Im Zeitalter steigender digitaler Vernetzung sowie ständig steigender Online-Kriminalität ist die Gewährleistung der IT-Sicherheit längst zu einer Hauptaufgabe für Exekutive und Legistlative, die Wirtschaft und die Zivilgesellschaft geworden. Allerdings wird ihr in der Praxis noch lange nicht die nötige Aufmerksamkeit eingeräumt, was beachtliche rechtliche Konsequenzen zeitigen kann. Welche Gesetzesnormen und Verordnungen Firmen im Hinblick auf die IT-Sicherheit, beachten und realisieren müssen, lernen Sie in dem nachstehenden Artikel.
Dieser Tage sind die Handlungsfähigkeit wie auch der Erfolg eines Geschäftsbetriebes ohne den Einsatz einer leistungsfähigen und permanent verfügbaren IT-Infrastruktur nicht vorstellbar.
Gemäß einer gegenwärtigen Analyse durch Riverbed sind zwischenzeitlich 81 Prozent der teilnehmenden Führungspersonen der Überzeugung, dass eine moderne IT-Infrastruktur Innovationskraft, Erfindungsreichtum wie auch Rentabilität begünstigt.
Trotzdem die Verwendung aktueller Systeme wichtige sowie fortschrittsermöglichende Vorzüge für Geschäftsbetriebe bereithält, münden diese häufig ebenso in einer wachsenden IT-Abhängigkeit und steigern so das Risiko für moderne Cyberangriffe, Fehlkonfigurationen und Verletzungen des Datenschutzes.
Daher ist inzwischen in jeglichen Wirschaftsbereichen eine zunehmende staatliche Reglementierung der IT-Sicherheit zu verzeichnen.
Hohe IT-Security durch gesetzliche Regulation!
Das Themenfeld IT-Security betrifft im Zuge der zunehmenden Vernetzung der Arbeitswelt immerzu mehr Unternehmungen. Allerdings sind die betreffenden rechtlichen Vorgaben an Unternehmen zunächst alles andere als überblickbar.
Denn bis heute gibt es kein Hauptgesetz, welches jegliche Regulierungen mit Verbindung zur IT-Security bündelt. Vielmehr funktionieren zahlreiche unterschiedliche Gesetzesnormen zusammen, um Betriebe in die Pflicht zu nehmen, ein IT-Risikomanagement umzusetzen sowie in die Verwirklichung risikoangepasster IT-Securitymaßnahmen und IT-Security Solutions zu investieren.
Wird das hingegen verpasst, können im Falle eines IT-Sicherheitsvorfalls außer bedeutenden Reputationsschäden zuweilen Bußgelder in großer Höhe zu erwarten sein.
Nur im Jahr 2020 wurden in der Europäischen Union insgesamt 160 Mio Euro Geldbußen angesichts von Überschreitungen gegen die Europäische DSGVO verhängt. In der Bundesrepublik Deutschland ging die größte Geldstrafe mit 35,3 Mio. € (Pressemitteilung) an das H&M Servicecenter in Nürnberg, das die privaten Lebenssituationen hunderter Arbeitnehmer ausgeforscht haben soll.
Die bedeutsamsten Rechtsvorschriften zur IT-Sicherheit im Überblick:
Infolge der laufend komplizierter werdenden Gefahrenlage sehen sich die Legislative gleichermaßen wie Unternehmungen vermehrt in der Pflicht zu agieren. Auf der einen Seite entstehen neuartige sowie originelle IT-Securitylösungen und Services, die das Sicherheitsniveau potenzieren. Auf der anderen Seite werden striktere Erfordernisse an eine unternehmensweite IT-Security definiert, um so IT-Bedrohungen durch technische, organisatorische, strukturelle und personelle IT-Sicherheitsvorkehrungen zu verkleinern. Gesetze, welche hauptsächlich die IT-Sicherheit berühren, haben dabei überwiegend die Intention, die IT-Infrastruktur eines Unternehmens vor Internetangriffen, unbefugtem Zugang sowie Manipulation zu bewahren. Regelungen, die den Datenschutz angehen, haben die Absicht, einen zuverlässigen Schutz für Firmendaten im Zusammenhang mit Nutzbarkeit, Vertraulichkeit, Unversehrtheit und Echtheit zu erreichen. Damit Firmen vorschriftsmäßige IT-Sicherheitsvorkegrungen etablieren können, sind u.a. die anschließend aufgeführten Gesetze und Verordnungen für sie von Bedeutung:
- das IT-Sicherheitsgesetz: Bei dem IT-Sicherheitsgesetz, abgekürzt IT-SiG, handelt es sich um ein Artikelgesetz, dass die Intention hat, die Integrität von Datenmaterialien und IT-Umgebungen zu sichern sowie zu gewährleisten. Bei dem Gesetz stehen gerade die Anbieter systemkritischer Strukturen aus den Sektoren Strom- und Wasserversorgung, Finance oder Nahrung im Mittelpunkt. Diese Provider sind rechtlich in der Pflicht, ihre Unternehmens-IT angemessen zu sichern und min. alle zwei Kalenderjahre inspizieren zu lassen. Dazu kommen Pflichten zur Meldung an das BSI nach eingetretenen IT-Securityvorfällen.
