Cloud und das IT-Sicherheitsgesetz – Herausforderungen und Auswirkungen für Unternehmen
Das Thema "IT-Sicherheit" ist eine der zentralen Herausforderungen der kommenden Jahre für Unternehmen. Die jüngsten Nachrichten über Angriffe auf IT-Systeme demonstrieren die zum Teil erheblichen Ausmaße und Abhängigkeiten von einer intakten und funktionsfähigen IT-Infrastruktur.
Das Bundeskriminalamt verzeichnet in den letzten Jahren einen konstanten Anstieg von Cybercrime in den Bereichen von Datenveränderung und Computersabotage [1]. Nach Schätzungen des BKA belaufen sich die Schäden durch derartige Angriffe allein in Deutschland auf rund 65 Milliarden Euro [2]. Nach Ansicht der EU-Kommission liegt der Schaden in Europa jährlich sogar bei rund 340 Milliarden Euro [3]. Diese Zahlen werden in den kommenden Jahren voraussichtlich im Zuge der globalen Vernetzung und digitalen Abhängigkeiten noch steigen. Dennoch soll dieser wachsenden Bedrohung durch "Cyberkriminalität" immer noch eine verbreitete "digitale Sorglosigkeit" von Unternehmen gegenüberstehen [4].
Hornung [5] bringt dabei eines der zentralen Probleme im Bereich IT-Sicherheit auf den Punkt: IT-Sicherheitsmaßnahmen sind typischerweise Vorsorgemaßnahmen, welche kostenträchtig und gerade im Erfolgsfall schwer zu rechtfertigen sind, weil die hypothetischen Schadensfälle schwer plausibel gemacht werden können. Kommen IT-Sicherheitsvorfälle vor, befürchten die Verantwortlichen zudem den Verlust von Reputation und Kundenvertrauen und haben deshalb ein natürliches Interesse daran, Vorfälle nicht publik werden zu lassen. Hinzu kommt, dass viele Unternehmen gar nicht wissen, welchen Sicherheitsstandard und welche Maßnahmen sie einsetzen sollen, um ein angemessenes und ausreichendes IT-Sicherheitsniveau zu schaffen.
Mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), versucht der Gesetzgeber nunmehr, einen rechtlichen Rahmen zu schaffen. Im Kern geht es darum, Standards für die IT-Sicherheit vorzugeben und die Betreiber zu verpflichten, IT-Sicherheitsvorfälle zu melden.
Hintergrund zum IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz trat bereits am 25.07.2015 in Kraft und besteht aus einer Vielzahl von Änderungen in den unterschiedlichsten Bereichen. Hierzu zählen z. B. Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), des Atomgesetzes sowie des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG).
Mit diesem IT-Sicherheitsgesetz werden insbesondere Vorgaben zum Schutz der IT von "Kritischen Infrastrukturen" (KRITIS [6]) gemacht. Welche Einrichtungen konkret unter diesen Begriff fallen, wird sich in großen Teilen noch zeigen. Erfasst sind zumindest bestimmte "Sektoren", nämlich Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen, soweit sie von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Seit dem 03.05.2016 sind zumindest die Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung näher erläutert. Hierdurch können die Betreiber feststellen, ob die von ihnen betriebenen Anlagen als kritische Infrastrukturen einzustufen sind und damit unter das IT-Sicherheitsgesetz fallen. Soweit sie betroffen sind, werden diese Unternehmen verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche Störungen ihrer informationstechnischen Systeme zu melden und "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind", zu implementieren. Die hierbei zu fordernden Standards, sollen von den Betreibern selbst und ihren Branchenverbänden erarbeitet werden und werden auf Antrag vom BSI geprüft. Die Einhaltung dieser Kriterien müssen die Betreiber mindestens alle zwei Jahre durch geeignete Audits, Prüfungen oder Zertifizierungen nachweisen.
Betrifft das IT-Sicherheitsgesetz auch den "normalen Unternehmer"?
Das IT-Sicherheitsgesetz nimmt sog. "Kleinstunternehmen" von den Anforderungen ausdrücklich aus. Dies betrifft Unternehmen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Millionen Euro erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Millionen Euro beläuft. Es ist allerdings für Unternehmen verfehlt zu glauben, sich mit den Anforderungen dieser Normen nicht beschäftigen zu müssen.
