IT Sicherheitsgesetz 2.0
– nur 🗑️ oder doch mehr –
Jan Otto – Seminar – SS22
Begrifflichkeiten
https://slides.com/d/jsf3Mi4/live
Live mitverfolgen:
- IT-SiG 2.0: IT Sicherheitsgesetz 2.0
- Artikelgesetz: Änderung div. Gesetze über jeweils eigene Artikel
- BSI: Bundesamt für Sicherheit in der Informationstechnik
- EU-Richtlinie: Rechtsakt über zu erreichendes Ziel aller Mitgliedsstaaten, Verwirklichung über eigene Rechtsvorschriften
IT-SiG 1.0
Juli 2015
KRITIS-Verordnung Korb 1
April 2016
EU NIS Richtlinie
August 2016
IT-SiG 2.0
April / Mai 2021
KRITIS-Verordnung Korb 2
Juni 2017
Umriss – Historie und EU-Bezug
2019
Entwürfe IT-SiG 2.0
2021
Entwürfe EU NIS2 / RCE
ab 2020
Warum brauchen wir das IT-SiG 2.0?
Warum brauchen wir das IT-SiG 2.0?
Triggerwarnung
Warum brauchen wir das IT-SiG 2.0?
Warum brauchen wir das IT-SiG 2.0?
Warum brauchen wir das IT-SiG 2.0?
Wie hilft das IT-SiG 2.0?
Portscans
- § 7b (Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden)
- BSI darf Portscans zur Detektion einsetzen
- nur an Systemen des Bundes und der KRITIS (Weiße Liste)
- Information und Hilfestellung der Systemverantwortlichen
- jährliche Meldung über Anzahl an Bundesdatenschutzbeauftragten
- Honeypots dürfen zur Gewinnung von Informationen verwendet werden
Portscan Demonstration
Wie hilft das IT-SiG 2.0?
Systembereinigung
- § 7c Anordnungen des Bundesamtes gegenüber Diensteanbietern
- BSI darf Befehle zur Bereinigung senden
- über TKG Anbieter wie ISPs
- z.B. Änderungen an Routern, wie Updates, Einstellungen, usw.
(siehe auch TR-069)
Sanktionen
- diverse neue und höhere Bußgelder
- Höchstgrenzen vorher 50 Tsd. / 100 Tsd. Euro
- mit IT-SiG 2.0 Höchstgrenzen von 20 Mio. Euro
- Angleichung an DS-GVO Bußgelder
- Schaffung von Wichtigkeit bei wirtschaftlichen Unternehmen
Noch viel mehr
UNBÖFI
Meldepflichten
neue KRITIS Betreiber (z.B. Siedlungsabfallentsorgung)
Zertifizierungen
Angriffserkennung
Fazit & Ausblick
- nicht (nur) Abfall, sondern wichtige Fortschritte für Sicherheit in der IT / OT
- KRITIS-VO 2.0 und UBI-VO noch dieses Jahr
- NIS2-Richtlinie und RCE-Richtlinie
Quellen
- Quellen der Seminararbeit
- https://exposure.shodan.io/#/DE (31.05.2022)
- https://money.cnn.com/gallery/technology/security/2013/05/01/shodan-most-dangerous-internet-searches/ (31.05.2022)
- https://info.rhebo.com/de/webinarreihe-zum-it-sicherheitsgesetz
Noch Fragen?
Jetzt
Später
Seminararbeit auf GitHub: derOtto/seminar
Slides auf slides.com: https://slides.com/jotto
IT-Sicherheitsgesetz 2.0
By jotto
IT-Sicherheitsgesetz 2.0
- 34