weitere Beiträge
In Zeiten zunehmender digitaler Vernetzung sowie ständig ansteigender Internetkriminalität ist die Aufrechterhaltung der IT-Sicherheit längst zu einer Hauptaufgabe für den Staat, die Privatwirtschaft und die Gesellschaft avanciert. Ungeachtet alledem wird dieser Entwicklung in der täglichen Praxis bei weitem noch nicht die nötige Aufmerksamkeit entgegengebracht, was nicht unerhebliche rechtliche Konsequenzen zeitigen kann. Welche gesetzlichen Vorschriften und Erlasse Unternehmungen im Hinblick auf die IT-Sicherheit, kennen sowie erfüllen müssen, lernen Sie in dem nachfolgenden Blogbeitrag.
Mittlerweile sind die Wettbewerbsfähigkeit sowie der wirtschaftliche Erfolg eines Geschäftsbetriebes ohne die Nutzung einer leistungsstarken sowie permanent verfügbaren IT-Umgebung nicht vorstellbar.
Laut einer aktuellen Analyse durch Riverbed sind zwischenzeitlich 81 % der befragten Führungspersonen der Überzeugung, dass eine aktuelle IT-Umgebung Innovation, Erfindungsreichtum wie auch Produktivität steigert.
Trotzdem die Verwendung aktueller Systeme wichtige und Fortschritts-ermöglichende Nutzen für Geschäftsbetriebe bereithält, resultieren sie oft auch in einer zunehmenden IT-Abhängigkeit und erhöhen so die Möglichkeiten für moderne Cyberbedrohungen, fehlerhaften Konfigurationen sowie Verletzungen des Datenschutzes.
Aufgrund dessen ist nunmehr in jeglichen Wirtschaftsbereichen eine zunehmende juristische Regulation der IT-Security festzustellen.
Hohe IT-Security durch gesetzliche Regulation!
Das Kernthema IT-Sicherheit beschäftigt im Zusammenhang der steigenden Vernetzung der Arbeitswelt ständig mehr Unternehmen. Jedoch sind die entsprechenden gesetzlichen Vorgaben an Wirtschaftsunternehmen anfangs nicht gerade leicht überschaubar.
Denn bis heute gibt es kein Stammgesetz, das jegliche Bestimmungen mit Verbindung zur IT-Security zusammenfasst. Vielmehr funktionieren mehrere unterschiedliche Gesetze zusammen, um Unternehmungen zu verpflichten, ein IT-Risk Management zu implementieren und in die Umsetzung risikoangemessener IT-Sicherheitsmaßnahmen wie auch IT-Security Solutions zu investieren.
Wird dies jedoch verpasst, können im Fall eines IT-Sicherheitsvorfalls abgesehen von großen Rufschäden auch noch Geldbußen in Millionenhöhe zu erwarten sein.
Schon im Wirtschaftsjahr 2020 wurden in Europa insgesamt 160 Mio € Bußgelder infolge von Zuwiderhandlungen gegen die Europäische Datenschutzgrundverordnung ausgesprochen. In der Bundesrepublik ging das höchste Bußgeld mit 35,3 Millionen Euro an das H&M Servicecenter in Nürnberg, das die privaten Lebenssituationen hunderter Arbeitnehmer ausgeforscht haben soll.
