|
|
| (110 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
| Zeile 1: |
Zeile 1: |
| == Rechtliche Rahmenbedingungen der Informationssicherheit ==
| | #WEITERLEITUNG [[ISMS/Recht/Grundlagen]] |
| === Vorschriften und Gesetzesanforderungen ===
| |
| ==== Stellen Sie sich vor … ====
| |
| bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit
| |
| * Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört.
| |
| * Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt.
| |
| | |
| ==== Welche Konsequenzen drohen? ====
| |
| dem Unternehmen bzw. der Behörde
| |
| * den verantwortlichen Personen
| |
| | |
| ==== Vorstand haftet persönlich ====
| |
| wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt
| |
| | |
| § 91 Abs. 2 und § 93 Abs. 2 AktG
| |
| | |
| ==== Geschäftsführern einer GmbH ====
| |
| wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt
| |
| | |
| § 43 Abs. 1 GmbHG
| |
| | |
| ==== Im Aktiengesetz genannten Pflichten eines Vorstands ====
| |
| gelten auch im Rahmen des Handelsgesetzbuches
| |
| | |
| § 317 Abs. 4 HGB
| |
| | |
| ==== Handelsgesetzbuch verpflichtet Abschlussprüfer ====
| |
| zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind"
| |
| | |
| § 317 Abs. 2HGB
| |
| | |
| ==== Für bestimmte Berufsgruppen ====
| |
| gibt es Sonderregelungen im Strafgesetzbuch
| |
| | |
| Ärzte
| |
| * Rechtsanwälte
| |
| * Angehörige sozialer Berufe, ...
| |
| | |
| ==== Verbraucherschutz ====
| |
| Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt.
| |
| | |
| ==== Datenschutz ====
| |
| Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt.
| |
| | |
| ==== Banken ====
| |
| Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird
| |
| | |
| === Rechtliche Einordnung der Informationssicherheit ===
| |
| === Recht der Informationssicherheit ===
| |
| ==== Vielzahl von Rechtsgebieten berührt ====
| |
| Allgemeines Zivilrecht
| |
| * Datenschutzrecht
| |
| * Telekommunikationsrecht
| |
| * Urheberrecht
| |
| * GmbH-Recht
| |
| * Aktien-Recht
| |
| | |
| ==== Definition des Begriffs „Sicherheit in der Informationstechnik“ ====
| |
| BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik)
| |
| * 2 Abs. 2
| |
| * Sicherheit in der Informationstechnik im Sinne dieses Gesetzes
| |
| * Einhaltung bestimmter Sicherheitsstandards zu Informationen
| |
| * Verfügbarkeit
| |
| * Unversehrtheit
| |
| * Vertraulichkeit
| |
| * durch Sicherheitsvorkehrungen
| |
| * in und bei der Anwendung
| |
| * von informationstechnischen Systemen oder Komponenten
| |
| | |
| === Rechtliche Einordnung der Informationssicherheit ===
| |
| ==== Technische Regelwerke wie z.B. ITSEC ====
| |
| haben zwar keine unmittelbare rechtliche Wirkung
| |
| * an zahlreichen Stellen fordert das Gesetz jedochEinhaltung der „allgemein anerkannten Regeln der Technik“
| |
| * technische Regelwerken komm im Einzelfall „mittelbarer Gesetzescharakter“ zu
| |
| | |
| <div style="text-align:center;">BSI – Gesetz</div>
| |
| | |
| == BSI – Gesetz ==
| |
| [[BSIG]]
| |
| | |
| = Informationssicherheitsgesetz =
| |
| [[Informationssicherheitsgesetz]] | |
| | |
| = Folgen der NichtbeachtungAnforderungen an Informationssicherheit =
| |
| == Zivilrechtlichen Folgen ==
| |
| === Folge keiner oder unzureichender vertraglicher Regelungen ===
| |
| === als „Verursacher“ ===
| |
| der Nichtbeachtung von Informationssicherheits-Anforderungen
| |
| | |
| === als „Betroffener“ ===
| |
| nicht beachteter Informationssicherheits-Anforderungen
| |
| | |
| == Fall 1: Der schlampige Möbelfabrikant ==
| |
| === Bei der Einrichtung neuer Arbeitsplätze ===
| |
| === stellt der technische Dienstleister Kai Kabel ===
| |
| === bei der Möbelfirma „Eiche Nordisch“ mit großem Entsetzen fest ===
| |
| die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht
| |
| * durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen
| |
| * Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen
| |
| | |
| === In welchem Umfang muss die Firma Eiche Nordisch haften? ===
| |
| Kundenschäden wegen unterbliebener Auftragserledigung
| |
| * Ausfallansprüche der Vertriebspartner
| |
| * EDV-Kosten der Geschäftspartner
| |
| | |
| === Dies ist eine Frage des Verschuldens ===
| |
| die sich danach bemisst
| |
| * ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat
| |
| | |
| === Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen ===
| |
| | |
| === fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden ===
| |
| === Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall ===
| |
| wohl aber bei sensiblen Daten (Landgericht Köln)
| |
| | |
| === kein Fahrlässigkeitsvorwurf ===
| |
| bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms
| |
| * inkl. Installation von Updates
| |
| * selbst verbreitenden Virus
| |
| | |
| == Fall 2: Der schlampige technische Dienstleister ==
| |
| Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert
| |
| * ihm unterläuft eine Unachtsamkeit, versehentlich
| |
| * löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden
| |
| | |
| ==== Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu ====
| |
| i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
| |
| | |
| ==== Minderung und Ausschluss des Schadensersatzes ====
| |
| bei Nichtbeachtung der Regeln der Informationssicherheit
| |
| | |
| ==== ordnungsgemäße Datensicherung erfordert ====
| |
| regelmäßige Sicherung
| |
| | |
| Überprüfung des Erfolgs der Sicherung
| |
| * sichere Aufbewahrung des Backups, ...
