Diskussion:ISMS/Recht/Grundlagen: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite Diskussion:Informationssicherheit:Rechtliche Grundlagen nach Diskussion:Informationssicherheit/Rechtliche Grundlagen, ohne dabei eine Weiterleitung anzulegen |
K Dirkwagner verschob die Seite Diskussion:Informationssicherheit/Recht/Grundlagen nach Diskussion:ISMS/Recht/Grundlagen: Textersetzung - „Informationssicherheit“ durch „ISMS“ |
||
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''Rechtliche Rahmenbedingungen der Informationssicherheit''' | |||
== Beschreibung == | |||
Informationssicherheit dürfen aufgrund enormer Haftungsrisiken nicht vernachlässigt werden | |||
=== Empfehlungen === | |||
* Regelmäßige Datensicherung | |||
* Anti-Virus-Programm (regelmäßiger Updates) | |||
* Firewall | |||
* Ordnungsgemäße Lizenzverwaltung | |||
* Bestellung eines Informationssicherheits- und Softwarebeauftragten | |||
* Aufbau eines Managementsystems für Informationssicherheit | |||
== Recht der Informationssicherheit == | |||
=== Vorschriften und Gesetzesanforderungen === | |||
; Stellen Sie sich vor … | |||
Bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit | |||
* Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört | |||
* Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt | |||
; Welche Konsequenzen drohen? | |||
* dem Unternehmen / der Behörde | |||
* den verantwortlichen Personen | |||
{| class="wikitable options" | |||
|- | |||
! !! Beschreibung !! Regelung | |||
|- | |||
| Vorstand haftet persönlich || wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt || § 91 Abs. 2 und § 93 Abs. 2 AktG | |||
|- | |||
| Geschäftsführern einer GmbH || wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt || § 43 Abs. 1 GmbHG | |||
|- | |||
| Im Aktiengesetz genannten Pflichten eines Vorstands || gelten auch im Rahmen des Handelsgesetzbuches || § 317 Abs. 4 HGB | |||
|- | |||
| Handelsgesetzbuch verpflichtet Abschlussprüfer || zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind" || § 317 Abs. 2HGB | |||
|- | |||
| Bestimmte Berufsgruppen || Sonderregelungen im Strafgesetzbuch || Ärzte, Rechtsanwälte, Angehörige sozialer Berufe, .. | |||
|- | |||
| Verbraucherschutz || Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt || | |||
|- | |||
| Datenschutz || Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. || | |||
|- | |||
| Banken || Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird || | |||
|} | |||
=== Rechtsgebiete === | |||
Vielzahl von Rechtsgebieten | |||
==== Allgemeines Zivilrecht ==== | |||
* Datenschutzrecht | |||
* Telekommunikationsrecht | |||
* Urheberrecht | |||
* GmbH-Recht | |||
* Aktien-Recht | |||
==== Sicherheit in der Informationstechnik ==== | |||
; Definition | |||
BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) §2 Abs. 2 | |||
: Sicherheit in der Informationstechnik im Sinne dieses Gesetzes | |||
:* Einhaltung bestimmter Sicherheitsstandards zu Informationen | |||
:* Verfügbarkeit | |||
:* Unversehrtheit | |||
:* Vertraulichkeit | |||
; Sicherheitsvorkehrungen | |||
* in und bei der Anwendung | |||
* von informationstechnischen Systemen oder Komponenten | |||
==== Technische Regelwerke ==== | |||
Technische Regelwerke wie z. B. [[ITSEC]] | |||
; Haben zwar keine unmittelbare rechtliche Wirkung | |||
* an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“ | |||
* technische Regelwerken kommt im Einzelfall „mittelbarer Gesetzescharakter“ zu | |||
== Folgen der Nichtbeachtung == | |||
der Anforderungen an Informationssicherheit | |||
=== Zivilrechtlichen Folgen === | |||
Folge keiner oder unzureichender vertraglicher Regelungen | |||
; Verursacher | |||
der Nichtbeachtung von Informationssicherheits-Anforderungen | |||
; Betroffener | |||
nicht beachteter Informationssicherheits-Anforderungen | |||
==== Fall 1: Schlampiger Fabrikant ==== | |||
; Bei der Einrichtung neuer Arbeitsplätze stellt der technische Dienstleister mit großem Entsetzen fest: | |||
* die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht | |||
* durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen | |||
* Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen | |||
; In welchem Umfang muss die Firma Eiche Nordisch haften? | |||
; Kundenschäden wegen unterbliebener Auftragserledigung | |||
* Ausfallansprüche der Vertriebspartner | |||
* EDV-Kosten der Geschäftspartner | |||
; Dies ist eine Frage des Verschuldens | |||
die sich danach bemisst | |||
* ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat | |||
; Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen | |||
* Fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden | |||
Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall | |||
* wohl aber bei sensiblen Daten (Landgericht Köln) | |||
; Kein Fahrlässigkeitsvorwurf | |||
bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms | |||
* inkl. Installation von Updates | |||
* selbst verbreitenden Virus | |||
==== Fall 2: Schlampige Dienstleister ==== | |||
; Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert | |||
* ihm unterläuft eine Unachtsamkeit, versehentlich | |||
* löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden | |||
; Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu | |||
i. d. R. erforderlicher Geldbetrag zur Wiederherstellung | |||
; Minderung und Ausschluss des Schadensersatzes | |||
bei Nichtbeachtung der Regeln der Informationssicherheit | |||
; Ordnungsgemäße Datensicherung | |||
* Regelmäßige Sicherung | |||
* Überprüfung des Erfolgs der Sicherung | |||
* Sichere Aufbewahrung des Backups | |||
* ... | |||
=== Strafrecht === | |||
; Strafrechtliche Konsequenzen i.d.R. weniger relevant | |||
; § 203 StGB sieht für bestimmte Berufsgruppen | |||
Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor | |||
* wenn vertrauliche Daten öffentlich werden | |||
* aufgrund zu schwacher Sicherheitsvorkehrungen | |||
; Die übrigen hier relevanten Straftatbestände | |||
§ 202a - Ausspähen von Daten, § 303b Computersabotage | |||
* betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens | |||
== Rechtliche Bedeutung der Informationssicherheit == | |||
{| class="wikitable options" | |||
|- | |||
! Bereich !! Beschreibung | |||
|- | |||
| [[Prozesssicherheit]] || Fehlerfreie Produktion | |||
|- | |||
| Einhaltung von DIN- und [[Qualitätsstandards]] || [[Qualitätsmanagement]] | |||
|- | |||
| [[Datenschutz]] || Recht auf informationelle Selbstbestimmung | |||
|- | |||
| [[Datensicherheit]] || Unternehmensführung auf valider Datenbasis | |||
|} | |||
=== Produkthaftung === | |||
; Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden | |||
{| class="wikitable options" | |||
|- | |||
! !! Regelung | |||
|- | |||
| Schadensersatz statt der Leistung bei fehlerhafter Lieferung || §§ 281 ff., 440, 636 BGB | |||
|- | |||
| Mangelfolgeschaden bei Vertrag || § 280 I BGB | |||
|- | |||
| Schadensersatz ohne Vertrag || § 823 BGB | |||
|- | |||
| Gefährdungshaftung mit Haftungsausschluss-Tatbeständen || § 1 ProdHG | |||
|} | |||
=== Entlastungsbeweis === | |||
; Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis | |||
* Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe | |||
; Möglicher Wegfall | |||
Verschulden, d. h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als | |||
* Haftungsvoraussetzung bei Schadensersatz nach BGB | |||
; Entlastungsbeweis nach § 1 II Nr. 5 ProdHG | |||
Weil Informationssicherheit dem Stand der Technik entspricht | |||
== Vorschriften und Anforderungen == | |||
{| class="wikitable options" | |||
|- | |||
! Anforderung !! Beschreibung | |||
|- | |||
| [[Informationssicherheitsgesetz]] || | |||
|- | |||
| BSI – Gesetz || [[BSIG]] | |||
|- | |||
| Datenschutz || [[Datenschutz]] | |||
|- | |||
| Haftung || [[Informationssicherheit/Recht/Haftung]] | |||
|- | |||
| KonTraG || [[KonTraG]] | |||
|- | |||
| Vertragsgestaltung || [[Vertragsgestaltung]] | |||
|- | |||
| Softwarelizenzen || [[Softwarelizenzen]] | |||
|- | |||
| Penetrationstests || [[Penetrationstest/Recht]] | |||
|} | |||
; Veraltet | ; Veraltet | ||
über die Zukunft|„Die Nachfolgeregelung Basel III wird seit 2013 eingeführt und soll bis 2019 komplett implementiert sein“|seit=2019 | über die Zukunft|„Die Nachfolgeregelung Basel III wird seit 2013 eingeführt und soll bis 2019 komplett implementiert sein“|seit=2019 |
Aktuelle Version vom 17. September 2024, 10:01 Uhr
Rechtliche Rahmenbedingungen der Informationssicherheit
Beschreibung
Informationssicherheit dürfen aufgrund enormer Haftungsrisiken nicht vernachlässigt werden
Empfehlungen
- Regelmäßige Datensicherung
- Anti-Virus-Programm (regelmäßiger Updates)
- Firewall
- Ordnungsgemäße Lizenzverwaltung
- Bestellung eines Informationssicherheits- und Softwarebeauftragten
- Aufbau eines Managementsystems für Informationssicherheit
Recht der Informationssicherheit
Vorschriften und Gesetzesanforderungen
- Stellen Sie sich vor …
Bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit
- Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört
- Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt
- Welche Konsequenzen drohen?
