p290854, Autor auf IT-Sicherheit-und-Recht.de

Stellungnahme zur BSI-Empfehlung „Absicherung von Telemediendiensten nach Stand der Technik“

13.08.2016 // Das BSI-Diskussionspapier hat zum Ziel, den Anbietern von Telemediendiensten einen Leitfaden an die Hand zu geben, welche Anforderungen an die technischen und organisatorischen Vorkehrungen gestellt werden, die den „Stand der Technik“ berücksichtigen müssen. Positiv ist hervorzuheben, dass dieses Diskussionspapier den Versuch unternimmt, den im Gesetz nicht weiter ausgefüllten Begriff des „Standes der Technik“ zu umgrenzen und mit Leben auszufüllen. Zu kritisieren ist insbesondere der fehlende methodische Ansatz. Bartels schlägt vor, sich zunächst abstrakt-definitorisch zu nähern, um anschließend auf konkrete Maßnahmen oder Maßnahmenbündel einzugehen. Die vom BSI aufgelisteten „Basis-“ und „Standardmaßnahmen“ sind zwar geeignet, einen ersten Anknüpfungspunkt zu geben, stellen aber keine verlässliche Anleitung dar, derer sich die Anbieter von Telemediendiensten bedienen könnten. Einer der Hauptkritikpunkte der Stellungnahme ist, dass im Diskussionspapier des BSI der Bereich der Verhältnismäßigkeitsprüfung im Rahmen des § 13 Abs. 7 TMG nicht ausgearbeitet wurde. Telemedienanbieter sind zur Anwendung der ermittelten Vorkehrungen nach dem Stand der Technik nur verpflichtet, wenn dies „technisch möglich“ und „wirtschaftlich zumutbar“ ist. Es ist eine zentrale Frage, unter welchen Voraussetzungen der objektive Stand der Technik aus subjektiven Gründen unterschritten werden darf. Gerade hierzu sei eine Stellungnahme des BSI aus praktischer Sicht unabdingbar. Die gesamte Stellungnahme finden Sie als Verlautbarung des TeleTrusT hier.

BSI: Absicherung von Telemediendiensten nach Stand der Technik

27.09.2016 // Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Empfehlung zur Absicherung von Telemediendiensten nach „Stand der Technik“ veröffentlicht. An diesem Cyber-Sicherheitsdokument haben der Bitkom e. V. und die Allianz für Cyber-Sicherheit mitgewirkt. Darin enthaltene Sicherheitsmaßnahmen sollen Telemedienanbieter (z. B. Betreiber von Online-Shops und Unternehmen, die Hosting- und Server-Dienstleistungen anbieten) gegen unerlaubten Zugriff auf technische Einrichtungen absichern und vor Verletzungen des Schutzes personenbezogener Daten und anderen Störungen bewahren. Der dabei zu berücksichtigende „Stand der Technik“ wird nunmehr durch das BSI näher erläutert und konkretisiert. Eine kritische Stellungnahme folgt im ITSiG-Blog.

eIDAS-Verordnung tritt am 01.07.2016 in Kraft

/30.06.2016/ Bislang legte die Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates die Regelungen zu elektronischen Signaturen fest. Die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ eIDAS-Verordnung (EU) Nr. 910/2014 ) soll künftig für einen europaweit einheitlichen Umgang mit elektronischen Signaturen und anderen Vertrauensdiensten, wie Website-Authentifizierung und Validierungs- sowie Bewahrungsdienste sorgen und erweitert die Richtlinie von 1999. Somit werden ab dem 1. Juli 2016 Signaturen, Siegel und Zeitstempel von deutschen Vertrauensdienstanbietern in allen Mitgliedstaaten der Union akzeptiert. Durch die Verordnung soll die sichere elektronische Interaktion zwischen Unternehmen, Behörden und Bürgern innerhalb der Europäischen Union erleichert werden, um so zum Beispiel Dokumente einfacher elektronisch unterzeichnen zu können. Ergänzt werden die bisherigen Signaturmöglichkeiten vor allem durch elektronische Siegel, sog. Organisationszertifikate und Fernsignaturen, die dazu beitragen sollen, Identifizierungsprozesse zu erleichtern. Mithilfe eines Signaturalgorithmus berechnet der Signierende aus seinem privatem Schlüssel und einer zu zertifizierenden Nachricht eine digitale Signatur, welche anschließend durch einen Prüfalgorithmus validiert wird.