- die EU-DSGVO: Die EU-Datenschutzgrundverordnung ist wie das IT-SiG ein Artikelgesetz. Es verfolgt die Absicht, EU weit für einheitliche Bestimmungen zu sorgen, welche den Datenschutz beeinflussen. Damit wachsen die Erfordernisse an die Datenschutz-Compliance sowie ein funktionales Datenschutz-Verwaltungs-System. Die Regelungen des inländischen Bundesdatenschutzgesetzes, kurz BDSG, ergänzen die europäische DSGVO, indem diverse Parameter konkretisiert werden.
- das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (Bundesgesetzblatt): Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Optimierung der Grundsätze der Führung von Betrieben ab. Darüber hinaus sollen Firmen angehalten werden, sich besonders mit dem Themenkreis IT-Risikomanagement zu befassen und in ein betriebsweites Risikofrüherkennungssystem zu investieren.
- die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff : Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, abgekürzt GoBD, dreht sich alles um Normen aus einer Verwaltungsanweisung des Bundesministeriums der Finanzen für die rechtskonforme Dokumentation in Geschäfsbetrieben. Die GoBD zielen darauf ab, dass Geschäftsbetriebe, in welchen betriebliche Abläufe sowie Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen, verschiedene Sorgfaltspflichten bei der Weiterverarbeitung, Speicherung und Bereitstellung der Informationen zu beachten. Trotzdem sollten sämtliche Anforderungen durch ein unternehmensinternes Kontrollsystem vollzogen werden. Gleichermaßen ist eine Verfahrensdokumentation als Nachweis eines rechtskonformen Betriebes verlangt.
Zusätzlich zu diesen 4 bedeutsamen rechtlichen Grundlagen sollten Geschäftsbetriebe bei der Implementation einer risikoadäquaten IT-Sicherheitsstrategie noch folgende Richtlinien berücksichtigen:
- die Grundsätze für eine ordnungsmäßige Datenverarbeitung, kurz GoDV
- das Gesetz zum Schutz von Geschäftsgeheimnissen, kurz GeschGehG
- Telekommunikations-Überwachungsverordnung, abgekürzt TKÜV
- Telekommunikationsgesetz, abgekürzt TKG
- Telemediengesetz, abgekürzt TMG
- Beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, das ab dem 01.12.2021 gilt.
- die §§ 69a ff und der § 106 im Urheberrechtsgesetz, abgekürzt UrhG
Auch Rechtlichen Grundlagen zur IT-Sicherheit gewährleisten Ihren Unternehmenserfolg!
Inzwischen müssen Geschäftsbetriebe in der Bundesrepunlik eine Fülle gesetzlicher Vorgaben mit Blick auf ihre IT-Security erfüllen, anderenfalls können empfindliche Geldbußen drohen.
Aus diesem Grund ist es wichtig, dass sich Firmen rechtzeitig mit den wesentlichen Gesetzesnormen und Richtlinien, welche die IT-Security angehen, auseinandersetzen.
Nur derart können sie eine andauernd starke IT-Security und die nötige IT-Compliance gewährleisten.
Möchten Sie noch mehr über die rechtlichen Aspekte der IT-Security lernen oder brauchen Sie einen externen IT-Sicherheitsbeauftragten? Wir stehen Ihnen mit unserer langjährigen Erfahrung und Expertise gerne zur Seite!
