19. Februar 2018
IT-Sicherheitsmaßnahmen
IT-Recht

Pflichten und Anreize zur Ergreifung von IT-Sicherheitsmaßnahmen

Ein Überblick in zwei Teilen über die rechtlichen Pflichten und Maßnahmen, die Unternehmen im Bereich der IT-Sicherheit treffen müssen.

Neben den allgemein gehaltenen gesetzlichen Anforderungen u. a. mit Blick auf Risikomanagement im Finanzbereich (z. B. § 25a Absatz 1 Kreditwesengesetz) und anderen branchenspezifischen Regelungen, können Unternehmen auch ohne unmittelbare gesetzliche Verpflichtung jedenfalls mittelbar zur Ergreifung von IT-Sicherheitsmaßnahmen verpflichtet sein.

Entsprechende Verpflichtungen ergeben sich insbesondere aus vertraglichen Vereinbarungen, allgemeine oder bestimmte Maßnahmen im Bereich der IT-Sicherheit zu treffen. Sie finden sich in der Praxis in den unterschiedlichsten Regelungskontexten und Branchen, nicht zuletzt aber auch in Versicherungsbedingungen und öffentlichen Ausschreibungen.

Die verlangten Sicherheitsmaßnahmen reichen von allgemeinen Pflichten zur Ergreifung technischer und organisatorischer Vorkehrungen bis hin zu konkreten Maßnahmen, wie die Verwendung bestimmter Verschlüsselungsmechanismen. Der Verstoß gegen diese vertraglichen Verpflichtungen kann insbesondere Schadensersatzansprüche oder vereinbarte Vertragsstrafen bzw. den Verlust des Versicherungsschutzes nach sich ziehen.

Doch auch ohne konkrete vertragliche Absprachen lässt sich zunehmend – abhängig von der vertraglichen Materie und des Kontextes – von ungeschriebenen (Neben-)Pflichten zur Ergreifung von IT-Sicherheitsmaßnahmen ausgehen. Zwar kann dies nur für einen Mindeststandard gelten, doch kann dieser, je nach Umfeld, auch verhältnismäßig hohe Sicherheitsanforderungen nach sich ziehen.

Ferner können unzureichende IT-Sicherheitsmaßnahmen nicht nur eine deliktische Haftung nach § 823 Absatz 1 BGB begründen, sondern auch im Rahmen eines Mitverschuldens gemäß § 254 BGB zu berücksichtigen sein, was letztlich Kürzungen bei bestehenden Schadensersatzansprüchen zur Folge haben kann.

Welche Sicherheitsmaßnahmen zu treffen sind

Die existierenden gesetzlichen Regelungen schreiben größtenteils keine konkreten, unmittelbar umsetzbaren Sicherheitsmaßnahmen bzw. Mindestsicherheitsstandards vor. Dies ist aufgrund der sich stetig fortentwickelnden Techniken und Möglichkeiten im Bereich der IT-Systeme auch gar nicht sinnvoll möglich. Vielmehr finden sich zumeist Verweise auf den Stand der Technik und die Ergreifung risikoangemessener Maßnahmen.

Damit steigt nicht zuletzt die Bedeutung brancheneigener und branchenübergreifender Standards und Normen, die im IT-Sicherheitsbereich inklusive entsprechender Zertifizierungen zunehmend verbreitet sind. Dazu zählt beispielsweise die Norm ISO/IEC 27001 bzw. der daraus abgeleitete IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik, die Anforderungen an ein grundlegendes Informationssicherheits-Managementsystem stellen. Und auch bloße Leitlinien des BSI und vergleichbare Empfehlungen können herangezogen werden und den jeweils zu berücksichtigenden Stand der Technik beeinflussen.

Konkretere rechtliche Vorgaben existieren jedoch bezüglich der an die staatlichen Stellen, insbesondere das BSI und die Datenschutzaufsichtsbehörden, zu meldenden Sicherheitsvorfälle, wenngleich die Frage, welche Ereignisse tatsächlich meldepflichtig sind, im Einzelnen auslegungsbedürftig ist. Dementsprechend halten die Behörden auch Formulare und Vorlagen bereit, welche von dem meldepflichtigen Unternehmen ausgefüllt werden können. So etwa ein Muster für eine Meldung an das Bundesamt für Sicherheit in der Informationstechnik.

Wie nicht nur die Existenz der oben beschriebenen Sicherheitslücken Meltdown und Spectre zeigt, ist die Schaffung absoluter Sicherheit im Bereich der IT nicht möglich. Gleichwohl führt dies nicht dazu, dass aus rechtlicher Sicht keine Maßnahmen zu treffen sind. Auch wenn es keinen einheitlichen, für alle Unternehmen geltenden Pflichtenkatalog gibt, sollten Unternehmen zumindest ein grundlegendes Informationssicherheits-Managementsystem (ISMS) etablieren. Fehlt ein solches völlig, drohen neben der Gefahr unzureichend gesicherter IT-Systeme auch Bußgelder, sofern das Außerachtlassen der entsprechenden Pflichten staatlichen Stellen bekannt wird.

