Die Anzahl an (erfolgreichen) Cyber Attacken und Sicherheitsvorfällen hat in den vergangenen Jahren kontinuierlich zugenommen. Und Sicherheitsexperten prognostizieren eine weitere Zunahme von Cyber Attacken – nicht zuletzt aufgrund Entwicklungen von 5G, Internet of Things, Over-the-Air-Updates bei Fahrzeugen und derlei mehr. Diese Entwicklungen bieten weitere Angriffspunkte für Hacker. Ein Blick auf die Chronik der Hacker-Attacken in den vergangenen fünf Jahren zeigt, dass auch renommierte Unternehmen mit großen IT-Budgets betroffen sind.

Angesichts dieser Bedrohungslage reagieren Unternehmen ebenso wie der Gesetzgeber: Einerseits entstehen neue Produkte und Services rund um Cyber Security, die Awareness für Sicherheitsrisiken steigt (und zunehmend auch das Budget für Cyber Security Investitionen). Andererseits schafft der Gesetzgeber Regularien, um IT Sicherheits-Standards zu schaffen – und Behörden die das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu stärken. Nachfolgend ein Überblick über einige wesentliche IT Sicherheitsgesetze und IT Sicherheitsstandards.

IT-SiG: IT-Sicherheitsgesetz (1.0 und 2.0)

Das IT-Sicherheitsgesetz richtet sich vor allem an die Betreiber sogenannter “Kritischer Infrastrukturen”. Darunter fallen etwa Elektrizitätswerke, Wasserwerke oder etwa Atomkraftwerke. Das IT-SiG definiert IT Sicherheitsstandards, um ein Mindestniveau an Cyber Resilience zu erreichen. Eine Zertifizierung im 2-Jahres-Ryhthmus ist vorgesehen. Auch die Meldung sicherheitstechnischer Vorfälle an das BSI ist vorgeschrieben. Eine erste Fassung des IT-Sicherheitsgesetzes wurde 2015 veröffentlicht. Das IT-SiG 2.0 wurde Ende April 2021 vom Bundestag verabschiedet.

Das IT-SiG 1.0 (aus dem Jahr 2015) setzte darauf, dass Betreiber von Kritischen Infrastrukturen (KRITIS) Branchenspezifische Sicherheitsstandards innerhalb einschlägiger Branchenverbände entwickeln. Diese wurden vom BSI auf Eignung geprüft. In jedem Fall aber bedeutet das IT-SiG für betroffene Unternehmen, dass ein Informations-Sicherheits-Management-Systems auf Basis der internationalen Norm ISO/IEC 27001 oder auf Basis des IT-Grundschutzes eingeführt werden muss. Das resultiert in Risikomanagement, Notfallmanagement und umfangreichen Dokumentationsverpflichtungen.

Das IT-SiG 2.0 geht einen Schritt weiter: Es wird ein konkreter Anforderungskatalog vorgelegt, der sich inhaltlich am existierenden BSI-C5-Katalog anlehnt. Damit gibt es branchenübergreifend einen einheitlichen und in sich schlüssigen Rahmen für geeignete IT Sicherheitsmaßnahmen. Das IT-SiG 2.0 sieht auch eine deutliche Erweiterung der Befugnisse des BSI vor. Dazu zählt auch der unter dem Pseudonym bekannt gewordene Hackerparagraf: Dieser erlaubt dem BSI das „Angreifen“ von Unternehmen und Infrastrukturen, um anschließend Anforderungen zur Umsetzung (z.B. erforderliche technische und organisatorische Maßnahmen) zu geben. Unter anderem soll die Behörde auch ein IT-Sicherheitskennzeichen einführen, das Orientierung hinsichtlich der IT-Sicherheit von Produkten geben soll; ein Wermutstropfen hierbei ist allerdings, dass dieser Sicherheitskennzeichen freiwillig, also nicht verpflichtend ist. Und: die Geldbußen bei Verstößen werden signifikant erhöht: Galt bislang noch ein Strafrahmen von 100.000 Euro je Verstoß vorgesehen, so sollen zukünftig Geldbußen von bis zu 20.000.000 Euro oder von bis zu 4 Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs möglich sein.

