IT-Sicherheit endlich gesetzlich verankert
Worum geht es bei dem Gesetz? Unternehmen müssen ihre IT-Systeme besser vor Cyber-Angriffen schützen. Das ist zwar per se nichts Neues. Aber: „Mit dem IT-Sicherheitsgesetz stellt das IT-Sicherheitsrecht erstmals ausdrücklich kodifizierte Pflichten an die IT-Sicherheit im deutschen Recht, die über den technischen Datenschutz hinausgehen“, sagt Rechtsanwalt Karsten U. Bartels LL.M. Der IT-Rechtsexperte ist stellv. Vorsitzender der Arbeitsgemeinschaft IT-Recht (davit) im Deutschen Anwaltverein (DAV) und Vorstand von TeleTrusT, dem Bundesverband IT-Sicherheit e.V.
Sicherheitsvorkehrungen nach Stand der Technik
Wie genau die IT-Systeme nun geschützt werden sollen, erklärt der Experte, hänge von der Branche, dem Unternehmen und dem jeweiligen Stand der Technik ab. „Unternehmen sollten zunächst die Schutzbedürftigkeit ihrer Daten und Systeme prüfen. Dazu müssen sie sich folgende Fragen stellen: Was würden passieren, wenn Daten verloren gingen, korrumpiert würden oder in falsche Hände gelangten? Machte man sich schadensersatzfähig? Machte man sich vielleicht sogar strafbar? Und nicht zu vergessen: Welche Reputationsschaden gäbe es?“
Aus diesen Erkenntnissen können die Unternehmen technische und organisatorische Vorkehrungen ableiten und dokumentieren – und natürlich umsetzen. Ist es einem Unternehmen nicht möglich, die Vorkehrungen nicht nach dem Stand der Technik zu realisieren, muss dies im Zweifel begründbar sein. Ein Grund könnte sein, dass die notwendige Technik sehr teuer ist und ein kleines Unternehmen sich das nicht leisten kann.
Was das Gesetz allerdings nicht vorsieht, sind konkrete Anforderungen und Bewertungsmaßstäbe. Unternehmen haben daher keine andere Wahl, als eigenständig Kriterien zu entwickeln und eine juristisch belastbare Schutzbedarfsanalyse zu starten.
Hackerangriffe müssen gemeldet werden
Hinzu kommen für KRITIS-Betreiber neue Meldepflichten: Sicherheitsvorfälle – also Hackerangriffe – müssen je nach Zuständigkeit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Dadurch soll die Bundesregierung einen Überblick über die Sicherheitslage bekommen. Unter anderem Kernenergieunternehmen und Energieanbieter sind bereits seit Inkrafttreten des Gesetzes verpflichtet, erhebliche Sicherheitsvorfälle dem BSI zu melden.
KRITIS-Betreiber betroffen
Das IT-Sicherheitsgesetz gilt unter anderem für Betreiber kritischer Infrastruktur (KRITIS). Dazu zählen neben Atomkraftwerken Krankenhäuser, Banken und Energieversorger. Der Gesetzbegründung zufolge sind damit rund 2.000 Unternehmen betroffen. Welche Unternehmen konkret dazu zählen und wie das Gesetz anzuwenden ist, wird eine Verordnung klären. Zwei Jahre, nachdem sie in Kraft getreten ist, werden die Anforderungen des Gesetzes für diese Unternehmen verbindlich. „Für diese Verordnung liegt derzeit noch kein Entwurf vor“, informiert Rechtsanwalt Bartels. „Bis sie in Kraft tritt, kann es also noch etwas dauern.“
Auch Telemedienanbieter betroffen
Was viele nicht wissen: Das Gesetz betrifft nicht nur Betreiber kritischer Infrastruktur, sondern alle Unternehmen, die eine Webseite betreiben. Das sind auch:
• Telemedienanbieter nach dem Telemediengesetz (TMG), zum Beispiel Online-Shops,
• Anbieter von Telekommunikationsdiensten zum Beispiel Telefonnetzbetreiber,
• Dienstleister von KRITIS, Telemedien und Kommunikationsdiensten wie Cloud- oder Softwareanbieter
Telemedienanbieter und Telekommunikationsdienste mögen nicht zu kritischen Infrastrukturen zählen, verfügen jedoch über oder haben Zugang zu sensiblen Daten. Gleiches gilt für deren Dienstleister. Daraus folgt: Bietet ein Dienstleister eine Leistung am Markt an, mit der es einem Kunden, auch unter Beachtung eigener Pflichten, nicht möglich ist, die Anforderungen des IT-Sicherheitsgesetzes zu erfüllen, hat er seine Leistungsanforderungen nicht erfüllt. Der Kunde kann dann zu Minderung, Kündigung oder Schadensersatz berechtigt sein. Ähnliche Pflichten gab es zwar schon vorher – mit dem IT-Sicherheitsgesetz ist es nun aber deutlich leichter für Kunden, Ansprüche vor Gericht durchzusetzen.
