Das neue IT-Sicherheitsgesetz

Transkript

1 Das neue IT-Sicherheitsgesetz Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Neue Herausforderungen für das IT- Sicherheitsmanagement Rechtliche Vorgaben lassen Haftungsrisiken steigen

2 Management SummaryIT-Sicherheitsgesetz Management Summary Zahlen und Fakten Mit Wirkung zum 25. Juli 2015 ist das bereits am 16. Juni 2015 im Bundestag verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, in Kraft getreten. Die Betreiber kritischer Infrastrukturen wie Banken, Börsen, Krankenhäuser und Energieunternehmen werden gesetzlich verpflichtet, einen Mindeststandard an IT-Sicherheit einzuhalten. Interpretiert man aber die Sicht des Bundesministeriums für Wirtschaft und Energie (BMWI) sowie des Bundesministeriums des Innern (BMI), kann davon ausgegangen werden, dass eine Erweiterung auf weitere Wirtschaftsbereiche wahrscheinlich ist, welche sich in der für Ende des Jahres erwarteten Umsetzungsverordnung konkretisieren wird 1. Dieses definierte Mindestniveau an IT-Sicherheit wird dabei seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verbindlich festgelegt, so dass mit dem IT- Sicherheitsgesetz dessen Rolle als zentrale Institution für IT-Sicherheit in Deutschland weiter gestärkt wird. Zukünftig sind erhebliche IT-Sicherheitsvorfälle an das BSI unverzüglich anonym zu melden. Das BSI übernimmt nachfolgend die Auswertung der übermittelten Informationen mit dem Ziel, ein Lagebild der IT-Sicherheit zu erstellen und warnt bei Bedarf andere Unternehmen proaktiv. Auch kann das BSI nachfolgend von durch IT-Sicherheitsmängeln betroffenen Unternehmen die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse sowie deren Beseitigung verlangen. Darüber hinaus sieht das Gesetz eine Erweiterung der Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte vor, insbesondere für den Fall von IT-Angriffen auf Einrichtungen des Bundes und Unternehmen mit kritischen Infrastrukturen. Damit werden die Zuständigkeiten des Bundeskriminalamtes im Bereich der Computerkriminalität durch das IT-Sicherheitsgesetz umfassend gestärkt. Zur Steigerung der IT-Sicherheit im Internet werden die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich erhöht. Sie müssen künftig Sicherheit nach dem jeweiligen Stand der Technik bieten. Folgende Konsequenzen wird das neue IT-Sicherheitsgesetz zeitnah mit sich bringen: Die Übergangsfrist zur Umsetzung der Forderungen nach dem IT-Sicherheitsgesetz beträgt zwei Jahre, also bis Bei Nichterfüllung drohen Geldbußen von bis zu Das aufsichtsrechtlich geforderte Mindestniveau an IT-Sicherheit wird seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verbindlich festgelegt. Eine Kontaktstelle für IT-Sicherheit im Unternehmen ist verpflichtend einzurichten und an die Aufsichtsbehörde zu melden. 1 Vgl.:

