IT-Sicherheit & IT-Sicherheitsgesetz – Rechtsanwalt Ferner

Die IT-Sicherheit gerät zunehmend in den Fokus des Gesetzgebers und ist darüber hinaus ein wirtschaftlicher Faktor. Rechtsanwalt Jens Ferner, Fachanwalt für Informationstechnologierecht, steht in diesem Bereich bundesweit zur umfassenden rechtlichen Beratung und juristischen Begleitung von IT-Sicherheitskonzepten von Unternehmen zur Verfügung.

Wir bieten Ihnen im Bereich IT-Sicherheit:

  • juristische Expertise bei Fragen rund um die IT-Sicherheit,
  • juristische Bewertung von Sicherheitskonzepten,
  • ein selbst entwickeltes IT-Sicherheits-Konzept für KMU in juristischer Hinsicht,
  • Integration juristischer Fragen zur IT-Sicherheit mit dem Datenschutzrecht und Stellung eines Datenschutzbeauftragten in einem Paket,
  • einen Ansprechpartner auch in den verwandten Rechtsgebieten, insbesondere im Datenschutzrecht und bei Haftungsfragen der Geschäftsführung.

Auf unserer Seite finden Sie dazu laufend Informationen, beachten Sie als Einstieg unseren Beitrag: Wenn das Unternehmen gehackt wird – was ist juristisch zu tun?

IT-Sicherheit: Rechtliche Regelungen der IT-Sicherheit

Es sind auf nationaler Ebene vor allem das BSI-Gesetz, die technischen Standards des BSI und das seit 2015 umgesetzte IT-Sicherheitsgesetz von Bedeutung, die europäische Vorgaben in Form der NIS-Richtlinie umsetzen.

Zur NIS-Richtlinie ist festzuhalten, dass IT-Sicherheit auch auf europäischer Ebene ein Thema mit hervorgehobener Bedeutung ist. Hier soll vornehmlich durch die „Richtlinie zur Netz- und Informationssicherheit“ („NIS-Richtlinie“) ein europaweit einheitlicher Standard geschaffen werden. Nachdem dieses Vorhaben über Jahre hinweg vor sich hindümpelte kam dann im Jahr 2016 der Durchbruch, aktuell wird für August 2016 mit einem Inkrafttreten gerechnet. Zur NIS-Richtlinie beachten Sie zur Vertiefung meinen Beitrag rund um die NIS-Richtlinie. Allerdings hatte der Gesetzgeber hier schon vorbereitend das IT-Sicherheitsgesetz erlassen, das bereits Teile der NIS-Richtlinie umgesetzt hat. Aus diesem Grund gehe ich folgend auch zuerst auf das IT-Sicherheitsgesetz ein und erst danach auf die NIS-Richtlinie.

it-sicherheit
Cyber-Sicherheit – Übersicht der EU

IT-Sicherheit: Abgestuftes Sicherheitskonzept

Das ist im Ergebnis ein abgestuftes Sicherheitskonzept, das unterschiedliche Rahmenbedingungen je nach Dienst vorsieht. Es gibt so unterschiedliche Dienste, die teilweise ausdrücklich vorgesehen sind, aber auch sich als faktisches Ergebnis darstellen und für die dann jeweils eigene Sicherheitsstufen existieren:

  • Kritische Dienste (KRITIS), die in der Richtlinie als „wesentliche Dienste“ beschrieben sind;
  • digitale Dienste, hierzu gehören Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste, wobei es aber Ausnahmen für Kleinstunternehmer gibt;
  • Telemedien allgemein, für die im Telemediengesetz seit dem IT-Sicherheitsgesetz allgemeine Sicherheitsvorgaben gemacht werden.

Während KRITIS eine vorbeugende Pflicht zu Sicherheitsmaßnahmen trifft müssen digitale Dienst eher im Nachhinein agieren und sind grundsätzlich zu verschärfter Wahrung der Sicherheit angehalten und zum Einrichten von Konzepten für Notfälle, während auf schwächster Stufe allgemein Telemedien angehalten sind, gängige Sicherheitsstandards einzuhalten.

