BSI-Gesetz In Deutschland für die Cybersicherheit verantwortlich: BSI

Um die Bedrohungslage im Blick zu behalten und im Falle eines Cyberangriffs reagieren zu können, liefert das BSI Hilfestellung. Das BSI-Gesetz legt den Aufgabenbereich für die Cyber-Sicherheitsbehörde fest. Erfahrt hier, was genau es mit dem BSI-Gesetz auf sich hat, welche entscheidenden Neuerungen sich auf das BSI auswirken und wie das BSI täglich zur Cybersecurity des Bundes beiträgt.

Was hat es mit dem BSI auf sich?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine deutsche Bundesbehörde und wurde am 01. Januar 1991 gegründet. Es gehört zum Geschäftsbereich des Bundesministeriums des Innern und für Heimat. Die Behörde mit Sitz in Bonn ist für Fragen der Cybersecurity zuständig. Ihr Leitsatz lautet: „Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.“

Das BSI engagiert sich auch international. Da Kommunikations- und Informationssysteme grenzenlos vernetzt sind, ist das unabdingbar. Im Februar 2011 wurde die Cyber-Sicherheitsstrategie der Bundesregierung verabschiedet. Sie betrachtet den Schutz des Cyber-Raums als existenzielle Frage und sieht die enge Zusammenarbeit in Europa und weltweit als sehr bedeutsam an. Die Cyber-Sicherheitsstrategie stellt den obersten Bezugsrahmen für das internationale Engagement des BSI dar.

Sowohl in Europa als auch international gilt das BSI als kompetenter und strategischer Partner in der Informationssicherheit. Es gilt als weltweit anerkanntes IT-Sicherheitskompetenzzentrum.

Die wesentliche Aufgabe des BSI ist der Schutz des Bundes vor Cyberangriffen. © Shutterstock, PopTika
Mit Hilfe verschiedener Maßnahmen schützt das BSI den Bund vor Cyberangriffen. © Shutterstock, PopTika

Welche Aufgabenschwerpunkte liegen im Fokus der BSI?

Eine Kernaufgabe des BSI ist die Abwehr von Gefahren für die IT des Bundes. Die Netze der Bundesverwaltung werden durch das BSI geschützt. Im Zuge des Regierungsumzugs nach Berlin wurde dem BSI die gesamte Verantwortung für das IT-Sicherheitskonzept des Regierungsnetzes übertragen.

Das zentrale Regierungsnetz bedient sich wichtiger Sicherheitsmaßnahmen wie einer durchgängig verschlüsselten Kommunikation und einer robusten Architektur. Auch permanente Verbesserungen in der sicherheitstechnischen Aufstellung der Netze sorgen für eine erhöhte Sicherheit.

Täglich stellt das BSI Cyberangriffe auf die Regierungsnetze fest. Darauf reagiert es mit Warnungen, Sofortmaßnahmen, konkreter Hilfestellung und Handlungsempfehlungen für die jeweils betroffenen Einrichtungen. Für die Einleitung der Maßnahmen sind zum einen das Nationale IT-Lagezentrum und zum anderen das CERT-Bund (Computer Emergency Response Team für Bundesbehörden) zuständig. Das Lagezentrum verfügt ständig über ein verlässliches Bild der aktuellen IT-Sicherheitslage und kann somit den Handlungsbedarf und die Handlungsoptionen bei Sicherheitsvorfällen einschätzen. Die Maßnahmen, die das BSI zum Schutz der Regierungsnetze ergreift, unterliegen ständiger Überprüfung, Weiterentwicklung und Anpassung an die Bedrohungslage.

Außerdem erarbeitet das BSI praxisorientierte Mindeststandards und Handlungsempfehlungen zur IT- und Internet-Sicherheit. Daneben ist es für den Schutz der IT-Systeme des Bundes verantwortlich. Konkret bedeutet das die Abwehr vor Viren, Trojanern und anderen Bedrohungen. In diesem Beitrag erfahrt ihr mehr zum Thema “Hackerangriffe”.

Das BSI gliedert sich in acht Abteilungen.
Das BSI ist in acht Abteilungen unterteilt.

Wie ist das BSI organisiert?

Geleitet wird das BSI von einem Präsidenten sowie Vizepräsidenten, die bei ihrer Arbeit durch den Leitungsstab unterstützt werden. Das BSI ist in acht Abteilungen organisiert, die sich jeweils aus ein bis drei Fachbereichen zusammensetzen. Die Fachbereiche unterteilen sich in verschiedene Aufgabenbereiche:

  • Abteilung Z: Zentrale Aufgaben,
  • Abteilung TK: Technik-Kompetenzzentren,
  • Abteilung KM: Krypto-Technik und IT-Management,
  • Abteilung DI: Cyber-Sicherheit in der Digitalisierung und für elektronische Identitäten,
  • Abteilung SZ: Standardisierung und Zertifizierung,
  • Abteilung OC: Operative Cyber-Sicherheit,
  • Abteilung WG: Cyber-Sicherheit für Wirtschaft und Gesellschaft,
  • Abteilung BL: Beratung für Bund, Länder und Kommunen.

