Das endgültige IT- Sicherheitsgesetz 2.0: Mai 2021 von UNBÖFIs, Hacker-Behörden und der Lex Huawei - INFORA GmbH
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
28. Mai 2021
Das endgültige IT-
Sicherheitsgesetz 2.0:
von UNBÖFIs, Hacker-Behörden
und der Lex Huawei
1 www.infora.de
Begrüßung und kurze technische Hinweise
Mario Radloff
Infora GmbH
2 www.infora.de
Das endgültige IT-Sicherheitsgesetz 2.0
Andreas Werner
Infora GmbH
3 www.infora.de
Überblick und Historie 4 www.infora.de
Zweites Gesetz zur Erhöhung der Sicherheit
informationstechnischer Systeme
▪ Änderung des BSI-Gesetzes
▪ Änderung des Telekommunikationsgesetzes
▪ Änderung des Energiewirtschaftsgesetzes
▪ Änderung der Außenwirtschaftsverordnung
▪ Änderung des Zehnten Buches Sozialgesetzbuch
Umfang
IT-SiG 2.0
5 www.infora.de
27.03.2019 - IT-SiG 2.0 (90 Seiten, erster Entwurf)
05.05.2020 - IT-SiG 2.0 (73 Seiten, zweiter Entwurf)
19.11.2020 - IT-SiG 2.0 (92 Seiten, dritter Entwurf)
01.12.2020 - IT-SiG 2.0 (92 Seiten, „Diskussionsentwurf“)
09.12.2020 - IT-SiG 2.0 (108 Seiten, Entwurf
Verbändeanhörung)
11.12.2020 - IT-SiG 2.0 (119 Seiten)
16.12.2020 - IT-SiG 2.0 (118 Seiten, Kabinettsfassung)
22.04.2021 - Änderungsantrag / Beschlussempfehlungen
23.04.2021 - 2/3. Lesung,Verabschiedung
Historie
und
Frühjahr 2022 NIS 2.0 RL -> ITSiG 3.0 nach
Ausblick spätestens18 Monaten?
6 www.infora.deBußgelder
Freiwilliges
KRITIS
IT-
Siedlungsabfall-
Sicherheits- entsorgung
kennzeichen
IT-SiG
2.0 Unternehmen
im
Kritische
Komponenten
besonderen
öffentlichen
Wesent- Kompetenz Interesse
liche und
Befugnis
Bestand- BSI
teile
7 www.infora.deBußgelder
Freiwilliges
KRITIS
IT-
Siedlungsabfall-
Sicherheits- entsorgung
kennzeichen
IT-SiG
2.0 Unternehmen
im
Kritische
Komponenten
besonderen
öffentlichen
Betrach- Kompetenz Interesse
tete und
Befugnis
Bestand- BSI
teile
8 www.infora.deKompetenz und Befugnis BSI 9 www.infora.de
Detektion von Sicherheitsrisiken für
Protokollauswertung und
die Netz- und IT-Sicherheit und von
Bestandsdatenauskunft
Angriffsmethoden
• § 5a BSIG • § 7b BSIG
• § 5b BSIG • § 7c BSIG
• § 7d BSIG
Untersuchung der Sicherheit in der Information und Warnungen der
Informationstechnik Öffentlichkeit
• „Soweit erforderlich kann das • über sicherheitsrelevante IT-
Bundesamt für Untersuchungen Eigenschaften der Produkte
nach Absatz 1 von Herstellern
informationstechnischer Produkte
und Systeme alle notwendigen
Auskünfte, insbesondere auch
Befug- zu technischen Details,
verlangen
nisse des
BSI § 4a mit umfassenderer Kontrolle der Kommunikationstechnik des Bundes
einschließlich Betretensrechte, Abs. 6 weitgehende Rechte bei IT im GB BMVg,
soweit nicht ausschließlich für Zwecke der Streitkräfte betrieben.
