Gefahr von Cyberangriffen, IT-Sicherheit und die Verantwortung für lückenlosen Schutz

Haufe Online Redaktion

IT-Sicherheit und die Verantwortung für lückenlosen Schutz — Bild: Haufe Online Redaktion Plötzlich ist das Wasser weg. Immer mehr Hacker-Angriffe auf Unternehmen und kritische Infrastrukturen

Die Zahl der Cyber-Angriffe steigt kontinuierlich. Hacker verfolgen zunehmend ehrgeizigere und bizarrere Ziele. Aufgrund des IT-Sicherheitsgesetzes und anderer Normen ist dies für die Unternehmen nicht nur ein faktisches und haftungsrechtliches, sondern zunehmend auch ein strafrechtliches und existenzielles Problem.

Kürzlich hätten Hacker der Gemeinde Ettlingen durch einen Zugriff auf die Leitwarte fast das Wasser und Strom abgedreht.

Es fehlten nur noch wenige Klicks - keine Zukunfts-Horrorvision, sondern eine echte Gefahr, die viele Menschen, Branchen und Versorger bedroht. Zur Compliance gehört daher immer dringlicher die technische Sicherheit und die lückenlos rechtlich korrekte Nutzung der IT im Unternehmen. Das gilt insbesondere für die Betreiber kritischer Infrastrukturen, aber nicht nur für diese.

Einführung eines Informationssicherheitsmanagementsystems

Um die IT-rechtskonform zu organisieren, sollte man sich an anerkannten Standards wie der ISO 27001, den BSI-Grundschutzkatalogen oder COBIT orientieren. Die technischen Standards der DIN ISO 27001 (DIN zur Einführung eines Informationssicherheitsmanagementsystems) geben die Leitlinien vor, die den Umgang mit der betrieblichen IT regeln. Dazu zählen z. B. Themen wie

ein internes Kontrollsystem (IKS),
ein Risiko-Management-Systeme (RMS),
ein Frühwarnsystem,
spezielle Verwaltungs- und Analysesysteme,
revisionssichere Dokumenten-Management-Systeme (DMS) oder Archivsysteme,
Workflow-Systeme bei Compliance-gerechten Freigabe- und Genehmigungsprozessen,
Freigabe von Gastzugängen,
Ausgestaltung der Firewall oder entsprechender Content-Filter,
Benutzerrichtlinien,
Verpflichtungserklärungen zum Datenschutz
und Vorgaben zur Dokumentation.

Gesetzliche Pflicht zur Sicherstellung der IT-Compliance

Eine Pflicht der Geschäftsführung zur Einhaltung der Gesetze bzw. zur Sicherstellung der Compliance ergibt sich nicht nur aus dem aus dem IT-Sicherheitsgesetz, sondern auch aus dem Gesetz über Ordnungswidrigkeiten (§§ 9, 30, 130 OWiG), dem Aktiengesetz (§§ 91, 93 AktG) und dem GmbH-Gesetz (§ 43 GmbHG).

Danach sind die Verantwortlichen verpflichtet, wirtschaftlichen Schaden vom Unternehmen abzuwenden und deshalb Gesetzesverstöße nicht zu dulden.

Compliance-Aufgaben im IT-Bereich

Für den IT-Bereich müssen Unternehmensverantwortliche Vorgaben für die folgenden, auch gesetzlich fixierten Themenbereiche machen und deren Durchführung und Einhaltung kontrollieren:

Datenschutz (Bestellung des Datenschutzbeauftragten, Vorgaben zur Nutzung von Kundendaten, Weitergabe von Daten an Dritte, EU Datenschutz Grundverordnung)

Datensicherheit (Bestellung eines Sicherheitsbeauftragten, Firewall und Virenschutzprogramme, technische Vorkehrungen wie Sicherung der Stromversorgung, Nutzung von Cloud-Computing-Diensten, Abschluss einer Betriebsunterbrechungsversicherung)

Zugangsberechtigungen (Definition, Kontrollen, Zugangskontrollen, Passwörter, Änderungsberechtigungen)

Internet (Vorgaben für Arbeitnehmer zur privaten Nutzung, Impressumspflicht /Anbieterkennung gemäß Telemediengesetz, Hinweis auf Widerrufsrechte und Informationspflichten gem. § 312g BGB, Hinweis auf die Online-Schlichtungsstelle gem. EU-Verordnung Nr. 524/2013)

Vorgaben zur Nutzung von mobilen Geräten (Notebook, Tablet, Smartphone) durch die Mitarbeiter (aktuelle Sicherheits-Software, Vorgabe zur Nutzung von Apps.