Technische Richtlinie für E-Mail-Diensteanbieter

/15.06.2016/ Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die fortentwickelte und finale Fassung des im August 2015 vorgestellten Entwurfs der Technischen Richtlinie "Sicherer E-Mail-Transport" (TR-03108) veröffentlicht. Diese besteht zum einen aus der Richtlinie selbst und zum anderen dem Entwurf der Testspezifikation und den dazugehörigen XML-Dateien. Die Richtlinie richtet sich an Betreiber von E-Mail-Diensten (EMDA). Ziel ist es, die Vergleichbarkeit und Verbreitung sicherer E-Mail-Kommunikation zu erhöhen, indem ein Mindestmaß an IT-Sicherheitsmaßnahmen für EMDA definiert wird. Entworfen und finalisiert wurde die TR-03108 in einer eigens zu diesem Zweck gegründeten Arbeitsgruppe des BSI in Zusammenarbeit mit mehr als 20 E-Mail-Diensteanbietern aus Deutschland sowie verschiedenen europäischen Partnerbehörden. Unter anderem werden nun die Technologien DNSSEC und DANE/ TLSA von Beginn an verpflichtend von den EMDA implementiert. Mithilfe einer Prüfspezifikation erhält zudem jeder EMDA die Möglichkeit, die Konformität seines Dienstes zu der Technischen Richtlinie gegenüber seinen Nutzern sowie Dritten nachzuweisen. Dieses Verfahren bildet die Basis für das Zertifizierungsverfahren nach der TR-03108. Urheberhinweis Bild: Myimagine/shutterstock.com

BSI veröffentlicht Informationsbroschüre zum ITSiG

/12.06.2016/ Das Bundesamt für Sicherheit in der Informationstechnik hat mit Hinblick auf die Beantwortung wichtiger und häufig gestellter Fragen zum IT-Sicherheitsgesetz eine Informationsbroschüre veröffentlicht. In der Broschüre werden u. a. die Adressaten des ITSiG und die gestellten Anforderungen zusammengefasst vorgestellt. Außerdem stellt das BSI in seinem Informationsblatt nochmals die im Februar 2016 veröffentlichte KRITIS-Verordnung und die Bedeutung für die betroffenen Betreiber vor. Abschließend weist die Broschüre auf Herausforderungen der Digitalisierung und der damit zusammenhängenden Erforderlichkeit die Zusammenarbeit zwischen Staat, Wirtschaft, Wissenschaft und Gesellschaft zu verstärken.

Was ist der „Stand der Technik“?

/26.05.2016/ TeleTrusT - Bundesverband IT-Sicherheit e.V. legt Handreichung vor. Zur Erhöhung der Cyber-Sicherheit hat der Gesetzgeber Unternehmen durch das IT-Sicherheitsgesetz verpflichtet, bei Auswahl, Implementierung und Betrieb von IT-Sicherheitsmaßnahmen den Stand der Technik zu berücksichtigen. Das gilt für Betreiber Kritischer Infrastrukturen (§ 8a Absatz 1 S. 2 BSIG) sowie für jedes Nicht-KRITIS-Unternehmen, das eine Internetseite oder einen anderen Telemediendienst betreibt (§ 13 Absatz 7 TMG). Entsprechendes gilt für Telekommunikationsanbieter gemäß dem neu gefassten § 109 Absatz 1 S. 2 TKG. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat nun eine Handreichung veröffentlicht, die den Unternehmen als Handlungsempfehlung und Orientierung zur Ermittlung des Standes der Technik in der IT-Sicherheit dient. Die Handreichung soll den anwendenden Unternehmen und Anbietern (Herstellern, Dienstleistern) gleichermaßen Hilfestellung zur Bestimmung des Standes der Technik geben. Das von einer interdisziplinären Expertengruppe erarbeitete Dokument enthält in strukturierter Form detaillierte, praxisrelevante Hinweise. Das Dokument bietet eine fachliche Basis zur Umsetzung der gesetzlichen Anforderungen und eignet sich ebenso als Vertragsreferenz für Vereinbarungen über IT-Sicherheitsleistungen oder Leistungen mit IT-Sicherheitsbezügen. Die TeleTrusT-Handreichung "Stand der Technik" ist hier abrufbar. Hintergrund: Im Rahmen des IT-Sicherheitsgesetzes wird der Stand der Technik ausschließlich in der Gesetzesbegründung zu § 8a BSIG bestimmt. Danach handelt es sich um den Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. Im Gegensatz zu § 8a Absatz 2 BSIG, der den Betreibern Kritischer Infrastrukturen die Möglichkeit der Erarbeitung branchenspezifischer Sicherheitsstandards zur Gewährleistung der Einhaltung des Standes der Technik gewährt, hat der Gesetzgeber mit Einführung des IT-Sicherheitsgesetzes den Anbietern von Telemedien keine derartige Lösung zur Hand gegeben. Stattdessen müssen diese den Stand der Technik hinsichtlich ihrem Telemedienangebot individuell feststellen. Urheberhinweis Bild: Den Rise/shutterstock.com

