Rechtliche Rahmenbedingungen der ISMS: Unterschied zwischen den Versionen
| Zeile 10: | Zeile 10: | ||
* Bestellung eines Informationssicherheits- und Softwarebeauftragten | * Bestellung eines Informationssicherheits- und Softwarebeauftragten | ||
* Aufbau eines Managementsystems für Informationssicherheit | * Aufbau eines Managementsystems für Informationssicherheit | ||
== Vorschriften und Gesetzesanforderungen == | |||
; Stellen Sie sich vor … | |||
; Bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit | |||
* Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört | |||
* Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt | |||
; Welche Konsequenzen drohen? | |||
* dem Unternehmen / der Behörde | |||
* den verantwortlichen Personen | |||
{| class="wikitable options" | |||
|- | |||
! !! Beschreibung !! Regelung | |||
|- | |||
| Vorstand haftet persönlich || wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt || § 91 Abs. 2 und § 93 Abs. 2 AktG | |||
|- | |||
| Geschäftsführern einer GmbH || wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt || § 43 Abs. 1 GmbHG | |||
|- | |||
| Im Aktiengesetz genannten Pflichten eines Vorstands || gelten auch im Rahmen des Handelsgesetzbuches || § 317 Abs. 4 HGB | |||
|- | |||
| Handelsgesetzbuch verpflichtet Abschlussprüfer || zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind" || § 317 Abs. 2HGB | |||
|- | |||
| Bestimmte Berufsgruppen || Sonderregelungen im Strafgesetzbuch || Ärzte, Rechtsanwälte, Angehörige sozialer Berufe, .. | |||
|- | |||
| Verbraucherschutz || Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt || | |||
|- | |||
| Datenschutz || Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. || | |||
|- | |||
| Banken || Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird || | |||
|} | |||
=== Recht der Informationssicherheit === | |||
=== Vielzahl von Rechtsgebieten === | |||
==== Allgemeines Zivilrecht ==== | |||
* Datenschutzrecht | |||
* Telekommunikationsrecht | |||
* Urheberrecht | |||
* GmbH-Recht | |||
* Aktien-Recht | |||
=== Definition des Begriffs „Sicherheit in der Informationstechnik“ === | |||
; BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) | |||
§2 Abs. 2 | |||
; Sicherheit in der Informationstechnik im Sinne dieses Gesetzes | |||
:Einhaltung bestimmter Sicherheitsstandards zu Informationen | |||
:* Verfügbarkeit | |||
:* Unversehrtheit | |||
:* Vertraulichkeit | |||
; Sicherheitsvorkehrungen | |||
* in und bei der Anwendung | |||
* von informationstechnischen Systemen oder Komponenten | |||
=== Technische Regelwerke === | |||
; Technische Regelwerke wie z.B. ITSEC | |||
; Haben zwar keine unmittelbare rechtliche Wirkung | |||
* an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“ | |||
* technische Regelwerken kommt im Einzelfall „mittelbarer Gesetzescharakter“ zu | |||
== Anhang == | == Anhang == | ||
Version vom 11. Januar 2024, 01:35 Uhr
topic - Kurzbeschreibung
Beschreibung
- Informationssicherheit sollte aufgrund enormer Haftungsrisiken nicht vernachlässigt werden
Empfehlungen
- Regelmäßige Datensicherung
- Anti-Virus-Programm (regelmäßiger Updates)
- Firewall
- Ordnungsgemäße Lizenzverwaltung
- Bestellung eines Informationssicherheits- und Softwarebeauftragten
- Aufbau eines Managementsystems für Informationssicherheit
Vorschriften und Gesetzesanforderungen
- Stellen Sie sich vor …
- Bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit
- Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört
- Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt
- Welche Konsequenzen drohen?
