• 过去与现在,脚踏实地。 展望美好未来,了然于胸。
  • 精准,时机, 着眼于本质。
  • 合适的时机,正确的选择。 追求卓越,彰显魅力。
  • 与值得信赖的伙伴一起, 达成目标。

IT-Sicherheit

IT-Sicherheitsgesetz: IT-Security im Unternehmen

Über die Gefahren, die bei mangelnder IT-Sicherheit bestehen, wird täglich berichtet. Gerade gezielte Cyber-Spionage-Angriffe werden jedoch oft erst nach Monaten entdeckt. Um das Risiko, Opfer eines solchen Angriffs zu werden, und um die Folgen eines solchen Angriffs aufzufangen, ist inzwischen auch der Gesetzgeber aktiv geworden. Der Entwurf eines IT-Sicherheitsgesetzes soll die notwendige IT-Security für kritische Infrastrukturen gesetzlich verordnen. Kritische Infrastrukturen sind in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen zu finden. Der deutsche Gesetzgeber zieht den Anwendungsbereich damit weiter, als dieser in dem Entwurf der europäischen „NIS-Richtlinie“ vorgesehen ist. Vor allem die Anbieter von Informationstechnik sind nun ausdrücklich vom Anwendungsbereich erfasst. Sie werden deshalb in zweifacher Hinsicht von dem neuen Gesetz berührt: als Dienstleister für Unternehmen aus den relevanten Sektoren müssen sie – aufgrund vertraglicher Übereinkunft mit ihren Kunden – die sektorspezifischen Anforderungen, z.B. aus den Bereichen Energie oder Finanzwesen erfüllen. Gleichzeitig werden sie als Betreiber Kritischer Infrastrukturen (KI-Betreiber) eingestuft, sodass sie aus diesem Grund die sektorspezifischen Vorgaben für IT-Dienstleister umsetzen müssen.

Einzelheiten zum Anwendungsbereich und zum Adressatenkreis werden in einer Rechtsverordnung festgelegt werden. Die Gesetzesbegründung führt dazu aus, dass die Rechtsverordnung qualitativ bestimmte Leistungen als kritisch einstuft und zudem Schwellenwerte festlegt. Inhaltlich verpflichtet das Gesetz Unternehmen dazu, einen Mindeststandard an IT-Sicherheitsmaßnahmen einzuführen. Wie genau dieser Mindeststandard aussehen soll, ist derzeit noch nicht klar. Der Mindeststandard soll im Nachgang durch ein Expertengremium ermittelt werden. Aktuell spricht viel dafür, dass sich der Mindeststandard an den Vorgaben der ISO 27001-Familie orientieren wird. Die Einhaltung des Mindeststandards muss regelmäßig gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgewiesen werden. Ferner sieht das Gesetz eine Pflicht zur Meldung von Cyber-Security-Incidents vor. Bereits bei einer potentiellen Bedrohung für die Kritische Infrastruktur muss eine Meldung an das BSI erfolgen, wobei hier der Name des KI-Betreibers nicht genannt werden muss. Kommt es aber zu einer tatsächlichen Beeinträchtigung, muss der KI-Betreiber namentlich genannt werden.

Schon jetzt mangelt es nicht an regulatorischen Anforderungen in Bezug auf IT-Compliance und IT-Security. Man kann diese Anforderungen jedoch bei Einführung eines Informationssicherheits-Managementsystems (ISMS) auf einige wesentliche Maßnahmen der IT-Sicherheit beschränken und dadurch bei konsequenter Umsetzung ein hohes Compliance-Niveau erreichen. Was aber müssen Unternehmen bis zur Verabschiedung des Gesetzes wirklich tun? Es kann sich insofern auch für Unternehmen der Privatwirtschaft lohnen, sich an den sog. „Basismaßnahmen der Cyber-Sicherheit“ des BSI zu orientieren. In dem 11-seitigen Papier gibt es auch eine Checkliste, die allerdings für IT-Sicherheitsexperten oft trivial, dagegen für die Unternehmensleitung ohne Hilfe von Experten kaum verständlich sein wird. Wichtig ist es daher, zur Erreichung der notwendigen IT-Compliance und IT-Sicherheit ein multidisziplinäres Team vorzusehen. Dann kann auch die Geschäftsführung sicher sein, das Richtige zum Schutz des Unternehmens getan zu haben.

Wesentliche Eckpfeiler von IT-Sicherheit und IT-Compliance

  1. Informationsschutz zur Wahrung der Vertraulichkeit (insbesondere Zugriffsschutz, siehe § 9 BDSG)
  2. Gewährleistung der technischen und organisatorischen Verfügbarkeit (insbesondere Notfallplanung und Wiederanlaufmöglichkeit durch Redundanz)
  3. Schutz der Datenintegrität (Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenintegrität, z.B. Virenschutz)
  4. Prozessstabilität und –sicherheit der IT-Prozesse
  5. Gewährleistung der physischen Sicherheit
  6. Datenaufbewahrung und –archivierung
  7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)
  8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)
  9. Kontrolle der ausgelagerten Bereiche (Outsourcing)
  10. Materieller Datenschutz

Downloads und Links zum Thema IT-Sicherheit

Newsletter

Whitepaper:

Präsentationen:

Seminare:

Fachmedien:

Qualifikation:

联系人

Dr. Michael Rath, 合伙人
电话 +49 221 9937 25795
michael.rath@luther-lawfirm.com

Christian Kuß, LL.M., 合伙人
电话 +49 221 9937 25686
christian.kuss@luther-lawfirm.com

Technologie Medien Telekommunikation