DAS IT-SICHERHEITSGESETZ 2.0 IN SEINER VIERTEN UND FINALEN FASSUNG - PROF. H.C. PHDR. STEFAN LOUBICHI
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DAS IT-SICHERHEITSGESETZ 2.0 IN SEINER VIERTEN UND FINALEN FASSUNG Prof. h.c. PhDr. Stefan Loubichi
DAS IT-SICHERHEITSGESETZ 2.0 IN SEINER VIERTEN UND FINALEN FASSUNG
1 Wer ist Eku.SEC? 03
2 Zur Person Stefan Loubichi 04
3 Brauchen wir wirklich ein IT-SIG 2.0? 05
4 Historie des IT-SIG 2.0 / Stellungnahme des NKR 06
5 Wer ist betroffen / Stand der Technik / Schwellenwerte 08
6 Systeme zur Angriffserkennung 11
7 Detektion von Sicherheitsrisiken 12
8 Unternehmen im besonderen öffentlichen Interesse 13
9 Untersagung des Einsatzes kritischer Komponenten 14
10 Zertifizierung kritischer Komponenten im TK-Bereich 17
11 Der neue Bußgeldrahmen 18
12 Wichtige Ansprechpartner 19
13 Was können wir noch für Sie tun? 20
2 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung
ENERGIE-CAMPUS DEILBACHTAL
Kompetenz- und Weiterbildungszentrum IT-/OT-Security
Weitere Partner im Energie-Campus:
Gesellschafter
Einrichtung mit dem Ziel der Aus- und
Weiterbildung von Kraftwerkspersonal
www.kraftwerksschule.de
Ausbildung des Betriebspersonals von
KKW, Verhaltenstrainings, Simulatorbau,
Technischer Verband der Energieanlagen-
Cybersecurity
betreiber
Deilbachbachtal 173 www.vgb.org
D-45257 Essen
www.ekusec.de
Eku.SEC ist eine Marke der KSG Kraftwerks-Simulator-Gesellschaft mbH
3 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung
STEFAN LOUBICHI
Profil: Referenzen:
seit dem Abitur immer im Dienste der IT und der Energieunternehmen wie RWE, E.ON, Uniper, Vattenfall,
innogy, STEAG, wpd, Deutsche Windtechnik, RheinEnergie,
IT-/Cybersecurity Schluchseewerk, EnBW, Preussen Elektra. Mainova u.a.
Ausbildung DV-Kaufmann und Orga-Programmierer (IBM)
Leittechnik- und Komponentenhertsteller wie Siemens, ABB,
Studium der WiWi (u.a. Schwerpunkt. Wirtschaftsinformation),
Videc, digicomm u.a.
Promotion, diverse universitäre Lehraufträge
Kommunale Unternehmen der Daseinsvorsorge wie Stadtwerke
Personalzertifizierungen Microsoft, Cisco, CompTIA
Bremen, Stadtwerke Düsseldorf u.a.
Studium BWL, VWL u.a. mit Schwerpunkt Wirtschaftsinformatik
Projekte außerhalb Deutschlands u.a. in China, Vereinigte
Promotion, diverse universitäre Lehraufträge
Arabische Emirate, Saudi-Arabien, Argentinien, Brasilien, USA,
Leitender Auditor ISO 27001, Prüfer nach § 8a BSI-Gesetz
Niederlande, Großbritannien, Italien, Frankreich, Indien
Qualifikation BSI-Grundschutz, Datenschutzbeauftragter
Netzwerk:
Publikationen, Vorträge/Key Notes:
Deutsche Gesellschaft für Informatik
Buchpublikationen wie „Cybersecurity in der Energieerzeugung“ VDI – Verein Deutscher Ingenieure
oder „Informationssicherheitsmanagementsysteme für Betreiber DECHEMA – Gesellschaft für Chemische Technik und
von Energieanlagen“ Biotechnologie
seit 2017 regelmäßige wissenschaftliche Publikationen u.a. im Deutsch-Arabische Freundschaftsgesellschaft
VGB PowerTechJournal, atw – International Journal for Nuclear
Power, Medizintechnik – auch in die Bibliothek des Deutschen
Bundestages aufgenommen Highlights:
Vorträge/Key-Notes u.a. beim Cyber-Security Tag Energiewirt-
schaft, Windenergietage, VGB Kongress, KELI, ProcessNet, Erster Microsoft Gold Partner Business Intelligence
Internet Security Days, Kraftwerkstechnisches Kolloquium …. Organisator der jährlichen Cybersecurity Tage Energiewirtschaft
Entwicklung eines Langstreckenroboters für Pipe-Inspections
Erste Dell- und Cisco-Zertifizierungen i.V.m. E-Learning Zentren
Branchenschwerpunkte: Personalzuführung in Rekordzeit für Fujitsu-ICL-eBusiness
Energiewirtschaft Gesundheitswesen Solutions
Mitarbeit an der Gestehung diverser Normen und Verordnungen
Informationstechnologie Wasserwirtschaft im Umfeld der IT-/OT-Sicherheit
4 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung
DER VORFALL VOM 8.1.2021 SOLARWIND-ATTACKE 7.12.2020
ERSTE NETZAUFSPALTUNG SEIT 2006 DER HACK DES JAHRHUNDERTS
Solarwind: Bietet Software zur Überwachung und
Fehlersuche in Netzwerken an
Mindestens 18.000 Kompromittierungen
Schadprogramme Sunburst und Supernova
Unter anderem betroffene Firmen:
Microsoft, Cisco, Fireeye, alle großen US-Telekom-
munikationsunternehmen, gesamtes US-Militär,
Bundesamt für Sicherheit in der Informationstech-
nik, Bundeskriminalamt, Robert-Koch-Institut,
Wehrtechnische Dienststelle 61, Intel, Crowdstrike,
Nvidia und viele andere – Vielleicht auch Sie?
5 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung
HISTORIE DES IT-SICHERHEITSGESETZES 2.0 .
NIS (Netz- und Informationssicher- DER WEG ZUM IT-SIG 2.0
heit) Richtlinie vom 29.06.2017
1. Entwurf 27.03.2019
2. Entwurf 07.05.2020
IT-Sicherheitsgesetz 1.0 3. Entwurf 19.11.2020
4. Entwurf 09.12.2020
vom 17.6.2015
Verbände hatten 1 Tag Zeit
zur Stellungnahme für den
BSI-Kritis-Verordnung 4. Entwurf
1. Korb 03.05.2016
16.12.2020 Bundesregierung beschließt
Entwurf für das IT-Sicher-
BSI-Kritis-Verordnung heitsgesetz 2.0
2. Korb 30.06.2017 01.01.2021 Gesetzesentwurf
Eilbedürftige Vorlage gemäß
Art. 76 II 4 GG / Fristablauf
Cyber Security Act vom 27.06.2019 12.2.2021
-> Verabschiedung im
I./II. Quartal 2021
6 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung
(NEGATIVE) STELLUNGNAHME DES NATIONALEN NORMENKONTROLLRATES
GEMÄSS § 6 ABSATZ 1 NKRG
Jährlicher Erfüllungsaufwand: Mehr als 1.574 Neue Stellen im Bund, davon
- Wirtschaft: circa 21 Mio. EUR
- Verwaltung (Bund): circa 202 Mio. EUR Bundesinnenministerium: 873
davon im BSI 799
Evaluierung:
Bundesfinanzministerium: 278
- vier Jahre nach der Verkündung
Bundesministerium für Verkehr: 245
Ergebnis des NKR: Auswärtiges Amt: 51
- „Bei der Vorbereitung dieses Regelwerkes Bundeswirtschaftsministerium: 34
wurde in mehrfacher Hinsicht gegen die Bundesumweltministerium: 32
Grundsätze Besserer Rechtssetzung ver- Bundeskanzleramt: 17
stoßen.“ Bundesarbeitsministerium: 15
- „Aus Sicht des NKR lässt ein so enger Zeit- Bundesdatenschutzbeauftragter: 15
plan eine wirksame Einbeziehung der Länder Bundesfamilienministerium : 9
und Verbände sowie die Prüfung der einge- Bundesgesundheitsministerium: 5
gangenen Stellungnahmen durch das Ressort
nicht zu.“
7 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen FassungWER IST BETROFFEN? WAS SIND KRITISCHE KOMPONENTEN?
