Cybersecurity ist ein Thema, das heutzutage sowohl Unternehmen wie auch Privatpersonen betrifft. Erpressungsfälle, Datenklau, kleinere und größere Sicherheitslücken – der digitale Angriff auf sensible Daten hat sich in den vergangenen Jahren immens ausgeweitet und stellt nicht nur IT- sondern auch Kommunikationsverantwortliche vor ganz neue Herausforderungen. In dieser Blogserie beschäftigen wir uns intensiv mit dem Thema Cybersecurity. Neben einem ersten Einstieg zu dem Thema von Bärbel Hestert-Vecoli stiegen Hannan Farooq von Shred-it mit Informationssicherheit und Jan Blumenthal von Lloyds mit der Bedeutung für die CEO-Etage tiefer in die Materie ein. Dr. Alexander Niethammer ist Rechtsanwalt und Leiter der IT-Praxis bei Eversheds Deutschland LLP. Im nunmehr vierten Beitrag unserer Cybersecurity-Blogserie berichtet er über rechtliche Rahmenbedingungen, die Unternehmen beim Thema Cybersicherheit unterliegen.
Dr. Alexander Niethammer
LL.M. (UConn), Leiter der IT-Praxis
Eversheds Deutschland LLP
Rechtliche Rahmenbedingungen der Cybersicherheit
Cybersicherheit ist kein Feld mehr, das allein von Informatikern gestaltet wird. Längst hat der Gesetzgeber erkannt, dass es rechtliche Rahmenbedingungen für den Schutz von IT-Systemen geben muss. Schließlich betrifft die Sicherheit von ihnen nicht allein die Unternehmen und Institutionen, die die Systeme betreiben, sondern jeden, der an diesen Systemen partizipiert.
IT-Sicherheit ist damit eine gesamtgesellschaftliche Angelegenheit und der Gesetzgeber hat sich dieser im Jahr 2015 mit der Verabschiedung des IT-Sicherheitsgesetzes angenommen. Daneben ist am 25. Mai 2016 die neue EU-Datenschutz-Grundverordnung in Kraft getreten. Diese gilt ab dem 25. Mai 2018 und enthält weitere Vorgaben für die technische Datensicherheit.
Durch das bereits geltende IT-Sicherheitsgesetz wurden das BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), das Telekommunikationsgesetz und das Telemediengesetz geändert. Im Wesentlichen wurden folgende Sicherheitsmechanismen eingeführt:
Sicherung nach „aktuellem Stand der Technik“
Betreiber sogenannter „kritischer Infrastrukturen“ sind nunmehr verpflichtet, ihre IT nach dem „aktuellen Stand der Technik“ angemessen abzusichern und diese Sicherheit grundsätzlich mindestens alle zwei Jahre überprüfen zu lassen. Unter den Begriff der Betreiber kritischer Infrastrukturen fallen dabei nicht nur Telekommunikationsunternehmen, sondern neben Betreibern von Kernkraftwerken seit Juni diesen Jahres auch Betreiber aus den Bereichen Energie, Ernährung und Wasser. Für Anfang 2017 ist außerdem eine Ausweitung auf die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit geplant. Betroffen sind aber nur Intrastrukturen ab einer bestimmten Größe. Als Faustformel gilt hier, dass in der Regel 500.000 Bürger von der Infrastruktur betroffen sein müssen. Zum Teil können die Schwellen aber auch niedriger angesetzt werden. In Zweifelsfällen empfiehlt sich die Einholung rechtlichen Rates oder die Konsultation des BSI.
Meldung erheblicher Sicherheitsvorfälle
Falls trotz der Pflicht, die Infrastrukturen nach „aktuellem Stand der Technik“ zu sichern, ein erheblicher Sicherheitsvorfall passiert, müssen die Betreiber dies an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Das BSI ist dann berechtigt solche Informationen an die übrigen Betreiber weiterzugeben, damit sich diese auf neue Bedrohungen einstellen können. Telekommunikationsunternehmen sind außerdem verpflichtet, neben dem BSI auch ihre Kunden zu warnen, wenn sie bemerken, dass der Anschluss des Kunden für IT-Angriffe missbraucht wird. Gleichzeitig sollen die Telekommunikationsunternehmen ihre Kunden über Möglichkeiten zur Beseitigung der Störung informieren.
Anforderung an Unternehmen ohne kritische Infrastrukturen
Seit der Geltung des IT-Sicherheitsgesetzes ist Cybersicherheit nicht mehr nur ein Thema für die oben genannten speziellen Branchen. Jedes Unternehmen, das Telemediendienste anbietet, also beispielsweise einen Online-Shop oder andere kommerzielle Webseiten betreibt, ist verpflichtet, erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen nicht nur zum Schutz personenbezogener Daten, sondern auch zum Schutz vor unerlaubten Eingriffen in die Infrastruktur zu erfüllen. Auch die hier ergriffenen Sicherheitsmaßnahmen müssen immer dem „aktuellen Stand der Technik“ entsprechen.
Was heißt „Aktueller Stand der Technik“?
Die Pflichten der betroffenen Unternehmen orientieren sich stets an dem „aktuellen Stand der Technik“. Dieser Begriff ist recht unbestimmt – und dies aus gutem Grund. Der Gesetzgeber ist sich seiner eigenen Behäbigkeit bewusst. Gesetze sind also für sich genommen zu statisch, um mit der Entwicklung im Bereich der IT-Infrastrukturen Schritt halten zu können. Der „aktuelle Stand der Technik“ verändert sich also, während das Gesetz gleich bleiben kann. Damit stellt sich jedoch für Unternehmen die Frage, wann der eigene Stand der Technik noch „aktuell“ ist und damit den gesetzlichen Vorgaben genügt. Hier empfiehlt es sich, sich an nationalen oder internationalen Standards und Normen von beispielsweise DIN, ISO, DKE oder ISO/IEC zu orientieren. Diese werden in relativ kurzen Zeitabständen aktualisiert und geben damit stets einen relativ aktuellen Standard wider. In Zweifelsfragen kann sich ein Unternehmen auch direkt an das BSI wenden und um eine Einschätzung bitten.
Was passiert wenn Unternehmen ihren Pflichten nicht nachkommen?
Nach Ablauf einer zweijährigen Übergangszeit drohen den betroffenen Unternehmen, die ihre Infrastrukturen nicht ausreichend sichern oder Sicherheitsvorfälle nicht melden, Bußgelder bis zu einer Höhe von 100.000 Euro.