Internet und Sicherheit

Von vielen Unternehmen unterschätzt: Das IT-Sicherheitsgesetz

Maßnahmen zur IT-Sicherheit sind nun gesetzlich vorgeschrieben.
Maßnahmen zur IT-Sicherheit sind nun gesetzlich vorgeschrieben.

Quelle: Fuse/gettyimages.de

IT-Sicherheit endlich gesetzlich verankert

Worum geht es bei dem Gesetz? Unternehmen müssen ihre IT-Systeme besser vor Cyber-Angriffen schützen. Das ist zwar per se nichts Neues. Aber: „Mit dem IT-Sicherheitsgesetz stellt das IT-Sicherheitsrecht erstmals ausdrücklich kodifizierte Pflichten an die IT-Sicherheit im deutschen Recht, die über den technischen Datenschutz hinausgehen“, sagt Rechtsanwalt Karsten U. Bartels LL.M. Der IT-Rechtsexperte ist stellv. Vorsitzender der Arbeitsgemeinschaft IT-Recht (davit) im Deutschen Anwaltverein (DAV) und Vorstand von TeleTrusT, dem Bundesverband IT-Sicherheit e.V.

Sicherheitsvorkehrungen nach Stand der Technik

Wie genau die IT-Systeme nun geschützt werden sollen, erklärt der Experte, hänge von der Branche, dem Unternehmen und dem jeweiligen Stand der Technik ab. „Unternehmen sollten zunächst die Schutzbedürftigkeit ihrer Daten und Systeme prüfen. Dazu müssen sie sich folgende Fragen stellen: Was würden passieren, wenn Daten verloren gingen, korrumpiert würden oder in falsche Hände gelangten? Machte man sich schadensersatzfähig? Machte man sich vielleicht sogar strafbar? Und nicht zu vergessen: Welche Reputationsschaden gäbe es?“

Aus diesen Erkenntnissen können die Unternehmen technische und organisatorische Vorkehrungen ableiten und dokumentieren – und natürlich umsetzen. Ist es einem Unternehmen nicht möglich, die Vorkehrungen nicht nach dem Stand der Technik zu realisieren, muss dies im Zweifel begründbar sein. Ein Grund könnte sein, dass die notwendige Technik sehr teuer ist und ein kleines Unternehmen sich das nicht leisten kann.

Was das Gesetz allerdings nicht vorsieht, sind konkrete Anforderungen und Bewertungsmaßstäbe. Unternehmen haben daher keine andere Wahl, als eigenständig Kriterien zu entwickeln und eine juristisch belastbare Schutzbedarfsanalyse zu starten.

Hackerangriffe müssen gemeldet werden

Hinzu kommen für KRITIS-Betreiber neue Meldepflichten: Sicherheitsvorfälle – also Hackerangriffe – müssen je nach Zuständigkeit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Dadurch soll die Bundesregierung einen Überblick über die Sicherheitslage bekommen. Unter anderem Kernenergieunternehmen und Energieanbieter sind bereits seit Inkrafttreten des Gesetzes verpflichtet, erhebliche Sicherheitsvorfälle dem BSI zu melden.

KRITIS-Betreiber betroffen

Das IT-Sicherheitsgesetz gilt unter anderem für Betreiber kritischer Infrastruktur (KRITIS). Dazu zählen neben Atomkraftwerken Krankenhäuser, Banken und Energieversorger. Der Gesetzbegründung zufolge sind damit rund 2.000 Unternehmen betroffen. Welche Unternehmen konkret dazu zählen und wie das Gesetz anzuwenden ist, wird eine Verordnung klären. Zwei Jahre, nachdem sie in Kraft getreten ist, werden die Anforderungen des Gesetzes für diese Unternehmen verbindlich. „Für diese Verordnung liegt derzeit noch kein Entwurf vor“, informiert Rechtsanwalt Bartels. „Bis sie in Kraft tritt, kann es also noch etwas dauern.“

Auch Telemedienanbieter betroffen

Was viele nicht wissen: Das Gesetz betrifft nicht nur Betreiber kritischer Infrastruktur, sondern alle Unternehmen, die eine Webseite betreiben. Das sind auch:

• Telemedienanbieter nach dem Telemediengesetz (TMG), zum Beispiel Online-Shops,

• Anbieter von Telekommunikationsdiensten zum Beispiel Telefonnetzbetreiber,

• Dienstleister von KRITIS, Telemedien und Kommunikationsdiensten wie Cloud- oder Softwareanbieter

Telemedienanbieter und Telekommunikationsdienste mögen nicht zu kritischen Infrastrukturen zählen, verfügen jedoch über oder haben Zugang zu sensiblen Daten. Gleiches gilt für deren Dienstleister. Daraus folgt: Bietet ein Dienstleister eine Leistung am Markt an, mit der es einem Kunden, auch unter Beachtung eigener Pflichten, nicht möglich ist, die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen, hat er seine Leistungsanforderungen nicht erfüllt. Der Kunde kann dann zu Minderung, Kündigung oder Schadensersatz berechtigt sein. Ähnliche Pflichten gab es zwar schon vorher – mit dem IT-Sicherheitsgesetz ist es nun aber deutlich leichter für Kunden, Ansprüche vor Gericht durchzusetzen.

Keine Übergangsfrist für andere Unternehmen

Was sich ebenfalls noch nicht herumgesprochen hat: „Die Unternehmen und Dienstleister, die nicht zu den kritischen Infrastrukturen gehören, haben keine Übergangsfrist, um die Maßnahmen des Gesetzes umzusetzen“, warnt der IT-Rechtsexperte. Auch wenn sofortige Bußgelder eher unwahrscheinlich seien – mittelfristig bestehe das Risiko durchaus.

Wer gegen das IT-Sicherheitsgesetz verstößt, geht unterschiedliche Haftungsrisiken ein. So sind nach § 16 Abs.2 Nr. 3 TMG bis zu 50.000 Euro fällig, wenn ein Unternehmen gegen die Pflicht zur Sicherstellung der technischen und organisatorischen Vorkehrungen gemäß § 13 Abs. 7 TMG verstößt.

Aus vertraglicher Sicht besteht das Risiko, dass sowohl Kunden als auch Vertragspartner bei Datenpannen Schadensersatz geltend machen. Der wenn ein Dienstleister die Daten seines Kunden nicht schützt, gilt seine Leistung als mangelhaft. Wichtig: Datenpannen können Unternehmen sehr teuer zu stehen kommen. Insbesondere deshalb, weil viele Firmen nicht ausreichend oder gar nicht dagegen versichert sind. Daneben sind Regressansprüche des ersatzpflichtigen Unternehmens gegen die Unternehmensleitung denkbar.

Achtung beim Outsourcen von Leitungen

Was sollen Unternehmen tun, die Leistungen outsourcen? „Anbieter und Kunden sollten bei der Vertragsgestaltung regeln, wer das IT-Sicherheitsniveau bestimmt und verantwortet, welche Partei Maßnahmen umzusetzen und zu prüfen hat, wer für die Erfüllung der gesetzlichen Meldepflichten verantwortlich ist oder die Erfüllung dieser Verpflichtung zu unterstützen hat“, sagt Rechtsanwalt Bartels. Werde nichts Abweichendes vereinbart, müsse die Leistung den Kunden in die Lage versetzen können, seine gesetzlichen Anforderungen zu erfüllen.

IT-Sicherheitsgesetz als Chance verstehen

Für die betroffenen Unternehmen bedeutet das Gesetz also zunächst mehr Aufwand. Es bietet aber auch Chancen. So dürfte es ein Weckruf für Unternehmen sein, die sich bisher nicht ausreichend um das Thema IT-Sicherheit gekümmert haben, dieses in Angriff zu nehmen. Mit Blick auf immer häufigere und schwerwiegende Cyber-Angriffe können prüfbare Sicherheitskonzepte außerdem dazu beitragen, dass Unternehmen sich positiv von ihren Konkurrenten abheben können. Ein weiterer Vorteil für KRITIS-Betreiber: Mit dem IT-Sicherheitsgesetz können sie branchenspezifische Sicherheitsstandards definieren.

Sven Mitsdörffer Barbara Sommer Michael Rohrlich Stephan Beume Sascha Kremer

Wählen Sie aus über 65000 Anwältinnen und Anwälten in Deutschlands grösster Anwaltssuche

Aus dem Magazin

  • Grundgesetz der Bundesrepublik Deutschland

    Die Grundgesetz-App des Deutschen Anwaltvereins bietet u. a. alle Artikel der neuesten Fassung des Deutschen Grundgesetzes in ansprechender und übersichtlich gestalteter Form.

  • Bußgeldrechner

    Sie haben eine rote Ampel übersehen oder sind geblitzt worden? Mit der App des Deutschen Anwaltvereins können Sie direkt Ihr Bußgeld ermitteln – und sofort einen Anwalt finden.

  • Unterhaltsrechner

    Mit der Unterhalts-App lässt sich schnell und simpel ermitteln, welchen Unterhaltsanspruch Sie haben.

  • Blutalkoholrechner

    Sie möchten wissen, wie sich Alkoholkonsum auf den Blutalkoholspiegel auswirkt? Der Blutalkoholrechner des Deutschen Anwaltvereins hilft Ihnen weiter.