Schwerpunktthema IT-Sicherheitsgesetz

Informationen zum Datenschutz I September 2016
IT-Sicherheitsgesetz
Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten,
mit dem die Sicherheit von informationstechnischen Systemen in Deutschland verbessert werden soll. Das IT-Sicherheitsgesetz ist ein sogenanntes „Artikelgesetz“, durch das
einzelne Paragrafen in mehreren bereits vorhandenen
Gesetzen geändert werden. Konkret beinhaltet das ITSicherheitsgesetz vor allem wichtige Änderungen für Betreiber kritischer Infrastruktur im Gesetz über das Bundesamt
für die Sicherheit in der Informationstechnik (BSIG). Daneben werden durch das IT-Sicherheitsgesetz aber auch Vorschriften im Atomgesetz und im Energiegesetz sowie im
Telekommunikationsgesetz und im Telemediengesetz verändert bzw. hinzugefügt. Dadurch ergibt sich auch Handlungsbedarf für Unternehmen, die keine kritischen Infrastrukturen
betreiben, beispielsweise die Betreiber von Internetseiten.
Welche Anforderungen ergeben sich für Betreiber
von Internetauftritten aus dem IT-Sicherheitsgesetz?
Betreiber von Internetseiten unterfallen als Diensteanbieter
dem Telemediengesetz (TMG). Damit gelten für sie auch
jene Anforderungen des TMG, die durch das IT-Sicherheitsgesetz neu eingefügt wurden. Konkret müssen Betreiber von
geschäftsmäßig angebotenen Internetseiten gemäß des
§ 13 Abs. 7 TMG n.F. sicherstellen, dass kein unerlaubter
Zugriff auf die für ihre Internetseiten genutzten technischen
Einrichtungen möglich ist und Störungen vermieden werden.
Ein wesentliches Ziel der Regelung ist es, einen der Hauptverbreitungswege von Schadsoftware einzudämmen: das
unbemerkte Herunterladen durch das bloße Aufrufen bzw.
Nutzen einer dafür von Angreifern präparierten Website
(sogenannte Drive-by-Downloads). Diese Gefahr soll nach
der Konzeption des TMG durch geeignete technische und
organisatorische Vorkehrungen reduziert werden, wobei die
Vorkehrungen dem „Stand der Technik“ zu entsprechen
haben. Entsprechend müssen alle Unternehmen genau prüfen, ob ihre für die Internetseiten genutzten technischen Einrichtungen (Server, Firewalls, etc.) diese Kriterien erfüllen.
Ausgehend von der Gesetzesbegründung zählt hierzu beispielsweise auch, Werbedienstleister, denen Werbefläche
eingeräumt wird, vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten.
www.brandi.net
Verstößt ein Unternehmen gegen die Pflicht zur Vornahme entsprechender Maßnahmen, kann dies gemäß § 16
Abs. 2 Nr. 3 i.V.m. § 16 Abs. 3 TMG ein Bußgeld von bis zu
50.000 Euro zur Folge haben.
Wann entsprechen technische Einrichtungen dem
„Stand der Technik“?
Das IT-Sicherheitsgesetz selbst enthält keine klaren Bewertungskriterien, aus denen sich Mindestanforderungen an
den geforderten „Stand der Technik“ ergeben. Eine Definition liefert jedoch das Bundesministerium für Justiz und Verbraucherschutz (BMJV). Danach ist unter „Stand der Technik“ der „Entwicklungsstand fortschrittlicher Verfahren,
Einrichtungen und Betriebsweisen zu verstehen, der nach
herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt.“ Weiter erläutert das BMJV, dass Verfahren, Einrichtungen und Betriebsweisen sich in der Praxis bewährt
haben oder, wenn dies noch nicht der Fall ist, zumindest im
Betrieb mit Erfolg erprobt worden sein sollten.
Der TeleTrust - Bundesverband IT-Sicherheit e.V. (TeleTrust) hat eine 64-seitige Handreichung veröffentlicht, in der
ausgehend von den Ausführungen des BMJV die erforderlichen Sicherheitsmaßnahmen umschrieben und erläutert
werden. Dabei werden einzelne Systeme und Komponenten
hinsichtlich der derzeit verbreiteten Bedrohungen und möglicher Gegenmaßnahmen analysiert. Zu jeder Bedrohung für
die IT-Sicherheit werden konkrete technische und organisatorische Vorkehrungen beschrieben, die dem aktuellen
Stand der Technik entsprechen und somit zur Abwehr der
Bedrohungen geeignet sind. So finden sich beispielsweise
Hinweise zur sicheren Vernetzung des Internetzugangs
sowie des Servers und des Zugangsclients einschließlich
Anforderungen an die Firewall.
Diensteanbieter müssen aber nicht den gesamten Katalog der in der Handreichung beschriebenen Vorkehrungen
umsetzen. Gemäß § 13 Abs. 7 TMG müssen zur Sicherstellung der IT-Sicherheit vielmehr nur die Vorkehrungen getroffen werden, die „technisch möglich und wirtschaftlich zumutbar“ sind.
Informationen zum Datenschutz I September 2016
Ausblick
Vor dem Inkrafttreten des IT-Sicherheitsgesetzes ergaben
sich aus dem TMG nur wenige gesonderte Anforderungen an
die Sicherung von IT-Systemen. Die meisten Unternehmen
konnten sich somit vor allem auf die Umsetzung der Anforderungen des Bundesdatenschutzgesetzes (BDSG) und der
dort geforderten technischen und organisatorischen Maßnahmen konzentrieren. Nach Inkrafttreten des IT-Sicherheitsgesetzes müssen Unternehmen mit ihrem IT-Sicherheitskonzept regelmäßig sowohl die Anforderungen des
§ 9 BDSG (technische und organisatorische Maßnahmen) als
auch die neuen Anforderungen in § 13 Abs. 7 TMG (technische und organisatorische Vorkehrungen) erfüllen. Der
Hauptunterschied liegt darin, dass gemäß des § 13 Abs. 7 Nr.
2 b) TMG n.F. auch Schutzmaßnahmen gegen reine Störungen der IT-Systeme vorgeschrieben sind. Hierdurch
kommt letztlich zum Ausdruck, dass durch das IT-Sicherheitsgesetz in zumutbarem Maße auch die reine Verfügbarkeit der IT-Systeme sichergestellt werden soll.
Unternehmen sollten das IT-Sicherheitsgesetz zum
Anlass nehmen, um die eigenen IT-Systeme auf Wirksamkeit
und Aktualität zu überprüfen. In diesem Zusammenhang
sollte auch eine realistische Einschätzung der getroffenen
Sicherheitsmaßnahmen im Hinblick auf die Anforderungen
an den „Stand der Technik“ erfolgen. Diesbezüglich bietet es
sich an, die eingesetzten Maßnahmen anhand von Checklisten oder Handreichungen zu überprüfen und das Ergebnis
der Überprüfung auch zu dokumentieren. Diese Tätigkeiten
werden dabei typischerweise begleitet von dem Datenschutzbeauftragten und – sofern vorhanden – dem IT-Sicherheitsbeauftragten.
Robert Bommel LL.M., BRANDI Rechtsanwälte
[email protected]
www.brandi.net
Kontakt:
BRANDI Rechtsanwälte Partnerschaft mbB
Dr. Sebastian Meyer, LL.M.
Rechtsanwalt
Datenschutzauditor (TÜV)
Adenauerplatz 1
33602 Bielefeld
Tel.: +49 (0) 521 / 96535 – 812
Fax: +49 (0) 521 / 96535 – 115
Mail: [email protected]
Web: www.brandi.net