BSI-Gesetz – Grundlage der IT-Sicherheit in Deutschland

Das BSI Gesetz kann im Kern als Definition der Rolle des Bundesamts für Sicherheit in der Informationstechnik verstanden werden. Zuletzt verändert durch das IT-Sicherheitsgesetz sind dem BSI im Kern vor allem folgende Aufgaben zugeschrieben:

  • Zentrale Meldestelle für IT-Sicherheit im Allgemeinen und zur IT-Sicherheit kritischer Infrastrukturen
  • Befugnis, Protokolldaten sowie Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen zu analysieren
  • Veröffentlichung von Informationen und Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten sowie vor Schadprogrammen
  • Definition von Sicherheitsstandards für die Bundesverwaltung
  • Betreiber Kritischer Infrastrukturen, müssen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen
  • BSI kann Beseitigung von Sicherheitslücken bei Betreibern kritischer Infrastrukturen anordnen und die Hersteller von Produkten zur Mitwirkung verpflichten

Es ist davon auszugehen, dass dies nur der Auftakt ist, es ist in den vergangenen Jahren der Trend zu sehen, dass die IT-Sicherheit zunehmend gesetzlich reguliert wird. Dabei wird die Funktion des BSI-Gesetzes als reine Regulierung des BSI immer weiter verlassen und Verpflichtungen externer Unternehmen aufgenommen, zuerst durch das IT-Sicherheitsgesetzt und voraussichtlich dann später durch die weitere Umsetzung der NIS-Richtlinie.

IT-Sicherheit: IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz ist kein eigenständiges Gesetz, sondern ein Artikel-Gesetz, mit dem das BSI-Gesetz im Jahr 2015 spürbar „aufgebohrt“ wurde sowie das Telemediengesetz um den Aspekt IT-Sicherheit erweitert wurde. Während es bis dahin eher um die Tätigkeit des BSI ging, wurden nun typische Sicherheitsprobleme und Gefahren in den Blick genommen, die zentral ausgehend vom BSI im Blick gehalten und „kontrolliert“ werden sollen. So ist seit dem IT-Sicherheitsgesetz nunmehr vorgesehen:

  • Betreiber von Webseiten, insbesondere Shops etc., haben erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme zu erfüllen.
  • Provider (TK-Anbieter) müssen ihre Kunden warnen, wenn der Anschluss des Kunden für IT-Angriffe missbraucht wird, wobei Hilfen zur Beseitigung zu bieten sind.
  • Betreiber Kritischer Infrastrukturen („KRITIS“) sehen sich ganz massiven Anforderungen ausgesetzt. Neben Sicherungsmaßnahmen müssen regelmäßige Audits stattfinden und Probleme sofort an das BSI gemeldet werden.

Zum IT-Sicherheitsgesetz finden Sie weitere Ausführungen in meinen Beiträgen zum IT-Sicherheitsgesetz.

IT-Sicherheitsgesetz: Rechtsverordnung zur IT-Sicherheit

Während Atomkraftwerke und TK-Provider vom Gesetz unmittelbar erfasst sind ist die Definition der weiteren Betreiber kritischer Infrastrukturen einer Rechtsverordnung überlassen, die aktuell noch vom Bundesministerium des Innern erstellt wird. Sobald diese vorgestellt wurde erfahren Sie hierzu weitere Informationen auf dieser Seite.

IT-Sicherheit auf Europäischer Ebene: Abschliessende Umsetzung der NIS-Richtline

Zur NIS-Richtlinie beachten Sie zur Vertiefung meinen Beitrag rund um die NIS-Richtlinie, mit dem einleitende Informationen vermittelt werden. Soweit nicht alle Aspekte der NIS-Richtlinie durch das IT-Sicherheitsgesetz umgesetzt wurden, werden die noch fehlenden Regelungen der NIS-Richtlinie voraussichtlich im Jahr 2017 umgesetzt.