Zusammengefasst übernimmt das BSI folgende Aufgaben:

  • Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und Dienstleistungen,
  • Warnung vor Sicherheitslücken und Schadprogrammen in IT-Produkten und -Dienstleistungen,
  • IT-Sicherheitsberatung für die Bundesverwaltung und für andere Zielgruppen,
  • Sensibilisierung der Bürger für das Thema IT- und Internet-Sicherheit,
  • Entwicklung einheitlicher IT-Sicherheitsstandards,
  • Entwicklung von Kryptosystemen für die IT des Bundes.

Festgelegt wird der Aufgabenbereich durch das sogenannte BSI-Gesetz und insbesondere durch die Erweiterungen des Gesetzes, die 2021 in Kraft getreten sind. Auf das BSI-Gesetz gehen wir nun etwas genauer ein.

Unternehmen sind dazu verpflichtet, bestimmte Sicherheitsmaßnahmen zu treffen. Das schreibt das BSI-Gesetz vor. © Shutterstock, Chinnapong
Aufgrund des BSI-Gesetzes müssen Unternehmen bestimmte Sicherheitsmaßnahmen treffen. © Shutterstock, Chinnapong

Wie definiert sich das BSI-Gesetz eigentlich?

Beim BSI-Gesetz handelt es sich um ein deutsches Bundesgesetz, das für die Regelung der Sicherheit im Internet zuständig ist.

In Kraft getreten ist es im Jahr 1991. Zweck des Gesetzes ist die Stärkung der Sicherheit von IT-Systemen. Außerdem soll es die IT-Infrastruktur vor Angriffen schützen. Das Gesetz gilt für in Deutschland ansässige Unternehmen, die IT-Systeme betreiben.

Das Gesetz verpflichtet Unternehmen dazu, bestimmte Sicherheitsmaßnahmen zu treffen. Unternehmen müssen also Notfallpläne für den Fall eines Cybereingriffs erstellen, Mitarbeitende zum Thema Cybersecurity schulen und Sicherheitseinstellungen in regelmäßigen Abständen überprüfen. Dazu besagt das Gesetz, dass Unternehmen einen Cybersecurity-Officer ernennen müssen. Dieser muss dafür Sorge tragen, dass die Sicherheitsmaßnahmen umgesetzt werden.

Bei Verstoß gegen das BSI-Gesetz drohen Bußgelder in Höhe von bis zu 100 Millionen Euro. 

Welches Gesetz ist zusätzlich zum BSI-Gesetz 2021 in Kraft getreten?

Am 28. Mai 2021 ist das zweite Gesetz für eine erhöhte Sicherheit für IT-Systeme in Kraft getreten. Das neue Gesetz wird auch Sicherheitsgesetz 2.0 oder IT-SiG 2.0 genannt. Es handelt sich dabei um ein Artikelgesetz – es ändert also mehrere Gesetze, die thematisch nicht zwangsläufig zusammenhängen. Vom IT-Sicherheitsgesetz 2.0 betroffen sind:

  • Das BSI-Gesetz,
  • das Telekommunikationsgesetz,
  • die Außenwirtschaftsversorgung,
  • das SGB X.

Am stärksten von den Veränderungen betroffen ist das BSI-Gesetz. Es hat dadurch stark an Komplexität zugenommen.

Da es mit der Änderung des Gesetzes die zentrale Organisation für Informationssicherheit im nationalen Kontext darstellt, ist es seitdem die Meldestelle in allen Fragen der Cybersecurity.

Das BSI kann auch für euer Unternehmen relevant sein. © Shutterstock, alphaspirit.it
Auch für euer Unternehmen kann das BSI relevant sein. © Shutterstock, alphaspirit.it

Für welche Zielgruppen ist die BSI relevant?

Zu den Zielgruppen das BSI gehören:

  • Öffentliche Verwaltung in Bund, Ländern sowie Kommunen,
  • Wirtschaftsunternehmen,
  • Wissenschafts- und Forschungseinrichtungen,
  • Privatanwender*innen.

Woher bezieht das BSI seine Informationen?

Informationsaustausch findet vor allem im Rahmen von Arbeitskreisen, Gremien und Kooperationen statt. Die Informationen werden durch die ständige Beobachtung und Auswertung allgemein zugänglicher Informationsquellen ergänzt. Dazu gehören beispielsweise Nachrichtenseiten oder Blogs.

Das BSI betreibt daneben datenschutzkonforme Sensoren, welche die Regierungsnetzwerke auf Verfügbarkeit und Integrität analysieren. Das BSI steht auch im internationalen Informationsaustausch.

Mit wem arbeitet das BSI national und international zusammen?

