Bundestag und Bundesrat haben das neue IT-Sicherheitsgesetz (ITSiG) beschlossen. Nach Verkündung, ist das ITSiG daher verbindliches Recht. Damit ist IT-Sicherheit erstmals allgemein und in einem eigenen Gesetz vorgeschrieben. Unternehmen sollten spätestens jetzt IT-Sicherheit ganz oben auf die eigene Unternehmensagenda stellen. Der Beitrag stellt die wichtigsten Neuerungen des ITSiG dar und skizziert Lösungsansätze.
Betroffen sind nur Betreiber „Kritischer Infrastrukturen“ (KRITIS)? – Ein großer Irrtum
Meist wurde der Gesetzesentwurf unter dem Schlagwort KRITIS diskutiert. Laut Gesetzesbegründung sind hiervon wohl nur geschätzt 2000 Unternehmen betroffen. Entwarnung kann aber leider nicht gegeben werden, da
- das Gesetzt nicht nur KRITIS, sondern jeden Telemedienanbieter betrifft und
- die Regelungen zu KRITIS mittelbar auch Dienstleister von KRITIS
Jeder Telemedienanbieter betroffen
Sofern möglich und wirtschaftlich zumutbar, müssen Diensteanbieter ab sofort technische und organisatorische Vorkehrungen zur IT-Sicherheit (TOV) treffen, die den Stand der Technik einbeziehen. Selbst kleine Websitebetreiber stehen nunmehr ausdrücklich in der Pflicht. Ausnahmen kennt das Gesetzt hier nicht, § 13 Abs. 7 TMG (neu). Aber welches Niveau müssen diese IT-Sicherheitsmaßnahmen haben? Absolute Sicherheit ist nicht möglich, die Bedrohungslage ändert sich ständig. Das hat der Deutsche Bundestag an seinen eigenen Servern erfahren, während er das ITSiG beraten hat. Das Gesetz bleibt eine Antwort schuldig, wie die erforderlichen Maßnahmen zum Aufwand und dem angestrebten Schutzzweck in ein angemessenes Verhältnis gesetzt werden sollen.
Wir empfehlen eine nachvollziehbare und dokumentierte Abwägung anhand folgender Parameter zu treffen (Schutzbedarfsanalyse):
- Art der Daten/ Informationen (Wirkungsklassen),
- Zweck der Datenverarbeitung,
- Schadensrisiko,
- objektive Risikolage (allgemein und branchenspezifisch),
- subjektiver Risikolage,
- Unternehmensgröße/ wirtschaftliche Leistungsfähigkeit,
- eigene Sachkunde.
Hieraus entsteht für das konkrete Unternehmen eine dokumentierte Schutzbedarfsanalyse, die die konkreten Maßnahmen festlegt. Das Dokument kann auch in einem IT-Sicherheitskonzept verwertet oder Kunden gegenüber kommuniziert werden. Werbliche Vorteile gegenüber Konkurrenten ergeben sich von selbst. Der schwerste Schuldvorwurf würde ein Unternehmen jedenfalls immer dann treffen, wenn überhaupt keine Schutzbedarfsanalyse vorgenommen wurde.
Dienstleister von KRITIS
Jeden Dienstleister für KRITIS-Unternehmen, wie z.B. Cloud-Anbieter, können mittelbar die ITSiG-Pflichten treffen. Hier muss bei der Vertragsgestaltung ganz genau hingeschaut werden, z.B. wer bestimmt das IT-Sicherheitsniveau, wie sieht dieses aus, wer setzt welche Maßnahmen um und wer ist für die Erfüllung der gesetzlichen Meldepflichten verantwortlich. Wird hierzu nichts vereinbart, muss die Leistung den Kunden in die Lage versetzen, seine gesetzlichen Anforderungen zu erfüllen. Wer also für KRITIS tätig wird, muss auch ohne gesonderte Vereinbarung das erforderliche Schutzniveau gewährleisten.
Da das Gesetz für KRITIS branchenspezifische Regelungen zulässt, die mit dem Bundesamt für Sicherheit in der Informationstechnik abgestimmt werden, sollten Dienstleister sich bei ihren Verbänden für ein vertretbares Niveau einsetzen. Karsten U. Bartels ist mit dem Bundesverband für IT-Sicherheit e.V. (TeleTrusT) hier bereits sehr aktiv.
Haftungsrisiko
Verstöße gegen das ITSiG begründen facettenreiche Haftungsrisiken. Primär besteht eine Haftung aus dem Gesetz selbst. Nach § 16 Abs. 2 Nr. 3 TMG können die im Gesetz bestimmten Ordnungswidrigkeiten mit EUR 50.000,- geahndet werden. Aus vertraglicher Sicht besteht das Risiko, dass sowohl Kunden als auch Vertragspartner bei Datenpannen Schadensersatz geltend machen, weil eine Leistung als mangelhaft anzusehen ist, die eine Datenpanne nicht verhindert. Betriebsschäden können hier erhebliche Höhen annehmen, die aufgrund der fehlenden Vorsorge auch nur eingeschränkt von Versicherungen ausgeglichen werden, § 81 Abs. 2 VVG. Daneben sind Regressansprüche des ersatzpflichtigen Unternehmens gegen die Unternehmensleitung denkbar.
IT-Sicherheit gehört spätestens mit dem ITSiG zum Risikomanagement, für dessen Einrichtung und Durchführung Geschäftsführer und Vorstände persönlich haften (§ 43 GmbHG, §§ 91, 93, 116 AktG).