Ein Überblick in zwei Teilen über die rechtlichen Pflichten und Maßnahmen, die Unternehmen im Bereich der IT-Sicherheit treffen müssen.
Das Jahr 2018 beginnt für die IT-Sicherheit mit einem Paukenschlag. Sicherheitsforscher veröffentlichen die beiden Sicherheitslücken Spectre und Meltdown. Vereinfacht gesagt, wird bei diesen ausgenutzt, dass moderne Prozessoren aus Performance-Gründen, noch bevor der Nutzer tatsächlich einen entsprechenden Auftrag erteilt, spekulativ bestimmte Befehle ausführen. Dabei gelang es Sicherheitsforschern nun, auf die so „vorberechneten″ Ergebnisse zuzugreifen.
Betroffen von der Sicherheitslücke waren nahezu alle modernen Computer-Prozessoren unterschiedlicher Hersteller. Die Sicherheitslücken hatten die Sicherheitsexperten dabei bereits über ein halbes Jahr zuvor entdeckt, zunächst allerdings nur die betroffenen Hersteller benachrichtigt, um möglichen Missbrauch zu vermeiden.
Doch welche Pflichten sieht der Gesetzgeber im Bereich der IT-Sicherheit vor, die Unternehmen vor Sicherheitslücken und Angreifern schützen sollen?
IT-Sicherheitsrecht in Deutschland
Streng genommen gibt es „das IT-Sicherheitsrecht″ in Deutschland (noch) gar nicht. Jedenfalls nicht, wenn man von einem zusammenhängenden Rechtsgebiet oder gar einem „IT-Sicherheitsgesetzbuch″ ausgeht. Vielmehr finden sich zahlreiche rechtliche Vorgaben mit Bezug zu IT-Sicherheit auf unterschiedliche Gesetze verteilt.
Eine generelle gesetzliche Pflicht für eine ausreichende IT-Sicherheit zu sorgen, existiert im deutschen Recht daher bislang nicht. Gleichwohl ist die Herstellung eines dem Risiko angemessenen IT-Sicherheitsniveaus für nahezu alle Unternehmen von herausragender Bedeutung und zunehmend auch durch unterschiedliche Gesetze gefordert.
Unternehmen können gesetzlichen IT-Sicherheitsanforderungen unterliegen
Ein großer Teil des geltenden IT-Sicherheitsrechts erfolgt im Zusammenhang mit bereichs- bzw. sektorspezifischer Regulierung. Relativ konkrete Vorgaben zur IT-Sicherheit finden sich daher traditionell insbesondere in den Sektoren Telekommunikation und Energiewirtschaft.
Spätestens seit Inkrafttreten des IT-Sicherheitsgesetzes im Jahr 2015 sowie der europäischen Netz- und Informationssicherheitsrichtlinie (NIS-Richtlinie) im Jahr 2016, lässt sich jedoch eine Ausweitung der gesetzlichen Regulierung im Bereich der IT-Sicherheit feststellen. Zwar betrifft die Mehrzahl der Regelungen im Bereich der IT-Sicherheit weiterhin spezielle Sektoren und Unternehmen, doch vergrößerte sich die Zahl der von unmittelbarer Regulierung betroffenen Unternehmen nicht unerheblich.
