Juristische Vorgaben zur Erhöhung der IT-Security!

In Zeiten zunehmender digitaler Vernetzung sowie stetig ansteigender Cyberkriminalität ist die Gewährleistung der IT-Sicherheit schon lange zu einer Hauptaufgabe für die Regierung, die Volkswirtschaft sowie die Zivilgesellschaft geworden. Allerdings wird dieser Entwicklung in der täglichen Praxis längst noch nicht die nötige Achtsamkeit eingeräumt, was enorme juristische Auswirkungen zeitigen kann. Welche gesetzlichen Vorschriften und Verordnungen Betriebe im Hinblick auf die IT-Sicherheit, beachten sowie vollziehen müssen, lernen Sie in dem untenstehenden Beitrag.

Dieser Tage sind die Wettbewerbsfähigkeit wie auch der ökonomische Erfolg eines Unternehmens ohne die Nutzung einer performanten und hochverfügbaren IT-Infrastruktur nicht denkbar.

Laut einer gegenwärtigen Analyse von Riverbed sind heute 81 Prozent der befragten Entscheider der Überzeugung, dass eine fortschrittliche IT-Umgebung Innovation, Erfindungsreichtum und Ertragsfähigkeit steigert.

Wenngleich der Einsatz neuartiger Systeme wichtige sowie fortschrittsermöglichende Nutzen für Firmen schafft, münden diese oftmals gleichermaßen in einer steigenden IT-Dependenz und erweitern so das Risiko für moderne Internetbedrohungen, fehlerhaften Konfigurationen und Datenschutzverletzungen.

Demnach ist inzwischen in allen Wirtschaftssektoren eine erhöhte staatliche Reglementierung der IT-Sicherheit zu verzeichnen.

Hohe IT-Security durch gesetzliche Regulierung!

Das Kernthema IT-Security betrifft im Zuge der zunehmenden Vernetzung der Arbeitswelt laufend mehr Geschäftsbetrieben. Allerdings sind die einschlägigen gesetzlichen Anforderungen an Geschäftsbetriebe erst einmal nicht gerade leicht überschaubar.

Denn bis jetzt besteht kein Hauptgesetz, welches alle Vorschriften mit Bezug zur IT-Security zusammenfasst. Eigentlich funktionieren zahlreiche verschiedene Gesetze zusammen, um Unternehmungen in die Pflicht zu nehmen, ein IT-Risikomanagement einzusetzen sowie in die Verwirklichung risikoangepasster IT-Sicherheitsmaßnahmen wie auch IT-Sicherheitslösungen zu investieren.

Wird das jedoch versäumt, können im Fall eines IT-Sicherheitsvorfalls zusätzlich zu großen Reputationsschäden mitunter Bußgelder in immenser Höhe fällig werden.

Nur im Jahr 2020 wurden in der Europäischen Union zusammen 160 Millionen Euro Geldbußen auf Basis von Überschreitungen gegen die EU Datenschutzgrundverordnung verhängt. Hierzulande erging die größte Geldbuße mit 35,3 Millionen Euro an das H&M Servicecenter in Nürnberg, das die privaten Lebenssituationen hunderter Beschäftigter ausgespäht haben soll.

Die wesentlichen Normen zur IT-Sicherheit im Überblick:

Angesichts der immer komplizierter werdenden Gefahrenlage sehen sich die Gesetzgeber genauso wie Unternehmen mehr und mehr in der Verpflichtung zu handeln. Auf der einen Seite entstehen brandneue und originelle IT-Sicherheitslösungen und Dienstleistungen, die das Sicherheitsniveau steigern. Auf der anderen Seite werden schärfere Erfordernisse an eine unternehmensinterne IT-Security formuliert, um IT-Bedrohungen durch technische, organisatorische, strukturelle und personelle IT-Security Maßnahmen zu verkleinern. Normen, welche insbesondere die IT-Security anbelangen, haben dabei schwerpunktmäßig die Intention, die IT-Infrastruktur eines Betriebes vor Internetattacken, unbefugtem Zugang sowie Manipulation zu bewahren. Vorschriften, die den Datenschutz angehen, haben die Absicht, einen zuverlässigen Schutz für Geschäftsdaten im Zusammenhang mit Nutzbarkeit, Vertraulichkeit, Integrität und Authentizität zu erreichen. Damit Unternehmen vorschriftsmäßige IT-Sicherheitsmaßnahmen realisieren können, sind unter anderem die folgenden Gesetze und Verordnungen für sie maßgeblich:

• die EU-DSGVO: Die EU-Datenschutzgrundverordnung ist wie auch das IT-Sicherheitsgesetz ein Artikelgesetz. Es hat die Intention, EU weit für einheitliche Regularien zu sorgen, die den Datenschutz beeinflussen. Damit erhöhen sich die Anforderungen an die Datenschutz-Compliance sowie ein gut funktionierendes Datenschutz-Verwaltungs-System. Die Vorgaben des deutschen Datenschutzgesetzes, abgekürzt BDSG, erweitern die EU-DSGVO, indem unterschiedliche Parameter konkretisiert werden.
• das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich: Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, zielt auf die Fortentwicklung der Grundsätze der Führung von Firmen ab. Im Übrigen sollen Firmen angehalten werden, sich stärker mit dem Themenkreis IT-Risikomanagement zu beschäftigen sowie in ein betriebsweites Früherkennungssystem zu investieren.
• die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff: Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff, abgekürzt GoBD, handelt es sich um Vorgaben aus einer Verwaltungsanweisung des Finanzministeriums für die Dokumentationsprozesse in Firmen. Die GoBD zielen darauf ab, dass Firmen, in welchen betriebliche Prozesse und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen, diverse Sorgfaltspflichten bei der Weiterverarbeitung, Vorhaltung sowie Zurverfügungstellung der Daten zu beachten. Gleichwohl sollten jegliche Anforderungen über ein firmeninternes System umgesetzt werden. Gleichermaßen wird eine Verfahrensdokumentation als Bestätigung eines ordnungsgemäßen Systembetriebs verlangt.

Abgesehen von diesen vier bedeutenden Rechtsvorschriften sollten Unternehmen bei der Durchführung einer risikoangemessenen IT-Securitystrategie noch die folgenden Normen berücksichtigen:

• die Grundsätze für eine ordnungsmäßige Datenverarbeitung, kurz GoDV
• das Gesetz zum Schutz von Geschäftsgeheimnissen, kurz GeschGehG
• Telekommunikations-Überwachungsverordnung, abgekürzt TKÜV
• Telekommunikationsgesetz, abgekürzt TKG
• Telemediengesetz, kurz TMG
• Beziehungsweise das Telekommunikation-Telemedien-Datenschutzgesetz, abgekürzt TTDSG, das ab dem 01.12.2021 wirksam ist.
• die §§ 69a ff. und der § 106 im Urheberrechtsgesetz, abgekürzt UrhG

Auch Gesetze zur IT-Sicherheit schützen Ihren Unternehmenserfolg!

Heutzutage müssen Unternehmungen in der BRD eine Fülle juristischer Vorgaben im Hinblick auf ihre IT-Sicherheit beherzigen, anderenfalls können empfindliche Strafen drohen.

Folglich ist es essentiell, dass sich Geschäftsbetriebe frühzeitig mit den einschlägigen Gesetzesnormen ebenso wie Richtlinien, die die IT-Sicherheit anbelangen, auseinandersetzen.

Nur dadurch können sie eine dauerhaft hohe IT-Sicherheit und die benötigte IT-Compliance sicherstellen.

Möchten Sie noch mehr über die juristischen Aspekte der IT-Security erfahren oder brauchen Sie einen externen IT-Sicherheitsbeauftragten? Wir beraten Sie gerne individuell!