| |
| | |
| == Strafrecht==
| |
| Strafrechtliche Konsequenzen i.d.R. weniger relevant
| |
| | |
| === § 203 StGB sieht für bestimmte Berufsgruppen ===
| |
| Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
| |
| * wenn vertrauliche Daten öffentlich werden
| |
| * aufgrund zu schwacher Sicherheitsvorkehrungen
| |
| | |
| === Die übrigen hier relevanten Straftatbestände ===
| |
| § 202a - Ausspähen von Daten, § 303b Computersabotage
| |
| * betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens
| |
| | |
| == Rechtliche Bedeutung von Informationssicherheitin drei Bereichen ==
| |
| === Prozesssicherheit / Fehlerfreie Produktion ===
| |
| Einhaltung von Qualitätsmanagement DIN- und Qualitätsstandards
| |
| | |
| === Datenschutz ===
| |
| Recht auf informationelle Selbstbestimmung | |
| | |
| === Datensicherheit ===
| |
| Unternehmensführung auf valider Datenbasis
| |
| | |
| == Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden ==
| |
| === §§ 281 ff., 440, 636 BGB ===
| |
| Schadensersatz statt der Leistung bei fehlerhafter Lieferung
| |
| | |
| === § 280 I BGB ===
| |
| Mangelfolgeschaden bei Vertrag
| |
| | |
| === § 823 BGB ===
| |
| Schadensersatz ohne Vertrag
| |
| | |
| === § 1 ProdHG ===
| |
| Gefährdungshaftung mit Haftungsausschluss-Tatbeständen
| |
| | |
| == Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis ==
| |
| === Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe ===
| |
| === Möglicher Wegfall ===
| |
| Verschulden, d . h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als
| |
| * Haftungsvoraussetzung bei Schadensersatz nach BGB
| |
| | |
| === Entlastungsbeweis nach § 1 II Nr. 5 ProdHG ===
| |
| weil Informationssicherheit dem Stand der Technik entspricht
| |
| | |
| = Datenschutz =
| |
| [[Datenschutz]]
| |
| | |
| = Haftung =
| |
| == Haftung von Geschäftsführern und Vorständen ==
| |
| ; Geschäftsführer und Vorstände haften persönlich ihren Gesellschaften gegenüber
| |
| * wenn sie vertraglichen oder gesetzlichen Pflichten verletzen
| |
| | |
| ; §§ 43 Abs. 1 GmbHG, 93 Abs. 1 AktG
| |
| : „Sorgfalt eines ordentlichen Geschäftsmannes/eines ordentlichen und gewissenhaften Geschäftsleiters“
| |
| | |
| ; § 92 Abs. 2 AktG
| |
| : „... Der Vorstand hat geeignete Maßnahmen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. ...“
| |
| | |
| == Pflichten von Geschäftsführer und Vorstände ==
| |
| ; Geschäftsführer oder Vorstände müssen für angemessenes Niveau an Informationssicherheit sorgen
| |
| | |
| ; Wichtigkeit der Daten
| |
| * Sensibilität der Daten
| |
| * allgemeine Sicherheitspolitik des Unternehmens
| |
| * Benennung eines Informationssicherheits-Beauftragten
| |
| * sodass nur eine mangelnde Auswahl oder Überwachung vorgeworfen werden kann
| |
| | |
| === Datensicherheit zur pflichtgemäßen Unternehmensführung ===
| |
| ; Unternehmensführung auf valider Datengrundlage
| |
| * Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes
| |
| | |
| ; Prognosepflichten im Unternehmensrecht
| |
| ; Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
| |
| * Lagebericht (§ 289 HGB)
| |
| * Risikofrüherkennunngssystem (§ 91 AktG)
| |
| | |
| == Datensicherheit unabdingbar für pflichtgemäße Unternehmensführung ==
| |
| ; Erfüllung von Sorgfaltspflichten
| |
| * durch valide Datenbasis
| |
| * gesichert durch Informationssicherheit
| |
| | |
| ; Geschäftsführer von
| |
| * § 93 I AktG
| |
| * § 43 I GmbHG
| |
| | |
| ; „Sorgfalt eines ordentlichen und gewissenhaften Kaufmannes“
| |
| * § 347 I HGB
| |
| | |
| = KonTraG =
| |
| [[KonTraG]]
| |
| | |
| = Vertragsgestaltung =
| |
| [[Vertragsgestaltung]]
| |
| | |
| = Softwarelizenzen =
| |
| [[Softwarelizenzen]]
| |
| | |
| = Penetrationstests =
| |
| [[Penetrationstest/Recht]]
| |
| | |
| = Zusammenfassung =
| |
| === Informationssicherheit sollte aufgrund enormer Haftungsrisiken nicht vernachlässigt werden ===
| |
| === Empfehlenswert ===
| |
| regelmäßige Datenspeicherung
| |
| * Anti-Virus-Programm (inkl. regelmäßiger Updates)
| |
| * Firewall
| |
| * ordnungsgemäße Lizenzverwaltung
| |
| * Bestellung eines Informationssicherheits- und Softwarebeauftragten
| |
| * Aufbau eines Managementsystems für Informationssicherheit
| |
| | |
| [[Kategorie:Tmp]]
| |