Rechtliche Richtlinien zur Erhöhung der IT-Sicherheit!
In Zeiten steigender digitaler Vernetzung sowie ständig wachsender Internetkriminalität ist die Aufrechterhaltung der IT-Security schon lange zu einer Schlüsselaufgabe für Exekutive und Legistlative, die Privatwirtschaft und die Zivilgesellschaft geworden.
Dennoch wird dieser Entwicklung in der Praxis noch lange nicht die erforderliche Aufmerksamkeit eingeräumt, was erhebliche rechtliche Auswirkungen haben kann.
Welche gesetzlichen Regelungen sowie Erlasse Geschäftsbetriebe im Hinblick auf die IT-Sicherheit, kennen sowie beherzigen müssen, lernen Sie in unserem nachstehenden Text.
Heute sind die Wettbewerbsfähigkeit ebenso wie der Erfolg eines Betriebes ohne die Verwendung einer hoch performanten und hochverfügbaren IT-Umgebung undenkbar.
Laut einer aktuellen Untersuchung durch Riverbed sind inzwischen 81 % der teilnehmenden Führungspersonen der Ansicht, dass eine aktuelle IT-Infrastruktur Entwicklungspotential, Erfindungsreichtum und Rentabilität begünstigt.
Trotzdem der Einsatz aktueller Systeme wesentliche und zukunftsweisende Vorzüge für Firmen schafft, resultieren diese häufig auch in einer wachsenden IT-Abhängigkeit und steigern so die Gefahr für moderne Internetattacken, Fehlkonfigurationen und Datenschutzverletzungen.
Daher ist nunmehr in allen Wirtschaftsbereichen eine erhöhte gesetzliche Regulierung der IT-Security festzustellen.
Wie die Einhaltung der einschlägigen Vorschriften bei der Generierung von IT-Sicherheit unterstützen können:
Das Thema IT-Sicherheit betrifft im Zuge der zunehmenden Vernetzung des Geschäftsalltages immer mehr Geschäftsbetrieben.
Jedoch sind die betreffenden rechtlichen Vorgaben an Wirtschaftsunternehmen erstmal nicht gerade leicht überblickbar.
Denn bis heute besteht kein Hauptgesetz, das jegliche Regelungen mit Relation zur IT-Security zusammenfasst. Eigentlich fungieren zahlreiche unterschiedliche Normen gemeinsam, um Unternehmen in die Pflicht zu nehmen, ein IT-Risk Management zu realisieren sowie in die Implementierung risikoangemessener IT-Sicherheitsmaßnahmen wie auch IT-Security Solutions zu investieren.
Wird das jedoch versäumt, können im Kontext eines IT-Securityvorfalls abgesehen von gravierenden Reputationsschäden zuweilen Geldbußen in Millionenhöhe fällig werden.
Alleinig im Jahr 2020 wurden in der EU in Summe 160 Mio. € Geldbußen wegen Verstößen gegen die EU Datenschutzgrundverordnung verhängt. In der BRD ging die größte Geldbuße mit 35,3 Millionen EUR an das H&M Servicecenter in Nürnberg, welches die persönlichen Lebensumstände hunderter Arbeitnehmer ausgeforscht haben soll.
Die wichtigsten Rechtsvorschriften zur IT-Sicherheit im Überblick:
Im Zuge der immer komplizierter werdenden Gefahrenlage sehen sich die Gesetzgeber gleichermaßen wie Unternehmen immer mehr in der Notwendigkeit zu reagieren. Auf der einen Seite entstehen neuartige und innovative IT-Securitylösungen und Dienste, welche das IT-Sicherheitslevel potenzieren. Auf der anderen Seite werden schärfere Anforderungen an eine unternehmensinterne IT-Sicherheit definiert, um IT-Gefahren durch elektronische, administrative, strukturelle und personelle IT-Sicherheitsmaßnahmen zu reduzieren. Regularien, welche vor allem die IT-Sicherheit berühren, haben im Zuge dessen vor allem die Intention, die IT-Infrastruktur eines Unternehmens vor Internetangriffen, fremdem Zugang sowie Missbrauch zu bewahren. Regelungen, welche den Datenschutz anbelangen, haben die Absicht, einen zuverlässigen Schutz für Geschäftsdaten in Relation zu Verfügbarkeit, Vertraulichkeit, Unversehrtheit sowie Authentizität zu erreichen. Damit Unternehmen vorschriftsmäßige IT-Securityvorkehrungen implementieren können, sind unter anderem die folgenden Normen und Verordnungen für sie wesentlich:
• das IT-Sicherheitsgesetz: Beim IT-Sicherheitsgesetz, abgekürzt IT-SiG, handelt es sich um ein Artikelgesetz, das die Zielsetzung hat, den Schutz von Daten und IT-Systemen zu sichern sowie zu gewährleisten. Bei dem IT-Sicherheitsgesetz stehen vor allen Dingen die Provider systemkritischer Infrastrukturen aus den Bereichen Strom- und Wasserversorgung, Finance oder Nahrung im Vordergrund. Diese Betreiber sind dem Recht entsprechend in der Verpflichtung, ihre Unternehmens-IT adäquat zu schützen ebenso wie minimum alle 2 Jahre inspizieren zu lassen. Dazu kommen Pflichten zur Meldung an das Bundesamt für Sicherheit in der Informationstechnik nach aufgetretenen IT-Securityvorfällen.
