BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik)
Kurzbeschreibung
Das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) bildet die zentrale gesetzliche Grundlage für die Cybersicherheit in Deutschland. Es regelt die Aufgaben, Befugnisse und Zuständigkeiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie die Pflichten bestimmter Unternehmen und Betreiber Kritischer Infrastrukturen (KRITIS) im Bereich der Informationssicherheit.
Das BSIG verfolgt das Ziel, die Sicherheit informationstechnischer Systeme, Netze und digitaler Infrastrukturen zu erhöhen, Cyberangriffe abzuwehren und die Funktionsfähigkeit wichtiger Einrichtungen zu gewährleisten. Es gewinnt durch Digitalisierung, Cloud-Computing, Industrie 4.0 und Künstliche Intelligenz kontinuierlich an Bedeutung.
Gesetzliche Grundlagen
Die wichtigsten Rechtsgrundlagen sind:
- BSIG
- NIS-2-Richtlinie
- Cyber Resilience Act (CRA)
- DSGVO
- BDSG
- IT-Sicherheitsgesetz
- KRITIS
- TTDSG
- BetrVG
Ziele des BSIG
Das BSIG verfolgt insbesondere folgende Ziele:
- Cybersicherheit stärken
- Kritische Infrastrukturen schützen
- Cyberangriffe verhindern
- IT-Systeme absichern
- digitale Resilienz erhöhen
- Unternehmen beraten
- Sicherheitsstandards entwickeln
- staatliche Handlungsfähigkeit sichern
- Bevölkerung schützen
Bedeutung des BSIG
Informations- und Kommunikationstechnik ist heute Grundlage nahezu aller gesellschaftlichen Bereiche.
Dazu gehören beispielsweise:
- Energieversorgung
- Gesundheitswesen
- Industrie
- Verkehr
- Finanzwesen
- öffentliche Verwaltung
- Telekommunikation
- Wasserwirtschaft
Ein erfolgreicher Cyberangriff kann erhebliche wirtschaftliche und gesellschaftliche Schäden verursachen.
Das BSIG schafft deshalb einen gesetzlichen Rahmen für den Schutz dieser Systeme.
Grundprinzip
IT-Systeme
⬇️
Risiken erkennen
⬇️
Schutzmaßnahmen umsetzen
⬇️
Sicherheitsvorfälle melden
⬇️
BSI unterstützt
⬇️
Cybersicherheit erhöhen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
Das BSI ist die zentrale deutsche Behörde für Informationssicherheit.
Zu seinen Aufgaben gehören insbesondere:
- Beratung von Behörden
- Beratung von Unternehmen
- Entwicklung von IT-Sicherheitsstandards
- Warnung vor Cybergefahren
- Analyse von Sicherheitsvorfällen
- Unterstützung bei Cyberangriffen
- Zertifizierung von IT-Produkten
- internationale Zusammenarbeit
Das BSI gilt als nationale Cybersicherheitsbehörde Deutschlands.
Informationssicherheit
Informationssicherheit schützt Informationen vor:
- unbefugtem Zugriff
- Manipulation
- Verlust
- Zerstörung
- Ausfall
Dabei stehen drei Schutzziele im Mittelpunkt:
- Vertraulichkeit
- Integrität
- Verfügbarkeit
Diese bilden die Grundlage moderner Informationssicherheit.
Kritische Infrastrukturen (KRITIS)
Besondere Anforderungen gelten für Betreiber Kritischer Infrastrukturen.
Hierzu gehören unter anderem:
- Energie
- Wasser
- Gesundheit
- Ernährung
- Transport
- Finanzwesen
- Informationstechnik
- Telekommunikation
Ein Ausfall dieser Einrichtungen hätte erhebliche Auswirkungen auf das Gemeinwesen.
Pflichten von Unternehmen
Je nach Anwendungsbereich müssen Unternehmen insbesondere:
- angemessene IT-Sicherheitsmaßnahmen umsetzen
- Sicherheitsvorfälle melden
- Sicherheitsstandards einhalten
- Risiken bewerten
- Schutzmaßnahmen regelmäßig überprüfen
- Nachweise erbringen
Mit der Umsetzung der NIS-2-Richtlinie werden diese Pflichten auf weitere Unternehmen ausgeweitet.
Meldung von Sicherheitsvorfällen
Bestimmte Unternehmen müssen erhebliche IT-Sicherheitsvorfälle melden.
Beispiele:
- Ransomware-Angriffe
- Hackerangriffe
- Systemausfälle
- Datenmanipulation
- Angriffe auf Netzwerke
- schwerwiegende Sicherheitslücken
Durch Meldungen können Gefahren schneller erkannt und andere Unternehmen gewarnt werden.
Mindeststandards
Das BSI entwickelt technische Mindeststandards.
Beispiele:
- Passwortsicherheit
- Netzwerkabsicherung
- Verschlüsselung
- Backup-Konzepte
- Notfallmanagement
- Zugriffskontrollen
- Sicherheitsupdates
- Mehr-Faktor-Authentifizierung
Diese dienen als Orientierung für Unternehmen und Behörden.
Digitalisierung
Mit zunehmender Digitalisierung wächst auch die Bedeutung des BSIG.
Neue Herausforderungen entstehen unter anderem durch:
- Cloud-Computing
- Industrie 4.0
- Internet of Things (IoT)
- Künstliche Intelligenz
- Smart Factories
- mobile Endgeräte
- Homeoffice
Dadurch steigen die Anforderungen an die IT-Sicherheit kontinuierlich.