Bisherige Kritis-Sektoren § 2 Abs. 13 BSI-Gesetz:
gemäß § 2 Abs. 10 BSI-G
IT-Produkte (Hard- und Software),die
Weiter aufgeführt wird zu- 1. die in Kritischen Infrastrukturen eingesetzt wird
künftig in § 2 Abs. 10 BSI-G: 2. für das Funktionieren von besonderer Bedeutung ist und
SIEDLUNGSABFÄLLE deren Störung zu einem Ausfall oder erheblichen Beein-
trächtigung der Funktionsfähigkeit kritischer Infrastrukturen
Zusätzlich: § 2 Aba. 14 BSIG
führen könnte
Unternehmen in besonderen
3. aufgrund eines Gesetzes
öffentlichen Interesse
a. als kritische Komponente bestimmt ist
b. eine als kritisch bestimmte Funktion realisiert
1. Unternehmen mit Bezug auf § 60 I Nr. 1-3 AWVO (Rüstung)
2. Größte Unternehmen in Deutschland in Bezug auf inländi-
sche Wertschöpfung (Was ist „größte“) Tiefes Herunterbrechen auch auf die Ebene von Sensoren und
3. Bestimmte Betreiber der Störfallverordnung (Betriebsbe- Aktoren, denn diese haben eine als kritisch bestimmte Funktion
reich der oberen Klasse, § 1 Abs. 2 Störfallverordnung)
Kostenfreie Tools zum Einstieg in die IST-Analyse Cybersecurity in Kritischen Infrastrukturen:
Light und Right Security ICS, kostenfreies Werkzeug für kleinere bis mittelgroße Unternehmen, basierend auf BSI IT-Grundschutz, ISO
27001, IEC 62443 und dem BSI ICS-Security Kompendium https://www.bsi.bund.de/DE/Themen/ICS/Tools/LarsICS/LarsICS_node.html
NCCIC ICS CYBER SECURITY EVALUATION TOOL, basierend auf den US-amerikanischen ICS Security Normen, herausgegeben von
Cybersecurity & Infrastructure Security Agency; https://us-cert.cisa.gov/ics/Assessments
8 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen FassungWAS IST STAND DER TECHNIK AUS SICHT DES GESETZGEBERS?
Drucksache 18/1096 Deutscher Bundestag – 18. Wahlperiode
Gesetzesentwurf der Bundesregierung vom 25. Februar 2015
zum IT-Sicherheitsgesetz -> Verweis auf die Begründung, d.h. Seite 26 der Drucksache
Die Verpflichtung zur Berücksichtigung des Stands der Technik schließt die Möglichkeit
zum Einsatz solcher Vorkehrungen nicht aus, die einen ebenso effektiven Schutz wie die
anerkannten Vorkehrungen nach dem Stand der Technik bieten.
Auch dann, wenn branchenspezifische Sicherheitsstandards erarbeitet wurden, steht es
dem einzelnen Betreiber frei, abweichend davon auch eigene den Stand der Technik
berücksichtigende Maßnahmen umzusetzen.
Auch die branchenspezifischen Sicherheitsstandards müssen regelmäßig dem sich
weiterentwickelnden Stand der Technik angepasst werden. BILDQUELLE: HEISE
Das BSI kann in diesem Sinne folglich keinen Entwicklungsstand entwickeln, denn dieser resultiert
aus unternehmerischer und wissenschaftlicher Forschung und Entwicklung und hängt insbesondere
im Einklang mit den weiteren Ausführungen aus der damaligen Gesetzesbegründung davon ab,
was einschlägige internationale, europäische und nationale Normen und Standards ausweisen und
welche Verfahren, Einrichtungen und Betriebsweisen mit Erfolg in der Praxis erprobt wurden.
