IT-Sicherheit – Gesetzliche Grundlagen über den Datenschutz hinaus

18.06.2018 | JS – Online-Redaktion, Forum Verlag Herkert GmbH

articleimage
© putilov_denis – stock.adobe.com
Obwohl die DSGVO und das BDSG in erster Linie Vorschriften definieren, die den Datenschutz betreffen, haben sie auch Auswirkungen auf die IT-Sicherheit im Unternehmen. Doch welche Gesetze und Normen müssen IT-Sicherheitsbeauftragte noch beachten, um die gesetzlichen Anforderungen zu erfüllen?

 

Gesetzliche Anforderungen an die IT-Sicherheit

An sich gibt es keine speziellen Anforderungen an die IT-Sicherheit für eine Organisation, dennoch ist die Schaffung eines risikoangemessenen Schutzes rechtlich geboten. Versäumt ein Unternehmen die Implementierung eines Schutzes gegen informationstechnische Sicherheitsrisiken kann dies im Schadensfall erhebliche Auswirkungen auf die Frage des Verschuldens und die Forderung nach Schadensersatzansprüchen haben. 

Vorgaben an die IT-Sicherheit werden zudem oft in Verträgen mit Kunden und Versicherungen festgelegt. Darüber hinaus gibt es spezielle gesetzliche Vorgaben für bestimmte gesellschaftskritische Bereiche. 

IT-Sicherheitsgesetz 

Das IT-Sicherheitsgesetz („Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“) ist seit Juli 2015 in Kraft und verfolgt das Ziel, die Sicherheit informationstechnischer Systeme zu erhöhen, indem ein angemessenes Schutzniveau für gesellschaftlich relevante Bereiche sichergestellt wird. Die zwei bekanntesten Anwendungsbereiche sind: 

Schutz Kritischer Infrastrukturen

Betreiber von Kritischen Infrastrukturen (KRITIS) sind verpflichtet, besondere Vorkehrungen zu treffen, um Störungen zu vermeiden. Davon betroffen sind gemäß § 2 Abs. 10 BSI-Gesetz (BSIG) Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören. 

Als KRITIS-Betreiber gilt eine Einrichtung jedoch erst, wenn die Einrichtung, Anlage oder Teile davon von hoher Bedeutung für das Gemeinwesen sind. Hier stellt sich immer die Frage: Entstehen durch eine Störung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit? 

Trifft die Definition des KRITIS-Betreibers nach BSIG auf eine Einrichtung zu, ergeben sich für diese umfangreiche Pflichten, die im Buch „Datenschutz 2018“ übersichtlich und kommentiert dargestellt sind. 

Schutz bei Nutzung von Internetdiensten 

Ein weiteres Ziel des IT-Sicherheitsgesetzes ist es, u. a. in Form des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG)  Bürgerinnen und Bürger im Internet zu schützen, indem Anbieter von Internetdiensten verpflichtet werden, ihrerseits das Schutz-Niveau der IT-Sicherheit anzuheben. Betroffen sind Betreiber von kommerziellen Internetangeboten und Telekommunikationsanbieter

NIS-Richtlinie 

Die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) ist seit August 2016 auf europäischer Ebene in Kraft. Sie definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Schutzniveaus bei der Cybersicherheit, Mindestsicherheitsanforderungen und Meldepflichten für KRITIS und digitale Dienste.  

Diese Richtlinie gilt als europäische Vorschrift nicht unmittelbar, sondern musste in nationales Recht umgesetzt werden. Das Gesetz zur Umsetzung der NIS-Richtlinie wurde am 29. Juni 2017 verkündet und enthält zusätzlich Regelungen zu Anbietern von Online-Marktplätzen, Online-Suchmaschinen und Cloud-Computing-Diensten. Es handelt sich jeweils um Dienste mit erhöhtem Schutzbedarf und schärferen Meldepflichten nach § 8c BSIG

Baseler Rahmenwerk  

In diesem Rahmenwerk sind alle gültigen Standards des Baseler Ausschusses für Bankenaufsicht enthalten. Im Fokus stehen aber nicht nur Kredit- und Marktrisiken, sondern auch operationelle Risiken. Hierzu zählen insbesondere Risiken durch den Einsatz von Informationstechnologien, die Banken verpflichtend eindämmen müssen. Zudem sind die operationellen Risiken auch bei der Kreditvergabe zu berücksichtigen, weshalb dieses Regelwerk auch auf andere Branchen ausstrahlt. 

Sarbanes Oxley Act 

Diese US-amerikanische Gesetzgebung wirkt sich auf alle in- und ausländischen Unternehmen aus, deren Wertpapiere in den USA angeboten bzw. börslich oder außerbörslich gehandelt werden. Dieses Gesetz zielt darauf ab, das Vertrauen von Anlegern und Finanzmärkten in die Rechnungslegung von Unternehmen zu stärken. 

Weitere Regelungen: Normen zur IT-Sicherheit 

Weil die Gesetzgebungsprozesse im Vergleich zur technischen Entwicklung viel zu behäbig sind und diese meist nur Schutzziele ohne weitere Konkretisierung der Maßnahmen enthalten, gibt es zur IT-Sicherheit auch normative Vorgaben. Diese Normen entfalten an sich keine unmittelbare Gesetzeskraft, deren praktische Bedeutung kann jedoch zu rechtlichen Auswirkungen führen, wenn unbestimmte Rechtsbegriffe ausgelegt werden. 

Bekannte Normen im Bereich der IT-Sicherheit sind: 

Quelle: „Datenschutz 2019“

Mehr zu den Themen: IT-Sicherheit Datenschutz