- Konsequenzen für ecommerce- und epayment-unternehmen

Transkript

1 Cybercrime Das neue IT-Sicherheitsgesetz und Hackerangriffe - Konsequenzen für ecommerce- und epayment-unternehmen Dr. Viola Bensinger Dr. Viola Bensinger G R E E N B E R G T R A U R I G G E R M A N Y, L L P R E C H T S A N W Ä L T E W W W. G T L A W. D E G R E E N B E R G T R A U R I G G E R M A N Y, L L P R E C H T S A N W Ä L T E W W W. G T L A W. D E Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 1

2 Das IT-Sicherheitsgesetz In Kraft getreten am 12. Juni 2015 Ziel: erhebliche Verbesserung der IT-Sicherheit in Deutschland Verpflichtete: sog. kritische Infrastrukturen (auch KRITIS genannt), sowie Telemedienanbieter. KRITIS-Unternehmen erfassen auch den Finanz-Sektor. Konkretere Bestimmung der KRITIS-Unternehmen durch eine Rechtsverordnung (geplant für 2016). Es wird erwartet, dass die Zahl der KRITIS-Betreiber bei etwa 2000 liegt. Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 2

3 Zentrale Vorschrift: 8a BSI (1) Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. (2) Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards zur Gewährleistung der Anforderungen nach Absatz 1 vorschlagen. Das Bundesamt stellt auf Antrag fest, ob diese geeignet sind, die Anforderungen nach Absatz 1 zu gewährleisten. Die Feststellung erfolgt 1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde. Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 3

4 Das IT-Sicherheitsgesetz Pflicht zur Umsetzung angemessener oragnisatorischer und technischer Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind Stand der Technik als Soll-Vorschrift: Einsatz fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt. TMG: lediglich Berücksichtigung des Standes der Technik erforderlich Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 4

5 Das IT-Sicherheitsgesetz Begrenzung: Nur angemessene organisatorische und technische Vorkehrungen = der dafür erforderliche Aufwand braucht nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen KRITIS stehen Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 5

6 Das IT-Sicherheitsgesetz Meldung erheblicher Störungen an das BSI Bei Verstoß gegen die Vorschriften können Bußgelder von bis zu EUR verhängt werden. Die Erfüllung der Anforderungen müssen alle zwei Jahre auf geeignete Weise nachgewiesen werden. EU: Arbeiten an Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS-RL) Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 6

7 Das IT-Sicherheitsgesetz Was heißt das konkret? KRITIS-Unternehmen müssen ein Information Security Management betreiben, kritische Cyber-Assets identifizieren und managen, Maßnahmen zur Angriffsprävention und erkennung betreiben, ein Business Continuity Management (BCM) implementieren und darüber hinaus branchenspezifische Besonderheiten umsetzen KRITIS-Betreiber oder ihre Branchenverbände können branchenspezifische Sicherheitsstandards vorschlagen und Eignung durch BSI prüfen lassen. Bisher geltende und anerkannte Standards wie die Grundschutzkataloge des BSI, die MaRisk der BaFin sowie ISO27001 Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 7

8 ecommerce-unternehmen 13 Abs. 7 TMG neue Fassung Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Teleme-dien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichti-gen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher an-erkannten Verschlüsselungsverfahrens. Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 8

9 ecommerce-unternehmen technische und organisatorische Maßnahmen = alle Maßnahmen, die den Regelungszweck der Norm zu verwirklichen geeignet sind, vor allem Verschlüsselungsmaßnahmen. Organisatorische Maßnahmen betreffen die Struktur des eigenen Betriebs, z.b. Ausgestaltung der Administratorrechte. Stand der Technik (= fortschrittlicher Entwicklungsstand der Maßnahmen, welcher dazu geeignet ist, praktisch ein allgemein hohes Schutzniveau zu erreichen) muss (nur) berücksichtigt werden. Grenze: technisch möglich und wirtschaftlich zumutbar (= angemessen) Verstoß: Geldbuße von bis zu EUR Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 9

10 ecommerce-unternehmen auch zu beachten: Nach den MaSI müssen Internet-Zahlungsdienstleister Online-Händler, die mit sensiblen Zahlungsdaten umgehen, vertraglich verpflichten (und dies auch überprüfen), bestimmte Sicherheitsmaßnahmen in ihrer IT-Infrastruktur zur Verhinderung von Diebstahl dieser Daten über ihre Systeme umzusetzen. weiterhin: Pflichten aus 9 BDSG, allgemeine Pflichten des Vorstands bzw. der GmbH-Geschäftsführung nach 76, 91, 93 AktG ggf. ivm 43 GmbHG Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 10