Betreiber Kritischer Infrastrukturen
Abgesehen von der bereichsspezifischen Regulierung im Telekommunikationsgesetz (TKG), Atomgesetz (AtomG) und Energiewirtschaftsgesetz (EnWG), findet sich seit 2015 ein wesentlicher Teil der unmittelbaren gesetzlichen IT-Sicherheitsvorgaben gegenüber Betreibern Kritischer Infrastrukturen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz). Abgezielt wird auf Betreiber, die für das Gemeinwesen besonders wichtige Dienste bzw. Dienstleistungen in den folgenden Bereichen bereitstellen:
- Energie (u. a. Strom-, Gas-, Kraftstoff- und Fernwärmeversorgung)
- Wasser (Trink- und Abwasserversorgung)
- Ernährung (Lebensmittelversorgung)
- Informationstechnik und Telekommunikation (u .a. Sprach- und Datenübertragung sowie Datenverarbeitung und -speicherung)
- Gesundheit (u. a. stationäre medizinische Versorgung sowie Medizin- und Arzneiprodukte)
- Finanz- und Versicherungswesen (u. a. Bargeld- und Zahlungsverkehr)
- Transport und Verkehr (u. a. Personen- und Güterverkehr sowie ÖPNV)
Welche Unternehmen konkret betroffen sind, lässt sich der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV) entnehmen. Darin sind die betroffenen Unternehmen allerdings nicht namentlich aufgeführt. Vielmehr obliegt es jedem Betreiber anhand der dort genannten Schwellenwerte selbst zu ermitteln, ob er den Vorgaben unterliegt. Diese Vorgaben bestehen insbesondere aus Vorschriften zur Einhaltung einer Mindestsicherheit entsprechend dem jeweiligen Stand der Technik (§ 8a BSI-Gesetz) sowie der Pflicht nach § 8b BSI-Gesetz, bestimmte IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik zu melden (dazu ausführlich: Schneider, Meldepflichten im IT-Sicherheitsrecht, Nomos 2017).
Anbieter digitaler Dienste
Ein IT-Sicherheitsniveau entsprechend dem Stand der Technik zu erfüllen und bestimmte Vorfälle zu melden, müssen gemäß § 8c BSI-Gesetz auch sog. Anbieter digitaler Dienste. Dabei handelt es sich, wie sich aus § 2 Absatz 11 BSI-Gesetz ergibt, konkret um folgende Dienste:
- Online-Marktplätze
- Online-Suchmaschinen
- Cloud-Computing-Dienste
Anbieter von Telemediendiensten
Die Pflicht, IT-Sicherheitsvorkehrungen zu treffen, die dem Stand der Technik entsprechen, trifft gemäß § 13 Absatz 7 Telemediengesetz (TMG) auch die Anbieter von Telemediendiensten. Durch diese Vorschrift wird eine Vielzahl von Unternehmen betroffen, zu denen gemäß § 1 Absatz 1 TMG insbesondere Anbieter von Websites, Apps mit Online-Funktionen und Online-Spiele zählen.
Datenverarbeitende Unternehmen
Eine Verpflichtung, IT-Sicherheitsmaßnahmen zu ergreifen und bestimmte Sicherheitsvorfälle an Aufsichtsbehörden zu melden, ergibt sich auch aus dem geltenden und künftigen Datenschutzrecht. Bis zum 25. Mai folgen diese Pflichten aus §§ 9 und 42a Bundesdatenschutzgesetz (BDSG), ab diesem Datum aus den Artikeln 31 und 32 der Europäischen Datenschutz-Grundverordnung (DSGVO).
Von den Regelungen erfasst sind letztlich sämtliche Unternehmen, da jedes Unternehmen personenbezogene Daten verarbeitet. Eine gewisse Einschränkung ist jedoch darin zu sehen, dass die Zielrichtung der dort statuierten Verpflichtung zur Ergreifung von Sicherheitsmaßnahmen allein die Etablierung eines risikoangemessenen Sicherheitsniveaus der verarbeiteten personenbezogenen Daten ist.
IT Systeme, die in der Produktion oder in ähnlichen Bereichen eingesetzt werden, verarbeiten regelmäßig keine personenbezogenen Daten. Damit unterliegen sie den genannten Pflichten gerade nicht.
Der erste Beitrag befasst sich mit den grundlegenden gesetzlichen Anforderungen an die IT-Sicherheit in Unternehmen. Der zweite Teil geht auf weitere Pflichten und interne sowie externe Anreize ein, IT-Sicherheit zu gewährleisten.