Die wesentlichen Gesetze zur IT-Sicherheit im Gesamtüberblick:
Im Zuge der ständig schwerer werdenden Gefahrenlage sehen sich die Legislative gleichermaßen wie Unternehmungen mehr und mehr in der Obliegenheit zu reagieren. Auf der einen Seite entstehen moderne sowie innovative IT-Securitylösungen und Dienstleistungen, welche das IT-Sicherheitsniveau potenzieren. Auf der anderen Seite werden striktere Anforderungen an eine betriebsinterne IT-Security festgelegt, um IT-Risiken über elektronische, organisatorische, strukturelle und personelle IT-Sicherheitsvorkehrungen zu verringern. Vorschriften, welche insbesondere die IT-Security berühren, haben dabei vorwiegend die Intention, die IT-Infrastruktur eines Betriebes vor Internetangriffen, unberechtigtem Zugang sowie Manipulation zu sichern. Normen, die den Datenschutz angehen, haben die Zielsetzung, einen zuverlässigen Schutz für Geschäftsdaten im Hinblick auf Nutzbarkeit, Vertraulichkeit, Integrität sowie Echtheit zu schaffen. Damit Geschäftsbetriebe regelkonforme IT-Securityvorkehrungen implementieren können, sind u.a. die nachstehenden Regelungen und Verordnungen für sie maßgeblich:
- das IT-Sicherheitsgesetz: Beim IT-Sicherheitsgesetz, kurz IT-SiG, handelt es sich um ein Artikelgesetz, welches die Zielsetzung hat, die Integrität von Informationen und IT-Systemen zu schützen und zu gewährleisten. Beim Gesetz stehen im Besonderen die Provider systemkritischer Infrastrukturen aus den Branchen Strom- und Wasserversorgung, Finanzen oder Nahrung im Vordergrund. Diese Betreiber sind gesetzlich in der Verpflichtung, ihre Firmen-IT adäquat zu schützen sowie mindestens alle 2 Wirtschaftsjahre prüfen zu lassen. Hinzu kommen Pflichten zur Meldung an das Bundesamt für Sicherheit in der Informationstechnik nach eingetretenen IT-Securityvorfällen.
- die EU-DSGVO: Die EU-Datenschutzgrundverordnung ist ebenso wie das IT-SiG ein Artikelgesetz. Es verfolgt die Absicht, EU weit für uniforme Regelungen zu sorgen, welche den Datenschutz berühren. Dadurch erhöhen sich die Ansprüche an die Datenschutz-Compliance und ein funktionales Datenschutz-Management-System. Die Regelungen des deutschen Datenschutzgesetzes, kurz BDSG, erweitern die EU-DSGVO, indem einige Parameter weiter verdeutlicht werden.
- das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich: Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, abgekürzt KonTraG, zielt auf die Verbesserung der Grundsätze der Führung von Unternehmen ab. Noch dazu sollen Betriebe motiviert werden, sich verstärkt mit dem Thema IT-Risk Management auseinanderzusetzen und in ein firmenweites Risikofrüherkennungssystem zu investieren.
• die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff: Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, abgekürzt GoBD, dreht sich alles um Normen aus einer Anweisung des Finanzministeriums für die rechtskonforme Dokumentation in Betrieben. Die GoBD stellen sicher, dass Geschäftsbetriebe, in welchen unternehmerische Prozesse wie auch Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen, verschiedene Sorgfaltspflichten bei der Weiterverarbeitung, Speicherung und Zurverfügungstellung der Daten zu beachten. Gleichwohl sollten alle Anforderungen durch ein firmeninternes System vollzogen werden. Gleichermaßen ist eine Dokumentation als Beleg eines ordnungsgemäßen Systembetriebs verlangt.
Abgesehen von diesen 4 bedeutsamen Rechtsvorschriften sollten Unternehmungen bei der Durchführung einer risikoadäquaten IT-Sicherheitsstrategie noch nachfolgende Gesetzestexte berücksichtigen:
- die Grundsätze für eine ordnungsmäßige Datenverarbeitung, abgekürzt GoDV
- das Gesetz zum Schutz von Geschäftsgeheimnissen, kurz GeschGehG
- Telekommunikations-Überwachungsverordnung, kurz TKÜV
- Telekommunikationsgesetz, kurz TKG
- Telemediengesetz, kurz TMG
- Beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz, abgekürzt TTDSG, welches ab dem 01.12.2021 gilt.
- die §§ 69a ff. und der § 106 im Urheberrechtsgesetz, kurz UrhG
Auch Gesetze zur IT-Sicherheit gewährleisten Ihren unternehmerischen Erfolg!
Heutzutage müssen Unternehmungen in Deutschland eine große Menge juristischer Pflichten in Bezug auf ihre IT-Sicherheit einhalten, anderenfalls können sehr hohe Sanktionen drohen.
Daher ist es wichtig, dass sich Unternehmungen früh genug mit den einschlägigen Gesetzesnormen wie auch Vorschriften, welche die IT-Security tangieren, befassen.
Nur dergestalt können sie eine durchgängig starke IT-Security und die nötige IT-Compliance sicherstellen.
Möchten Sie noch mehr über die gesetzlichen Seiten der IT-Sicherheit erfahren oder brauchen Sie einen externen IT-Sicherheitsbeauftragten? Sprechen Sie uns an!