Providertypen (Content Provider, Host Provider, Access Provider […]
Warum 3+1 nicht immer 4 ist und was man gegen Verschlüsselung tun kann
Manchmal wundert man sich, was man in der Zeitung liest: Schlecht geschredderte Patientenakten werden als Konfetti benutzt und Krankenhäuser werden wegen Schadsoftware vom Netz genommen. Unsere Blogautoren Sebastian Ertel und Sven Venzke-Caprarese sind diesen Themen im Detail nachgegangen und stellen in der Märzausgabe des Newsletters Datenschutz im Blick (PDF, 762,7 kB) dar, welche Besonderheiten bei der Vernichtung von Patientenakten zu […]
Warum Sie Kontaktformulare auf Ihren Webseiten verschlüsseln sollten
Soweit sensible Bank- oder Gesundheitsdaten über das Internet übertragen werden, sind sich die meisten Webseitenbetreiber der Notwendigkeit eines angemessenen Schutzes der Daten bewusst. Nur in Ausnahmefällen finden sich hier Eingabemasken auf unverschlüsselten Seiten. Bei den auf vielen Webseiten anzutreffenden Kontakt- und Bestellformularen sieht es schon ganz anders aus. Hier stellt eine sichere Verschlüsselung den Ausnahmefall […]
Was Weihnachten mit Datenschutz zu tun hat
Nein, wir wollen Sie heute nicht mit Smart-TV-Geräten, sprechenden Barbies und all den anderen Weihnachtsgeschenken und ihren möglichen Datenschutzlücken behelligen. Heute wollen wir uns schon fast traditionell darum kümmern, warum Jesus eigentlich in Bethlehem im Stall geboren wurde. Die treuen Leser unter Ihnen erinnern sich an den Artikel vom letzten Jahr und dürfen gerne den […]
Neue Herausforderungen für Webseitenbetreiber
Im Sommer wurde viel über das IT-Sicherheitsgesetz diskutiert, doch scheinbar ist nur wenigen Lesern aufgefallen, dass es auch eine Änderung im TMG gegeben hat, die alle Betreiber von Webseiten betrifft. In §13 „Pflichten des Diensteanbieters“ wurde ein neuer 7. Absatz eingefügt: (7) Diensteanbieter haben (…) durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff […]
Bußgelder bei unsicherem Betrieb von Webseiten?
Wer künftig für geschäftsmäßige Webseiten keine ausreichenden technisch-organisatorischen Sicherheitsmaßnahmen umsetzt, nimmt nicht nur gehackte Web-Server und Imageverluste, sondern seit 25. Juli dieses Jahres auch Bußgelder in Höhe von 50.000 € in Kauf. Standen bislang weitgehend Betreiber so genannter kritischer Infrastrukturen (u.a. Energieversorger, Krankenhäuser, Logistikunternehmen) im Fokus des kürzlich in Kraft getretenen IT-Sicherheitsgesetzes, so spricht sich […]