Blog

Im Zeitalter zunehmender digitaler Vernetzung sowie beständig steigender Cyberkriminalität ist die Aufrechterhaltung der IT-Sicherheit schon lange zu einer Schlüsselaufgabe für Exekutive und Legistlative, die Volkswirtschaft und die Gesellschaft geworden.

Ungeachtet alledem wird ihr in der täglichen Praxis längst noch nicht die erforderliche Aufmerksamkeit eingeräumt, was immense rechtliche Auswirkungen nach sich ziehen kann.

Welche Gesetze sowie Erlasse Unternehmen mit Blick auf die IT-Security, beachten sowie einhalten müssen, lernen Sie in dem untenstehenden Beitrag.

Inzwischen sind die Integrität und der Zukunftsfähigkeit eines Betriebes ohne die Nutzung einer hochperformanten sowie hochverfügbaren IT-Infrastruktur nicht vorstellbar.

Im Sinne einer gegenwärtigen Studie (https://www.riverbed.com/gb/dm/events/geo/emea/rethink-possible.html ) durch Riverbed (https://www.riverbed.com/de/) sind inzwischen 81 % der teilnehmenden Führungskräfte davon überzeugt, dass eine aktuelle IT-Infrastruktur Entwicklungspotential, Kreativität wie auch Produktivität steigert.

Obschon der Einsatz aktueller IT-Systeme wichtige sowie zukunftsweisende Vorteile für Geschäftsbetriebe bereithält, münden sie häufig ebenso in einer wachsenden IT-Dependenz und erhöhen so die Gefahr für aktuelle Internetbedrohungen, Fehlkonfigurationen sowie Verletzungen des Datenschutzes.

Folglich ist inzwischen in jeglichen Wirtschaftssektoren eine stärkere gesetzliche Reglementierung der IT-Sicherheit zu verzeichnen.

Wie die einschlägigen Regelungen bei der Schaffung von IT-Sicherheit unterstützen können:

Das Schlüsselthema IT-Security betrifft im Zusammenhang der zunehmenden Vernetzung des Businessalltages immerzu mehr Unternehmungen. Jedoch sind die diesbezüglichen rechtlichen Vorgaben an Unternehmen erstmal alles andere als überblickbar.

Denn bis jetzt besteht kein Hauptgesetz, das alle Vorschriften mit Verbindung zur IT-Security bündelt. Vielmehr funktionieren mehrere verschiedenartige Gesetzesnormen zusammen, um Unternehmungen in die Pflicht zu nehmen, ein IT-Risk Management zu realisieren ebenso wie in die Umsetzung risikoangepasster IT-Schutzvorkehrungen wie auch IT-Sicherheitslösungen zu investieren.

Wird dies jedoch versäumt, können im Fall eines IT-Sicherheitsvorfalls zusätzlich zu schweren Reputationsschäden auch noch Bußgelder in Millionenhöhe fällig werden.

Alleinig im Jahre 2020 wurden in der EU alles in allem 160 Mio € Geldbußen (https://www.heise.de/news/Fast-160-Millionen-Euro-DSGVO-Bussgelder-im-Jahr-2020-5029037.html ) aufgrund von Übertretungen gegen die EU DSGVO verhängt. In der BRD erging das größte Bußgeld mit 35,3 Mio. Euro (https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren) an das H&M Servicecenter in Nürnberg, welches die privaten Lebensumstände hunderter Arbeitnehmer ausgeforscht haben soll.

Die wichtigsten Rechtsvorschriften zur IT-Sicherheit im Überblick:

Auf Grund der laufend komplizierter werdenden Gefahrenlage sehen sich die Legislative genauso wie Unternehmungen immer mehr in der Verpflichtung zu reagieren.
Auf der einen Seite entstehen neuartige sowie originelle IT-Security Solutions und Dienstleistungen, welche das IT-Sicherheitsniveau erhöhen. Zum anderen werden verschärfte Anforderungen an eine unternehmensweite IT-Sicherheit definiert, um IT-Bedrohungen über elektronische, administrative, infrastrukturelle sowie personelle IT-Sicherheitsvorkehrungen zu reduzieren. Vorschriften, welche speziell die IT-Sicherheit berühren, haben dabei in erster Linie die Zielsetzung, die IT-Infrastruktur eines Geschäftsbetriebes vor Cyberangriffen, unberechtigtem Zugriff und Missbrauch zu beschützen. Vorschriften, die den Datenschutz angehen, haben die Zielsetzung, einen verlässlichen Schutzmechanismus für Firmendaten im Hinblick auf Nutzbarkeit, Vertraulichkeit, Unversehrtheit sowie Echtheit zu realisieren.