Übrigens: Das IT-SiG ist kein eigenständiges Gesetz. Es handelt sich vielmehr um ein sogenanntes „Artikelgesetz“. Das heißt: Bestehende Gesetze werden geändert bzw. ergänzt. Im Fall des IT-SiG beziehen sich die Änderungen unter anderem auf Gesetze wie das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telemediengesetz (TMG) oder auch das Bundeskriminalamtsgesetz (BKAG).

Der Gesetzestext zum IT-Sicherheitsgesetzt 1.0 findet sich HIER. Den vom Bundestag verabschiedete Gesetzesentwurf für das IT-Sicherheitsgesetz 2.0 können Sie HIER herunterladen.

DSGVO, BDSG

Die DSGVO („Datenschutz-Grundverordnung“) hat zum Ziel, einen Missbrauch von Daten zu verhindern, die eine natürlich Person unmittelbar betreffen. Die praktischen Konsequenzen für die Erfassung und Verarbeitung von personenbezogenen Daten sind weitreichend und betreffen zahlreiche Akteure von Unternehmen bis zu kleinen Vereinen. Nicht zuletzt deshalb zählt die DSGVO zweifelsohne zu den meistdiskutierten Gesetzen der jüngsten Zeit.

Die Autoren Frank Riemensperger und Prof. Dr. Svenja Falk fassen in Ihrem Buch Neues Wagen. Deutschlands digitale Zukunft zwischen den USA und China die Kritik am DSGVO im Kontext der Datenökonomie kompakt zusammen: “Die Grundsätze des sparsamen Umgangs mit Daten und der Zweckbindung zum Beispiel widersprechen dem Ansatz, aus einer möglichst großen Zahl unterschiedlichster Daten sinnvolle Muster herauszukristallisieren. (…) Insgesamt sei das Datenschutzrecht zu verbraucherlastig und zu wenig an den Bedürfnissen der Wirtschaft orientiert“ (S. 213). Die Autoren bringen als alternativen Ansatz die „Datenautonomie“ ins Spiel, die Interessen der Verbraucher am Datenschutz sowie die Interessen der Wirtschaft in Einklang bringt: “Tim Berners-Lee, einer der Schöpfer des World Wide Web, hat ein Start-Up gegründet, um die Datenarchitektur Solid zu skalieren. In deren Mittelpunkt steht das Vertrauen: Individuelle Daten, etwa persönliche Information, Finanzunterlagen, Gesundheitsdaten, Adressen, werden in sogenannten Pods im Web gespeichert, doch ihr Urheber kann sie jederzeit löschen oder zurückholen und auch darüber bestimmen, wer Zugang zu ihnen erhält.“ (S. 214f)

Die DSGVO gilt unmittelbar seit dem 25ten Mai 2018. Der Gesetzestext findet sich übersichtlich auf folgender eigener Webseite abgebildet: www.dsgvo-gesetz.de

eIDAS-VO

Für den Großteil an Rechtsgeschäften mit Unternehmen und Verbrauchern ist in der EU keine besondere Art der elektronischen Signatur erforderlich. Eine solche Signatur mit sehr hohem Sicherheitsstandard ist bislang nur für wenige Transaktionen vorgeschrieben. In Deutschland etwa für „den Vertrieb von Verbraucherkrediten“ oder „Arbeitsverträgen bei Zeitarbeitskräften“. Aber wenn elektronische Unterschriften auch bei Rechtsstreitigkeiten Bestand haben sollen, dann ist eine qualifizierte elektronische Signatur erforderlich. Im weiteren Sinne geht es auch darum, Identitätsdiebstahl vorzubeugen.