DSGVO gilt ab 25. Mai 2018

/25.05.2016/ Die neue EU-Verordnung zum Datenschutz (DSGVO) ist am 4. Mai 2016 im Amtsblatt veröffentlicht worden. Damit steht fest, dass sie ab dem 25. Mai 2018 auch in Deutschland unmittelbar geltendes Recht ist Eine kurze Einführung zum Text gibt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hier. Urheberhinweis Bild: Hadrian/shutterstock.com

1. KRITIS-Verordnung in Kraft

/03.05.2016/ Die erste KRITIS-Verordnung ist seit dem 03. Mai 2016 in Kraft. Die Bundesregierung hatte am 13.04.2016 dem Erlass der von Bundesinnenminister Dr. Thomas de Maizière vorgelegten Ministerverordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) zugestimmt. Nun regelt die Verordnung die Maßgaben zu den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung . Gemäß § 10 Absatz 1 des BSIG ist das Bundesministerium des Innern (BMI) zum Erlass einer Rechtsverordnung ermächtigt, die festlegt, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Dabei wird auf die Bedeutung der Dienstleistungen und deren Versorgungsgrad abgestellt. In einem zweiten Korb, der für Anfang 2017 erwarten wird, werden die weiteren Sektoren Finanzen, Transport und Verkehr sowie Gesundheit geregelt. Urheberhinweis Bild: Sophie James/shutterstock.com

Einrichtung SPOC – Infotag des BSI

21.04.2016 Nach § 8b Absatz 5 BSIG können KRITIS-Betreiber - zusätzlich zu ihrer nach Absatz 3 einzurichtenden Kontaktstelle - mit Unternehmen, die dem gleichen Sektor angehören, eine gemeinsame übergeordnete Ansprechstelle benennen. Welche konkreten Anforderungen an SPOCs (Single Points of Contact) bzw. GÜAS (gemeinsame übergeordnete Ansprechstelle im Rahmen des IT-SiG) gestellt werden, gibt das Gesetz nicht vor. Fragen dazu können im Rahmen einer Informationsveranstaltung am 11. Mai 2016 dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn gestellt werden. Es wird berichtet, welche Erfahrungen von bereits existierenden SPOCs im UP KRITIS in den letzten Jahren gemacht wurden. Hinzukommen jeweils ein Vertreter des Sparkassen-Informationszentrums (SiZ) sowie des LKRZV des Gesamtverbands der Deutschen Versicherungswirtschaft (GdV), die beide seit mehreren Jahren erfolgreich SPOCs betreiben. Urheberhinweis Bild: VladKol/shutterstock.com

EU Datenschutz-Grundverordnung verabschiedet

14.04.2016 Am 14.04.2016 hat das EU-Parlament die EU-Datenschutz-Grundverordnung (DSGVO) angenommen. Nach jahrelangem Ringen und einer historischen Anzahl von Änderungsanträgen ist die Datenschutz-Grundverordnung nunmehr beschlossene Sache. Nach Inkrafttreten wird sie nach einer Übergangsfrist von zwei Jahren 2018 wirksam werden und dann in den Mitgliedstaaten unmittelbar geltendes Recht darstellen. Die DS-GVO ändert auch die Anforderungen an den technischen Datenschutz, also die technischen und organisatorischen Maßnahmen der verantwortlichen Stellen. Unter anderem wird sie, wie dies bei dem IT-Sicherheitsgesetz der Fall ist, den Maßstab des "Standes der Technik" gesetzlich verankern. Weitere Informationen folgen. Zu den Informationen des EU-Parlaments. Urheberhinweis Bild: Mikko Lemola/shutterstock.com