• die EU-Datenschutzgrundverordnung: Die EU-DSGVO ist wie das IT-SiG ein Artikelgesetz. Es verfolgt die Zielsetzung, in ganz Europa für einheitliche Regularien zu sorgen, die den Datenschutz tangieren. Dadurch wachsen die Erfordernisse an die Datenschutz-Compliance und ein funktionales Datenschutz-Verwaltungs-System. Die Vorgaben des inländischen Bundesdatenschutzgesetzes, kurz BDSG, erweitern die europäische DSGVO, indem unterschiedliche Punkte weiter verdeutlicht werden.
• das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Optimierung der Grundsätze der Unternehmensführung ab. Im Übrigen sollen Unternehmen motiviert werden, sich besonders mit dem Themengebiet IT-Risikomanagement auseinanderzusetzen wie auch in ein unternehmensweites Risikofrüherkennungssystem zu investieren.
• die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD, handelt es sich um Vorgaben aus einer Anweisung des Bundesministeriums der Finanzen für die rechtskonforme Dokumentation in Firmen. Die GoBD stellen sicher, dass Unternehmen, in welchen unternehmerische Abläufe wie auch Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gegeben sind, verschiedene Sorgfaltspflichten bei der Verarbeitung, Speicherung sowie Zurverfügungstellung der Informationen zu beachten. Jedoch sollten jegliche Anforderungen über ein unternehmensinternes System umgesetzt werden. Des Weiteren ist eine Dokumentierung als Nachweis eines ordnungsgemäßen Systembetriebs verlangt.
Abgesehen von diesen 4 wesentlichen Normen sollten Geschäftsbetriebe bei der Implementation einer risikoangemessenen IT-Sicherheitsstrategie noch folgende Richtlinien beachten:
• die Grundsätze für eine ordnungsmäßige Datenverarbeitung, kurz GoDV
• das Gesetz zum Schutz von Geschäftsgeheimnissen, abgekürzt GeschGehG
• Telekommunikations-Überwachungsverordnung, kurz TKÜV
• Telekommunikationsgesetz, abgekürzt TKG
• Telemediengesetz, abgekürzt TMG
• Beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz, abgekürzt TTDSG, welches ab dem 01.12.2021 gilt.
• die §§ 69a ff. und der § 106 im Urheberrechtsgesetz, kurz UrhG
Auch Rechtlichen Grundlagen zur IT-Sicherheit schützen Ihren unternehmerischen Erfolg!
Mittlerweile müssen Unternehmen in Deutschland eine Vielzahl juristischer Vorgaben im Hinblick auf ihre IT-Sicherheit einhalten, ansonsten können hohe Bußgelder drohen.
Darum ist es essenziell, dass sich Unternehmen früh genug mit den einschlägigen Gesetzgebungen wie auch Verordnungen, welche die IT-Sicherheit betreffen, befassen.
Nur dergestalt können sie eine kontinuierlich hohe IT-Sicherheit und die benötigte IT-Compliance garantieren.
Möchten Sie noch mehr über die rechtlichen Seiten der IT-Sicherheit lernen oder brauchen Sie einen externen IT-Sicherheitsbeauftragten?
Wir stehen Ihnen mit unserer langjährigen Erfahrung und Expertise gerne zur Seite!