Grundsätzlich können folgende Elektronische Signaturen unterschieden werden. Es gibt, erstens, die „einfache elektronische Signatur“. Dies umfasst alle elektronischen Daten, die zum Unterzeichnen genutzt werden. Dazu zählt auch eine eingescannte Unterschrift (die freilich per Copy&Paste eingefügt werden und einfach entfernt werden kann). Es unterliegt hier der freien richterlichen Beweiswürdigung (§286 ZPO), welche Rechtswirksamkeit ein Dokument mit dieser Unterschrift hat. Es gibt, zweitens, eine „fortgeschrittene elektronische Signatur“. Die Signatur erfolgt durch Anwendung eines geheimen, privaten Schlüssels des Unterzeichnenden. Hier ist erkennbar, wenn ein Dokument nachträglich verändert wurde. Auch auch bei dieser Signatur unterliegt die Rechtswirksamkeit der Vereinbarung der freien richterlichen Würdigung (§286 ZPO).

Drittens, die „qualifizierte elektronische Signatur“. Diese setzt einen Vertrauensdienstleister voraus. In diesem Fall wird die Unterschrift von einem diesem Vertrauensdienstleister erstellt, geprüft und validiert. Ein solcherart generiertes Dokument besitzt die Beweiskraft privater Urkunden (§ 371a ZPO). Anders formuliert: Ein solcherart signiertes Dokument ist als Beweismittel vor EU-Gerichten zulässig. Und eben diese Voraussetzungen für die uneingeschränkte gerichtliche Wirksamkeit von Signaturen regelt die eIDAS-Verordnung, oder auch: .

Damit eine solche Signatur zur Anwendung kommen kann, sind mehrere Schritte erforderlich: Der Nutzer muss sich gegenüber dem Vertrauensdiensteanbieter identifzieren (z.B. durch persönliche Anwesenheit), erhält dann für ein Identifizierungsmittel (z.B. Signaturkarte) einen Schlüssel. Nun können Nutzer Zertifikate für signierte Dokument erstellen (durch Nutzung von Cloud-Technologien auch unterwegs per Smartphone oder Tablet). Der Vertrauensdiensteanbieter prüft dieses Zertifikat. Auf der Seite der Bundesnetzagentur ist der Ablauf in visueller Form übersichtlich dargestellt, nämlich HIER. Auf der Seite der Bundesnetzagentur findet sich außerdem auch eine Liste der Vertrauensdiensteanbieter.

Last but not least: Der Text zur eIDAS-Verordnung (Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt) findet sich HIER. Die zur Verordnung notwendigen nationalen Regelungen wurden mit Wirkung zum 29. Juli 2017 durch das eIDAS-Durchführungsgesetz getroffen.

PSD2

PSD2 steht für Payment Service Directive 2. Dabei handelt es sich um eine EU-Richtlinie, die Zahlungsdienste und Zahlungsdienstleister reguliert. Zum einen erhöht diese Richtlinie den Wettbewerb im Markt (Stärkung der Rolle von Zahlungsauslösediensten oder Kontoinformationsdiensten gegenüber Bankinstituten) und stärkt den Verbraucherschutz. Zum anderen erhöht diese Richtlinie die Sicherheit im Zahlungsverkehr. Und wie?

Seit Ende 2019 gilt die Verpflichtung zur „starken Kundenauthentifizierung“. Sowohl Online-Zahlungen als auch Kartenzahlungen (Kreditkarte, Debitkarte, etc.) erfordern nun die Bestätigung durch zwei unabhängige Merkmale aus den Kategorien „Wissen“ (z.B. PIN, Passwort…), „Besitz“ (z.B. Handy, Karte, TAN-Generator,…) oder „Inhärenz“ (z.B. Fingerabdruck…). Die INGDiba setzt ein PIN voraus, dazu wird das Foto-TAN-Verfahren oder das „Mobile TAN“ Verfahren eingesetzt (dynamisch generierter TAN). Die Online Trading Plattform flatex setzt auf PIN in Kombination mit einem TAN-Verfahren.

Der gesamte Gesetzestext kann abgerufen werden im Bundesanzeiger.

ISO 27001

Die ISO 27001 ist eine Norm, die Anforderungen für ein dokumentiertes Informationssicherheits-Managementsystem (ISMS) definiert. Sie ist eine der bekanntesten Normen für Informationssicherheit. Es geht vor allem darum, Risiken der Informationssicherheit (Integrität, Vertraulichkeit) zu minimieren. ISO 27001 liefert ein systematisches Regelwerk von Anforderungen für Prozesse und systemtechnische Voraussetzungen.

