Rechtsrahmen für mehr IT-Security!

In Zeiten zunehmender digitaler Vernetzung und permanent ansteigender Online-Kriminalität ist die Aufrechterhaltung der IT-Security schon lange zu einem Schlüsselthema für den Staat, die Volkswirtschaft ebenso wie die Gesellschaft avanciert. Dennoch wird ihr in der Arbeitsrealität noch lange nicht die erforderliche Aufmerksamkeit eingeräumt, was nicht unerhebliche juristische Auswirkungen nach sich ziehen kann. Welche Gesetze und Erlasse Unternehmungen im Hinblick auf die IT-Sicherheit, beachten sowie einhalten müssen, erfahren Sie in dem untenstehenden Beitrag.

Heute sind die Wettbewerbsfähigkeit ebenso wie der wirtschaftliche Erfolg eines Unternehmens ohne die Nutzung einer performanten sowie hochverfügbaren IT-Umgebung undenkbar.

Im Sinne einer aktuellen Auswertung durch Riverbed sind unterdessen 81 Prozent der teilnehmenden Führungskräfte davon überzeugt, dass eine zeitgemäße IT-Infrastruktur Innovationskraft, Erfindungsreichtum und Produktivität maximiert.

Wenngleich der Einsatz aktueller Systeme entscheidende und zukunftsweisende Vorzüge für Firmen schafft, resultieren diese oftmals auch in einer wachsenden IT-Dependenz und erweitern so das Risiko für modernste Internetbedrohungen, Fehlkonfigurationen und Datenschutzverletzungen.

Deshalb ist inzwischen in sämtlichen Wirtschaftssegmenten eine verstärkte gesetzliche Regulierung der IT-Sicherheit zu verzeichnen.

Bedrohungen aus dem Internet rechtssicher minimieren!

Das Themenfeld IT-Security betrifft im Rahmen der zunehmenden Vernetzung der Geschäftsprozesse immer mehr Betrieben. Jedoch sind die entsprechenden juristischen Anforderungen an Betriebe zunächst nicht gerade leicht überschaubar.

Denn bis heute existiert kein Sammelgesetz, welches sämtliche Bestimmungen mit Verbindung zur IT-Sicherheit zusammenfasst. Eigentlich funktionieren diverse unterschiedliche Normen zusammen, um Geschäftsbetriebe zu verpflichten, ein IT-Risikomanagement durchzuführen und in die Realisierung risikoadäquater IT-Schutzmaßnahmen wie auch IT-Security Solutions zu investieren.

Wird dies indes verpasst, können im Fall eines IT-Sicherheitsvorfalls zusätzlich zu gravierenden Reputationsschäden auch noch Bußgelder in immenser Höhe fällig werden.

Alleinig im Jahre 2020 wurden in der Europäischen Union zusammen 160 Millionen Euro Geldbußen wegen Zuwiderhandlungen gegen die EU Datenschutzgrundverordnung fällig. In Deutschland ging das größte Bußgeld mit 35,3 Mio € an das H&M Servicecenter in Nürnberg, welches die privaten Lebenssituationen 100ter Arbeitnehmer ausgespäht haben soll.

Die bedeutsamsten Gesetze zur IT-Security im Gesamtüberblick:

Im Zuge der laufend komplizierter werdenden Bedrohungslage sehen sich die Legislative ebenso wie Unternehmungen verstärkt in der Pflicht zu handeln. Einerseits entstehen brandneue sowie innovativere IT-Securitylösungen und Services, welche das IT-Sicherheitsniveau anheben. Zum anderen werden striktere Anforderungen an eine betriebsinterne IT-Sicherheit definiert, um so IT-Risiken über technische, organisatorische, infrastrukturelle sowie personelle IT-Sicherheitsvorkehrungen zu vermindern. Regularien, die insbesondere die IT-Sicherheit anbelangen, haben im Zuge dessen überwiegend die Zielsetzung, die IT-Infrastruktur eines Unternehmens vor Internetattacken, unberechtigtem Zugang und Manipulation zu schützen. Normen, die den Datenschutz angehen, haben die Intention, einen zuverlässigen Schutzmechanismus für Unternehmensdaten im Hinblick auf Nutzbarkeit, Vertraulichkeit, Integrität sowie Authentizität zu erreichen. Damit unternehmungen vorschriftsmäßige IT-Securityvorkehrungen etablieren können, sind u.a. die nachfolgenden Gesetze und Vorschriften für sie wichtig:

• das IT-Sicherheitsgesetz
Bei dem IT-Sicherheitsgesetz, kurz IT-SiG, handelt es sich um ein Artikelgesetz, dass die Intention hat, den Schutz von Datenmaterialien und IT-Systemen zu sichern sowie zu garantieren. Beim Gesetz stehen insbesondere die Betreiber systemrelevanter Strukturen aus den Bereichen Strom- und Wasserversorgung, Finance oder Nahrung im Zentrum. Diese Betreiber sind per Gesetz in der Verpflichtung, ihre Geschäfts-IT angemessen zu sichern sowie mindestens alle 2 Kalenderjahre begutachten zu lassen. Dazu kommen Meldepflichten an das BSI nach eingetretenen IT-Sicherheitsvorfällen.

• die EU-Datenschutzgrundverordnung:

Die EU-Datenschutzgrundverordnung ist wie das IT-Sicherheitsgesetz ein Artikelgesetz. Es hat die Intention, EU-weit für homogene Regelungen zu sorgen, welche den Datenschutz beeinflussen. Damit wachsen die Anforderungen an die Datenschutz-Compliance sowie ein gut funktionierendes Datenschutz-Management-System. Die Regelungen des inländischen Datenschutzgesetzes, kurz BDSG, erweitern die europäische DSGVO, indem unterschiedliche Aspekte konkretisiert werden.

• das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich:

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Verbesserung der Grundlagen der Führung von Betrieben ab. Im Übrigen sollen Unternehmen motiviert werden, sich besonders mit dem Themenkreis IT-Risikomanagement auseinanderzusetzen wie auch in ein betriebsweites Risikofrüherkennungssystem zu investieren.

• die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff:

Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, abgekürzt GoBD, dreht sich alles um Regeln aus einer Anweisung des BMF für die Dokumentationsprozesse in Betrieben. Die GoBD zielen darauf ab, dass Geschäftsbetriebe, in denen unternehmerische Abläufe und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen, diverse Sorgfaltspflichten bei der Bearbeitung, Vorhaltung sowie Bereitstellung der Informationen zu beachten. Gleichwohl sollten jegliche Vorgaben durch ein internes Kontrollsystem verwirklicht werden. Gleichermaßen wird eine Verfahrensdokumentation als Beweis eines ordnungsgemäßen Systembetriebs vorgeschrieben.

Abgesehen von diesen 4 relevanten rechtlichen Grundlagen sollten Geschäftsbetriebe bei der Verwirklichung einer risikoangemessenen IT-Sicherheitsstrategie noch nachstehende Rechtsvorschriften beachten:

• die Grundsätze für eine ordnungsmäßige Datenverarbeitung, kurz GoDV
• das Gesetz zum Schutz von Geschäftsgeheimnissen, kurz GeschGehG
• Telekommunikations-Überwachungsverordnung, abgekürzt TKÜV
• Telekommunikationsgesetz, abgekürzt TKG
• Telemediengesetz, abgekürzt TMG
• Beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz, abgekürzt TTDSG, welches ab dem 01.12.2021 gültig ist.
• die §§ 69a ff. und der § 106 im Urheberrechtsgesetz, abgekürzt UrhG

Auch Rechtlichen Grundlagen zur IT-Security schützen Ihren Unternehmenserfolg!

Heute müssen Unternehmungen in der Bundesrepunlik eine Fülle juristischer Pflichten mit Blick auf ihre IT-Sicherheit einhalten, andernfalls können empfindliche Geldbußen drohen.

Deshalb ist es elementar, dass sich Firmen früh genug mit den wichtigsten Gesetzgebungen wie auch Vorschriften, die die IT-Security anbelangen, befassen.

Nur auf diese Weise können sie eine durchgängig starke IT-Sicherheit ebenso wie die benötigte IT-Compliance sicherstellen.

Möchten Sie mehr über die rechtlichen Seiten der IT-Security lernen oder benötigen Sie einen externen IT-Sicherheitsbeauftragten? Sprechen Sie uns an!

Sie erreichen uns telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de