Im Januar 2017 wurde hierzu ein Gesetzentwurf vorgelegt, der das BSI-Gesetz weiter anpasst und für eine vollständige Umsetzung sorgt. Ich habe das Gesetz zur vollständigen Umsetzung der NSI-Richtlinie hier vorgestellt.

IT-Sicherheit: IT-Sicherheit-Standards

Zumindest ein paar Sätze zu Standards in der IT-Sicherheit sind notwendig, dabei sind zwei Anlaufpunkte in den Fokus zu Rücken:

  1. Das BSI bietet mit den IT-Grundschutz-Katalogen eine Handreichung die als FUndament für die Praxis dienen.
  2. Das Angebot des BSI setzt letztlich die ISO-27000 Standards um, hier bietet sich über das Stichwort „Management für Informationssicherheit“ ein geeigneter Einstieg.

Beiträge bei uns zur IT-Sicherheit

News zum IT-Sicherheitsgesetz bei uns

News zur IT-Sicherheit bei uns

Links zum Thema IT-Sicherheit

Das BSI bietet eine Vielzahl an Informationen, die besten Einstiegspunkte sind:

Darüber hinaus lesenswert zur IT-Sicherheit:

Zugehörige Downloads

  • pdf bgbl109s2821_54271
    BSI-Gesetz im BGBL 2009
    Dateigröße: 74 KB Downloads: 1619
  • pdf bgbl115s1324_109747
    Im Bundesgesetzblatt verkündetes IT-Sicherheitsgesetz
    Dateigröße: 88 KB Downloads: 1802
  • pdf 1804096
    IT-Sicherheitsgesetz: Gesetzentwurf der Bundesregierung
    Dateigröße: 445 KB Downloads: 1703
  • pdf digitale-agenda-im-fokus
    Digitale Agenda im Fokus
    Dateigröße: 1 MB Downloads: 1663
  • pdf bsi-lagebericht-it-sicherheit
    BSI Lagebericht: IT-Sicherheit Deutschland 2014
    Dateigröße: 2 MB Downloads: 1707
  • pdf COM_2013__48_final
    NIS-Richtlinie, Entwurf aus dem Jahr 2013
    Dateigröße: 210 KB Downloads: 753
  • pdf st15229-re02.en15
    Text der NIS-Richtlinie mit Stand Dezember 2015
    Dateigröße: 366 KB Downloads: 760
  • pdf fb_vorsicht-kartentricks_2016-03
    Das Faltblatt weist auf Gefahren hin, die das bargeldlose Bezahlen mit Kreditkarte, ec-Karte oder per Lastschrift sowie der elektronische Zahlungsverkehr und die Nutzung von Zahlungskarten im Internet mit sich bringen. Es informiert, wie man sich vor dem Missbrauch der Zahlungskarte schützen kann und was zu tun ist, wenn eine Zahlungskarte verloren geht. Dazu werden die Telefonnummern der zentralen Sperrannahmedienste aufgeführt. Integriert ist auch ein "Notfall-Info-Pass" mit der Sperrnotrufnummer sowie der Möglichkeit, seine Kreditkarten- und Kontodaten einzutragen.
    Dateigröße: 1 MB Downloads: 61
  • pdf ib_sicherheit_unbare_zahlungsmittel_2013_01
    Das Informationsblatt wendet sich an Gewerbetreibende mit dem Ziel, sie vor etwaigen Schäden durch den Missbrauch von Debitkarten (z.B. girocard, früher auch als ec-Karte bezeichnet) zu schützen. Es gliedert sich in vier Abschnitte. Zunächst wird das Phänomen kurz beschrieben und danach werden zwei verschiedene Fallvarianten dargestellt. Der dritte Teil enthält eine Reihe praktischer Tipps für Unternehmer, wie sie Betrugsfällen durch den Missbrauch zuvor gestohlener oder abhanden gekommener oder gefälschter Debit- und Kreditkarten vermeiden können. Im letzten Teil finden sich Hinweise für das Kassenpersonal, was beim Zahlungsvorgang zu beachten und wie im Verdachtsfall zu reagieren ist.
    Dateigröße: 292 KB Downloads: 81