CyberKonferenz zu IT-Sicherheit

0 44

Cybersecurity und Recht

Im Rahmen der Cyberkonferenz zu IT-Sicherheit wurde der Beitrag von Dr. Thomas Lapp aufgezeichnet und ist inzwischen online abrufbar:

Video

Themen Cybersecurity:

Wirtschaft erwartet zunehmende Ausgaben für IT-Sicherheit

Die deutsche Wirtschaft wird 2017 massiv in ihre IT-Sicherheit investieren. Dies hat die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS)  in ihrem aktuellen Report „IT-Sicherheit und Datenschutz 2017“ dargelegt. Der Bericht basiert auf einer Umfrage unter 100 Fach- und Führungskräften überwiegend aus mittelständischen Unternehmen in Deutschland.

NIFIS Studie

Deutsche Wirtschaft hat wenig Vertrauen in EU-US Privacy Shield

Das Vertrauen der deutschen Wirtschaft in den EU-US Privacy Shield, der den Datenaustausch und Datenschutz zwischen der Europäischen Union und den USA seit Frühjahr 2016 regelt, ist gering. Das ist ein weiteres Ergebnis der Studie „IT-Sicherheit und Datenschutz 2017“ der Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS).

NIFIS Studie

BSI Bericht zur IT-Sicherheit

Aus dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik wird deutlich, dass die Komplexität der Bedrohungslage ebenso wie die damit einhergehenden Gefahren für die fortschreitende Digitalisierung zunimmt.

Das IT Sicherheitsgesetz, das seit Juli 2015 in Kraft ist, hat in erster Linie Kritische Infrastrukturen im Blick.

Zur Umsetzung des Gesetzes ist die Konkretisierung der Anforderungen in einzelne Verordnung für spezielle Bereiche erforderlich. Für die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung wurde bereits im Mai 2016 die erste Verordnung erlassen. Für die KRITIS-Sektoren Finanzen, Transport und Verkehr sowie Gesundheit wird die entsprechende Verordnung für das Frühjahr 2017 erwartet. Unternehmen müssen jeweils sechs Monate nach Inkrafttreten der sie betreffenden Verordnung die darin festgelegten Anforderungen umsetzen.

BSI Lagebericht zur IT-Sicherheit in Deutschland

BSI Lagebericht 2014

Anforderungen an Webshops nach IT-Sicherheitsgesetz

Shopbetreiber und andere Webseitenbetreiber sind seit 25.07.2015 verpflichtet, mittels technischer und organisatorischer Vorkehrungen sicherzustellen, dass keine Angriffe oder Störungen auf die genutzten technischen Einrichtungen erfolgen. Hierdurch sollen die wesentlichen Verbreitungswege von Schadsoftware eingedämmt werden. Diese wird nämlich meist durch das unbemerkte Herunterladen oder allein durch das Aufrufen bzw. Nutzen einer präparierten Webseite verbreitet. Weitere denkbare Störungen sind sowohl interne oder externe unerlaubte Zugriffe wie z.B. Vandalismus, Hackerangriffe oder Viren und Softwarebugs.

Was bedeutet das für Betreiber von Webseiten?

Wer beispielsweise eine Standardsoftware einsetzt, hat regelmäßig Sicherheitspatches einzuspielen um hierdurch Angriffe vermeiden zu können. Dies betrifft nicht nur die Shopsoftware, sondern natürlich auch das verwendete Betriebssystem des jeweiligen Servers.
Bei der Verwendung von Werbebannern sieht der Gesetzgeber vor, den Werbedienstleister vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten.
Von höchster Priorität für den Gesetzgeber sind Verschlüsselungs- und Authentifizierungsverfahren bei personalisierten Diensten. Sprich, bei allen Seiten mit der Möglichkeit ein Benutzerkonto einzurichten. SSL-Verschlüsselung beim Verbindungsaufbau und das verschlüsselte Ablegen von Benutzer- und Zahlungsinformationen sollten Standard sein.

Was ist in der Praxis zu tun?

Kompliziert wird es mit dem Einspielen von Sicherheitspatches in den Fällen, in denen die wirtschaftliche Zumutbarkeit unklar ist: es wird z. B. eine eigens entwickelte Software eingesetzt oder eine Shopsoftware nicht mehr von Hersteller supportet. Da ein Umstieg wohl erhebliche Kosten verursacht, ist fraglich, ob hier nun dem wirtschaftlichen Aspekt oder dem Schutzinteresse der Nutzer der Vorrang gegeben werden soll.
Schutzmaßnahmen bei der Verwendung von Werbebannern? Dies kann man angesichts der Marktposition von Googles AdSense und anderen großen Anbietern wohl als aussichtsloses Unterfangen bezeichnen.
Verschlüsselungs- und Authentifizierungsmaßnahmen verlangen vom Shopbetreiber eine erhebliche Auseinandersetzung mit der sehr komplexen, technischen Materie. Hier wird man sich wohl seinem Shopsoftwarehersteller anvertrauen und hoffen, dass dieser alles beachtet.

