Rechtliche Rahmenbedingungen der ISMS: Unterschied zwischen den Versionen

Aus Foxwiki
Weiterleitungsziel von Informationssicherheit/Recht/Grundlagen nach ISMS/Recht/Grundlagen geändert
Markierung: Weiterleitungsziel geändert
 
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Rechtliche Rahmenbedingungen der Informationssicherheit''' - Kurzbeschreibung
#WEITERLEITUNG [[ISMS/Recht/Grundlagen]]
== Beschreibung ==
Informationssicherheit dürfen aufgrund enormer Haftungsrisiken nicht vernachlässigt werden
 
=== Empfehlungen ===
* Regelmäßige Datensicherung
* Anti-Virus-Programm (regelmäßiger Updates)
* Firewall
* Ordnungsgemäße Lizenzverwaltung
* Bestellung eines Informationssicherheits- und Softwarebeauftragten
* Aufbau eines Managementsystems für Informationssicherheit
 
== Recht der Informationssicherheit ==
=== Vorschriften und Gesetzesanforderungen ===
Stellen Sie sich vor …
 
Bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit
* Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört
* Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt
 
; Welche Konsequenzen drohen?
* dem Unternehmen / der Behörde
* den verantwortlichen Personen
 
{| class="wikitable options"
|-
! !! Beschreibung !! Regelung
|-
| Vorstand haftet persönlich || wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt || § 91 Abs. 2 und § 93 Abs. 2 AktG
|-
| Geschäftsführern einer GmbH || wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt || § 43 Abs. 1 GmbHG
|-
| Im Aktiengesetz genannten Pflichten eines Vorstands || gelten auch im Rahmen des Handelsgesetzbuches || § 317 Abs. 4 HGB
|-
| Handelsgesetzbuch verpflichtet Abschlussprüfer || zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind" || § 317 Abs. 2HGB
|-
| Bestimmte Berufsgruppen || Sonderregelungen im Strafgesetzbuch || Ärzte, Rechtsanwälte, Angehörige sozialer Berufe, ..
|-
| Verbraucherschutz || Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt ||
|-
| Datenschutz || Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. ||
|-
| Banken || Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird ||
|}
 
=== Rechtsgebiete ===
Vielzahl von Rechtsgebieten
==== Allgemeines Zivilrecht ====
* Datenschutzrecht
* Telekommunikationsrecht
* Urheberrecht
* GmbH-Recht
* Aktien-Recht
 
==== Sicherheit in der Informationstechnik ====
; Definition
BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) §2 Abs. 2
: Sicherheit in der Informationstechnik im Sinne dieses Gesetzes
:* Einhaltung bestimmter Sicherheitsstandards zu Informationen
:* Verfügbarkeit
:* Unversehrtheit
:* Vertraulichkeit
 
; Sicherheitsvorkehrungen
* in und bei der Anwendung
* von informationstechnischen Systemen oder Komponenten
 
==== Technische Regelwerke ====
; Technische Regelwerke wie z.B. ITSEC
; Haben zwar keine unmittelbare rechtliche Wirkung
* an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“
* technische Regelwerken kommt im Einzelfall „mittelbarer Gesetzescharakter“ zu
 
== Folgen der Nichtbeachtung ==
der Anforderungen an Informationssicherheit
=== Zivilrechtlichen Folgen ===
Folge keiner oder unzureichender vertraglicher Regelungen
 
; Verursacher
der Nichtbeachtung von Informationssicherheits-Anforderungen
 
; Betroffener
nicht beachteter Informationssicherheits-Anforderungen
 
=== Fall 1: Schlampiger Fabrikant ===
; Bei der Einrichtung neuer Arbeitsplätze stellt der technische Dienstleister mit großem Entsetzen fest:
* die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht
* durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen
* Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen
 
; In welchem Umfang muss die Firma Eiche Nordisch haften?
; Kundenschäden wegen unterbliebener Auftragserledigung
* Ausfallansprüche der Vertriebspartner
* EDV-Kosten der Geschäftspartner
 
; Dies ist eine Frage des Verschuldens
die sich danach bemisst
* ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat
 
; Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen
 
* Fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden
 
Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall
* wohl aber bei sensiblen Daten (Landgericht Köln)
 
; Kein Fahrlässigkeitsvorwurf
bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms
* inkl. Installation von Updates
* selbst verbreitenden Virus
 
=== Fall 2: Schlampige Dienstleister ===
; Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert
* ihm unterläuft eine Unachtsamkeit, versehentlich
* löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden
 
; Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu
i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
 
; Minderung und Ausschluss des Schadensersatzes
bei Nichtbeachtung der Regeln der Informationssicherheit
 
; Ordnungsgemäße Datensicherung
* Regelmäßige Sicherung
* Überprüfung des Erfolgs der Sicherung
* Sichere Aufbewahrung des Backups
* ...
 
=== Strafrecht ===
; Strafrechtliche Konsequenzen i.d.R. weniger relevant
 
; § 203 StGB sieht für bestimmte Berufsgruppen
Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
* wenn vertrauliche Daten öffentlich werden
* aufgrund zu schwacher Sicherheitsvorkehrungen
 
; Die übrigen hier relevanten Straftatbestände
§ 202a - Ausspähen von Daten, § 303b Computersabotage
* betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens
 
== Rechtliche Bedeutung von Informationssicherheit ==
 
{| class="wikitable options"
|-
! Bereich !! Beschreibung
|-
| [[Prozesssicherheit]] || Fehlerfreie Produktion
|-
| Einhaltung von DIN- und [[Qualitätsstandards]] || [[Qualitätsmanagement]]
|-
| [[Datenschutz]] || Recht auf informationelle Selbstbestimmung
|-
| [[Datensicherheit]] || Unternehmensführung auf valider Datenbasis
|}
 
=== Produkthaftung ===
; Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden
 
{| class="wikitable options"
|-
! !! Regelung
|-
| Schadensersatz statt der Leistung bei fehlerhafter Lieferung || §§ 281 ff., 440, 636 BGB
|-
| Mangelfolgeschaden bei Vertrag || § 280 I BGB
|-
| Schadensersatz ohne Vertrag || § 823 BGB
|-
| Gefährdungshaftung mit Haftungsausschluss-Tatbeständen || § 1 ProdHG
|}
 
=== Entlastungsbeweis ===
; Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis
* Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe
 
; Möglicher Wegfall
Verschulden, d. h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als
* Haftungsvoraussetzung bei Schadensersatz nach BGB
 
; Entlastungsbeweis nach § 1 II Nr. 5 ProdHG
Weil Informationssicherheit dem Stand der Technik entspricht
 
== Vorschriften und Anforderungen ==
{| class="wikitable options"
|-
! Anforderung !! Beschreibung
|-
| [[Informationssicherheitsgesetz]] ||
|-
| BSI – Gesetz || [[BSIG]]
|-
| Datenschutz || [[Datenschutz]]
|-
| Haftung || [[Informationssicherheit/Recht/Haftung]]
|-
| KonTraG || [[KonTraG]]
|-
| Vertragsgestaltung || [[Vertragsgestaltung]]
|-
| Softwarelizenzen || [[Softwarelizenzen]]
|-
| Penetrationstests || [[Penetrationstest/Recht]]
|}
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
===== Weblinks =====
 
[[Kategorie:Informationssicherheit/Recht]]

Aktuelle Version vom 19. September 2024, 11:09 Uhr

Weiterleitung nach: