5. Rechtliche Rahmenbedingungen der IT-Sicherheit
5.1 Verfassungsrechtliche Grundlagen
Das Bundesverfassungsgericht hat mit seinen Entscheidungen zum Recht auf informationelle Selbstbestimmung und zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht) die verfassungsrechtlichen Fundamente der IT-Sicherheit gelegt. Diese Grundrechte verpflichten den Staat zum Schutz der Bürger vor IT-Sicherheitsrisiken und begrenzen zugleich staatliche Eingriffsbefugnisse.
5.2 IT-Sicherheitsgesetz und NIS-2-Richtlinie
Das IT-Sicherheitsgesetz (ITSichG) verpflichtet Betreiber kritischer Infrastrukturen zur Implementierung angemessener technischer und organisatorischer Maßnahmen. Die Definition kritischer Infrastrukturen umfasst Sektoren wie Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr.
Die NIS-2-Richtlinie der Europäischen Union erweitert den Anwendungsbereich erheblich und verschärft die Anforderungen an die IT-Sicherheit. Die Umsetzung in nationales Recht erfolgt durch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG), das weitreichende Meldepflichten, Mindeststandards und Sanktionsmöglichkeiten etabliert.
5.3 Datenschutzrechtliche Verpflichtungen
Die Datenschutz-Grundverordnung (DSGVO) normiert in Art. 32 DSGVO explizite Anforderungen an die Sicherheit der Verarbeitung personenbezogener Daten. Verantwortliche und Auftragsverarbeiter müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen treffen.
Die DSGVO fordert ausdrücklich:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten.
- Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.
- Rasche Wiederherstellbarkeit der Verfügbarkeit und des Zugangs zu Daten nach einem Vorfall.
- Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.
Verstöße gegen Art. 32 DSGVO können Geldbußen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes nach sich ziehen (Art. 83 Abs. 4 lit. a DSGVO).
5.4 Vertragsrechtliche Aspekte
Die IT-Sicherheit ist zunehmend Gegenstand vertraglicher Vereinbarungen. Service Level Agreements (SLA) definieren Verfügbarkeitsgarantien, Reaktionszeiten und Sicherheitsstandards. Die Verletzung vertraglicher IT-Sicherheitspflichten kann Schadensersatzansprüche, Minderungsrechte und außerordentliche Kündigungsrechte begründen.
Bei Auftragsverarbeitungsverhältnissen gemäß Art. 28 DSGVO müssen IT-Sicherheitsmaßnahmen detailliert vertraglich geregelt werden (hierfür bietet sich eine AVV an). Der Auftragsverarbeiter haftet in diesen Fällen für Sicherheitsverstöße unmittelbar gegenüber betroffenen Personen.
5.5 Strafrechtliche Relevanz
Das Strafgesetzbuch (StGB) sanktioniert verschiedene Handlungen gegen die IT-Sicherheit:
- § 202a StGB: Ausspähen von Daten.
- § 202b StGB: Abfangen von Daten.
- § 202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten.
- § 303a StGB: Datenveränderung.
- § 303b StGB: Computersabotage.
Die strafrechtliche Bewertung von IT-Sicherheitsvorfällen erfordert die Differenzierung zwischen vorsätzlichen Angriffen, fahrlässigen Pflichtverletzungen und legalen Sicherheitsforschungsaktivitäten (Ethical Hacking).
5.6 Haftungsrechtliche Konsequenzen
Unzureichende IT-Sicherheitsmaßnahmen können verschiedene Haftungsgrundlagen aktivieren:
Deliktische Haftung: Bei Verletzung von Verkehrssicherungspflichten können Schadensersatzansprüche nach § 823 BGB entstehen. Die Rechtsprechung entwickelt zunehmend IT-spezifische Verkehrssicherungspflichten.
Produkthaftung: Hersteller von IT-Produkten haften für Sicherheitsmängel nach dem Produkthaftungsgesetz (ProdHaftG) und § 823 Abs. 1 BGB. Die Frage, ob Softwarefehler als Produktmängel qualifiziert werden können, ist Gegenstand intensiver rechtswissenschaftlicher Diskussion.
Organhaftung: Vorstände und Geschäftsführer können bei grober Vernachlässigung von IT-Sicherheitspflichten persönlich haften. Die Business Judgement Rule (§ 93 Abs. 1 S. 2 AktG) findet bei evidenten Sicherheitsdefiziten keine Anwendung.
6. Organisatorische Sicherheitsmaßnahmen
6.1 Informationssicherheitsmanagementsysteme (ISMS)
Ein ISMS nach ISO/IEC 27001 ist ein Rahmenwerk aus verschiedenen Richtlinien, Prozessen und technischen Maßnahmen. Es etabliert einen systematischen Ansatz zur Verwaltung sensibler Informationen. Der Standard definiert Anforderungen für die Etablierung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS. Zentrales Element ist der Plan-Do-Check-Act-Zyklus (PDCA), der eine kontinuierliche Anpassung an sich verändernde Bedrohungen ermöglicht.
6.2 Risikomanagement
Systematisches IT-Sicherheitsrisikomanagement umfasst:
- Identifikation: Erkennung potentieller Bedrohungen und Schwachstellen.
- Bewertung: Einschätzung der Eintrittswahrscheinlichkeit und potentiellen Schadenshöhe.
- Behandlung: Entscheidung über Risikovermeidung, -minderung, -übertragung oder -akzeptanz.
- Überwachung: Kontinuierliche Bewertung der Wirksamkeit implementierter Maßnahmen.
Die Risikoanalyse muss die spezifischen Schutzziele, Assets, Bedrohungsszenarien und Eintrittswahrscheinlichkeiten berücksichtigen.
Hier gilt es zu dokumentieren. Eine Dokumentation ermöglicht Ihnen, nachzuweisen, dass Sie sich mit den jeweiligen Themen auseinander gesetzt haben. Jede dokumentierte Auseinandersetzung ist im Ernstfall besser, als mit leeren Händen da zu stehen.
6.3 Sicherheitsrichtlinien und Awareness
Die technisch ausgereiftesten Sicherheitsmaßnahmen verlieren ihre Wirksamkeit, wenn Mitarbeiter diese nicht kennen oder nicht befolgen. Comprehensive Security Awareness-Programme umfassen:
- Regelmäßige Schulungen zu aktuellen Bedrohungen.
- Simulationen von Phishing-Angriffen.
- Klare und verständliche Sicherheitsrichtlinien.
- Etablierung einer Sicherheitskultur.
- Meldeprozesse für Sicherheitsvorfälle ohne Sanktionsfurcht.
Meint: Schulen Sie Ihre Mitarbeiter regelmäßig!
6.4 Business Continuity Management
Business Continuity Planning (BCP) und Disaster Recovery Planning (DRP) gewährleisten die Fortführung kritischer Geschäftsprozesse auch bei schwerwiegenden Sicherheitsvorfällen.
Ein BCP umfasst präventive Maßnahmen, strukturierte Notfall- und Wiederanlaufpläne sowie strategische Vorkehrungen zur schnellstmöglichen Wiederherstellung des ordnungsgemäßen Betriebs mit dem Ziel, wirtschaftliche Schäden und Folgerisiken auf ein Minimum zu begrenzen.