Anforderungen der EU Datenschutzgrundverordnung für die Wirtschaft

Aktuell basiert das Datenschutzrecht in Deutschland auf einer Richtlinie der Europäischen Union aus dem Jahr 1995. Die europäische Kommission hat allerdings festgestellt, dass die Umsetzung dieser Richtlinie in den einzelnen Mitgliedstaaten der Union sehr unterschiedlich ist. Außerdem konnte man 1995 etliche der aktuellen Herausforderungen an Datenschutz und IT-Sicherheit nicht vorhersehen. Web 2.0, Internet der Dinge, Industrie 4.0, Cloud Computing sind nur einige Stichworte, die damals nicht berücksichtigt werden konnten.

Aufgabe des Datenschutzes ist der Schutz des einzelnen davor, in seinen Persönlichkeitsrechten durch Missbrauch seiner personenbezogenen Daten geschädigt zu werden. Insoweit bestehen enge Beziehungen zwischen dem Datenschutzrecht und dem Recht der IT Sicherheit. Etliche Anforderungen des Datenschutzrechts können auch als Anforderungen an gute IT Sicherheit gewertet werden.

Höhere Bußgelder

Verstöße gegen Vorschriften des Bundesdatenschutzgesetzes sind nach § 43 BDSG Ordnungswidrigkeiten, die mit Geldbußen bis zu 50.000 € bzw. bis zu 300.000 € geahndet werden können (§ 43 Abs. 3 S. 1 BDSG). Dabei bestimmt § 43 Abs. 3 S. 2 BDSG, dass die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen soll. Ist dies nicht gewährleistet, können die genannten Beträge nach § 43 Abs. 3 S. 3 BDSG überschritten werden.

Nach Art. 83 Abs. 1 DSGVO müssen die Aufsichtsbehörden Sorge tragen, dass sie Geldbußen festsetzen, die in jedem Einzelfall wirksam, verhältnismäßig und abschreckend wirtschafwirken. Demgegenüber hatte § 43 Abs. 3 S. 2 BDSG nur vorgeschrieben, dass die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen muss. Der Bußgeldrahmen ist nunmehr drastisch verschärft. Die beteiligten natürlichen Personen müssen mit Geldbußen bis zu 20 Millionen € rechnen. Bei Unternehmen ist eine umsatzbezogene Berechnung der Bußgelder möglich. Je nach Verstoß können dabei gegen Unternehmen Unternehmen Geldbußen von bis zu 2 % bzw. 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs festgesetzt werden. Hierbei können durchaus drastische Geldbußen herauskommen.

Erweiterte Schadensersatzansprüche auch für immaterielle Schäden

Art. 82 Abs. 1 DSGVO legt fest, dass materielle und immaterielle Schäden, die durch Verstöße gegen die Verordnung entstanden sind, zu erstatten sind. Anspruchsgegner ist der Verantwortliche oder der Auftragsverarbeiter. Bislang gibt es Regelungen zum Schadensersatz in § 7 und § 8 BDSG. Bedeutender Unterschied ist insbesondere, dass abweichend von § 7 BDSG und § 8 Abs. 2 BDSG nunmehr immaterielle Schäden ausdrücklich erwähnt sind.

Auf Basis der Datenschutz Grundverordnung wird in Zukunft in solchen Fällen Schadensersatz auch für immaterielle Schäden, also für Verletzung der Persönlichkeitsrechte, zugesprochen werden. Es kann auch davon ausgegangen werden, dass der Schadensersatz in deutlich höheren Summen zugesprochen wird, als dies bislang der Fall ist.

Abmahnrisiko Datenschutz

Neben Bußgeld und Schadensersatz drohen auch Abmahnung durch Wettbewerber. Bislang kennt man die wettbewerbsrechtliche Abmahnung nur aus anderen Bereichen. Die Gerichte gehen zunehmend dazu über, auch die wettbewerbsrechtliche Relevanz von Vorschriften zum Datenschutz anzuerkennen und daher entsprechende Abmahnungen zu akzeptieren.

Verantwortlichkeit der Auftragsverarbeiter

Cloud-Anbieter werden von der Datenschutz Grundverordnung als Auftragsverarbeiter bezeichnet. Nach aktuellen Datenschutzrecht sind sie Auftragsdatenverarbeiter. Das aktuelle Recht verpflichtet allein den Auftraggeber, für die Einhaltung der Vorschriften des Datenschutzes Sorge zu tragen und Beantwortung zu übernehmen.

Die Datenschutz Grundverordnung nimmt nun auch die Auftragnehmer, also die Anbieter von Cloud-Diensten in die Verantwortung.