Montag, 16.02.2015
IT-Sicherheit

stevanovicigor/Thinkstock/Getty Images

Das neue Gesetz zur IT-Sicherheit erlegt Unternehmen neue Pflichten auf.

Recht & Steuern
Jeder Webseiten-Betreiber betroffen

Neues IT-Sicherheitsgesetz: Was auf Firmen zukommt

Unternehmen werden durch das Bundesdatenschutzgesetz schon seit vielen Jahren zu angemessenen Sicherheitsmaßnahmen verpflichtet. Das neue IT-Sicherheitsgesetz geht darüber noch einen Schritt hinaus.


Das Bundeskabinett hat das neue IT-Sicherheitsgesetz Ende 2014 beschlossen, der Bundesrat hat Anfang Februar mit geringen Änderungswünschen zugestimmt. Höhere Verfügbarkeit und verbesserte Sicherheit von IT-Systemen will die Bundesregierung mit dem neuen IT-Sicherheitsgesetz gewährleisten.

Das zukünftige Gesetz verpflichtet zunächst Unternehmen, für eine angemessene IT-Sicherheit zu sorgen, wenn sie „kritische Infrastrukturen“ betreiben. Darüber hinaus werden aber auch alle Anbieter und Betreiber von Websites zu neuen Sicherheitsmaßnahmen verpflichtet. Bei Verstößen drohen Bußgelder.

Alles KRITIS oder was?

Martin Schweinoch

Martin Schweinoch ist Partner der Kanzlei SKW Schwarz Rechtsanwälte in München.

Das geplante neue IT-Sicherheitsgesetz richtet sich zunächst an die Betreiber von sogenannten kritischen Infrastrukturen, kurz KRITIS. Darunter fallen sollen Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, deren Ausfall oder Störung zu erheblichen Versorgungsengpässen oder Gefahren für die öffentliche Sicherheit führen würden. Was unter KRITIS konkret zu verstehen ist, verrät das Gesetz indes nicht. Das soll erst später in einer Rechtsverordnung festgelegt werden. Die Bundesregierung geht aber bereits jetzt davon aus, dass rund 2000 Unternehmen als Betreiber von kritischen Infrastrukturen einzustufen sind.

Die KRITIS-Betreiber müssen „angemessene“ Vorkehrungen für die IT-Sicherheit treffen. So selbstverständlich dies klingen mag, so aufwendig kann die Umsetzung sein. Verlangt werden angemessene Maßnahmen, um Störungen der Verfügbarkeit zu vermeiden, zudem Integrität, Authentizität und Vertraulichkeit der IT-Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der KRITIS maßgeblich sind.

Als „angemessen“ gelten dabei alle Maßnahmen, deren erforderlicher Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Infrastruktur steht. Wenn man mit dieser Messlatte die Folgen der Beeinträchtigungen von IT-Systemen etwa im Gesundheitswesen oder Verkehrsbereich abschätzt, wird klar, dass für deren Verfügbarkeit nahezu kein noch so großer Aufwand „außer Verhältnis“ stehen wird.

Dass sie die erforderlichen IT-Sicherheitsvorkehrungen erfüllen, müssen die KRITIS-Betreiber alle zwei Jahre über Sicherheits-Audits, Prüfungen oder Zertifizierungen nachweisen. Dabei aufgedeckte Sicherheitsmängel müssen die Unternehmen dem Bundesamt für Sicherheit in der Informationstechnik melden.

Die neuen Pflichten werden nicht nur die Betreiber einer kritischen IT-Infrastruktur treffen, sondern auch Unternehmen, die wesentliche Leistungen für diese IT-Infrastruktur erbringen oder sonst Zugriff darauf haben. Der Betreiber muss also auch Lieferanten- und Kundenbeziehungen in das Sicherheitskonzept einbeziehen und daran entsprechende Anforderungen stellen.

Neue Pflichten für alle Website-Betreiber

Eine noch deutlich größere Breitenwirkung werden die neuen Pflichten für alle Website-Betreiber haben. Im Rahmen des technisch Möglichen und wirtschaftlich Zumutbaren müssen Anbieter von Webseiten künftig „sicherstellen“, dass auf die eingesetzte Technik nicht unerlaubt zugegriffen werden kann. Sie müssen garantieren, dass der Schutz personenbezogener Daten nicht verletzt wird und dass keine Störungen durch äußere Angriffe verursacht werden.

Im Klartext bedeutet das: Alle Webseiten und Portale sowie die darüber angebotenen Dienste müssen nach dem Stand der Technik gegen Hackerangriffe oder das Ausspionieren von Daten geschützt sein. Sind sie es nicht, droht den Betreibern ein Bußgeld. Betroffen sind nicht nur professionelle Internetauftritte von Unternehmen, sondern auch der „Kaninchenzüchterverein“, der eine reine Imagehomepage betreibt.

Info

Fazit

Das neue IT-Sicherheitsgesetz und die neue Abmahnmöglichkeit für Datenschutzverstöße bieten einigen Anlass, die Sicherheit für ein Unternehmen eingesetzter IT-Systeme und die Einhaltung des Datenschutzes kritisch zu überprüfen. Einbezogen werden sollten hier unbedingt auch die Vereinbarungen mit externen Dienstleistern, die das Unternehmen mit dem Betrieb der IT-Systeme oder dem Webhosting beauftragt hat. Das Unternehmen ist selbst für die Einhaltung der Datenschutzanforderungen auch durch externe Auftragnehmer verantwortlich und haftet für Verstöße.

Sprich: Die Unternehmen können bei fehlenden Sicherheitsmaßnahmen nicht einfach darauf verweisen, der externe Anbieter habe etwas nicht richtig gemacht. Unternehmen sollten deshalb Sicherheitsanforderungen mit externen Unternehmen nicht nur klar vertraglich vereinbaren. Sie sollten auch regelmäßig überprüfen, ob die Anforderungen eingehalten werden, und die Ergebnisse dokumentieren.