Das IT-Sicherheitsgesetz – Schutz der digitalen Kommunikations- und Informations-Infrastruktur

Ausfälle ganzer IT-Systeme durch Computer-Attacken sind längst kein abstraktes Risiko mehr. Von Hackern und Kriminellen geht de facto eine reale Bedrohung für IT-Infrastrukturen aus. Täglich werden Privatpersonen, Unternehmen und öffentliche Stellen Opfer von Cyber-Angriffen und Datendiebstahl. Im Zeitalter vernetzter und mobiler Technologien sind persönliche Dokumente, Kundendaten und vertrauliche Betriebs- und Geschäftsgeheimnisse, die auf unzureichend geschützten IT-Systemen oder externen Speicherlösungen (sog. „Clouds“) gehalten werden, ein attraktives und wertvolles Angriffsziel. Die Angreifer tarnen ihre Spähsoftware auf so geschickte Weise, dass aktuelle Virenscanner diese nicht erkennen und diese durch E-Mail- Anhänge oder mithilfe Links zu gefälschten Internetseiten in Computernetzwerke eingeschleust werden können. Der Angriff bleibt im ersten Moment oft unerkannt. Mitte dieses Jahres wurde das Computernetzwerk des Deutschen Bundestags durch einen Trojaner attackiert und dermaßen infiziert, dass – neben Datenverlusten und aufwändigen Systembereinigungsmaßnahmen – teilweise ein komplett neues IT-System eingerichtet werden musste.

Die Sicherheit im Internet bedarf klarer Rechtsordnungen

Der Gesetzgeber hat die besonderen Herausforderungen zur Wahrung der Cyber-Sicherheit erkannt. Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz vom 17. Juli 2015) knüpft er an die jüngsten Ereignisse im Bundestag an. Es soll – so der Wortlaut des Gesetzes – „eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland erreicht werden.“

Besondere Bedeutung komme insbesondere denjenigen „kritischen“ Infrastrukturen zu, „welche für das Funktionieren unseres Gemeinwesens von zentraler Bedeutung sind“. Hierzu zählen die sieben Bereiche Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Ein Ausfall oder eine Beeinträchtigung kann weitreichende gesellschaftliche Folgen haben. Ein Risiko soll durch die gesetzlichen Auflagen minimiert werden.

Das IT-Sicherheitsgesetz legt für jeden Bereich ein Mindestniveau an IT-Sicherheit fest, welches dem aktuellen Stand der Technik zu entsprechen hat. Hinzu kommt ein strukturierter Meldeprozess beim Bundesamt für Sicherheit in der Informationstechnik (BSI) im Falle eines sicherheitsrelevanten Vorfalles. Je nach Betreiber (bspw. bei Dienstanbietern im Telekommunikations- und Telemedienrecht) sind zusätzliche technische und organisatorische Maßnahmen zum Schutz von Kundendaten zu treffen und Kunden über mögliche Datenmissbräuche zu informieren. Durch Aufklärung und Information sollen Nutzerinnen und Nutzer für die Thematik sensibilisiert werden.

Wann ist das Gesetz umzusetzen?

Grundsätzlich gelten die Regelungen des IT-Sicherheitsgesetzes sofort. Der Gesetzgeber räumt den Betreibern kritischer Infrastrukturen allerdings eine Umsetzungsfrist von zwei Jahren ab Inkrafttreten des IT-Sicherheitsgesetzes ein. Ein Verstoß gegen die gesetzlich auferlegten Pflichten kann teure Bußgeldzahlungen nach sich ziehen. Betroffene Unternehmen sollten zeitnah ihre getroffenen technischen und organisatorischen Maßnahmen mit den gesetzlich geforderten Standards abgleichen. Der Datenschutzbeauftragte des Unternehmens unterstützt bei der Prüfung und Umsetzung eines geeigneten Sicherheitskonzepts.

Das IT-Sicherheitsgesetz können Sie hier nachlesen:
http://dip21.bundestag.de/dip21/btd/18/040/1804096.pdf
http://dip21.bundestag.de/dip21/btd/18/051/1805121.pdf

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Anwaltliche Beratung

 

 

Tags: , , , , ,

Comments are closed.