Rechtliche Rahmenbedingungen der Informationssicherheit: Unterschied zwischen den Versionen
| Zeile 68: | Zeile 68: | ||
==== Technische Regelwerke ==== | ==== Technische Regelwerke ==== | ||
Technische Regelwerke wie z.B. ITSEC | Technische Regelwerke wie z. B. [[ITSEC]] | ||
; Haben zwar keine unmittelbare rechtliche Wirkung | ; Haben zwar keine unmittelbare rechtliche Wirkung | ||
* an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“ | * an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“ | ||
Aktuelle Version vom 14. April 2024, 18:35 Uhr
Rechtliche Rahmenbedingungen der Informationssicherheit
Beschreibung
Informationssicherheit dürfen aufgrund enormer Haftungsrisiken nicht vernachlässigt werden
Empfehlungen
- Regelmäßige Datensicherung
- Anti-Virus-Programm (regelmäßiger Updates)
- Firewall
- Ordnungsgemäße Lizenzverwaltung
- Bestellung eines Informationssicherheits- und Softwarebeauftragten
- Aufbau eines Managementsystems für Informationssicherheit
Recht der Informationssicherheit
Vorschriften und Gesetzesanforderungen
- Stellen Sie sich vor …
Bei Ihnen gespeicherte Daten gelangen an die Öffentlichkeit
- Daten werden mutwillig oder durch ein Unglück unwiederbringlich zerstört
- Oder aus Ihrem Haus werden Massen-E-Mails mit Viren verschickt
- Welche Konsequenzen drohen?
- dem Unternehmen / der Behörde
- den verantwortlichen Personen
| Beschreibung | Regelung | |
|---|---|---|
| Vorstand haftet persönlich | wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt | § 91 Abs. 2 und § 93 Abs. 2 AktG |
| Geschäftsführern einer GmbH | wird im GmbH-Gesetz "die Sorgfalt eines ordentlichen Geschäftsmannes„ auferlegt | § 43 Abs. 1 GmbHG |
| Im Aktiengesetz genannten Pflichten eines Vorstands | gelten auch im Rahmen des Handelsgesetzbuches | § 317 Abs. 4 HGB |
| Handelsgesetzbuch verpflichtet Abschlussprüfer | zu prüfen, "ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind" | § 317 Abs. 2HGB |
| Bestimmte Berufsgruppen | Sonderregelungen im Strafgesetzbuch | Ärzte, Rechtsanwälte, Angehörige sozialer Berufe, .. |
| Verbraucherschutz | Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt | |
| Datenschutz | Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikations-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. | |
| Banken | Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird |
Rechtsgebiete
Vielzahl von Rechtsgebieten
Allgemeines Zivilrecht
- Datenschutzrecht
- Telekommunikationsrecht
- Urheberrecht
- GmbH-Recht
- Aktien-Recht
Sicherheit in der Informationstechnik
- Definition
BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) §2 Abs. 2
- Sicherheit in der Informationstechnik im Sinne dieses Gesetzes
- Einhaltung bestimmter Sicherheitsstandards zu Informationen
- Verfügbarkeit
- Unversehrtheit
- Vertraulichkeit
- Sicherheitsvorkehrungen
- in und bei der Anwendung
- von informationstechnischen Systemen oder Komponenten
Technische Regelwerke
Technische Regelwerke wie z. B. ITSEC
- Haben zwar keine unmittelbare rechtliche Wirkung
- an zahlreichen Stellen fordert das Gesetz jedoch die Einhaltung der „allgemein anerkannten Regeln der Technik“
- technische Regelwerken kommt im Einzelfall „mittelbarer Gesetzescharakter“ zu
Folgen der Nichtbeachtung
der Anforderungen an Informationssicherheit
Zivilrechtlichen Folgen
Folge keiner oder unzureichender vertraglicher Regelungen
- Verursacher
der Nichtbeachtung von Informationssicherheits-Anforderungen
- Betroffener
nicht beachteter Informationssicherheits-Anforderungen
Fall 1: Schlampiger Fabrikant
- Bei der Einrichtung neuer Arbeitsplätze stellt der technische Dienstleister mit großem Entsetzen fest
- die Hälfte der Auftragsdaten ist wegen Fehlens eines Anti-Virus-Programms mit einem Virus verseucht
- durch einen Hackerangriff ist das gesamte Eiche Nordisch-Vertriebsnetzwerk ausgefallen
- Virus versendet automatisch an alle in Outlook der Mitarbeiter gespeicherten Email-Adressen
- In welchem Umfang muss die Firma Eiche Nordisch haften?
