IT-Sicherheit – Das gesetzliche Einmaleins für den Mittelstand
Lesedauer: ca. 10 Min
In Zeiten zunehmender digitaler Vernetzung sowie konstant wachsender Online-Kriminalität ist die Aufrechterhaltung der IT-Sicherheit schon lange zu einer Schlüsselaufgabe für den Staat, die Volkswirtschaft ebenso wie die Gesellschaft avanciert. Jedoch wird dieser Entwicklung in der Arbeitsrealität noch lange nicht die notwendige Achtsamkeit eingeräumt, was beachtliche juristische Konsequenzen haben kann.
Welche gesetzlichen Vorschriften und Verordnungen Geschäftsbetriebe im Hinblick auf die IT-Security beachten und realisieren müssen, lernen Sie in unserem nachfolgenden Blog.
Mittlerweile sind die Wettbewerbsfähigkeit sowie der Erfolg eines Unternehmens ohne den Einsatz einer leistungsfähigen sowie hochverfügbaren IT-Umgebung nicht denkbar.
Laut aktueller Analysen sind mittlerweile ca. 81 Prozent der befragten Manager davon überzeugt, dass eine aktuelle IT-Umgebung Innovationskraft, Einfallsreichtum und Ertragsfähigkeit begünstigt.
Obgleich der Einsatz moderner Systeme elementare sowie zukunftsweisende Vorzüge für Firmen bereithält, resultieren diese häufig ebenso in einer steigenden IT-Abhängigkeit und erhöhen so die Möglichkeiten für Fehlkonfigurationen, was zu steigender Anfälligkeit für Cyberangriffe führt und darüber hinaus geltendes Datenschutzrecht verletzen kann.
Aus diesem Grund ist inzwischen in sämtlichen Wirtschaftssektoren eine zunehmende juristische Reglementierung der IT-Security festzustellen.
Bedrohungen aus dem Internet mit Rechtsnormen abwenden
Das Schlüsselthema IT-Security beschäftigt im Zuge der zunehmenden Vernetzung der Geschäftsprozesse immer mehr Firmen. Allerdings sind die einschlägigen staatlichen Vorgaben an Unternehmungen zunächst alles andere als leicht überblickbar.
Denn bis jetzt existiert kein Sammelgesetz, das sämtliche Regelungen mit Wechselbeziehung zur IT-Sicherheit bündelt. Vielmehr fungieren mehrere verschiedenartige Normen zusammen, um Unternehmen zu verpflichten, ein IT-Risikomanagement zu realisieren und in die Implementierung risikoangepasster IT-Sicherheitsvorkehrungen und IT-Sicherheitslösungen zu investieren.
Wird dies jedoch verpasst, können im Kontext eines IT-Sicherheitsvorfalls zusätzlich zu schweren Reputationsschäden mitunter Geldbußen in enormer Höhe fällig werden.
Alleinig im Kalenderjahr 2020 wurden in der Europäischen Union zusammen 160 Mio Euro Geldbußen wegen Übertretungen gegen die Europäische Datenschutzgrundverordnung fällig. In der Bundesrepublik erging die größte Geldbuße mit 35,3 Millionen € an das H&M Servicecenter in Nürnberg, welches die persönlichen Lebenssituationen 100ter Angestellter ausgeforscht haben soll.
Relevante Rechtsvorschriften zur IT-Sicherheit im Überblick
Im Zuge der immer schwerer werdenden Bedrohungssituation sehen sich die Legislative ebenso wie Unternehmen selbst vermehrt in der Pflicht, zu agieren. Einerseits entstehen neue und innovative IT-Sicherheitslösungen und Dienste, die das IT-Sicherheitsniveau erhöhen. Auf der anderen Seite werden striktere Erfordernisse an eine firmeninterne IT-Sicherheit formuliert, um so IT-Risiken über technologische, organisatorische, infrastrukturelle sowie personelle IT-Securitymaßnahmen zu vermindern.
Normen, die vor allem die IT-Security betreffen, haben im Zuge dessen in erster Linie die Zielsetzung, die IT-Umgebung eines Unternehmens vor Internetangriffen, unberechtigtem Zugriff und Manipulation zu schützen. Regelungen, welche den Datenschutz anbelangen, haben die Zielsetzung, einen zuverlässigen Schutz für Betriebsdaten im Hinblick auf Nutzbarkeit, Vertraulichkeit, Integrität und Authentizität zu erreichen.