Das BSI tauscht sich regelmäßig mit anderen Behörden zu technischen Fragestellungen der Cybersecurity aus. Dazu gehören sowohl Behörden innerhalb als auch außerhalb der EU, welche für den Schutz von Computersystemen zuständig sind. Auch die US-amerikanische National Security Agency (NSA) zählt hierzu.

Zusätzlich unterstützt das BSI den Bundesnachrichtendienst (BND) bei seinen gesetzlichen Aufgaben. Das dient dazu, Tätigkeiten zu verhindern, die gegen die Sicherheit der Informationstechnik gerichtet sind. Das BSI berät den BND beispielsweise in Fragen zur Informationssicherheit oder des Geheimschutzes.

Die Zertifizierung von IT-Systemen fördert Transparenz. © Shutterstock, Thapana_Studio
Indem IT-Systeme zertifiziert werden, wird Transparenz gefördert. © Shutterstock, Thapana_Studio

Was versteht man unter einer BSI-Zertifizierung?

Informationstechnologie ist immer auch mit der Preisgabe sensibler Daten verbunden. Die Gefahren steigen dahingehend ständig. Verlässlichkeit und Sicherheit der Informationstechnologie sind in der heutigen Gesellschaft jedoch unabdingbar. Bestimmte Sicherheitsmerkmale müssen daher erfüllt sein, um diese sicherzustellen. Unabhängige, vom BSI anerkannte Prüforganisationen prüfen, bewerten und zertifizieren IT-Systeme und -Produkte nach einheitlichen Standards. Damit wird Transparenz gefördert und zudem steigt das Vertrauen in die Informationstechnologie.

Die Prüfung geschieht, nachdem Anbieter von IT-Produkten einen Zertifizierungsantrag gestellt haben. Mit der Zertifizierung ihrer Produkte können sie das Sicherheitsniveau nachweisen.

Was ist eine “Warnung” des BSI?

Das BSI hat das Recht, Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten auszusprechen. Dasselbe gilt für Schadprogramme. Die Warnungen können sich entweder an die Betroffenen richten oder öffentlich ausgesprochen werden.

Das BSI kann beispielsweise von der Nutzung bestimmter Produkte abraten, solange eine Sicherheitslücke nicht behoben worden ist. Öffentliche Warnungen werden jedoch nur dann vorgenommen, wenn genügend Anhaltspunkte dafür vorliegen, dass Gefahren von dem jeweiligen Produkt ausgehen. Da eine öffentliche Warnung wirtschaftliche Folgen für Unternehmen mit sich bringen kann, geht das BSI sehr bedacht hiermit um.

Auf der sicheren Seite mit Smart Data Center

Bereits Schwachstellen wie unsichere Passwörter können eine Sicherheitslücke in Unternehmen darstellen, nach denen Hacker*innen gezielt auf der Suche sind. Smart Data Center steht euch mit den höchsten Standards im Bereich der präventiven Cybersecurity und schnelle Hilfe im Falle eines Hackerangriffs zur Seite. Zur Prävention dient unter anderem die Gefährdungsbeurteilung, mit der ihr prüfen könnt, ob euer Unternehmen Cyberrisiken ausgesetzt ist.

Die von uns genutzten Rechenzentren sind made in Germany und DSGVO-konform. Findet jetzt smarte Lösungen für die Arbeitswelt 4.0! Folgen Sie uns auch gerne bei LinkedIn, hier posten wir zukünftig News aus der Branche und von Smart Data Center.

Beitragsbild: © Shutterstock, nitpicker

Weitere Themen aus diesem Artikel

Aktuelle Beiträge

DDOS-Angriff auf BaFin und Lok Leipzig Hackerangriffe aktuell: September 2023

Im September 2023 wurden erneut Unternehmen aus verschiedenen Branchen Opfer von Cyberangriffen, die auf Sicherheitslücken zurückzuführen waren. Diese Angriffe haben zugenommen und sie werden aus vielfältigen Motiven durchgeführt.

Nachhaltigkeit der KMUs Gothaer Studie 2023: Nachhaltigkeit in Unternehmen

Das Thema Nachhaltigkeit gewinnt immer mehr an Bedeutung. Sowohl in privaten Haushalten als auch in Unternehmen. Doch wie stehen KMUs eigentlich dazu, ihre Unternehmensphilosophie anzupassen und Nachhaltigkeit einen größeren Raum zu geben? Die Gothaer Studie kam zu interessanten Ergebnissen, die wir euch in diesem Beitrag zusammengefasst haben.

Cyberangriffe Deutschland Cyberangriffe aktuell: August 2023

Unternehmen aus verschiedenen Branchen waren im August 2023 erneut Ziel von Cyberangriffen, die auf Sicherheitslücken zurückzuführen waren. Die Zahl der Hackerangriffe nimmt ständig zu, und sie werden aus den unterschiedlichsten Gründen durchgeführt.