Insoweit kann es aus Sicht des GI-Fachbereichs Sicherheit allenfalls Aufgabe des BSI sein, diesen
9.12.2020
Stand der Technik zu beschreiben, nicht aber diesen zu entwickeln
9 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen FassungVIELFALT BEI ZU BEACHTENDEN PRÜFGRUNDLAGEN UND IRRITATIONEN BEI DEN
SCHWELLENWERTEN AM BEISPIEL DER ENERGIEWIRTSCHAFT
PRÜFGRUNDLAGEN GESETZESGRUNDLAGEN
IT-Sicherheitskatalog nach § 11 1a EnWG IT-Sicherheitsgesetz
IT-Sicherheitskatalog nach § 11 1b EnWG Kritis-VO (inkl. der geheimgehaltenen neuen Schwellenwerte
§ 8a BSI-Gesetz oder gibt es noch etwas wie z.B.:
Schwellenwerte Energieerzeuger gemäß Kritis-VO
Schwellen- Schwellen-
Anlagenkategorie Anlagenkategorie
wert wert
1.1.1 Erzeugungsanlage 420 MW 1.1.4 Speicheranlage 420 MW
1.1.5 Anlage/System zur Steuerung/
1.1.2 KWK-Anlage 420 MW 420 MW
Bündelung elektr. Leistung
1.1.3 Dezentrale Erzeugungsanlage 420 MW
Schwellenwerte für Stromerzeugungsanlagen gemäß Artikel 5 EU-VO 2016/631 vom 16.04.2016
Netzanschlusspunkt unter Netzanschlusspunkt unter Netzanschlusspunkt unter
110 kV und Grenzwert für 110 kV und Grenzwert für 110 kV und Grenzwert für
Testplan gemäß § 4 II g) den Schwellenwert der den Schwellenwert der den Schwellenwert der
Synchrongebiete
EU-VO (2017/2196) Maximalkapazität von Maximalkapazität von Maximalkapazität von
Stromerzeugungsanlagen Stromerzeugungsanlagen Stromerzeugungsanlagen
des Typs B des Typs C des Typs D
Kontinentaleuropa 1 MW 50 MW 75 MW
10 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung§ 8a Absatz 1a BSI-Gesetz:
Verpflichtender Einsatz von Systemen zur Angriffserkennung bei KRITIS-Betreibern
Definition: Normativ relevant:
Einsatz von Systemen zur
Angriffserkennung, die BSI Empfehlung CS 134 1.0 vom 25.2.2019
- GEEIGNETE PARAMETER UND Monitoring und Anomalieerkennung in
MERKMALE Produktionsnetzwerken
- aus dem laufenden Betrieb
- kontinuierlich und AUTOMATISCH BSI Draft DER.1 vom 03.09.2020
- erfassen und Detektion von sicherheitsrelevanten
- AUSWERTEN Ereignissen
Anforderungen:
Systeme zur Angriffserkennung SOLLTEN Umsetzung könnte (entsprechend
- fortlaufende Bedrohungen abhängig vom Kontext) möglich sein
IDENTIFIZIEREN und VERMEIDEN durch:
sowie VERMEIDEN - Anomalieerkennung (aktiv, passiv)
- für EINGETRETENE Störungen - Intrusion Detection System IDS
GEEIGNETE Beseitigungsmaßnahmen (hostbasiert, netzwerkbasiert, hybrid)
vorsehen. - Intrusion Prevention System IPS
(hostbasiert, netzwerkbasiert, hybrid)
11 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung§ 7b BSI-G:
Detektion von Sicherheitsrisiken für Netz-/IT-Sicherheit und von Angriffsmethoden
Adressaten: Ungeschützte Systeme:
Einrichtungen des Bundes Öffentlich bekannte Sicherheitslücken
Unternehmen gemäß § 2 Abs. 10, 11 Sonstige offensichtlich unzureichende
und 14 BSI-G, d.h.: Sicherheitsvorkehrungen
alte und neue Kritis-Betreiber
Ausgewählte Rüstungsbetriebe, Ablaufplan bei Entdeckungen:
sehr große Betriebe sowie ausge- 1. (I.d.R.) Information der entsprechenden
wählte Störfallbetriebe Ansprechpartner für IT-Sicherheit
2. BSI gibt Hinweise auf Abhilfemöglich-
Was: keiten
Portscans 3. In besonderen Fällen darf das BSI den
betreffenden IT-Dienstleister des
Voraussetzung für Portscans: Adressaten selbst unverzüglich infor-
Tatsachen(beweis) ungeschützte Ports mieren
mit Korelevanz zur potenziellen
Gefährdung von Sicherheit oder Funk- BSI Tools:
tionsfähigkeit Einsatz von Systemen und Verfahren,
die einen Angriff vortäuschen.
Beschränkung auf Weiße Liste:
Beschränkung auf vorher bestimmten Bereich von Internetprotokolladressen, die REGELMÄSSIG den
informationstechnischen Systemen des o.g. Adressatenkreises zugeordnet sind.
12 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung§ 8f BSI-G:
IT-Sicherheit bei Unternehmen im besonderen öffentlichen Interesse
Grundpflicht: Inhalt der Selbsterklärung:
Vorlage einer Selbsterklärung zur IT- 1. Übersicht der Zertifizierungen IT-
Sicherheit beim BSI Sicherheit der letzten zwei Jahre:
- Prüfgrundlage
- Geltungsbereich
2. Sonstige Sicherheitsaudits oder
Prüfungen IT-Sicherheit der letzten
Vorlagepflicht: zwei Jahre
Spätestens zum ersten Tag, der darauf 3. Bericht, wie besonders schützenswerte
folgt, dass diese erstmalig oder erneut - IT-Systeme
Unternehmen im Sinne von § 2 Abs. 14 Nr. - Komponenten
1 und 2 werden und hiernach mindestens - Prozesse
alle zwei weitere Jahre ANGEMESSEN geschützt werden
Ausnahmen sind also: UND wie dabei der
Manche Betreiber im Bereich der Störfall- STAND DER TECHNIK eingehalten
Verordnung wird.
GRUNDSATZFRAGEN:
1. Ist es zulässig, die Unternehmen nach § 2 Abs. 14 Nr. 3 BSI-G einfach so auszuschließen
2. Wieso werden Unternehmen des § 2 Abs. 14 BSI-G von der Prüfpflicht nach §8a BSI-G „befreit“?
Verdacht der Zuwiderhandlung gegen das Verbot sachlich nicht gerechtfertigter ungleicher Behandlung u.a.
13 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung§ 9b BSI-Gesetz
Untersagung des Einsatzes kritischer Komponenten
Anzeigepflicht des Einsatzes: Garantieerklärung:
Der Einsatz kritischer Komponenten ist - Erklärung, wie der Hersteller sicher-
durch den Kritis-Betreiber gegenüber dem stellt, dass die Komponente keine
BMI (!) anzuzeigen. Anzuzeigen sind: technischen Eigenschaften hat, die
1. Kritische Komponente missbräuchlich im Sinne des Gesetzes
2. Art des Einsatzes der kritischen verwandt werden kann.
Komponente - Das BMI legt die Mindestanforderungen
Garantieerklärung des Herstellers ist der für die Garantieerklärung im Rahmen
Anzeige beizufügen. einer Allgemeinverfügung fest.
- Erstreckt sich auf die gesamte Liefer-
BMI kann Einsatz der o.g. Komponente kette
innerhalb eines Monats untersagen oder
Anordnungen erlassen.
Ad hoc zu stellende Fragen:
- Kann ich dann überhaupt noch
Die konkrete Betreiberpflicht: Teilkomponenten aus Nicht-EU-Ländern
Betreiber dürfen kritische Komponenten nur wie China beziehen?
betreiben, wenn der Hersteller eine - Bedeutet dies nicht, dass der Zusam-
Erklärung gegenüber dem Betreiber der menbau der einzelnen Teile einer Kriti-
Kritischen Infrastruktur abgegeben hat, eine schen Komponente nicht zwangsläufig
so genannte GARANTIEERKLÄRUNG! in Deutschland erfolgen müsste?
14 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung§ 9b BSI-Gesetz
Nicht vertrauenswürdige Hersteller kritischer Komponenten
Gründe für fehlende Vertrauenswürdigkeit: UND WIE IST DIE REALITÄT IM
LIEFERKETTENBEREICH WIRKLICH?
1. Verstoß gegen die in der Garantieerklärung
abgegebenen Versicherungen und Verpflich-
tungen
KEIN (RELEVANTER) EUROPÄISCHER
2. Angabe unwahrer Tatsachen in der Garantie-
BETRIEBSSYSTEMHERSTELLER
erklärung
3. Fehlende Unterstützung bei Sicherheitsüber-
prüfungen und Penetrationsanalysen
4. Fehlende Meldung oder Beseitigung von KEIN (GROSSER) EUROPÄISCHER
Schwachstellen oder Manipulationen PROZESSORHERSTELLER
5. Technische Eigenschaften bei den kritischen
Komponenten, die missbräuchlich verwandt
werden könn(t)en KEIN (GROSSER) EUROPÄISCHER
HARDWAREHERSTELLER BEI PCs BZW.
Entschuldigungsgrund: SMARTPHONES
Ein Verstoß nach Nummer 5 liegt nicht vor, wenn
der Hersteller nachweisen kann, dass er die KEIN (GROSSER) EUROPÄISCHER
technische Eigenschaft im Sinne von Nummer 5 IP-Netzwerkausrüster
nicht implementiert hat und er diese jeweils
ordnungsgemäß beseitigt hat.