Den Unternehmen, die nicht Adressat dieses Gesetzes sind, ist sogar ausdrücklich zu empfehlen, sich mit den Anforderungen zu befassen. Zum einen zählt "IT-Sicherheit" zu den elementaren Bestandteilen der Compliance in Unternehmen. Wer die IT-Sicherheit vernachlässigt, riskiert nicht nur wirtschaftliche und immaterielle Schäden. Er riskiert u. a. auch, in Zukunft von Ausschreibungen, Angeboten und Vertragsverhandlungen ausgeschlossen zu werden. Die Betreiber kritischer Infrastrukturen werden dafür sorgen, dass nicht nur ihre IT den gesetzlichen Vorgaben entspricht, sondern auch nur solche Vertragspartner, Zulieferer oder Dienstleister berücksichtigt werden, die in einem vergleichbaren Maße das Thema "IT-Sicherheit" zum Gegenstand der Unternehmensphilosophie machen. Andernfalls laufen gerade diese "Kritischen Infrastrukturen" Gefahr, IT-Sicherheitsvorfälle melden zu müssen oder Bußgelder zu erhalten.
Daneben können aber, unabhängig von den Kriterien des IT-Sicherheitsgesetzes, Schadensersatzansprüche der Dienstleister und Zulieferer entstehen, wenn es Vorfälle aufgrund unzureichender Sicherheitsmaßnahmen beim Unternehmen gibt. Verletzen Unternehmen IT-Sicherheitspflichten, kommen vertragliche Ansprüche wegen Verletzung einer Haupt- oder Nebenpflicht des jeweils zu Grunde liegenden Vertragsverhältnisses, insbesondere aus Dienst-, Werk- oder Geschäftsbesorgungsvertrag, in Betracht. Pflichten zur Sicherstellung angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten, ergeben sich bereits jetzt aus dem Bundesdatenschutzgesetz und dem Telemediengesetz.
IT-Sicherheit gilt auch für Kleinstunternehmen!
Jeder Diensteanbieter einer Webseite wird nunmehr sogar verpflichtet, für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass die technischen Einrichtungen nach dem Stand der Technik vor unerlaubtem Zugriff geschützt sowie vor Datenschutzverletzungen und Störungen durch äußere Angriffe gesichert werden. Auch die Grundschutzkataloge des BSI können und sollten für alle Unternehmen als Maßstab herangezogen werden, um zu bestimmen, ob hier die im Verkehr erforderliche Sorgfalt beachtet wurde. Die definierte Anforderung an "kritische Infrastrukturen" zur Sicherung der IT, nämlich "angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen", gilt damit uneingeschränkt für alle Unternehmen. Im Zusammenhang mit der EU-Datenschutzgrundverordnung wird dieser Grundsatz im Bereich personenbezogener Daten ebenfalls festgeschrieben. Es wäre daher fahrlässig, sich mit den Anforderungen und Hintergründen des IT-Sicherheitsgesetzes nur deshalb nicht zu befassen, weil das Unternehmen keine "kritische Infrastruktur“ betreibt.
IT-Sicherheit gilt auch für Kleinstunternehmen! Was für "kritische Infrastrukturen" geboten ist, muss für das KMU's und mittelständische Unternehmen auch gelten.
Europarechtliche Rahmenbedingungen im Bereich IT-Sicherheit
Auch die Europäische Union hat sich zum Ziel gesetzt, die IT-Sicherheit in den rechtlichen Vordergrund zu rücken. Die EU-Kommission hat bereits am 07.02.2013 einen Vorschlag für die sog. "Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (kurz: NIS-Richtlinie)" unterbreitet. Im Kern geht es bei dieser Richtlinie ebenfalls um die Verbesserung der IT-Sicherheit bei kritischen Infrastrukturen und um die Festlegung eines europaweiten Rahmens dafür, welche Vorkehrungen Betreiber wesentlicher und digitaler Dienste in Bezug auf die Computer- und Netzsicherheit treffen müssen. Diese Unternehmen müssen – so die Richtlinie – robuste IT-Infrastrukturen schaffen, damit bereits möglichst viele digitale Angriffe abgewehrt werden können. Ein weiterer Eckpfeiler der NIS-Richtlinie, ist die angestrebte Kooperation zwischen den Mitgliedstaaten. Um ein einheitliches Niveau an Sicherheit zu gewährleisten, muss jeder Mitgliedstaat eine eigene IT-Sicherheitsstrategie entwickeln und eine zentrale staatliche Stelle als über die Landesgrenzen hinausgehenden Ansprechpartner benennen. Über ein europäisches Netzwerk sollen sich die Mitgliedstaaten gegenseitig vor entdeckten Cyberrisiken warnen und erprobte Praktiken austauschen.