Damit unternehmungen vorschriftsmäßige IT-Sicherheitsvorkegrungen realisieren können, sind u.a. die folgenden Regelungen und Vorschriften für sie wichtig:

• das IT-Sicherheitsgesetz
(https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl115s1324.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl115s1324.pdf%27%5D__1633511250922):

Beim IT-Sicherheitsgesetz, abgekürzt IT-SiG, handelt es sich um ein Artikelgesetz, welches die Zielsetzung hat, den Schutz von Datenmaterialien und IT-Umgebungen zu sichern und zu gewährleisten. Bei dem IT-Sicherheitsgesetz stehen vornehmlich die Anbieter systemkritischer Infrastrukturen aus den Sektoren Strom- und Wasserversorgung, Finanzen oder Ernährung im Mittelpunkt. Die Betreiber sind per Gesetz in der Pflicht, ihre Unternehmens-IT geeignet zu sichern und jedenfalls alle zwei Jahre prüfen zu lassen. Dazu kommen Meldepflichten an das BSI nach aufgetretenen IT-Sicherheitsvorfällen.

• die EU-DSGVO (https://dsgvo-gesetz.de):

Die EU-Datenschutzgrundverordnung ist ebenso wie das IT-Sicherheitsgesetz ein Artikelgesetz. Es verfolgt die Absicht, europaweit für homogene Regularien zu sorgen, die den Datenschutz angehen. Damit steigen die Ansprüche an die Datenschutz-Compliance und ein funktionales Datenschutz-Management-System. Die Vorschriften des inländischen Bundesdatenschutzgesetzes (http://www.gesetze-im-internet.de/bdsg_2018/ ),abgekürzt BDSG, erweitern die europäische DSGVO, indem diverse Punkte konkretisiert werden.

• das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (https://www.bgbl.de/xaver/bgbl/start.xav?start=//*%5B@attr_id=%27bgbl198s0786.pdf%27%5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl198s0786.pdf%27%5D__1633511324051):
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Verbesserung der Grundlagen der Führung von Betrieben ab. Überdies sollen Firmen angehalten werden, sich besonders mit dem Themenkreis IT-Risikomanagement zu beschäftigen sowie in ein firmenweites Risikofrüherkennungssystem zu investieren.

• die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.pdf?__blob=publicationFile&v=13):
Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD, handelt es sich um Normen aus einer Verwaltungsanweisung des Bundesministeriums der Finanzen für die rechtskonforme Dokumentation in Geschäfsbetrieben. Die GoBD stellen sicher, dass Unternehmen, in welchen unternehmerische Prozesse und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen, diverse Sorgfaltspflichten bei der Bearbeitung, Speicherung sowie Zurverfügungstellung der Informationen zu beachten. Gleichwohl sollten alle Vorgaben über ein unternehmensinternes Kontrollsystem verwirklicht werden. Außerdem wird eine Dokumentierung als Beleg eines rechtmäßigen Systembetriebs verlangt.

Abgesehen von diesen 4 bedeutenden rechtlichen Grundlagen sollten Geschäftsbetriebe bei der Implementation einer risikoangemessenen IT-Securitystrategie noch die nachfolgenden Rechtsvorschriften berücksichtigen:

• die Grundsätze für eine ordnungsmäßige Datenverarbeitung (https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Betriebspruefung/1995-11-07-Grundsaetze-ordnungsmaessiger-DV-gestuetzter-Buchfuehrungssysteme-GoBS.pdf?__blob=publicationFile&v=3 ), kurz GoDV
• das Gesetz zum Schutz von Geschäftsgeheimnissen
(https://www.gesetze-im-internet.de/geschgehg/BJNR046610019.html) , abgekürzt GeschGehG
• Telekommunikations-Überwachungsverordnung
(https://www.gesetze-im-internet.de/tk_v_2005/) , abgekürzt TKÜV
• Telekommunikationsgesetz
(https://www.gesetze-im-internet.de/tkg_2004/) , abgekürzt TKG
• Telemediengesetz
(https://www.gesetze-im-internet.de/tmg/BJNR017910007.html), abgekürzt TMG
• Beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz
(https://dsgvo-gesetz.de/ttdsg/) , abgekürzt TTDSG, das ab dem 01.12.2021 wirksam ist.
• die §§ 69a ff.
(https://www.gesetze-im-internet.de/urhg/__69a.html) und der § 106 (https://www.gesetze-im-internet.de/urhg/__106.html) im Urheberrechtsgesetz, kurz UrhG

Auch Rechtsnormen zur IT-Security schützen Ihren unternehmerischen Erfolg! Inzwischen müssen Betriebe hierzulande eine Vielzahl gesetzlicher Pflichten in Bezug auf ihre IT-Sicherheit erfüllen, ansonsten können sehr hohe Strafen drohen.
Aufgrund dessen ist es essenziell, dass sich Unternehmungen rechtzeitig mit den wesentlichen Gesetzen wie auch Vorschriften, die die IT-Sicherheit berühren, befassen.
Nur dergestalt können sie eine permanent starke IT-Sicherheit und die notwendige IT-Compliance garantieren.

Möchten Sie mehr über die gesetzlichen Komponenten der IT-Security erfahren oder benötigen Sie einen externen IT-Sicherheitsbeauftragten? Kommen Sie gerne auf uns als eines der ältesten  IT Systemhaus mit langjähriger Erfahrung im Raum Fulda zu!

Rufen Sie uns an! 0661 679289-0 oder schreiben Sie KRAFT SYSTEMS unter info@KRAFT-SYSTEMS.de eine Nachricht.