Zusammenhang mit Datenschutz
Informationssicherheit und Datenschutz ergänzen sich.
Während die DSGVO den Schutz personenbezogener Daten regelt, schafft das BSIG Anforderungen an die technische Sicherheit von IT-Systemen.
Beide Bereiche überschneiden sich insbesondere bei:
- Datenpannen
- Cyberangriffen
- Zugriffsschutz
- Verschlüsselung
- Sicherheitsorganisation
Bedeutung für Beschäftigte
Beschäftigte profitieren insbesondere durch:
- sichere IT-Systeme
- Schutz personenbezogener Daten
- geringere Ausfallzeiten
- sichere digitale Arbeitsplätze
- klare Sicherheitsvorgaben
Sie tragen durch sicherheitsbewusstes Verhalten wesentlich zur Informationssicherheit bei.
Bedeutung für Arbeitgeber
Arbeitgeber müssen insbesondere:
- geeignete Sicherheitsmaßnahmen treffen
- Beschäftigte regelmäßig unterweisen
- IT-Risiken bewerten
- Sicherheitsvorfälle bearbeiten
- Notfallpläne entwickeln
- Sicherheitsstandards kontinuierlich verbessern
Informationssicherheit ist heute Bestandteil einer verantwortungsvollen Unternehmensführung.
Bedeutung für Betriebsräte
Für Betriebsräte gewinnt das BSIG zunehmend an Bedeutung.
Dies betrifft insbesondere:
- Einführung neuer IT-Systeme
- Datenschutz
- technische Überwachungseinrichtungen
- IT-Richtlinien
- Homeoffice
- Digitalisierung
- Cybersecurity-Schulungen
Der Betriebsrat hat dabei insbesondere Mitbestimmungsrechte nach §87 Abs. 1 Nr. 6 BetrVG, wenn technische Einrichtungen zur Verhaltens- oder Leistungskontrolle geeignet sind.
Bedeutung für Vertrauensleute
Vertrauensleute können:
- Beschäftigte sensibilisieren
- Sicherheitsregeln erklären
- auf Schulungsangebote hinweisen
- sichere Arbeitsweisen fördern
- Rückmeldungen aus der Praxis weitergeben
Sie leisten einen wichtigen Beitrag zur Sicherheitskultur im Betrieb.
Typische Arbeitgeberfehler
- Sicherheitsupdates verzögern
- fehlende Notfallpläne
- unzureichende Mitarbeiterschulungen
- schwache Passwortrichtlinien
- fehlende Backups
- Sicherheitsvorfälle nicht melden
- Risiken unterschätzen
Typische Fehler von Beschäftigten
- unsichere Passwörter verwenden
- Phishing-E-Mails öffnen
- Software nicht aktualisieren
- private Geräte ungesichert nutzen
- Sicherheitsregeln ignorieren
- sensible Daten unverschlüsselt versenden
Typische Fehler von Betriebsräten
- Datenschutz und Informationssicherheit vermischen
- Mitbestimmungsrechte bei neuen IT-Systemen nicht wahrnehmen
- Beschäftigte nicht ausreichend über Cyberrisiken informieren
Praxisbeispiel
Ein Unternehmen aus der Energieversorgung wird Ziel eines Ransomware-Angriffs.
Dank eines aktuellen Notfallplans, regelmäßiger Datensicherungen und geschulter Beschäftigter können die Systeme schnell wiederhergestellt werden. Der Vorfall wird an die zuständigen Stellen gemeldet. Gemeinsam mit dem BSI werden die Sicherheitsmaßnahmen überprüft und verbessert, um zukünftige Angriffe zu erschweren.
Verhältnis zu anderen Themen
| Thema | Zusammenhang |
|--------|--------------|
| BSI | zuständige Bundesbehörde |
| Informationssicherheit | Kernziel des BSIG |
| Cybersecurity | Schutz vor Cyberangriffen |
| NIS-2-Richtlinie | europäische Vorgaben |
| KRITIS | besonders geschützte Einrichtungen |
| DSGVO | Datenschutz |
| BDSG | nationales Datenschutzrecht |
| Notfallmanagement | Vorbereitung auf IT-Ausfälle |
Merksatz
Das BSIG bildet die Grundlage der staatlichen Cybersicherheit in Deutschland. Es regelt die Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik, stärkt den Schutz Kritischer Infrastrukturen und verpflichtet bestimmte Unternehmen zu angemessenen IT-Sicherheitsmaßnahmen sowie zur Meldung erheblicher Sicherheitsvorfälle.
Bezug zu Knoten
- BSI
- Informationssicherheit
- Cybersecurity
- NIS-2-Richtlinie
- Cyber Resilience Act (CRA)
- KRITIS
- DSGVO
- BDSG
- IT-Sicherheitsgesetz
- Notfallmanagement
- Digitalisierung
- Datenschutz
- §87 Abs. 1 Nr. 6 BetrVG
- Technische Überwachungseinrichtungen
- Homeoffice
Praxisrelevanz
Das BSIG gehört zu den wichtigsten Gesetzen für die digitale Sicherheit in Deutschland. Mit der zunehmenden Digitalisierung und der Umsetzung der NIS-2-Richtlinie steigen die Anforderungen an Unternehmen kontinuierlich. Betriebsräte und Vertrauensleute sollten die Auswirkungen neuer IT-Sicherheitsmaßnahmen, die Mitbestimmungsrechte bei digitalen Systemen sowie die Bedeutung regelmäßiger Schulungen und einer gelebten Sicherheitskultur kennen und aktiv begleiten.