Damit Unternehmen vorschriftsmäßige IT-Securitymaßnahmen implementieren können, sind etwa die nachstehenden Gesetze und Verordnungen für sie von Belang:
Das IT-Sicherheitsgesetz
Beimm IT-Sicherheitsgesetz, kurz IT-SiG, handelt es sich um ein Artikelgesetz, welches die Absicht verfolgt, die Integrität von Datensammlungen und IT-Systemen zu sichern sowie zu garantieren. Bei dem Gesetz stehen vor allen Dingen die Provider systemkritischer Infrastrukturen aus den Bereichen Strom- und Wasserversorgung, Finanzen oder Ernährung im Mittelpunkt. Die Anbieter sind gesetzlich in der Verpflichtung, ihre Geschäfts-IT angemessen zu schützen ebenso wie minimum alle zwei Kalenderjahre kontrollieren zu lassen. Dazu kommen Pflichten zur Meldung an das Bundesamt für Sicherheit in der Informationstechnik nach eingetretenen IT-Sicherheitsvorfällen.
Die EU-Datenschutzgrundverordnung
Die EU-Datenschutzgrundverordnung ist wie das IT-SiG ein Artikelgesetz. Es verfolgt die Absicht, europaweit für deckungsgleiche Bestimmungen zu sorgen, die den Datenschutz anbelangen. Hierdurch erhöhen sich die Erfordernisse an die Datenschutz-Compliance und ein gut funktionierendes Datenschutz-Verwaltungs-System. Die Regelungen des inländischen Datenschutzgesetzes, kurz BDSG, erweitern die EU-DSGVO, indem unterschiedliche Parameter weiter verdeutlicht werden.
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Verbesserung der Grundlagen der Unternehmensführung ab. Weiter sollen Firmen motiviert werden, sich stärker mit dem Thema IT-Risikomanagement auseinanderzusetzen sowie in ein unternehmensweites Früherkennungssystem zu investieren.
Die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, kurz GoBD, handelt es sich um Vorgaben aus einer Verwaltungsanweisung des Bundesministeriums der Finanzen für die Dokumentationsprozesse in Firmen. Die GoBD sollen sicherstellen, dass Betriebe, in welchen unternehmerische Prozesse und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten gegeben sind, verschiedene Sorgfaltspflichten bei der Weiterverarbeitung, Speicherung und Bereitstellung der Daten zu beachten. Jedoch müssen sämtliche Anforderungen über ein firmeninternes Kontrollsystem verwirklicht werden. Auch ist eine Prozessdokumentation als Nachweis eines rechtskonformen Betriebes verlangt.
Neben diesen vier bedeutsamen rechtlichen Grundlagen sollten Betriebe bei der Implementierung einer risikoadäquaten IT-Sicherheitsstrategie noch die nachfolgenden Richtlinien berücksichtigen:
- Die Grundsätze für eine ordnungsmäßige Datenverarbeitung, kurz GoDV
- Das Gesetz zum Schutz von Geschäftsgeheimnissen, kurz GeschGehG
- Telekommunikations-Überwachungsverordnung, abgekürzt TKÜV
- Telemediengesetz, kurz TMG beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz, abgekürzt TTDSG, welches ab dem 01.12.2021 gilt
- Die §§ 69a ff. und der § 106 im Urheberrechtsgesetz, kurz UrhG
Gesetze zur IT-Sicherheit schützen Ihren unternehmerischen Erfolg
Mittelständische Unternehmen müssen heutzutage eine Fülle gesetzlicher Vorgaben im Hinblick auf ihre IT-Sicherheit einhalten – andernfalls können hohe Geldbußen drohen.
Daher ist es wesentlich, dass sich Geschäftsbetriebe früh genug mit den wichtigsten Gesetzesnormen und Verordnungen zum Thema IT-Sicherheit befassen. Nur so können sie ein konstant hohes IT-Sicherheitsniveau und die erforderliche IT-Compliance gewährleisten.
Möchten Sie mehr über die gesetzlichen Komponenten der IT-Sicherheit lernen oder benötigen Sie einen externen IT-Sicherheitsbeauftragten? Wir stehen Ihnen mit unserer langjährigen Erfahrung und Expertise gerne zur Seite!
Foto © Sora Shimazaki von Pexels