10 www.infora.de§ 5a Verarbeitung behördeninterner
Protokollierungsdaten
BSI darf zur Abwehr von Gefahren für die Kommunikations-
technik des Bundes und ihrer Komponenten, Proto-
kollierungsdaten, die durch den Betrieb von Kommuni-
kationstechnik des Bundes anfallen, verarbeiten, soweit
dies zum Erkennen, Eingrenzen oder Beseitigen von
Störungen, Fehlern oder Sicherheitsvorfällen in der
Kommunikationstechnik des Bundes oder von Angriffen auf
die Informationstechnik des Bundes erforderlich ist. Die
Bundesbehörden müssen das BSI zu unterstützen und den
Zugang zu behördeninternen Protokollierungsdaten
sicherzustellen.
§§ 5a, 5c § 5c Bestandsdatenauskunft
BSIG Präventiver Abruf, soweit begründete Befürchtung eines
Angriffs auf informationstechnische Systeme besteht.
11 www.infora.deDetektion von Sicherheitsrisiken für die Netz-
und IT-Sicherheit und von Angriffsmethoden
▪ BSI kann Detektion von Sicherheitslücken und anderen
Sicherheitsrisiken an den Schnittstellen öffentlich erreich-
barer informationstechnischer Systeme zu öffentlichen
Telekommunikationsnetzen durchführen, wenn dieses
ungeschützt sein könnten. Einsatz von Portscans
▪ Diese Maßnahmen müssen sich auf einen vorher
bestimmten Bereich von Internet-Protokolladressen
beschränken (Weiße Liste), die regelmäßig den IT-
Systemen des Bundes oder Kritischer Infrastrukturen,
digitaler Dienste und der Unternehmen im besonderen
§ 7b BSIG öffentlichen Interesse zugeordnet sind. Weiße Liste ist
dem BfDI vorzulegen
▪ BSI darf zur Erfüllung seiner Aufgaben Systeme und
Hackerbehörde
Verfahren einsetzen, welche einem Angreifer einen
erfolgreichen Angriff vortäuschen, um Schadprogramme
und andere Angriffsmethoden zu erheben und
12
auszuwerten.
www.infora.de
Einsatz von Honeypots(3) Wird durch Maßnahmen gemäß Absatz 1 eine
Sicherheitslücke oder ein anderes Sicherheitsrisiko eines
informationstechnischen Systems erkannt und stehen
überwiegende Sicherheitsinteressen nicht entgegen, sind die
für das informationstechnische System Verantwortlichen
unverzüglich darüber zu informieren. Das Bundesamt soll
dabei auf bestehende Abhilfemöglichkeiten hinweisen.
§ 7b BSIG
13 www.infora.deAnordnungen des Bundesamtes gegenüber
Diensteanbietern
(1) … gegenüber einem Anbieter von
Telekommunikationsdiensten im Sinne des
Telekommunikationsgesetzes (Diensteanbieter) mit mehr als
100 000 Kunden anordnen, dass er
1.die in § 109a Absatz 5 oder 6 des
Telekommunikationsgesetzes bezeichneten Maßnahmen
trifft oder
2.technische Befehle zur Bereinigung von einem konkret
benannten Schadprogramm an betroffene
§ 7c BSIG informationstechnische Systeme verteilt, …
14 www.infora.de…
(3) Ordnet das Bundesamt eine Maßnahme nach Absatz 1
Satz 1 Nummer 1 an, so kann es gegenüber dem
Diensteanbieter auch anordnen, den Datenverkehr an eine
vom Bundesamt benannte Anschlusskennung umzuleiten.
(4) Das Bundesamt darf Daten, die von einem
Diensteanbieter nach Absatz 1 Satz 1 Nummer 1 und Absatz
3 umgeleitet wurden, verarbeiten, um Informationen über
Schadprogramme oder andere Sicherheitsrisiken in
informationstechnischen Systemen zu erlangen.
Einsatz von Sinkholes
§ 7c BSIG
15 www.infora.deAnordnungen des Bundesamtes gegenüber
Anbietern von Telemediendiensten
In begründeten Einzelfällen Anordnungen zur Durchführung
erforderlicher technischer & organisatorischer Maßnahmen
zur Abwehr konkreter, erheblicher Gefahren für IT-Systeme
einer Vielzahl von Nutzern.
Insbesondere bei mangelhafter Umsetzung der Pflichten
nach § 13 (7) TMG -> bald § 19 (4) TTDSG.