Alle Geschäftsführer haften

Geschäftsführer sind gemeinsam zuständig dafür, dass Allgemeine Leitlinien zur Einhaltung von Recht und Gesetz durch die Mitarbeiter vorgegeben werden.

Ressort-verantwortliche Geschäftsführer sollten darüber hinaus zusätzliche Leitlinien vorgeben, die speziell zu beachten sind. Konkret können die einzelnen Punkte betriebs-individuell in einer „Mitarbeiterverpflichtungen zum Umgang mit der IT“ umgesetzt werden. Diese sollten in einer Betriebsvereinbarung bzw. in den Arbeitsverträgen oder Zusätzen dazu als verpflichtend eingeführt und mit entsprechenden Sanktionen bedroht sein.

Strengere Vorgaben für Betreiber kritischer Infrastrukturen

Strengere Pflichten, etwa die Implementierung von Kontaktstellen für die Meldung von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI), wurden durch das IT-Sicherheitsgesetz den Betreibern kritischer Infrastrukturen, etwa Energieversorger und Krankenhäusern, adäquate Schutzmaßnahmen auferlegt.

Für die Einführung eines Informationssicherheitsmanagementsystems (kurz: ISMS) gemäß DIN ISO/IEC 27001 ist dessen Zertifizierung bis zum 31. Januar 2018 Pflicht. Die Verantwortung hierfür liegt bei der Geschäftsleitung der betroffenen Unternehmen.

In einer zunehmend vernetzte Gesellschaft gibt es immer größere Angriffsfläche, da z.B. Systeme von Windkrafträder, Solarenergie- und Biogasanlagen mit Kohle- und Atomkraftwerken etc. verbunden sind. Cyberangriffe können Wasser- und Energieversorgungen oder Ampelanlagen für ganze Gemeinden und Landstriche außer Gefecht setzen. Das gibt dem Begriff Haftung eine neue Dimension.

Strikte Organisation und Verantwortlichkeit

Gegenmittel sind nicht nur aktuelle Sicherungssysteme und Vorgaben, sondern wasserdichte und strenge organisatorischen Maßnahmen für ihre Einhaltung. Sie müssen ausnahmslos jeden im Unternehmen erfassen, vom Hausmeister über den Praktikant bis zum Geschäftsführer.

Flächendeckend Kommunikation und Einhaltung von Regeln und Maßnahmen sind genauso wichtig, wie der neueste Softwareschutz. Dieser läuft leer, wenn aus praktischen Gründen manuell deaktiviert wird oder ungeschützte mobiler Endgeräte bis in höchste Sicherheits- und Hierachieebenen vorkommen.

Sinnvoll ist ein zentraler Verantwortlicher für IT-Sicherheit, der seine Ziele gegenüber jedermann mit der gebotenen Ernsthaftigkeit umsetzen kann und nicht zurückgepfiffen wird, wenn er mit seinen Vorgaben lästig zu werden droht.

Warnung vor Sicherheitslücken im Onlinehandel

Fast jedes zweite Unternehmen ist von Cyberangriffen betroffen

Hintergrund: IT-Sicherheitsgesetz

Nach § 2 Abs. 10 BSIG erstreckt sich der Anwendungsbereich des Sicherheitsgesetzes auf Betreiber kritischer Infrastrukturen, zu denen etwa die Sektoren

Energie
Informationstechnik & Telekommunikation
Transport & Verkehr
Gesundheit
Wasser
Ernährung sowie
Finanz & Versicherungswesen

gehören, wobei jedoch nur solche Betreiber betroffen sind, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Eine genaue Bestimmung des Begriffs der kritischen Infrastrukturen soll in einer noch zu erlassenden Verordnung erfolgen, sodass der Anwendungsbereich noch nicht abschließend feststeht.

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Cyberangriffe, IT-Sicherheit und die Verantwortung für lückenlosen Schutz