11 Finanzwesen Schon bisher: 25a KWG (ggf. i.v.m 25b KWG): Kredit- und Finanzdienstleistungsinstitute trifft gem. 25 a KWG die organisatorische Pflicht, ein angemessenes und wirksames Risikomanagement einzuhalten. angemessene technisch-organisatorische Ausstattung des Instituts angemessenes Notfallkonzept insbesondere für IT-Systeme Spezifizierung durch die Mindestanforderungen im Risikomanagement (MaRisk) und Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) daneben auch BSIG-Anforderungen? Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 11

12 Finanzwesen MaRisk IT-Systeme und IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. IT-Systeme und -Prozesse müssen gängige Standards einhalten, z. B. IT-Grundschutzkatalog des BSI, ISO 2700X etc. Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 12

13 Finanzwesen Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI) MaSI setzt Leitlinien zur Sicherheit von Internetzahlungen der European Banking Authority um. Sie enthalten aufsichtsrechtliche Regelungen, die die Aufsichtsbehörden in ihre Verwaltungspraxis zu implementieren haben. MaSI kommen neben den MaRisk und EZB- Leitfaden ( richtet sich hauptsächlich an die Aufsichtsbehörden) zur Anwendung. Die MaSI müssen bis zum 5. November 2015 umgesetzt worden sein. Adressaten sind Zahlungsdienstleister i.s.d. 1 Abs. 1 ZAG, also vor allem Kreditinstitute, Zahlungsinstitute und E-Geld-Institute. Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 13

14 Finanzwesen Eine Breitenwirkung wird auch dadurch erreicht, dass diejenigen, die die relevanten Internetzahlungsmethoden nutzen, wie beispielsweise Online-Händler (E-Commerce), mittelbar in den Anwendungsbereich der MaSI fallen. Inhaltlich erfordern die MaSI von ihren Adressaten organisatorische, technische und Maßnahmen im Bereich der Kundenkommunikation: Die Einrichtung einer eigenen Governancestruktur inklusive der Errichtung einer Risikokontrollfunktion mit entsprechenden Berichtswegen. Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 14

15 Finanzwesen gestaffeltes Sicherheitskonzept: insb. Prinzip des geringsten Zugriffsrechtes sowie Befreiung der Server von allen überflüssigen Funktionen, Verwenden von Sicherheitszertifikaten, Datenverringerung und Rückverfolgbarkeit von Transaktionen und Einzugsermächtigungen. Meldepflichten bei Zahlungssicherheitsvorfällen an Geschäftsleitung und Datenschutzbehörde sowie bei schwerwiegenden Vorfällen an die BaFin. "Schwerwiegender Zahlungssicherheitsvorfall" = Vorfall hat oder könnte haben wesentliche Auswirkungen auf die Sicherheit, Integrität oder Kontinuität der Zahlungssysteme des Zahlungsdienstleisters und/oder die Sicherheit sensibler Zahlungsdaten oder mittel. Weiterhin schreiben die MaSI ein Verfahren der starken Kundenauthentitifizierung vor, welches durch ein Verschlüsselungsverfahren zu schützen ist. Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 15

16 Finanzwesen Sensible Zahlungsdaten müssen zudem bei ihrer Speicherung, Verarbeitung und Übermittlung geschützt werden. Für die Übermittlung solcher Daten wird explizit eine End-zu-End- Verschlüsselung vorgeschrieben. Zahlungsdienstleister müssen Online-Händler, die mit sensiblen Zahlungsdaten umgehen, vertraglich verpflichten, bestimmte Sicherheitsmaßnahmen in ihrer IT-Infrastruktur zur Verhinderung von Diebstahl dieser Daten über ihre Systeme umzusetzen. Zahlungsdienstleister müssen im Falle einer Kenntniserlangung, dass ein Online-Händler die erforderlichen Maßnahmen in seiner IT- Infrastruktur nicht eingerichtet hat, Maßnahmen ergreifen und die Verträge ggf. kündigen. Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 16

17 Einleitung Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 17

18 Einleitung Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 18

19 Vorbeugende Maßnahmen technisch-organisatorische Maßnahmen IT-Tools Interne Richtlinien, Protokolle, etc.: o zur Sicherstellung, dass IT-Sicherheitskonzept auch umgesetzt wird o Sanktionsmöglichkeiten für Fehlverhalten von Mitarbeitern o ggf. Voraussetzung für spätere forensische Maßnahmen (z.b. -Policy) Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 19

20 Vorbeugende Maßnahmen IT-Sicherheitsgesetz Das heißt: Betrieb eines Information Security Managements kritische Cyber-Assets identifizieren und managen Maßnahmen zur Angriffsprävention und erkennung einrichten Business Continuity Management zusätzlich bzw. konkretisierend: branchenspezifische Besonderheiten Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 20