§ 7d BSIG
16 www.infora.deUnternehmen im besonderen öffentlichen Interesse 17 www.infora.de
Registrierung beim BSI
Pflicht unter Benennung
Freiwillig unter Benennung
einer zu Geschäftszeiten
einer erreichbaren Stelle
erreichbaren Stelle
Betreiber von
Unternehmen Unternehmen von
besonderer
Betriebsbereichen der
oberen Klasse mit
Bereich Rüstung
im beson- volkswirtschaftlicher
Bedeutung
gefährlichen Stoffen im
Sinne der Störfall-
deren Verordnung.
öffentlichen
Interesse
(UBÖFI)
18 www.infora.deUnternehmen Auch deren
im beson- wesentliche
deren Zulieferer
öffentlichen
Interesse
(UBÖFI)
19 www.infora.deKritische Komponenten 20 www.infora.de
Veto BMI
nach § 9 Abs.
4, 4a möglich
§ 9b
BDSIG
21 www.infora.deLex
Huawei
§ 9b
BDSIG
22 www.infora.de(1) Öffentliche Auftraggeber haben die Bieter, deren
Angebote nicht berücksichtigt werden sollen, über den
Namen des Unternehmens, dessen Angebot angenommen
werden soll, über die Gründe der vorgesehenen
Nichtberücksichtigung ihres Angebots und über den
frühesten Zeitpunkt des Vertragsschlusses unverzüglich in
Textform zu informieren. Dies gilt auch für Bewerber, denen
keine Information über die Ablehnung ihrer Bewerbung zur
Verfügung gestellt wurde, bevor die Mitteilung über die
Zuschlagsentscheidung an die betroffenen Bieter ergangen
ist.
134 GWB
23 www.infora.de(2) Ein Vertrag darf erst 15 Kalendertage nach Absendung
der Information nach Absatz 1 geschlossen werden. Wird
die Information auf elektronischem Weg oder per Fax
versendet, verkürzt sich die Frist auf zehn Kalendertage.
Die Frist beginnt am Tag nach der Absendung der
Information durch den Auftraggeber; auf den Tag des
Zugangs beim betroffenen Bieter und Bewerber kommt es
nicht an.
134 GWB
24 www.infora.de(3) Die Informationspflicht entfällt in Fällen, in denen das
Verhandlungsverfahren ohne Teilnahmewettbewerb wegen
besonderer Dringlichkeit gerechtfertigt ist. Im Fall
verteidigungs- oder sicherheitsspezifischer Aufträge können
öffentliche Auftraggeber beschließen, bestimmte
Informationen über die Zuschlagserteilung oder den
Abschluss einer Rahmenvereinbarung nicht mitzuteilen,
soweit die Offenlegung den Gesetzesvollzug behindert, dem
öffentlichen Interesse, insbesondere Verteidigungs- oder
Sicherheitsinteressen, zuwiderläuft, berechtigte
geschäftliche Interessen von Unternehmen schädigt oder
den lauteren Wettbewerb zwischen ihnen beeinträchtigen
könnte.
134 GWB
25 www.infora.deVor Ablauf der Frist von zwei Monaten nach Anzeige nach
Absatz 1 ist der Einsatz nicht gestattet. Das
Bundesministerium des Innern, für Bau und Heimat kann die
Frist gegenüber dem Betreiber um weitere zwei Monate
verlängern, wenn die Prüfung besondere Schwierigkeiten
tatsächlicher oder rechtlicher Art aufweist.
Mindestens 2 Monate bis Zuschlagerteilung
warten bei Zuschlagerteilungen im
„kritischen“ Sektorenbereich?
§ 9b
Abs. 2
BSIG
26 www.infora.deVielen Dank für Ihre
Aufmerksamkeit Unser nächster Webcast aus der
Reihe IT Compliance:
Informationssicherheits-Management-
System am 24.06.2021
Alle aktuellen Informationen:
https://www.infora.de/webcast-reihe/
Infora GmbH
Standort Berlin
Friedrichstraße 200
(Aufgang B, 6.OG)
10117 Berlin
Telefon: 030 893658-0
Internet:
http://www.infora.de
E-Mail: info@infora.deSie können auch lesen