15 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen FassungSoftware-Schwachstellen
Situation in der Software-Branche
16 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen Fassung§ 109 Absatz 2 TKG:
Zertifizierung kritischer Komponenten im Bereich der Telekommunikationsnetze
Anforderungen: Immer noch nicht 100%ig eindeutig:
Kritische Komponenten im Bereich der - Ist bei der Zertifizierung von kritischen
- Telekommunikationsnetze und Komponenten im Bereich der TK nicht
- Telekommunikationsdienste eine europäische Zertifizierung erforder-
dürfen nur eingesetzt werden, wenn Sie ein lich?
Zertifizierungsverfahren durchlaufen haben. - Im Bereich der 5G Technologie sind
Software-Updates in kurzen Intervallen
Das Zertifizierungsverfahren muss hierbei zu erwarten. Wie wird hierzu der Prüf-
eng durch die Hersteller begleitet werden. oder Zertifizierungsprozess aussehen?
- Wie wird mit kritischen Kernkomponen-
ten von Bestandstechnologien (z.B. 2G/
Stand der Technik: 3G) umgegangen?
BNetzA, Katalog von Sicherheitsanforde- - Werden wir es schaffen, zeitnah genü-
rungen für das Betreiben von Telekommu- gend vom BSI akkreditierte Prüfstellen
nikations- und Datenverarbeitungssyste- zu schaffen?
men sowie für die Verarbeitung personen- - Wird es bzw. welche Übergangsfristen
bezogener Daten nach § 109 TKG 2.0 wird es geben?
Feindliche Technik:
Kann ich hiermit „feindliche“ Technik verbieten oder müsste ich 5G Technik aus
Nordkorea zulassen?
17 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen FassungNEUER BUßGELDRAHMEN
Gesetzliche Grundlage: § 14 BSI-Gesetz
IN DERR IFORMATIONSTECHNIK
BUNDESAMT FÜR SICHERHEIT
durch § 14 Abs. 5 BSI-Gesetz Querverweis
ERMESSENSSPIELRAUM
auf § 30 Absatz 2 Satz 3 OWiG
Prinzipielle Bußgeldhöhe: 100.000 EUR -> 2.000.000 EUR
§ 30 Abs. 2 Satz 3 OWiG: Verweist das Gesetz auf diese Vorschrift,
so VERZEHNFACHT sich das Höchstmaß
der Geldbuße!
Eine Verzehnfachung der Geldbuße ist möglich bei:
1. Vorsätzliche oder fahrlässige Zuwiderhandlung einer vollziehbaren
Anordnung nach § 5b V, § 7c I1, auch in Verbindung mit § 7c III, §
7d, § 8a III 5 (max. 20.000.000 EUR)
2. Nicht oder nicht vollständige Erbringung eines Nachweises nach
§ 8a III 1 BSI-G i.V.m. Kritis-VO (max. 10.000.000 EUR)
3. Vorkehrung (§ 8a I 1 i.V.m. KRITIS-VO) wird nicht, nicht richtig, nicht
vollständig oder nicht rechtzeitig getroffen (max. 10.000.000 EUR)
4. Nachweis (§8a III 1 i.V.m. KRITIS-VO) wird nicht oder nicht rechtzeitig erbracht
(max. 10.000.000 EUR)
18 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen FassungWICHTIGE ANSPRECHPARTNER
Bundesamt für Sicherheit in der Informationstechnik Bundesministerium des Inneren, für Bau und Heimat
Referat CK23 Cybersicherheit in Industrieanlagen Referat KM4 Schutz kritischer Infrastruktur
Referatsleiter: Jens Wiesner MinR Achsnich, Durchwahl 10214
Godesberger Allee 185-189 Referat CI3 Cybersicherheit für Wirtschaft und
D-53175 Bonn Gesellschaft
Internet: www.bsi.de/ISC MinR Reisen, Durchwahl 12726
Stefan Loubichi
Deilbachtal 173
D-45257 Essen
E-Mail: s.loubichi@ekusec.de
Internet: www.ekusec.de
Bundesamt für Verfassungsschutz European Commission
Sachgebiet Cyberabwehr Jakub Boratynski
Merianstraße 100 Haed of Unit of Cybersecurity