- dem Unternehmen / der Behörde
- den verantwortlichen Personen
Beschreibung | Regelung | |
---|---|---|
Vorstand haftet persönlich | wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt | § 91 Abs. 2 und § 93 Abs. 2 AktG |
Geschäftsführern einer GmbH | wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt | § 43 Abs. 1 GmbHG |
Im Aktiengesetz genannten Pflichten eines Vorstands | gelten auch im Rahmen des Handelsgesetzbuches | § 317 Abs. 4 HGB |
Handelsgesetzbuch verpflichtet Abschlussprüfer | zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind" | § 317 Abs. 2HGB |
Bestimmte Berufsgruppen | Sonderregelungen im Strafgesetzbuch | Ärzte, Rechtsanwälte, Angehörige sozialer Berufe, .. |
Verbraucherschutz | Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt | |
Datenschutz | Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. | |
Banken | Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird |
Rechtsgebiete
Vielzahl von Rechtsgebieten
Allgemeines Zivilrecht
- Datenschutzrecht
- Telekommunikationsrecht
- Urheberrecht
- GmbH-Recht
- Aktien-Recht
Sicherheit in der Informationstechnik
- Definition
BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) §2 Abs. 2
- Sicherheit in der Informationstechnik im Sinne dieses Gesetzes
- Einhaltung bestimmter Sicherheitsstandards zu Informationen
- Verfügbarkeit
- Unversehrtheit
- Vertraulichkeit
- Sicherheitsvorkehrungen
- in und bei der Anwendung
- von informationstechnischen Systemen oder Komponenten
Technische Regelwerke
Technische Regelwerke wie z. B. ITSEC
- Haben zwar keine unmittelbare rechtliche Wirkung
- an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“
- technische Regelwerken kommt im Einzelfall „mittelbarer Gesetzescharakter“ zu
Folgen der Nichtbeachtung
der Anforderungen an Informationssicherheit
Zivilrechtlichen Folgen
Folge keiner oder unzureichender vertraglicher Regelungen
- Verursacher
der Nichtbeachtung von Informationssicherheits-Anforderungen
- Betroffener
nicht beachteter Informationssicherheits-Anforderungen
Fall 1: Schlampiger Fabrikant
- Bei der Einrichtung neuer Arbeitsplätze stellt der technische Dienstleister mit großem Entsetzen fest
- die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht
- durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen
- Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen
- In welchem Umfang muss die Firma Eiche Nordisch haften?
- Kundenschäden wegen unterbliebener Auftragserledigung
- Ausfallansprüche der Vertriebspartner
- EDV-Kosten der Geschäftspartner
- Dies ist eine Frage des Verschuldens
die sich danach bemisst
- ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat
- Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen
- Fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden
Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall
- wohl aber bei sensiblen Daten (Landgericht Köln)
- Kein Fahrlässigkeitsvorwurf
bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms
- inkl. Installation von Updates
- selbst verbreitenden Virus
Fall 2: Schlampige Dienstleister
- Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert
- ihm unterläuft eine Unachtsamkeit, versehentlich
- löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden
- Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu
i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
- Minderung und Ausschluss des Schadensersatzes
bei Nichtbeachtung der Regeln der Informationssicherheit
- Ordnungsgemäße Datensicherung
- Regelmäßige Sicherung
- Überprüfung des Erfolgs der Sicherung
- Sichere Aufbewahrung des Backups
- ...
Strafrecht
- Strafrechtliche Konsequenzen i.d.R. weniger relevant
- § 203 StGB sieht für bestimmte Berufsgruppen
Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
- wenn vertrauliche Daten öffentlich werden
- aufgrund zu schwacher Sicherheitsvorkehrungen
- Die übrigen hier relevanten Straftatbestände
§ 202a - Ausspähen von Daten, § 303b Computersabotage
- betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens
Rechtliche Bedeutung der Informationssicherheit
Bereich | Beschreibung |
---|---|
Prozesssicherheit | Fehlerfreie Produktion |
Einhaltung von DIN- und Qualitätsstandards | Qualitätsmanagement |
Datenschutz | Recht auf informationelle Selbstbestimmung |
Datensicherheit | Unternehmensführung auf valider Datenbasis |
Produkthaftung
- Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden
Regelung | |
---|---|
Schadensersatz statt der Leistung bei fehlerhafter Lieferung | §§ 281 ff., 440, 636 BGB |
Mangelfolgeschaden bei Vertrag | § 280 I BGB |
Schadensersatz ohne Vertrag | § 823 BGB |
Gefährdungshaftung mit Haftungsausschluss-Tatbeständen | § 1 ProdHG |
Entlastungsbeweis
- Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis
- Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe
- Möglicher Wegfall
Verschulden, d. h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als
- Haftungsvoraussetzung bei Schadensersatz nach BGB
- Entlastungsbeweis nach § 1 II Nr. 5 ProdHG
Weil Informationssicherheit dem Stand der Technik entspricht
Vorschriften und Anforderungen
Anforderung | Beschreibung |
---|---|
Informationssicherheitsgesetz | |
BSI – Gesetz | BSIG |
Datenschutz | Datenschutz |
Haftung | Informationssicherheit/Recht/Haftung |
KonTraG | KonTraG |
Vertragsgestaltung | Vertragsgestaltung |
Softwarelizenzen | Softwarelizenzen |
Penetrationstests | Penetrationstest/Recht |
- Veraltet
über die Zukunft|„Die Nachfolgeregelung Basel III wird seit 2013 eingeführt und soll bis 2019 komplett implementiert sein“|seit=2019