- Kundenschäden wegen unterbliebener Auftragserledigung
- Ausfallansprüche der Vertriebspartner
- EDV-Kosten der Geschäftspartner
- Dies ist eine Frage des Verschuldens
die sich danach bemisst
- ob die Firma Eiche Nordisch die Regeln über die Informationssicherheit erfüllt hat
- Hat sie dies getan, so ist ihr kein Fahrlässigkeitsvorwurf zu machen
- Fehlende Installation eines Anti-Virus-Programms begründet zumindest Mitverschulden
Grundsätzlich besteht keine Pflicht zum Einsatz einer Firewall
- wohl aber bei sensiblen Daten (Landgericht Köln)
- Kein Fahrlässigkeitsvorwurf
bei ordnungsgemäßem Betrieb eines Anti-Virus-Programms
- inkl. Installation von Updates
- selbst verbreitenden Virus
Fall 2: Schlampige Dienstleister
- Aufgrund der Umstände im Hause Eiche Nordisch ist Kai Kabel sehr verunsichert
- ihm unterläuft eine Unachtsamkeit, versehentlich
- löscht er sämtliche Adressdaten der Eiche Nordisch-Kunden
- Grundsätzlich steht der Firma Eiche Nordisch ein Schadensersatzanspruch gegen Kai Kabe zu
i. d. R. erforderlicher Geldbetrag zur Wiederherstellung
- Minderung und Ausschluss des Schadensersatzes
bei Nichtbeachtung der Regeln der Informationssicherheit
- Ordnungsgemäße Datensicherung
- Regelmäßige Sicherung
- Überprüfung des Erfolgs der Sicherung
- Sichere Aufbewahrung des Backups
- ...
Strafrecht
- Strafrechtliche Konsequenzen i.d.R. weniger relevant
- § 203 StGB sieht für bestimmte Berufsgruppen
Ärzte, Rechtsanwälte, ... eine Strafbarkeit vor
- wenn vertrauliche Daten öffentlich werden
- aufgrund zu schwacher Sicherheitsvorkehrungen
- Die übrigen hier relevanten Straftatbestände
§ 202a - Ausspähen von Daten, § 303b Computersabotage
- betreffen eher Hacker oder Kriminelle als die Organisationsstruktur eines Unternehmens
Rechtliche Bedeutung der Informationssicherheit
| Bereich | Beschreibung |
|---|---|
| Prozesssicherheit | Fehlerfreie Produktion |
| Einhaltung von DIN- und Qualitätsstandards | Qualitätsmanagement |
| Datenschutz | Recht auf informationelle Selbstbestimmung |
| Datensicherheit | Unternehmensführung auf valider Datenbasis |
Produkthaftung
- Informationssicherheit kann Schadensersatz infolge von Produkthaftung vermeiden
| Regelung | |
|---|---|
| Schadensersatz statt der Leistung bei fehlerhafter Lieferung | §§ 281 ff., 440, 636 BGB |
| Mangelfolgeschaden bei Vertrag | § 280 I BGB |
| Schadensersatz ohne Vertrag | § 823 BGB |
| Gefährdungshaftung mit Haftungsausschluss-Tatbeständen | § 1 ProdHG |
Entlastungsbeweis
- Informationssicherheit lässt Verschulden entfallen und ermöglicht Entlastungsbeweis
- Auswirkungen von Sorgfalt bei der Informationssicherheit auf Haftungsmaßstäbe
- Möglicher Wegfall
Verschulden, d. h. Vorsatz und vor allem Fahrlässigkeit nach §§ 276, 278 BGB als
- Haftungsvoraussetzung bei Schadensersatz nach BGB
- Entlastungsbeweis nach § 1 II Nr. 5 ProdHG
Weil Informationssicherheit dem Stand der Technik entspricht
Vorschriften und Anforderungen
| Anforderung | Beschreibung |
|---|---|
| Informationssicherheitsgesetz | |
| BSI – Gesetz | BSIG |
| Datenschutz | Datenschutz |
| Haftung | Informationssicherheit/Recht/Haftung |
| KonTraG | KonTraG |
| Vertragsgestaltung | Vertragsgestaltung |
| Softwarelizenzen | Softwarelizenzen |
| Penetrationstests | Penetrationstest/Recht |