Sigma-IT_IT-Gesetze

Gesetzliche Vorschriften zur IT-Sicherheit!

10. Januar 2022 | geschrieben von: Tobias Jörke

Im Zeitalter steigender globaler Vernetzung sowie beständig wachsender Internetkriminalität ist die Aufrechterhaltung der IT-Sicherheit schon lange zu einer Schlüsselaufgabe für den Staat, die Volkswirtschaft und die Gesellschaft avanciert. Jedoch wird ihr in der Arbeitsrealität bei weitem noch nicht die erforderliche Achtsamkeit eingeräumt, was beachtliche juristische Folgen nach sich ziehen kann. Welche gesetzlichen Regelungen und Erlasse Unternehmungen im Hinblick auf die IT-Security, kennen sowie befolgen müssen, erfahren Sie in dem nachfolgenden Text.

Dieser Tage sind die Integrität ebenso wie der wirtschaftliche Erfolg eines Unternehmens ohne den Einsatz einer leistungsstarken sowie hochverfügbaren IT-Umgebung nicht vorstellbar.

Im Sinne einer aktuellen Analyse durch Riverbed sind zwischenzeitlich 81 Prozent der teilnehmenden Entscheider der Überzeugung, dass eine moderne IT-Infrastruktur Innovation, Kreativität und Ertragsfähigkeit begünstigt.

Trotzdem der Einsatz aktueller IT-Lösungen wesentliche sowie zukunftsweisende Nutzen für Geschäftsbetriebe schafft, münden sie häufig auch in einer wachsenden IT-Abhängigkeit und erhöhen so das Risiko für modernste Internetattacken, fehlerhaften Konfigurationen sowie Verletzungen des Datenschutzes.

Demnach ist mittlerweile in allen Wirtschaftssegmenten eine verstärkte staatliche Regulation der IT-Sicherheit zu verzeichnen.

Bedrohungen aus dem Internet vorschriftsmäßig Herr werden!

Das Thema IT-Security beschäftigt im Zuge der zunehmenden Vernetzung der Geschäftsprozesse ständig eine größere Anzahl an Unternehmen. Jedoch sind die einschlägigen juristischen Anforderungen an Unternehmen zunächst nicht gerade leicht überschaubar.

Denn bis heute existiert kein Hauptgesetz, das alle Regulierungen mit Wechselbeziehung zur IT-Sicherheit zusammenfasst. Eigentlich fungieren diverse unterschiedliche Normen zusammen, um Unternehmungen zu verpflichten, ein IT-Risikomanagement anzuwenden sowie in die Verwirklichung risikoangepasster IT-Sicherheitsmaßnahmen sowie IT-Security Solutions zu investieren.

Wird das indes versäumt, können im Fall eines IT-Sicherheitsvorfalls abgesehen von gravierenden Reputationsschäden zuweilen Geldbußen in immenser Höhe zu erwarten sein.

Nur im Jahr 2020 wurden in der Europäischen Union in der Summe 160 Mio. Euro Geldbußen im Zuge von Überschreitungen gegen die EU DSGVO verhängt. In der Bundesrepublik Deutschland erging die größte Geldstrafe mit 35,3 Millionen € an das H&M Servicecenter in Nürnberg, das die persönlichen Lebensumstände 100ter Mitarbeiter ausgeforscht haben soll.

Die wichtigsten Gesetze zur IT-Sicherheit im Gesamtüberblick:

Angesichts der laufend schwerer werdenden Gefahrenlage sehen sich die Legislative genauso wie Betriebe vermehrt in der Obliegenheit zu reagieren. Einerseits entstehen neuartige sowie effektive IT-Security Solutions und Dienstleistungen, welche das Sicherheitsniveau anheben. Andererseits werden schärfere Erfordernisse an eine firmeninterne IT-Security definiert, um IT-Bedrohungen über technische, administrative, infrastrukturelle sowie personelle IT-Sicherheitsmaßnahmen zu vermindern. Gesetze, die gerade die IT-Sicherheit berühren, haben im Zuge dessen vor allem die Absicht, die IT-Umgebung eines Unternehmens vor Cyberattacken, fremdem Zugang sowie Manipulation zu beschützen. Verordnungen, welche den Datenschutz betreffen, haben die Absicht, einen zuverlässigen Schutz für Betriebsdaten im Zusammenhang mit Verfügbarkeit, Vertraulichkeit, Integrität sowie Authentizität zu realisieren. Damit Firmen vorschriftsmäßige IT-Sicherheitsmaßnahmen implementieren können, sind etwa die nachstehenden Regelungen und Verordnungen für sie wichtig:

Das IT-Sicherheitsgesetz:
Bei dem IT-Sicherheitsgesetz, kurz IT-SiG, handelt es sich um ein Artikelgesetz, dass die Absicht verfolgt, die Integrität von Informationen und IT-Systemen zu schützen sowie zu garantieren. Beim Gesetz stehen vor allen Dingen die Provider systemkritischer Infrastrukturen aus den Sektoren Strom- und Wasserversorgung, Finance oder Nahrung im Vordergrund. Die Anbieter sind rechtlich in der Verpflichtung, ihre Betriebs-IT adäquat zu schützen und jedenfalls alle zwei Kalenderjahre inspizieren zu lassen. Hinzu kommen Pflichten zur Meldung an das Bundesamt für Sicherheit in der Informationstechnik nach aufgetretenen IT-Securityvorfällen.

Die EU-Datenschutzgrundverordnung:
Die EU-Datenschutzgrundverordnung ist wie das IT-Sicherheitsgesetz ein Artikelgesetz. Es hat die Intention, EU weit für deckungsgleiche Regularien zu sorgen, die den Datenschutz angehen. Dadurch erhöhen sich die Anforderungen an die Datenschutz-Compliance und ein funktionales Datenschutz-Management-System. Die Regelungen des inländischen Datenschutzgesetzes (http://www.gesetze-im-internet.de/bdsg_2018/ ),kurz BDSG, erweitern die EU-DSGVO, indem verschiedene Parameter weiter verdeutlicht werden.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich:
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, abgekürzt KonTraG, zielt auf die Verbesserung der Grundlagen der Führung von Unternehmen ab. Des Weiteren sollen Betriebe motiviert werden, sich verstärkt mit dem Themenkreis IT-Risikomanagement zu befassen und in ein betriebsweites Risikofrüherkennungssystem zu investieren.

Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff:
Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, abgekürzt GoBD, dreht sich alles um Regeln aus einer Anweisung des BMF für die Dokumentationsprozesse in Unternehmen. Die GoBD zielen darauf ab, dass Betriebe, in denen betriebliche Abläufe wie auch Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gegeben sind, verschiedene Sorgfaltspflichten bei der Weiterverarbeitung, Vorhaltung sowie Bereitstellung der Informationen zu beachten. Gleichwohl sollten sämtliche Vorgaben durch ein unternehmensinternes Kontrollsystem verwirklicht werden. Des Weiteren wird eine Dokumentation als Nachweis eines ordnungsgemäßen Systembetriebs vorgeschrieben.

Neben diesen 4 bedeutsamen Normen sollten Betriebe bei der Implementation einer risikoadäquaten IT-Securitystrategie noch die folgenden Gesetze beachten:

• die Grundsätze für eine ordnungsmäßige Datenverarbeitung, kurz GoDV
• das Gesetz zum Schutz von Geschäftsgeheimnissen, abgekürzt GeschGehG
Telekommunikations-Überwachungsverordnung, kurz TKÜV
Telekommunikationsgesetz, abgekürzt TKG
Telemediengesetz, kurz TMG
• Beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, das ab dem 01.12.2021 gültig ist.
• die §§ 69a ff. und der § 106 im Urheberrechtsgesetz, abgekürzt UrhG

Auch Gesetze zur IT-Sicherheit sichern Ihren unternehmerischen Erfolg!

Nunmehr müssen Unternehmungen in Deutschland eine Fülle rechtlicher Vorgaben in Bezug auf ihre IT-Security erfüllen, anderenfalls können hohe Sanktionen drohen.

Darum ist es wesentlich, dass sich Unternehmungen rechtzeitig mit den wichtigsten Gesetzen wie auch Verordnungen, die die IT-Sicherheit berühren, beschäftigen.

Nur so können sie eine durchgängig hohe IT-Security ebenso wie die erforderliche IT-Compliance garantieren.

Möchten Sie mehr über die gesetzlichen Komponenten der IT-Sicherheit lernen oder brauchen Sie einen externen IT-Sicherheitsbeauftragten? Kommen Sie gerne jederzeit auf uns zu!

scroll down