Rechtliche Rahmenbedingungen der ISMS: Unterschied zwischen den Versionen
| Zeile 70: | Zeile 70: | ||
* an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“ | * an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“ | ||
* technische Regelwerken kommt im Einzelfall „mittelbarer Gesetzescharakter“ zu | * technische Regelwerken kommt im Einzelfall „mittelbarer Gesetzescharakter“ zu | ||
== Folgen der Nichtbeachtung == | |||
der Anforderungen an Informationssicherheit | |||
=== Zivilrechtlichen Folgen === | |||
Folge keiner oder unzureichender vertraglicher Regelungen | |||
; Verursacher | |||
der Nichtbeachtung von Informationssicherheits-Anforderungen | |||
; Betroffener | |||
nicht beachteter Informationssicherheits-Anforderungen | |||
=== Fall 1: Schlampiger Fabrikant === | |||
; Bei der Einrichtung neuer Arbeitsplätze stellt der technische Dienstleister mit großem Entsetzen fest: | |||
* die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht | |||
* durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen | |||
* Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen | |||
; In welchem Umfang muss die Firma Eiche Nordisch haften? | |||
; Kundenschäden wegen unterbliebener Auftragserledigung | |||
* Ausfallansprüche der Vertriebspartner | |||
* EDV-Kosten der Geschäftspartner | |||
; Dies ist eine Frage des Verschuldens | |||
die sich danach bemisst | |||
* ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat | |||
; Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen | |||
* Fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden | |||
Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall | |||
* wohl aber bei sensiblen Daten (Landgericht Köln) | |||
; Kein Fahrlässigkeitsvorwurf | |||
bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms | |||
* inkl. Installation von Updates | |||
* selbst verbreitenden Virus | |||
=== Fall 2: Schlampige Dienstleister === | |||
; Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert | |||
* ihm unterläuft eine Unachtsamkeit, versehentlich | |||
* löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden | |||
; Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu | |||
i. d. R. erforderlicher Geldbetrag zur Wiederherstellung | |||
; Minderung und Ausschluss des Schadensersatzes | |||
bei Nichtbeachtung der Regeln der Informationssicherheit | |||
; Ordnungsgemäße Datensicherung | |||
* Regelmäßige Sicherung | |||
* Überprüfung des Erfolgs der Sicherung | |||
* Sichere Aufbewahrung des Backups | |||
* ... | |||
=== Strafrecht === | |||
; Strafrechtliche Konsequenzen i.d.R. weniger relevant | |||
; § 203 StGB sieht für bestimmte Berufsgruppen | |||
Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor | |||
* wenn vertrauliche Daten öffentlich werden | |||
* aufgrund zu schwacher Sicherheitsvorkehrungen | |||
; Die übrigen hier relevanten Straftatbestände | |||
§ 202a - Ausspähen von Daten, § 303b Computersabotage | |||
* betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens | |||
== Rechtliche Bedeutung von Informationssicherheit == | |||
{| class="wikitable options" | |||
|- | |||
! Bereich !! Beschreibung | |||
|- | |||
| [[Prozesssicherheit]] || Fehlerfreie Produktion | |||
|- | |||
| Einhaltung von DIN- und [[Qualitätsstandards]] || [[Qualitätsmanagement]] | |||
|- | |||
| [[Datenschutz]] || Recht auf informationelle Selbstbestimmung | |||
|- | |||
| [[Datensicherheit]] || Unternehmensführung auf valider Datenbasis | |||
|} | |||
== Produkthaftung == | |||
; Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden | |||
{| class="wikitable options" | |||
|- | |||
! !! Regelung | |||
|- | |||
| Schadensersatz statt der Leistung bei fehlerhafter Lieferung || §§ 281 ff., 440, 636 BGB | |||
|- | |||
| Mangelfolgeschaden bei Vertrag || § 280 I BGB | |||
|- | |||
| Schadensersatz ohne Vertrag || § 823 BGB | |||
|- | |||
| Gefährdungshaftung mit Haftungsausschluss-Tatbeständen || § 1 ProdHG | |||
|} | |||
== Entlastungsbeweis == | |||
; Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis | |||
* Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe | |||
; Möglicher Wegfall | |||
Verschulden, d. h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als | |||
* Haftungsvoraussetzung bei Schadensersatz nach BGB | |||
; Entlastungsbeweis nach § 1 II Nr. 5 ProdHG | |||
Weil Informationssicherheit dem Stand der Technik entspricht | |||
== Vorschriften und Anforderungen == | |||
{| class="wikitable options" | |||
|- | |||
! Option !! Beschreibung | |||
|- | |||
| [[Informationssicherheitsgesetz]] || | |||
|- | |||
| BSI – Gesetz || [[BSIG]] | |||
|- | |||
| Datenschutz || [[Datenschutz]] | |||
|- | |||
| Haftung || [[Informationssicherheit/Recht/Haftung]] | |||
|- | |||
| KonTraG || [[KonTraG]] | |||
|- | |||
| Vertragsgestaltung || [[Vertragsgestaltung]] | |||
|- | |||
| Softwarelizenzen || [[Softwarelizenzen]] | |||
|- | |||
| Penetrationstests || [[Penetrationstest/Recht]] | |||
|} | |||
== Anhang == | == Anhang == | ||
Version vom 10. April 2024, 13:54 Uhr
topic - Kurzbeschreibung
Beschreibung
- Informationssicherheit sollte aufgrund enormer Haftungsrisiken nicht vernachlässigt werden
Empfehlungen
- Regelmäßige Datensicherung
- Anti-Virus-Programm (regelmäßiger Updates)
- Firewall
- Ordnungsgemäße Lizenzverwaltung
- Bestellung eines Informationssicherheits- und Softwarebeauftragten
- Aufbau eines Managementsystems für Informationssicherheit
Recht der Informationssicherheit
Vorschriften und Gesetzesanforderungen
- Stellen Sie sich vor …
- Bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit
- Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört
- Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt
- Welche Konsequenzen drohen?
