IT-Sicherheitsvorfälle sind für Unternehmen unterschiedlichster Branchen ein aktuelles und immer größer werdendes Problem. Dies belegen aktuelle Zahlen einer Studie des Digitalverbandes Bitkom. Danach haben fast 70 Prozent aller Unternehmen innerhalb der letzten zwei Jahre Cyber-Angriffe auf ihre Systeme registriert.
Die Schäden, die durch Cyber-Kriminalität verursacht werden, belaufen sich nach den Schätzungen in der Summe auf über 43 Milliarden Euro. Und dennoch existieren in Deutschland bis dato lediglich vereinzelte rechtliche Instrumentarien zum Schutz gegen solche Vorfälle. Für zusätzlichen Schutz sollen nun aber etwa der EU-Cybersecurity Act und Ergänzungen zum IT-Sicherheitsgesetz sorgen.
Kein „IT-Sicherheits-Gesetzbuch“
Die bestehenden rechtlichen Regelungen, die letztlich eine Erhöhung der IT-Sicherheit bezwecken, finden sich in den unterschiedlichsten Gesetzen wieder. Durch die Kriminalisierung unerwünschten Verhaltens, wie etwa Datenveränderung und Computersabotage (§§ 303a, 303b StGB) oder das Ausspähen und Abfangen von Daten (§§ 202a, 202b, 202c StGB), wird versucht, Angreifer von vornherein von ihrem Vorhaben abzuhalten.
Rechtliche Vorgaben bezüglich der IT-Sicherheit von Unternehmen finden sich vor allem auch in der europäischen Netz- und Informationssicherheitsrichtlinie (NIS-Richtlinie) aus dem Jahr 2016 und dem IT-Sicherheitsgesetz, welches die Vorgaben der NIS-Richtlinie in Deutschland – teilweise vorauseilend – umgesetzt hat. Der Gesetzgeber hat dabei aber kein einheitliches Gesetzbuch geschaffen, sondern zahlreiche Änderungen und Ergänzungen in bestehenden, vornehmlich sektorspezifischen Gesetzen vorgenommen. Zumindest bislang betreffen die Vorgaben vor allem besonders bedeutende Unternehmen aus (lebens-)wichtigen Bereichen, wie etwa der Energie-, Wasser- oder Gesundheitsversorgung (sogenannte Kritische Infrastrukturen) sowie bestimmte Anbieter von digitalen Diensten wie Cloud- und Suchmaschinenanbieter. Diese Unternehmen müssen etwa Mindest-Sicherheitsanforderungen erfüllen und Angriffe auf ihre IT melden.
Vorgaben zur Datensicherheit in der DSGVO
Auch die Europäische Datenschutz-Grundverordnung (DSGVO) dürfte einen nicht unerheblichen Teil dazu beitragen, die IT-Sicherheit in Deutschland generell zu erhöhen. Zwar hat die DSGVO letztlich allein den Schutz personenbezogener Daten im Blick, doch stellen diese Daten für viele Unternehmen einen wesentlichen Bestandteil ihrer Datenverarbeitung dar. Jedes Unternehmen ist danach verpflichtet, personenbezogene Daten risikoangemessen zu schützen. Dies lässt technische und organisatorische Maßnahmen auf dem Gebiet der IT-Sicherheit unabdingbar werden. Insbesondere aus Furcht vor den potentiell hohen Bußgeldern bei Verletzungen dieser allgemeinen Vorgabe haben zahlreiche Unternehmen in den letzten Monaten zusätzliches Geld und viel Zeit investiert, um ein erhöhtes IT-Sicherheitsniveau gewährleisten zu können. Nicht zuletzt aufgrund der damit verbundenen Kosten, stellt sich die Frage, welche gesetzlichen Regelungen im Bereich IT-Sicherheit auf Unternehmen zukünftig noch zukommen.