Bereits wenige Maßnahmen können jedoch für eine spürbare Erhöhung der Sicherheit sorgen. Aus rechtlicher Sicht empfehlenswert, insbesondere um im Fall sich realisierender Risiken nicht von vornherein einem Fahrlässigkeitsvorwurf ausgesetzt zu sein, sind jedenfalls die folgenden Maßnahmen:

  • Festlegung unternehmensinterner Verantwortlichkeiten, Regeln und Prozesse
  • Aufklärung und Schulung von Mitarbeitern
  • Konsequentes und zeitnahes Einspielen von (Sicherheits-)Patches und Updates
  • Verwendung von Firewall- und Antivirenprogrammen
  • Kontrolle des Datenverkehrs im Unternehmensnetz
  • Verschlüsselung wichtiger Daten und Systeme
  • Errichtung regelmäßiger Backups und Sicherstellung der Recovery-Funktionalität

Schutz des operativer Geschäftsbetriebs: Weitere Anreize für eine hohe IT-Sicherheit

Neben geschriebener und ungeschriebener, gesetzlicher und vertraglicher Pflichten sorgen aber insbesondere auch konkrete tatsächliche Anreize dazu, dass Unternehmen verstärkt und aus eigener Initiative in den Bereich der IT-Sicherheit investieren.

Allen voran ist hierbei der Schutz des eigentlichen, operativen Geschäftsbetriebs zu nennen. Aufgrund der bestehenden Digitalisierung nahezu aller Unternehmen können Vorfälle im Bereich der IT-Sicherheit das operative Geschäft gravierend beeinträchtigen und sogar den Fortbestand des Unternehmens insgesamt in Frage stellen. Dazu zählen insbesondere nicht nur Angriffe von Hackern von außen.

Eine häufig unterschätzte Gefahr besteht auch mit Blick auf eigene Mitarbeiter, die bewusst eine unzureichende IT-Sicherheit ausnutzen, um sich Unternehmensdaten zu verschaffen. Aufgrund fehlender Sicherheitsmaßnahmen bleiben solche Vorkommnisse häufig auch über eine längere Zeit unentdeckt.

Hinzu kommt der Anreiz, durch ausreichende Sicherheitsmaßnahmen Reputationsschäden zu vermeiden, die das Bekanntwerden von Sicherheitsdefiziten bzw. -vorfällen nach sich ziehen kann. Daneben kann die Gewährleistung einer hohen IT-Sicherheit aber auch messbare Wettbewerbsvorteile hervorrufen, die entsprechende Aufwände auch aus rein unternehmerischer Sicht lohnenswert erscheinen lassen. Dazu zählt etwa, dass (zertifizierte) IT-Sicherheit als solche mittlerweile nicht nur als klarer Vorteil vermarktet werden kann, sondern überhaupt als notwendige Voraussetzung für eine vertragliche Zusammenarbeit gesehen wird.

Ausblick und zukünftige Gesetzgebung

Auch nach Umsetzung der ersten gesetzgeberischen Welle aus den Jahren 2015 und 2016 wird es das Thema IT-Sicherheit für die Wirtschaft weder aus rechtlicher noch aus tatsächlicher Sicht an Bedeutung verlieren wird. So werden aus tatsächlicher Sicht bereits die auch in Zukunft auftretenden Sicherheitslücken und damit zusammenhängenden Ereignisse für eine stetige Aktualität der Thematik sorgen. Es ist nur eine Frage der Zeit, bis es zu Vorfällen im Zusammenhang mit kritischen Infrastrukturen kommt, die größere Auswirkungen haben werden, als die bisher bekannt gewordenen Vorfälle.

Aus rechtlicher Perspektive wird nicht nur die Umsetzung der mit hohen Bußgeldandrohungen versehenen Vorgaben zur Datensicherheit aus der Datenschutz-Grundverordnung kontinuierliche Beschäftigung mit dem Thema IT-Sicherheit erfordern. Mit dem Vorschlag für eine Verordnung zur Cybersicherheit (COM(2017) 477 final) ist auf Europäischer Ebene bereits das nächste Gesetzgebungsprojekt zur IT-Sicherheit in der Pipeline. Der Verordnungsvorschlag ergeht vor dem Hintergrund und in Fortführung der EU-Cybersicherheitsstrategie aus dem Jahr 2013 und hat zwei wesentliche Regelungsbereiche:

Zum einen soll die Rolle der bereits seit 2004 bestehenden, aber immer wieder nur mit einem befristeten Mandat versehenen Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) verfestigt und gestärkt werden. Zum anderen liegt ein Schwerpunkt in Regelungen zur Festlegung von europaweit einheitlichen Zertifizierungssystemen, damit die IT-Sicherheit in Produkten und Diensten der Informations- und Kommunikationstechnik, einheitlich festgestellt werden kann. Auf diese Weise soll einer Marktfragmentierung innerhals Europas entgegengewirkt werden und die IT-Sicherheit insgesamt erhöht werden.

Alle Unternehmen, die Produkte oder Lösungen mit Bezug zur IT-Sicherheit herstellen bzw. anbieten, was in Zeiten fortschreitender Digitalisierung sehr viele Wirtschaftsbereiche betrifft, sollten die Gesetzgebungsaktivitäten daher kontinuierlich mitverfolgen. Die Verrechtlichung eines Lebensbereichs, wie sie im Bereich der IT-Sicherheit gerade erfolgt, ist ein guter Indikator dafür, dass ein weiteres Abwarten in tatsächlicher Hinsicht, d.h. eine Verzögerung der Umsetzung von IT-Sicherheitsmaßnahmen, nicht mehr angebracht ist.

Der erste Beitrag befasst sich mit den grundlegenden gesetzlichen Anforderungen an die IT-Sicherheit in Unternehmen. Der zweite Teil geht auf weitere Pflichten und interne sowie externe Anreize ein, IT-Sicherheit zu gewährleisten. 

Tags: IT-Sicherheitsmaßnahmen