Cloud-Anbieter als Adressat der Richtlinie
Im Gegensatz zum IT-Sicherheitsgesetz, benennt die Europäische NIS-Richtlinie als Adressat und Verpflichteter der Sicherheitsmaßnahmen auch "Cloud-Anbieter". Die EU spricht in diesem Zusammenhang auch nicht nur von "kritischen Infrastrukturen", sondern auch von solchen, die für die Erbringung der Dienstleistungen "wesentlich" sind. Dies sind – so die Richtlinie – sog. "Marktteilnehmer", zu denen laut der Richtlinie auch Betreiber von "Cloud-Computing-Diensten" zählen. Diese Unternehmen sollen verpflichtet werden, Maßnahmen zur Abwehr von Cybergefahren zu ergreifen und schwere Sicherheitszwischenfälle zu melden.
Alle Unternehmen sollten die IT-Sicherheit zu einem elementaren Bestandteil ihrer Unternehmensführung machen.
Das bedeutet, dass sich die Pflichten der sog. "Cloud-Betreiber" in naher Zukunft noch deutlich erhöhen. Die Richtlinie verpflichtet diese Anbieter von "Cloud-Computing-Diensten" nicht nur zur Sicherung ihrer IT-Systeme, sondern auch dazu, Sicherheitsvorfälle zu melden. Auch hier gilt zwar eine Größenbeschränkung dergestalt, dass nicht jedes Unternehmen unter die Anwendbarkeit dieser Richtlinie und seiner nationalen Gesetze fällt. Die Konsequenzen für lokale und nationale Anbieter sind aber dieselben, wie die der "kritischen Infrastrukturen". Um sich letztlich am Markt gegen die globalen Cloud-Anbieter behaupten zu können, werden auch diese Unternehmen ihre IT-Sicherheit nicht nur im Auge behalten, sondern auch fortlaufend den jeweiligen technischen Gegebenheiten anpassen müssen. In letzter Konsequenz landet man wieder beim Nutzer dieser Cloud-Technologien, der sich in Anbetracht der jüngsten gesetzgeberischen Entwicklungen Gedanken machen muss, welchen Anbieter er wählt. Nachdem die gesetzlichen Rahmenbedingungen und Vorgaben das Ziel einer "robusten IT-Landschaft" haben, die möglichst vor Sicherheitsvorfällen gefeit sein sollen, werden auch die Unternehmer genau schauen müssen, ob ihre Vertragspartner im Bereich "Cloud-Technologie" compliant aufgestellt sind.
Fazit
Deutschland hat mit dem IT-Sicherheitsgesetz eine Vielzahl von Vorgaben der NIS-Richtlinie bereits vorzeitig umgesetzt. In Anbetracht der Einbeziehung von Cloud-Anbietern und E-Commerce-Plattformen in die Europäische Richtlinie, ist aber davon auszugehen, dass auch das deutsche Gesetz hier noch einmal abgeändert wird. Zudem steht es den Mitgliedstaaten frei, über die Richtlinie hinausgehend auch Unternehmen minderer Größe zu verpflichten. In Anbetracht der Tatsache, dass – wie oben beschrieben – Zulieferer oder Dienstleister in dem gesamten Prozess eingebunden sind, ist ein solches Ergebnis nur begrüßenswert. Hiervon abgesehen sollten alle Unternehmen – unabhängig von einer entsprechenden Vorgabe des Europäischen oder nationalen Gesetzgeber – die IT-Sicherheit zu einem elementaren Bestandteil ihrer Unternehmensführung machen.
Dies ist der dritte Teil einer dreiteiligen Reihe von Dr. Philipp Herrmann zum Thema Cloud & IT-Recht. Der erste Teil ist unter "Cloud – Rechtliche Anforderungen im Jahre "Null" nach Safe Harbor" erschienen, der zweite Teil unter "Die EU-Datenschutz-Grundverordnung – Herausforderungen und Auswirkungen für Unternehmen".
- Bundeskriminalamt: Lagebilder Cybercrime
- Cyber-Angriffe: 65 Milliarden Euro Schaden in Deutschland
- Europäisches Parlament - News: MEPs close deal with Council on first ever EU rules on cybersecurity
- Haufe.de: Digitale Sorglosigkeit weit verbreitet
- Hornung: NJW 2015, 3334, 3334
- Informatik Aktuell - Dr. Volker Scheidemann: CyberWiz – ein EU-Projekt zum Schutz kritischer Infrastrukturen