- dem Unternehmen / der Behörde
- den verantwortlichen Personen
| Beschreibung | Regelung | |
|---|---|---|
| Vorstand haftet persönlich | wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt | § 91 Abs. 2 und § 93 Abs. 2 AktG |
| Geschäftsführern einer GmbH | wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt | § 43 Abs. 1 GmbHG |
| Im Aktiengesetz genannten Pflichten eines Vorstands | gelten auch im Rahmen des Handelsgesetzbuches | § 317 Abs. 4 HGB |
| Handelsgesetzbuch verpflichtet Abschlussprüfer | zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind" | § 317 Abs. 2HGB |
| Bestimmte Berufsgruppen | Sonderregelungen im Strafgesetzbuch | Ärzte, Rechtsanwälte, Angehörige sozialer Berufe, .. |
| Verbraucherschutz | Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt | |
| Datenschutz | Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. | |
| Banken | Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird |
Rechtsgebiete
- Vielzahl von Rechtsgebieten
Allgemeines Zivilrecht
- Datenschutzrecht
- Telekommunikationsrecht
- Urheberrecht
- GmbH-Recht
- Aktien-Recht
Sicherheit in der Informationstechnik
- Definition
BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) §2 Abs. 2
- Sicherheit in der Informationstechnik im Sinne dieses Gesetzes
- Einhaltung bestimmter Sicherheitsstandards zu Informationen
- Verfügbarkeit
- Unversehrtheit
- Vertraulichkeit
- Sicherheitsvorkehrungen
- in und bei der Anwendung
- von informationstechnischen Systemen oder Komponenten
Technische Regelwerke
- Technische Regelwerke wie z.B. ITSEC
- Haben zwar keine unmittelbare rechtliche Wirkung
- an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“
- technische Regelwerken kommt im Einzelfall „mittelbarer Gesetzescharakter“ zu
Folgen der Nichtbeachtung
der Anforderungen an Informationssicherheit
Zivilrechtlichen Folgen
Folge keiner oder unzureichender vertraglicher Regelungen
- Verursacher
der Nichtbeachtung von Informationssicherheits-Anforderungen
- Betroffener
nicht beachteter Informationssicherheits-Anforderungen
Fall 1: Schlampiger Fabrikant
- Bei der Einrichtung neuer Arbeitsplätze stellt der technische Dienstleister mit großem Entsetzen fest
- die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht
- durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen
- Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen
- In welchem Umfang muss die Firma Eiche Nordisch haften?
- Kundenschäden wegen unterbliebener Auftragserledigung
- Ausfallansprüche der Vertriebspartner
- EDV-Kosten der Geschäftspartner
- Dies ist eine Frage des Verschuldens
die sich danach bemisst
- ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat
- Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen
- Fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden
Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall
- wohl aber bei sensiblen Daten (Landgericht Köln)
- Kein Fahrlässigkeitsvorwurf
bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms
- inkl. Installation von Updates
- selbst verbreitenden Virus
Fall 2: Schlampige Dienstleister
- Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert
- ihm unterläuft eine Unachtsamkeit, versehentlich
- löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden
- Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu
i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
- Minderung und Ausschluss des Schadensersatzes
bei Nichtbeachtung der Regeln der Informationssicherheit
- Ordnungsgemäße Datensicherung
- Regelmäßige Sicherung
- Überprüfung des Erfolgs der Sicherung
- Sichere Aufbewahrung des Backups
- ...
Strafrecht
- Strafrechtliche Konsequenzen i.d.R. weniger relevant
- § 203 StGB sieht für bestimmte Berufsgruppen
Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
- wenn vertrauliche Daten öffentlich werden
- aufgrund zu schwacher Sicherheitsvorkehrungen
- Die übrigen hier relevanten Straftatbestände
§ 202a - Ausspähen von Daten, § 303b Computersabotage
- betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens
Rechtliche Bedeutung von Informationssicherheit
| Bereich | Beschreibung |
|---|---|
| Prozesssicherheit | Fehlerfreie Produktion |
| Einhaltung von DIN- und Qualitätsstandards | Qualitätsmanagement |
| Datenschutz | Recht auf informationelle Selbstbestimmung |
| Datensicherheit | Unternehmensführung auf valider Datenbasis |
Produkthaftung
- Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden
| Regelung | |
|---|---|
| Schadensersatz statt der Leistung bei fehlerhafter Lieferung | §§ 281 ff., 440, 636 BGB |
| Mangelfolgeschaden bei Vertrag | § 280 I BGB |
| Schadensersatz ohne Vertrag | § 823 BGB |
| Gefährdungshaftung mit Haftungsausschluss-Tatbeständen | § 1 ProdHG |
Entlastungsbeweis
- Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis
- Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe
- Möglicher Wegfall
Verschulden, d. h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als
- Haftungsvoraussetzung bei Schadensersatz nach BGB
- Entlastungsbeweis nach § 1 II Nr. 5 ProdHG
Weil Informationssicherheit dem Stand der Technik entspricht
Vorschriften und Anforderungen
| Option | Beschreibung |
|---|---|
| Informationssicherheitsgesetz | |
| BSI – Gesetz | BSIG |
| Datenschutz | Datenschutz |
| Haftung | Informationssicherheit/Recht/Haftung |
| KonTraG | KonTraG |
| Vertragsgestaltung | Vertragsgestaltung |
| Softwarelizenzen | Softwarelizenzen |
| Penetrationstests | Penetrationstest/Recht |