Das BSIG [1] (Bundesamt für Sicherheit in der Informationstechnik Gesetz) ist seit dem 20.08.2009 in Kraft. Das BSI [2] (Bundesamt für Sicherheit in der Informationstechnik) wird vom Bund als Bundesoberbehörde [3] unterhalten und untersteht dem Bundesministerium des Inneren[4].
Im Folgende werde ich das Gesetz vorstellen, versuchen es einfach zu erklären, die Punkte hervorheben die für die Wirtschaft und die Individuen von hohem Interesse sind, sowie auf die Herausforderungen der Zukunft eingehen. Bitte beachte, ich bin kein Anwalt, und fasse das Gesetz so zusammen, wie ich es selbst verstehe.
Cyber Security -Sicherheit im Internet
Das BSIG
§1 – Bundesamt für Sicherheit in der Informationstechnik
In Paragraph 1 wird das Bundesamt für Sicherheit in der Informationstechnik vorgestellt.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) [2] ist dem Bundesministerium des Inneren (BMI, genauer: Bundesministerium des Innern, für Bau und Heimat) [4] als Bundesbehörde [3] zugeordnet.
§2 – Begriffsbestimmungen
Folgende Begriffsbestimmungen werden in den Begriffsbestimmungen unter anderem erläutert:
- Informationstechnik = Technische Mittel zur Verarbeitung oder Übertragung von Informationen
- Sicherheit = Einhaltung von Sicherheitsstandards
- Sicherheitsstandard = Vorkehrungen zur Verfügbarkeit, Unversehrtheit, Vertraulichkeit von Informationen in Systemen, Komponenten, Prozessen und bei der Anwendung der Systeme, Komponente, Prozesse
- Schadprogramme = Programme, Routinen, Verfahren mit dem Zweck unbefugt Daten zu nutzen oder löschen (z.B. Datenklau), oder unbefugte Einwirkung auf informationstechnische Abläufe (z.B. den Betrieb stören, Systeme lahmlegen)
- Sicherheitslücke = Fehlerhafte Eigenschaften von Programmen oder Systemen, die es unbefugten Dritten erlauben auf Daten zuzugreifen oder die Systeme zu beeinflussen (z.B. offene, ungesicherte Schnittstellen)
- Zertifizierung = Feststellung einer Zertifizierungsstelle (z.B. TÜV), dass ein Produkt, Prozess, System bestimmte Anforderungen erfüllt
- Protokolldaten = Steuerdaten (Gewährleistung der Kommunikation) eines informationstechnischen Protokolls zur Datenübertragung
- Datenverkehr = Mittels technischer Protokolle übermittelte Daten
- Kritische Infrastrukturen = Systeme und Anlagen von Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen; von hoher Bedeutung für das Funktionieren des Gemeinwesens und dadurch wichtig für die öffentliche Sicherheit
- Digitale Dienste = Online-Marktplätze (Kaufverträge & Dienstleistungsverträge), Online Suchmaschinen, Cloud-Computing Dienste
§3 – Aufgaben des Bundesamtes
Das Bundesamt hat als Ziel die Förderung der Sicherheit in der Informationstechnik. Anbei die wichtigsten Punkte:
- Sicherheit von IT-Systemen des Bundes
- Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen
- Kriterien, Verfahren, Werkzeuge zur Prüfung und Bewertung der Sicherheit sowie das Erteilen von Sicherheitszertifikaten
- Unterstützung der Polizei, Verfassungsschutz, Militär, Bundesnachrichtendienst
- Kommunikationsstrukturen für Krisen und Schutz Kritischer Infrastrukturen
Wie man sieht reicht das Aufgabenfeld des BSI bis in die Wirtschaft durch die Zertifikate, sowie in die Gesellschaft im Allgemeinen, da insbesondere Organe der Öffentlichen Sicherheit unterstütz werden, sowie die Kritischen Systeme (wie bereits weiter oben definiert)
§4 – Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes
Dieser Paragraph bezieht sich auf Meldungen anderen Bundesbehörden und welche Aufgaben das Bundesamt sowie die Bundesbehörden in diesem Zusammenhang haben. Dieser Paragraph hat wenig Berührungspunkte mit Wirtschaft und Gesellschaft, außer das in diesem Zusammenhang der Schutz personenbezogener Daten unberührt bleibt.
§5 – Abweht von Schadprogrammen und Gefahren für die Kommunikation des Bundes
In diesem Paragraph wird die Aufgabe des BSI zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes beschrieben. Unter anderem wird beschreiben wie mit Protokolldaten und Schnittstellen umgegangen wird. Protokoll-Daten dürfen für 3 Monate gespeichert werden, müssen pseudonymisiert werden und werden nur automatisch ausgewertet. Eine personenbezogene Verwendung der Daten bedarf der Anordnung des Präsidenten des BSI.
Des weiteren werden Prozesse beschrieben wie umzugehen ist, wenn Schadprogramme erkannt wurden. Es wird beschrieben wie mit den Beteiligten des Kommunikationsvorgangs, schutzwürdige Belange Dritter, Datenschutzbeauftragter BSI, weitere Bedienstete des BSI mit Richteramt, Strafverfolgungsbehörden, Polizei, Verfassungsschutz, militärischer Abschirmdienst, Bundesnachrichtendienst, Gerichte (z.B. Amtsgericht) so wie Bundesministerium des Innern umgegangen wird.
Erkenntnisse aus dem Kernbereich der privaten Lebensgestaltung werden sofort gelöscht.
§5a – Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen
Ein herausgehobener Fall liegt vor, wenn der Angriff eine besonders technische Qualität vorweist, oder dem öffentlichen Interesse dient. Der Angriff muss sich dabei entweder auf ein Stelle des Bundes oder auf eine Kritische Infrastruktur beziehen. Es entstehen dann Kosten, wenn Dritte hinzugezogen werden, die bei der Bewältigung des Angriffs unterstützen.
Das Bundesamt kann vom Hersteller eines betroffenen Systems verlangen, bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit des Systems mitzuwirken. Es wird nicht weiter spezifiziert was „verlangen“ bedeutet und ob der Hersteller verpflichtet ist zu helfen, womöglich sogar unentgeltlich.
Im Fall von Atomanlagen, muss die atomrechtliche Aufsichtsbehörde eingeschalten werden. Es gelten vorrangig die Vorgaben des Atomgesetzes.
§8 – Vorgaben des Bundesamtes
Das Bundesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik des Bundes, erstellt technische Richtlinien und stellt IT-Sicherheitsprodukte bereit.
Ressourcen und weitere Informationen
[1] Bundesamt für Sicherheit in der Informationstechnik Gesetz (BSIG)[2] Bundesamt für Sicherheit in der Informationstechnik
[3] Liste aller deutschen Bundesbehörden (BSI eine Behörde davon)
[4] Bundesamt für Inneres, Bau und Heimat