Geplant: EU-Cybersecurity Act
Auf europäischer Ebene ist, gegebenenfalls sogar noch im Jahr 2018, die Verabschiedung des sogenannten EU-Cybersecurity Acts vorgesehen. Mit ihm soll unter anderem die Europäische Agentur für Netz- und Informationssicherheit ENISA in ihrem Mandat gestärkt und nunmehr dauerhaft etabliert werden. Zudem soll ein europaweit einheitlicher Rahmen für Sicherheitszertifizierungen für IT-Produkte und Dienstleistungen geschaffen werden, der unter anderem auch die gegenseitige Anerkennung von Sicherheitsstandards beinhaltet. Die EU will mit Hilfe dieser harmonisierenden Rahmensetzung marktwirtschaftliche Anreize im Bereich der Zertifizierung setzen, einer Fragmentierung auf dem Gebiet der IT-Sicherheitszertifizierungen entgegenwirken und die IT-Sicherheit in der Union auf diese Weise nachhaltig stärken. Von diesem Vorgehen könnten nicht nur Anbieter von IT-Produkten und Dienstleistungen profitieren. Auch auf Seiten der Nachfrager können einheitliche Standards dazu beitragen, die Effizienz in der IT-Sicherheit zu stärken und so Kosten zu senken.
Absehbar: IT-Sicherheitsgesetz 2.0
Weitere gesetzliche Regelungen im Bereich der IT-Sicherheit dürften bald auch auf nationaler Ebene bevorstehen. Nach Medienberichten wird derzeit an einem „IT-Sicherheitsgesetz 2.0“ gearbeitet. Darin ist offenbar vorgesehen, zukünftig nicht mehr nur Betreiber Kritischer Infrastrukturen oder Anbieter bestimmter Digitaler Dienste, sondern auch Unternehmen anderer Bereiche, besonderen Vorgaben zur IT-Sicherheit zu unterwerfen. Es ist zu hoffen, dass der Gesetzgeber dabei weiterhin den Grundsatz verfolgt, dass der Schutz der eigenen IT-Systeme prinzipiell im Unternehmensinteresse liegt, womit sich zu weitreichende gesetzliche Eingriffe automatisch verbieten. Der Fokus sollte daher auch hier darauf liegen, dass es zu einem verbesserten Informationsaustausch zwischen privaten und staatlichen Akteuren kommt, um so das relevante IT-Sicherheitswissen insgesamt auf ein höheres Niveau zu heben.
Was müssen Unternehmen tun?
Wichtig ist zunächst, dass – sofern noch nicht geschehen – unternehmensintern die entsprechenden Verantwortlichkeiten geklärt und die geltenden gesetzlichen Vorgaben ermittelt werden. Dabei ist zu beachten, dass zukünftig vermehrt auch Unternehmen von IT-Sicherheitsvorgaben betroffen sein können, die nicht in einer besonders (sicherheits-) kritischen Branche tätig sind. Zudem ist sicherzustellen, dass geeignete Strukturen und Prozesse geschaffen werden, die bestehenden rechtlichen Vorgaben einzuhalten, etwa eine fristgerecht Meldung (maximal 72 Stunden) von Data-Breaches gemäß Art. 33 DS-GVO.
Doch auch an anderer Stelle kann Handlungsbedarf bestehen. Dies betrifft etwa bestehende und neu zu schließende Verträge, bei denen ein Bezug zur IT-Sicherheit besteht. So sollten insbesondere Regelungen für das Auftreten von IT-Sicherheitsvorfällen getroffen werden und gegebenenfalls die Einhaltung von Sicherheitsstandards festgeschrieben werden. Häufig dürfte es dabei darum gehen, welche der Parteien für Sicherheitsvorfälle und daraus resultierende Schäden haftet und welche etwaige (teure) Nachbesserungen im Bereich der IT-Sicherheit zu bezahlen hat.
Schwachstelle Mitarbeiter
Ungeachtet sämtlicher gesetzlicher Regulierung bleiben eigene Mitarbeiter nach wie vor eines der größten Sicherheitsrisiken in Unternehmen. Durch entsprechende Vertrags- und Richtliniengestaltung – etwa zum Monitoring – können Unternehmen die rechtlichen Grundlagen dafür schaffen, dass entsprechende Sicherheitsgefährdungen (zum Beispiel. das versehentliche Einschleusen von Malware oder absichtliche Datenkopien) frühzeitig und rechtskonform erkannt und aufgedeckt werden können.
Dr. Florian Schneider ist Rechtsanwalt bei der Wirtschaftskanzlei CMS in Deutschland und am Hamburger Standort der Sozietät im Bereich Technology, Media & Communications tätig. Er hat im Bereich des IT-Sicherheitsrechts promoviert und berät Unternehmen regelmäßig zu entsprechenden Fragen.
https://cms.law/de/DEU/