Keine Übergangsfrist für andere Unternehmen
Was sich ebenfalls noch nicht herumgesprochen hat: „Die Unternehmen und Dienstleister, die nicht zu den kritischen Infrastrukturen gehören, haben keine Übergangsfrist, um die Maßnahmen des Gesetzes umzusetzen“, warnt der IT-Rechtsexperte. Auch wenn sofortige Bußgelder eher unwahrscheinlich seien – mittelfristig bestehe das Risiko durchaus.
Wer gegen das IT-Sicherheitsgesetz verstößt, geht unterschiedliche Haftungsrisiken ein. So sind nach § 16 Abs.2 Nr. 3 TMG bis zu 50.000 Euro fällig, wenn ein Unternehmen gegen die Pflicht zur Sicherstellung der technischen und organisatorischen Vorkehrungen gemäß § 13 Abs. 7 TMG verstößt.
Aus vertraglicher Sicht besteht das Risiko, dass sowohl Kunden als auch Vertragspartner bei Datenpannen Schadensersatz geltend machen. Der wenn ein Dienstleister die Daten seines Kunden nicht schützt, gilt seine Leistung als mangelhaft. Wichtig: Datenpannen können Unternehmen sehr teuer zu stehen kommen. Insbesondere deshalb, weil viele Firmen nicht ausreichend oder gar nicht dagegen versichert sind. Daneben sind Regressansprüche des ersatzpflichtigen Unternehmens gegen die Unternehmensleitung denkbar.
Achtung beim Outsourcen von Leitungen
Was sollen Unternehmen tun, die Leistungen outsourcen? „Anbieter und Kunden sollten bei der Vertragsgestaltung regeln, wer das IT-Sicherheitsniveau bestimmt und verantwortet, welche Partei Maßnahmen umzusetzen und zu prüfen hat, wer für die Erfüllung der gesetzlichen Meldepflichten verantwortlich ist oder die Erfüllung dieser Verpflichtung zu unterstützen hat“, sagt Rechtsanwalt Bartels. Werde nichts Abweichendes vereinbart, müsse die Leistung den Kunden in die Lage versetzen können, seine gesetzlichen Anforderungen zu erfüllen.
IT-Sicherheitsgesetz als Chance verstehen
Für die betroffenen Unternehmen bedeutet das Gesetz also zunächst mehr Aufwand. Es bietet aber auch Chancen. So dürfte es ein Weckruf für Unternehmen sein, die sich bisher nicht ausreichend um das Thema IT-Sicherheit gekümmert haben, dieses in Angriff zu nehmen. Mit Blick auf immer häufigere und schwerwiegende Cyber-Angriffe können prüfbare Sicherheitskonzepte außerdem dazu beitragen, dass Unternehmen sich positiv von ihren Konkurrenten abheben können. Ein weiterer Vorteil für KRITIS-Betreiber: Mit dem IT-Sicherheitsgesetz können sie branchenspezifische Sicherheitsstandards definieren.
- Datum
- Aktualisiert am
- 22.09.2015
- Autor
- vhe