BSI: Hilfestellungen und Anforderungen in puncto IT-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik – kurz: BSI – übernimmt zahlreiche Aufgaben: Es gibt Hilfestellungen für Bürgerinnen, Bürger und Unternehmen, überwacht Firmen, leistet bei Problemen oder Vorfällen aktive Unterstützung und das BSI gibt Gesetze vor. Im heutigen Beitrag erfahren Sie mehr zu diesen BSI-Gesetzen und darüber, was das BSI leistet. Außerdem erfahren Sie, wie das Bundesinnenministerium die Kompetenzen des BSI künftig ausbauen möchte und wo zukünftig der neue Schwerpunkt des Bundesamts für Sicherheit in der Informationstechnik liegen soll.

Bundesamt für Sicherheit in der Informationstechnik (BSI): Was ist das eigentlich?

Das Bundesamt für Sicherheit in der Informationstechnik mit Sitz in Bonn wurde im Januar 1991 als Nachfolger der Zentralstelle für das Chiffrierwesen gegründet. Die deutsche Bundesbehörde ist dem Geschäftsbereich des Bundesministeriums des Innern und für Heimat zugeordnet und ist für alle Fragen der IT-Sicherheit zuständig. Wie im Leitbild der Behörde zu lesen ist, versteht sich das BSI als „Cyber-Sicherheitsbehörde des Bundes“, die die „Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft“ gestaltet. Mit steigender Bedeutung der Digitalisierung stieg auch die Bedeutung des BSI. In der Folge sind diverse Gesetze entstanden:

IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz ist im Dezember 2014 beschlossen worden, ab 2015 trat es in Kraft – wir berichteten seinerzeit. Ziel des IT-Sicherheitsgesetzes war es, „einen Beitrag dazu [zu leisten], die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“, wie es auf der Website des BSI heißt. Diesen Zeilen zufolge sei ein weiteres Ziel „die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung, sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet“.

Im Mai 2021 wurde das IT-Sicherheitsgesetz 2.0, also eine neue und erweiterte Fassung, veröffentlicht. Mit dieser neueren Version des IT-SiG bekam das BSI neue Kompetenzen und Befugnisse – mitunter soll das BSI aktiv nach unsicheren Geräten suchen und es darf hacken. Details zu diesen Sonderrechten des BSI, aber auch zu weiteren Inhalten des IT-SiG 2.0 finden Sie in unserem Blogbeitrag „IT-Sicherheitsgesetz 2.0: KRITIS ausreichend schützen“.

eIDAS-VO: Verordnung der Europäischen Union zu elektronischen Identifizierungs-, Authentifizierungs- und Vertrauensdiensten

Bei der eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste – einer EU-Verordnung, die seit 2014 geltendes Recht für sämtliche EU-Mitgliedsstaaten und im EWR ist – hat das BSI am Entstehungsprozess mitgewirkt. Und noch heute beteiligt es sich am weiteren Ausgestalten sowie dem technischen Umsetzen in sämtlichen Bereichen. Die eIDAS-VO enthält Regelungen für die Sektoren „Elektronische Identifizierung“ sowie „Elektronische Vertrauensdienste“; mitunter regelt die Verordnung digitale Signaturen (mehr dazu und zur eIDAS-VO in unserem Beitrag „Elektronische Signatur: Wir räumen auf mit Mythen“ im Absatz „Mythos 1: Es gibt nur eine Art der digitalen Signatur“). Ziel der eIDAS-VO ist es, einheitliche Rahmenbedingungen für das grenzüberschreitende Nutzen elektronischer Vertrauensdienste und Identifizierungsmittel zu schaffen.

Online-Zugangsgesetz

Seit 2017 soll das Online-Zugangsgesetz (OZG) die Basis für eine moderne Verwaltung bilden, „die sich am Bedarf und den Anforderungen der Nutzerinnen und Nutzer orientiert“, wie das BSI erklärt. Mit dem Gesetz haben sich die Behörden von Bund, Ländern und den Kommunen dazu verpflichtet, Verwaltungsleistungen online über einen Verbund von Verwaltungsportalen anzubieten. Bis Ende 2022 soll dieser Umstieg laut Gesetz gelingen.

Das BSI nimmt in diesem Gesetz eine Gestalterrolle ein: Die Behörde unterstützt durch ein Rahmensicherheitskonzept das Projekt Portalverbund. Um die IT-Sicherheit im Portalverbund zu gewährleisten, soll das BSI eine technische Richtlinie gemäß § 1 Abs. 2 OZG erstellen.

BSI-Grundschutz-Kompendium

Als Basis für alle, die sich mit Informationssicherheit befassen müssen oder möchten, dient das IT-Grundschutz-Kompendium des BSI – jüngst in der Edition 2022 (PDF) erschienen. Neben möglichen Gefährdungen erläutert das BSI-Grundschutz-Kompendium auch wichtige Sicherheitsanforderungen. Das BSI arbeitet hier mit Anwendenden zusammen, die die ganzjährig zur Verfügung stehenden Entwürfe kommentieren können.

BSI: Stets auf dem aktuellen Stand bleiben

Um aktuelle Gefahren erkennen und entsprechend handeln zu können, müssen die Expertinnen und Experten des BSI immer auf dem Laufenden bleiben – und das gilt auch für Unternehmen. Sie können sich durch Schulungen, aber auch durch das Verfolgen von Meldungen weiterbilden und aktuell halten. So veröffentlicht das BSI beispielsweise Cyber-Sicherheitswarnungen, aber auch die Pressemeldungen sind informativ. Es kann sich auch lohnen, Sicherheitsstudien zu lesen – seien es Malware-Reports oder der jährlich erscheinende Lagebericht zur IT-Sicherheit in Deutschland vom BSI. Im Bericht aus dem Jahr 2021 machte das BSI beispielsweise insbesondere auf den Exchange-Server-Hack und auf die Sicherheitslücke Log4j aufmerksam.

Lohnenswert können auch virtuelle oder Präsenzveranstaltungen sein. So lud das BSI Anfang Februar beispielsweise zum 18. Deutschen IT-Sicherheitskongress ein, der unter dem Motto „Cyber-Sicherheit ist Chefinnen- und Chefsache!“ stand. Auch wir laden Sie herzlich ein, an unseren kostenfreien Webinaren teilzunehmen und Ihr Wissen über Datenschutz, Informationssicherheit und mehr weiter zu erhöhen.

Bundesinnenministerin möchte BSI stärken

Den 18. Deutschen IT-Sicherheitskongress nutzte Bundesinnenministerin Nancy Faeser (SPD), um den Ausbau des BSI anzukündigen. Faeser sieht in der Bonner Behörde die künftige „Zentralstelle im Bund-Länder-Verhältnis“. Ziel ist es, Cyberangriffe auf öffentliche Verwaltungen möglichst zu verhindern. Konnte das BSI bei bisherigen Cyberangriffen dieser Art ausschließlich als Amtshilfe tätig werden, sollen künftig Doppelstrukturen derart ausgebaut werden, dass das BSI auch eine koordinierende Rolle einnimmt. Faeser möchte ein neues Schwachstellenmanagement installieren, um zusammen mit dem BSI und anderen Sicherheitsbehörden den verantwortungsvollen Umgang mit Sicherheitslücken anzustreben.

BSI-Präsident Arne Schönbohm sieht außerdem einen neuen Schwerpunkt in der Verbraucheraufklärung. So wurde jüngst das erste IT-Sicherheitskennzeichen verliehen, mit dem sich Verbrauchende über die Produkte informieren können sollen.