Das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI – ist eine obere Bundesbehörde im Geschäftsbereich des Bundesministeriums und seit 1991 mit Sitz in Bonn zuständig für Fragen der IT-Sicherheit.
Das „Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik“ wurde bereits 1991 verfasst und war die ursprüngliche Fassung als Rechtsgrundlage für die Arbeit des BSI. Bis 2009 war dieses Gesetz gültig und beschrieb die zentralen Aufgaben und Befugnisse der Bundesbehörde. 2009 ging aus diesem Gesetz das „Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes“ hervor, welches auch heute noch das geltende BSI-Gesetz ist. Mit dem Gesetz wurden dem BSI weitergehende Aufgaben und Befugnisse eingeräumt und darüber hinaus eine zentrale Rolle zum Schutz der IT-Sicherheit zugewiesen.
Im Juli 2015 wurde das Gesetz aufgrund des Eindrucks von Terroranschlägen sowie aus militärischen Erwägungen im Rahmen des Schutzes vor Cyberattacken mit dem „Artikelgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“ in größerem Umfang ergänzt. Das BSI wurde dadurch mit neuen Aufgaben und Befugnissen ausgestattet, um die IT-Sicherheit in Unternehmen, in der Bundesbehörde sowie bei privaten Bürgern zu verbessern.
Zentrale Erweiterungen des Artikelgesetztes waren die Sicherheitsanforderungen an die sogenannten „Kritischen Infrastrukturen“ (KRITIS). Dabei handelt es sich vor allem um „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ (BSI, 2018, https://www.kritis.bund.de/SharedDocs/Downloads/Kritis/DE/BSI_Kritisverordnung_Final.pdf?__blob=publicationFile) Dies können beispielsweise Organisationen aus den Bereichen der Strom- und Wasserversorgung, aus dem Bereich Finanzen oder Ernährung sein, die bei der Verfügbarkeit von IT-Sicherheit eine wichtige Rolle spielen.
IT-Grundschutz des BSI – Standards in der IT-Sicherheit eines Unternehmens
Der IT-Grundschutz ist eine bewährte Methodik, die in Wirtschaft und Verwaltung als Maßstab zur Absicherung von Informationen für den Aufbau eines ISMS (Managementsystem für die Informationssicherheit) gilt und mit der ISO 27001 kompatibel ist.
Detaillierte Anforderungen an die IT-Sicherheit hat das BSI bereits sehr früh gestellt und diese in den IT-Grundschutz-Katalog aufgenommen. Die Umsetzung eines ISMS muss deshalb nicht neu und ohne Zuhilfenahme von Informationen umgesetzt werden. Mittlerweile ist aus den Erfahrungen, die bereits von vielen anderen IT-Sicherheitsbeauftragten gemacht wurden, eine Reihe von Standards entstanden, die als Grundlage angesehen werden können und beinahe eine Voraussetzung für etwaige Geschäftsanbahnungen sind – Unternehmen haben sozusagen keine Möglichkeit, außer diese auch umzusetzen. Dazu gehören:
Datenschutz-Grundverordnung (DSGVO)
Mit der Datenschutz-Grundverordnung werden die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht. Im Mai 2018 wurden verschärfte Regelungen wirksam, die Organisationen zu höherer Transparenz im Umgang mit Daten verpflichteten. Neuerungen bzw. Änderungen sind z.B. die Rechenschafts- und Dokumentationspflicht, das „Recht auf Vergessen“ und die aktive Zustimmung für die Datenverarbeitung durch die Nutzer. Unternehmen ab einer Größe von zehn Mitarbeitern sind zur Beauftragung eines Datenschutzbeauftragten verpflichtet.
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
Dieses 1998 beschlossene Artikelgesetz nimmt Änderungen des Handelsgesetzbuches und des Aktiengesetzes vor. Dabei hat es zum Ziel, die Corporate Governance, also den rechtlichen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens, weiterzuentwickeln. Eine bedeutende Neuerung war dabei die Forderung nach einem Risikomanagement für Kapitalgesellschaften (Aktiengesellschaften und GmbHs), damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden können.
Aktiengesetz und Handelsgesetzbuch
Im Aktiengesetz wird festgelegt, dass ein Vorstand persönlich haftet, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG). Diese Pflichten gelten auch im Rahmen des Handelsgesetzbuches (§ 317 Abs. 4 HGB).
Verbraucherschutz
Für die Etablierung eines ISMS in Unternehmen sollten auch die Belange des Verbraucherschutzes berücksichtigt werden, die in verschiedenen Gesetzen behandelt werden (wie z.B. Gesetz zur Nutzung von Telediensten, Telekommunikationsgesetz, Mediendienste- und Staatsvertrag, Urheberrecht).
Die Kombination aus den IT-Grundschutz-Katalogen und der IT-Grundschutz-Vorgehensweise im BSI-Standard 200-2 ist eine einfache Methode, um ein sicheres Management zum Schutz der Informationen eines Unternehmens aufzubauen. Beim BSI-Standard 200-2 handelt sich um eine Sammlung von Sicherheitsmaßnahmen und eine entsprechende Methodik zur Auswahl und Anpassung geeigneter Maßnahmen.
Modernisierung der IT-Grundschutz-Methodik
Im Herbst 2017 wurde die IT-Grundschutz-Methodik grundlegend modernisiert und neue Themen aufgenommen. Für KMU wurden außerdem Fragen hinsichtlich der Informationssicherheit etabliert. Damit können Verantwortliche in diesem Bereich Unternehmen jeder Größenordnung realistisch einschätzen und Maßnahmen zur Absicherung standardisiert umsetzen.
Die Änderungen betreffen vor allem die BSI-Standards, die ein elementares Fundament der IT-Grundschutz-Methodik sind und Empfehlungen zu Methoden und Maßnahmen zu unterschiedlichen Themen im Bereich der Informationssicherheit enthalten.
Sie haben Fragen zum Aufbau eines ISMS oder zur IT-Sicherheit in Ihrem Unternehmen? Gern beraten wir Sie persönlich.