Die Einführung der ISO 27001 in Unternehmen ist typischerweise mit einer mehrmonatigen Vorbereitung verbunden. Dokumentations-, Entscheidungs- und Freigabeprozesse mit Relevanz für die Informationssicherheit werden analysiert, angepasst und deren Einhaltung systematisch überprüft. Alle Dokumente werden in eine „Risikoklasse“ eingeordnet (z.B. „öffentliche Dokumente“, „unternehmesinterne Dokumente“ oder „streng vertrauliche Dokumente“); für jede Risikoklasse gelten spezifische Anforderungen. Dokumente der höchsten Risikoklasse müssen etwa – sofern diese physisch vorliegen – in Schränken/Tresoren aufbewahrt werden, so dass der Zugang auf die berechtigten Personen wirksam beschränkt werden kann. Sofern solche Dokumente digital vorliegen, gelten spezifische Anforderungen an Verschlüsselung.

Außerdem schreibt die Norm vor, dass Unternehmen Ressourcen bereitstellen müssen, um eine kontinuierliche Verbesserung sowie die Aufrechterhaltung und Verwirklichung des ISMS zu garantieren. Unternehmen müssen die Wirksamkeit ihres ISMS überprüfen, messen und analysieren. Dies geschieht ebenfalls in festgelegten Abständen.

Die ISO 27001 wurde erstmals am 15. Oktober 2005 veröffentlicht. Die aktuellste Ausgabe stammt aus dem Jahr 2015. Die ISO-Norm kann unter anderem auf der Webseite www.iso.org abgerufen werden.

TISAX

Der Standard TISAX (Trusted Information Security Exchange) wird vor allem in der Automobilindustrie verwendet. Er wurde weitgehend auf der Grundlage des vorgenannten Standards ISO 27001 erstellt.

IT Grundschutz

Das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) legt mit dem IT Grundschutz Standards vor, um einen ganzheitlichen Ansatz zur Informationssicherheit umzusetzen. Dabei geht es um infrastrukturelle, organisatorische und personelle Aspekte. Der IT-Grundschutz ist in verschiedene „Kapitel“ unterteilt, die nachfolgend kurz vorgestellt werden.

Der BSI-Standard 200-1 definiert “allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er ist weiterhin kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO-Standards wie beispielsweise ISO 27002.“ Download hier: BSI-Standard: 200-1

Mit dem BSI-Standard 200-2 werden unter anderem modulare Vorgehensweisen für den Aufbau eines ISMS in kleinen und mittelständischen Betrieben bereitstellt. Verantwortliche für die Informationssicherheit können mit diesen Modulen ein ISMS in ihrer Institution aufbauen, bereits bestehende ISMS überprüfen oder erweitern. BSI-Standard: 200-2

Der BSI-Standard 200-3 fokussiert (in Ergänzung zu den vorgenannten Standards) auf die Risikoanalyse und das Risikomanagement. Download hier: BSI-Standard: 200-3

Die Zielsetzung des BSI-Standard 200-4 besteht in praktischen Empfehlungen für den Aufbau und den Betrieb eines „Business Continuity Management Systems“. Diese Empfehlungen setzen hierbei das Vorhandenseins eines ISMS nicht voraus. Download hier: BSI-Standard: 200-4 (Business Continuity Management)

Mit dem BSI-Standard 200-4 (Notfallmanagement) wird ein Ansatz aufgezeigt, um in einem Unternehmen oder einer Institution ein Notfallmanagement aufzubauen. Laut BSI bestehen die Aufgaben eines Notfallmanagements darin, “die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern.“. Download hier: BSI-Standard: 200-4 (Notfallmanagement)

Zum Weiterlesen

Sebastian Zang
Author

Der Autor ist Manager in der Softwareindustrie mit internationaler Expertise: Prokurist bei einem der großen Beratungshäuser - Verantwortung für den Aufbau eines IT Entwicklungszentrums am Offshore-Standort Bangalore - Director M&A bei einem Softwarehaus in Berlin.