21 Vorbeugende Maßnahmen IT-Sicherheitsgesetz Nachweis von Maßnahmen ggü. BSI innerhalb von 2 Jahren danach: Nachweis mind. alle 2 Jahre Maßstab: anerkannte Regelwerke, Standards, Grundschutzkataloge, MaRisk, ISO27001 sowie insb. branchenspezifische Sicherheitsstandards Konkreter für TK-Unternehmen ( 109 Abs. 6 TKG) sowie Energie- Unternehmen ( 11 Abs. 1 a und b EnWG) Immer: nur Pflicht zur Implementierung angemessener Maßnahmen Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 21

22 Vorbeugende Maßnahmen Bundesdatenschutzgesetz rechtliche Vorgaben für (technische und organisatorische) Schutzmaßnahmen: Bundesdatenschutzgesetz (nur) im Zusammenhang mit der Verarbeitung personenbezogener Daten 9 BDSG einschl. Anlage erforderliche Maßnahmen, um Daten vor Mißbrauch durch Dritte zu schützen üblicherweise: Grundschutzkataloge oder ISO27001 für KRITIS-Betreiber: BSIG-konform = BDSG-konform? Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 22

23 Vorbeugende Maßnahmen Pflichten der Geschäftsführung gem. 91, 93 AktG Pflichten der Geschäftsführung gem. 76, 91, 93 AktG über 43 GmbHG analoge Anwendung auf GmbH-Geschäftsführer Verpflichtung der Geschäftsführung, nicht der Gesellschaft! keine konkreten Vorgaben, sondern Business Judgement Rule Konkretisierung durch spezifischevorgaben wie z.b. IT-Sicherheitsgesetz, sowie durch (wenig) Rechtsprechung und Literatur: Einrichtung und Überwachung eines IT-Risikomanagementsystems Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 23

24 Vorbeugende Maßnahmen Pflichten der Geschäftsführung gem. 91, 93 AktG 1. Einrichtung eines IT-Risikomanagementsystems 1.1 Information Bestandsaufnahme des Status quo und der bestehenden Risiken Risikoanalyse sowie Prognose engmaschiges Berichtswesen, das klar regelt, wer was wann und wie oft an die Unternehmensleitung berichtet Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 24

25 Vorbeugende Maßnahmen Pflichten der Geschäftsführung gem. 91, 93 AktG 1.2 IT-spezifische Sorgfaltspflichten Ergreifen angemessener technischer und organisatorischer Maßnahmen Kontinuierliche Anpassung der Maßnahmen an den aktuellen Stand der Technik Erstellung eines Notfallkonzepts ggf. Abschluss einer Cyberversicherung Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 25

26 Vorbeugende Maßnahmen Pflichten der Geschäftsführung gem. 91, 93 AktG 2. Überwachung des IT-Risikomanagementsystems Kontinuierliche Anpassung der Maßnahmen an den aktuellen Stand der Technik Wichtig: kontinuierliche Dokumentation der Einrichtung, der Führung und der Anpassung der Maßnahmen Ggf. Erlass interner Richtlinien zur Umsetzung des IT- Risikomanagmentsystems Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 26

27 Vorbeugende Maßnahmen Pflichten der Geschäftsführung gem. 91, 93 AktG 3. Business Judgement Rule Grenze: positive rechtliche Verpflichtung (z.b. durch BSIG) darunter: nach pflichtgemäßer Information Ergreifen und Überwachung angemessener Maßnahmen zur Verhinderung der Verwirklichung des identifizierten Risikos Insbesondere umstritten: Sind das alle erforderlichen Maßnahmen, oder dürfen betriebswirtschaftliche Aspekte berücksichtigt werden? Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 27

28 Reaktion im Ernstfall Krisenteam! IT-Forensik einschl. Dokumentation Melde- und Informationspflichten Prozessuale Schritte Einschaltung der Strafbehörden? Schließung von Sicherheitslücken Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 28

29 Reaktion im Ernstfall Meldepflichten 8b Abs. 4 BSIG (oder 109 Abs. 5 TKG) o KRITIS-Betreiber o erhebliche Störungen der informationstechnischen Systeme, wenn diese zu einem Ausfall oder einer Beeinträchtigung der Infrastruktur geführt haben oder führen können o Meldung (zunächst nur) dem BSI, anonymisierte Warnung möglich o Meldepflichten des BDSG und BSIG können nebeneinander treten o Warnungen des BSI bei vorbeugenden Maßnahmen zu berücksichtigen Greenberg Traurig Germany, LLP gtlaw.de Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 29

30 Dr. Viola Bensinger Partnerin +49 (0) Greenberg Traurig Germany, LLP Potsdamer Platz Berlin T +49 (0) F +49 (0) G R E E N B E R G T R A U R I G G E R M A N Y, L L P R E C H T S A N W Ä L T E W W W. G T L A W. D E 2015 Greenberg Traurig Germany, LLP. All rights reserved. Das neue IT-Sicherheitsgesetz Konsequenzen für ecommerce- und epayment-unternehmen 30