- dem Unternehmen / der Behörde
- den verantwortlichen Personen
| Beschreibung | Regelung | |
|---|---|---|
| Vorstand haftet persönlich | wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt | § 91 Abs. 2 und § 93 Abs. 2 AktG |
| Geschäftsführern einer GmbH | wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt | § 43 Abs. 1 GmbHG |
| Im Aktiengesetz genannten Pflichten eines Vorstands | gelten auch im Rahmen des Handelsgesetzbuches | § 317 Abs. 4 HGB |
| Handelsgesetzbuch verpflichtet Abschlussprüfer | zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind" | § 317 Abs. 2HGB |
| Bestimmte Berufsgruppen | Sonderregelungen im Strafgesetzbuch | Ärzte, Rechtsanwälte, Angehörige sozialer Berufe, .. |
| Verbraucherschutz | Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt | |
| Datenschutz | Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. | |
| Banken | Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird |
Recht der Informationssicherheit
Vielzahl von Rechtsgebieten
Allgemeines Zivilrecht
- Datenschutzrecht
- Telekommunikationsrecht
- Urheberrecht
- GmbH-Recht
- Aktien-Recht
Definition des Begriffs „Sicherheit in der Informationstechnik“
- BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik)
§2 Abs. 2
- Sicherheit in der Informationstechnik im Sinne dieses Gesetzes
- Einhaltung bestimmter Sicherheitsstandards zu Informationen
- Verfügbarkeit
- Unversehrtheit
- Vertraulichkeit
- Sicherheitsvorkehrungen
- in und bei der Anwendung
- von informationstechnischen Systemen oder Komponenten
Technische Regelwerke
- Technische Regelwerke wie z.B. ITSEC
- Haben zwar keine unmittelbare rechtliche Wirkung
- an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“
- technische Regelwerken kommt im Einzelfall „mittelbarer Gesetzescharakter“ zu
Anhang
Siehe auch
Links
Weblinks
TMP
Folgen der Nichtbeachtung
der Anforderungen an Informationssicherheit
Zivilrechtlichen Folgen
Folge keiner oder unzureichender vertraglicher Regelungen
- Verursacher
der Nichtbeachtung von Informationssicherheits-Anforderungen
- Betroffener
nicht beachteter Informationssicherheits-Anforderungen
Fall 1: Schlampiger Fabrikant
- Bei der Einrichtung neuer Arbeitsplätze stellt der technische Dienstleister mit großem Entsetzen fest
- die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht
- durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen
- Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen
- In welchem Umfang muss die Firma Eiche Nordisch haften?
- Kundenschäden wegen unterbliebener Auftragserledigung
- Ausfallansprüche der Vertriebspartner
- EDV-Kosten der Geschäftspartner
- Dies ist eine Frage des Verschuldens
die sich danach bemisst
- ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat
- Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen
- Fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden
Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall
- wohl aber bei sensiblen Daten (Landgericht Köln)
- Kein Fahrlässigkeitsvorwurf
bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms
- inkl. Installation von Updates
- selbst verbreitenden Virus
Fall 2: Schlampige Dienstleister
- Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert
- ihm unterläuft eine Unachtsamkeit, versehentlich
- löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden
- Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu
i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
- Minderung und Ausschluss des Schadensersatzes
bei Nichtbeachtung der Regeln der Informationssicherheit
- Ordnungsgemäße Datensicherung
- Regelmäßige Sicherung
- Überprüfung des Erfolgs der Sicherung
- Sichere Aufbewahrung des Backups
- ...
Strafrecht
- Strafrechtliche Konsequenzen i.d.R. weniger relevant
- § 203 StGB sieht für bestimmte Berufsgruppen
Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
- wenn vertrauliche Daten öffentlich werden
- aufgrund zu schwacher Sicherheitsvorkehrungen
- Die übrigen hier relevanten Straftatbestände
§ 202a - Ausspähen von Daten, § 303b Computersabotage
- betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens
Rechtliche Bedeutung von Informationssicherheit
| Bereich | Beschreibung |
|---|---|
| Prozesssicherheit | Fehlerfreie Produktion |
| Einhaltung von DIN- und Qualitätsstandards | Qualitätsmanagement |
| Datenschutz | Recht auf informationelle Selbstbestimmung |
| Datensicherheit | Unternehmensführung auf valider Datenbasis |
Produkthaftung
- Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden
| Regelung | |
|---|---|
| Schadensersatz statt der Leistung bei fehlerhafter Lieferung | §§ 281 ff., 440, 636 BGB |
| Mangelfolgeschaden bei Vertrag | § 280 I BGB |
| Schadensersatz ohne Vertrag | § 823 BGB |
| Gefährdungshaftung mit Haftungsausschluss-Tatbeständen | § 1 ProdHG |
Entlastungsbeweis
- Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis
- Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe
- Möglicher Wegfall
Verschulden, d. h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als
- Haftungsvoraussetzung bei Schadensersatz nach BGB
- Entlastungsbeweis nach § 1 II Nr. 5 ProdHG
Weil Informationssicherheit dem Stand der Technik entspricht
Vorschriften und Aanforderungen
Informationssicherheitsgesetz
BSI – Gesetz
Datenschutz
Haftung
Informationssicherheit/Recht/Haftung