D-50765 Köln B-1019 Bruxelles, Belgien
E-Mail: cyberabwehr@bfv.bund.de E-Mail: cnect-h2@ec.europa.eu
19 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen FassungANKÜNDIGUNG 3. CYBERSECURITY TAG 21.9.2021 IN ESSEN
Referenten: Vorträge:
Jens Wiesner, Bundesamt für Sicherheit in der Informationstechnik Industrielle Steuerungs- und Automatisierungssysteme – Status Quo aus Sicht des BSI
Abteilung Cyberabwehr, Bundesamt für Verfassungsschutz Umgang mit Sicherheitsgefährdungen in der Wasser/Abwasserwirtschaft sowie der
Peter Vahrenhorst, Cybercrime-Kompetenzzentrum , LKA NRW Elektrizitätswirtschaft
Prof. Stefan Loubichi, EKuSEC, Simulatorzentrum Aktuelle Cyber-Security Lage aus Sicht des Landeskriminalamtes
Markus Woehl, VIDEC Data Engineering GmbH Bedeutung der Künstlichen Intelligenz für die Cybersicherheit
Sascha Simmler, G DATA Advanced Analytics Effiziente Angriffserkennung im OT-Netzwerk mit IRMA
Olaf Müller-Haberland, Netzwerk Software GmbH Unsichtbare Gefahren aufdecken – Penetrationstests und Security Assessments
Frederic Buchi, Siemens AG IT-Sicherheit Dank gesetzlich gefordertem Log Management
Richard Biala, ABB AG Umsetzung der gesetzlichen Anforderungen aus dem IT-Sicherheitsgesetz 2.0 aus Sicht
Dr. Matthias Schleer, Howden Turbo GmbH eines Herstellers von Anlagen und Komponenten (Siemens)
Lisa Kratochwill, Deutsche Energie Agentur AG Neuerungen der (ABB) Leittechnik - Wie diese zu mehr Cybersecurity führen
Theo Bongartz, Digicomm GmbH Erfahrung mit cloudbasierter Überwachung und Optimierung von Turbomaschinen aus
Peter Holstenbach, WTI –Frankfurt-digital GmbH Sicht des OEM
Künstliche Intelligenz in der Energiewirtschaft
Sichere Datenkommunikation in der industriellen Automatisierung
Schneller Zugang zu wissenschaftlich technischen Fachinformationen – auch in der
Cybersecurity ein Schlüsselfaktor zum Erfolg
ECKDATEN:
Wann: 21.9.2021
Wo: Essen - Hybrid-Veranstaltung (Online & Präsenz)
Corona Hygienekonzept
Anmeldung und weiter Informationen unter:
https://www.ekusec.de/events/kategorie/veranstaltungen/cyber-security-tag/
Aktuelle News zu kostenlosen Webinaren und Entwicklungen in der IT-Sicherheit:
www.ekusec.de/newsletter/
RÜCKBLICK 2. CYBERSECURITY TAG 2020 IN ESSEN
20 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen FassungGERN STELLEN WIR UNSERE EXPERTISE
FÜR IHRE HERAUSFORDERUNGEN ZUR VERFÜGUNG
Ansprechpartner Was können wir für Sie tun?
Online- und Präsenzschulungen, wie zum Beispiel:
Prof. h.c. PhDr. Stefan Loubichi Ausbildung analog ISMS Foundation
MCSE-MCDBA-MCAD-CCNA Ausbildung IT-Sicherheitsbeauftragter (m/w/d)
Tel.: +49 201 4862-201 Ausbildung Auditor ISO/IEC 27001 (m/w/d)
Mobil: +49 173 6925188
E-Mail: s.loubichi@ekusec.de Praxisworkshop „Abwehr gegen Cyber-Attacken“
zusammen mit unserem Partner VIDEC
CompTIA Network+ oder Security+
Grundlagen IEC 62443
Ing. Nico Rieger Beratungen, wie zum Beispiel:
Tel.: +49 201 4862-209 IT-/OT-Sicherheitscheck mit Verbesserungspotenzialen
Fax: +49 201 4862-404
Projektierung der ISMS Implementierung
E-Mail: n.rieger@ekusec.de
Technisch-organisatorische Maßnahmen
Interne Audits
21 20.01.2021 Prof. PhDr. Stefan Loubichi, IT-Sicherheitsgesetz 2.0 in seiner vierten und finalen FassungSie können auch lesen