3 Management SummaryIT-Sicherheitsgesetz Erhebliche IT-Sicherheitsvorfälle im Unternehmen sind an BSI unverzüglich anonym zu melden. Derzeit geht das BSI von etwa Unternehmen aus, die etwaige Cyberangriffe im Rahmen der Umsetzung des IT-Sicherheitsgesetzes dem BSI melden müssen. Ein 2-Jähriger Turnus für Prüfungsaudits identifizierter kritischer IT-Systeme wird verpflichtend. Angesichts der gravierenden Veränderungen für das IT-Sicherheitsmanagement ist es für alle Akteure empfehlenswert, sich frühzeitig mit dem Thema zu befassen. Insbesondere muss sich jedes betroffene Unternehmen kurzfristig mit dem Stand seiner IT-Security auseinandersetzen. Rechtliche Vorgaben steigern Haftungsrisiken Das IT-Sicherheitsgesetz verpflichtet Unternehmen mit kritischen Infrastrukturen, die Sicherheitsanforderungen an die IT-Infrastruktur Up-to-Date zu halten. Um seinen Pflichten als GmbH-Gesellschafter, AG-Vorstand oder schon aufgrund der arbeitsvertraglichen Sorgfaltspflichten im Rahmen des Angestelltenverhältnisses gerecht zu werden, muss der CIO schon bei der Ausgestaltung des IT-Sicherheitsmanagements geeignete Standards berücksichtigen. Von besonderer Wesentlichkeit sind dabei die einschlägigen ISO- Normen (insbesondere ISO i.v. mit ISO 27002) zu nennen, welche in Verbindung mit einschlägigen IT-Sicherheitskatalogen der jeweiligen Branchen den im IT- Sicherheitsgesetz geforderten Mindeststandard adäquat abbilden. Vor straf- und zivilrechtlichen Folgen ist der CIO insbesondere dann nicht sicher, wenn die Nichteinhaltung notwendiger Maßnahmen aus dem IT-Sicherheitsgesetz gültige Rechtsnormen, Sicherheitsanforderungen und Compliance-Gebote aushebelt. Ebenso schädlich ist der Verlust der Reputation. Neben dem BSI können auch Datenschutz- Aufsichtsbehörden einschreiten bzw. Betriebshaftpflichtversicherungen ihre Leistungen kürzen oder ganz verweigern. Werden Daten beispielsweise unter Verstoß gegen rechtliche Vorgaben erhoben, können sie vor Gericht beispielsweise in einem Arbeitsgerichtsprozess- nicht als Beweismittel eingesetzt werden. Die im IT-Sicherheitsgesetz verankerten hohen Geldbußen bei Verstößen gegen die Mindestanforderungen sind nur ein Aspekt der dramatischen Folgen für ein betreffendes Unternehmen bei Nichteinhaltung gesetzlicher Vorgaben zur IT-Sicherheit. So können Gewerbeämter bei Verletzung der IT-Sicherheit die Gewerbeerlaubnis entziehen oder Datenschutz-Aufsichtsbehörden einschreiten. Kann das Management seine Sorgfaltspflichten nicht ausreichend belegen, können darüber hinaus Betriebshaftpflichtversicherungen Leistungen kürzen oder ganz verweigern. In diesem Falle ist es nur ein kurzer Schritt zur persönlichen Haftung des verantwortlichen Managers. Schadensersatzsprüche des Arbeitgebers gegen den Arbeitnehmer wegen sogenannter Schlechterfüllung arbeitsvertraglicher Pflichten ergeben sich aus 280 Absatz 1 BGB. Immer dann, wenn der Arbeitnehmer, in diesem Fall der CIO, "seine Pflichten aus dem Arbeitsverhältnis verletzt, indem er schuldhaft seine Arbeit nicht ordnungsgemäß erbringt und den Arbeitgeber hierdurch schädigt", greift dieser Paragraph. Kurzfristige Umsetzungsempfehlungen Damit auch Ihr Unternehmen diese Mindestanforderungen an eine sichere IT optimal erfüllen kann, empfehlen wir folgende Maßnahmen zeitnah umzusetzen:

4 Management SummaryIT-Sicherheitsgesetz 1. Risikoanalyse Mit dem Werkzeug der Risikoanalyse identifizieren Sie die Sicherheitsrisiken im Unternehmen. Neben technischen Risiken stehen hier auch organisatorische und die Sicherstellung der Funktionsfähigkeit aller wesentlichen Geschäftsprozesse, auch in Krisensituationen, im Vordergrund. 2. Maßnahmen ableiten Aus der Risikoanalyse werden im folgenden Schritt konkrete Maßnahmen abgeleitet. Dabei spielen die gesetzlichen Vorgaben eine wesentliche Rolle. In jedem Falle sollten hier bereits Personen im Unternehmen definiert sein, die für die jeweilige Umsetzung der Maßnahmen verantwortlich sind. 3. Einhaltung von Datenschutz und Datensicherheit Das IT-Sicherheitsgesetz verschärft noch einmal die Notwendigkeit des Schutzes sensibler Daten. Neben einem Datenklassifizierungskonzept steht insbesondere der Schutz personenbezogener Daten im Vordergrund. Natürlich ist völlige Datensicherheit aufgrund der rasanten technologischen Entwicklung mit vertretbarem technischem und personellem Einsatz nicht möglich. Unternehmen müssen aber dafür sorgen, dass ihre IT-Systeme, die sensible Daten verarbeiten, soweit sicher vor digitalen Angriffen sind, wie es dem jeweiligen Stand der Technik entspricht. 4. Regelkreislauf für das IT-Sicherheitsmanagement Eine zentrale Kontaktstelle im Unternehmen für Fragen der IT-Sicherheit wird mit dem IT-Sicherheitsgesetz zwingend erforderlich. Unternehmen sollten darüber hinaus einen Regelkreislauf für IT-Sicherheit implementieren, da eine regelmäßige Überprüfung der Funktionsfähigkeit des IT-Sicherheitsmanagements mindestens alle zwei Jahre ebenfalls verbindlich gefordert wird. Management und Aufsichtsbehörden (intern und extern) müssen jederzeit über den aktuellen Zustand der IT-Sicherheit informiert werden können. Best-Practice ist hier weiterhin das PDCA - Lebenszyklusmodell nach dem Standard ISO und den abgeleiteten BSI- Standards: Plan (Einrichten eines IT-Sicherheitsmanagements) ->Do (Implementieren und Verwalten von Ressourcen)->Check (Laufende Überwachung und Erfolgskontrolle)->Act (kontinuierliche Verbesserungsmaßnahmen). IT-Sicherheit stellt in immer größerem Maße einen entscheidenden Wettbewerbsvorteil dar: Vor dem Hintergrund fast täglicher Berichte in den Medien von Sicherheitslücken und Datenlecks in Unternehmen und Behörden wird IT-Sicherheit immer mehr zu einer wesentlichen Entscheidungsgrundlage für Ihre Kunden und Partner. Warten Sie also nicht bis andere die Führung übernehmen, sondern handeln Sie proaktiv! Wie können wir Sie unterstützen? Ganzheitlich oder modular, wir sind für Sie da. Severn hilft Ihnen optimal bei der Umsetzung der gesetzlichen Vorgaben aus dem IT-Sicherheitsgesetz. Unsere Berater sind praxiserfahrene Spezialisten bei der Analyse, Umsetzung von IT-Sicherheitsanforderungen bis zur kompletten Konzeption, Implementierung und Überprüfung eines IT- Sicherheitsmanagements.

5 Management SummaryIT-Sicherheitsgesetz Unsere Leistungen Business Impact Analyse durch Einsatz bewährter Methoden und Best-Practice Erfahrungen aus bereits erfolgreich abgeschlossenen Projekten: Status Quo der IT-Sicherheit im Unternehmen: Wir analysieren Ihre Strategien, organisatorischen Regelungen, Prozesse und Systeme vor dem Hintergrund auf Konformität mit den bestehenden gesetzlichen Regelungen. Überblick über den Stand der IT-Sicherheit gemäß den Vorgaben des BSI sichert Konformität der Risikoanalysen mit gängigen Standards: Entwicklung und Bewertung von Optimierungspotentialen, Lösungsalternativen für noch umzusetzende Schritte bzw. Optimierung / Einführung eines aufsichtsrechtlich entsprechenden IT- Sicherheitsmanagements. Dies schließt neben den Geschäftsprozessen auch die Prüfung der fachlichen Voraussetzungen der Keyholder im IT-Sicherheitsmanagement mit ein. Individuelle Beratung (Verbesserungspotentiale der bestehenden Strukturen personell, organisatorisch, technisch, Berücksichtigung der Rollen von Outsourcingpartnern, funktionsfähige Datenklassifizierungskonzepte, etc.) mit dem klaren Ziel einer gesamtheitlichen Umsetzung der gesetzlichen Vorgaben, abgestimmt auf die Anforderungen Ihres Unternehmens: Wir begleiten auf Wunsch alle Projektphasen im IT- Sicherheitsmanagement. Ausgehend von der strategischen Entscheidung über die taktischen Vorgehensweisen bis hin zur zeit- und anforderungsgerechten Implementierung sämtlicher notwendiger Regelungen für Mitarbeiter. Weiterhin liefern wir Vorgaben für die notwendigen Steuerungskomponenten, die dem verantwortlichen Management jederzeit einen Überblick des IT-Sicherheitsmanagements im Unternehmen ermöglicht. Ihr zusätzlicher Mehrwert: Unsere Vorgehensweise stellt die Zertifizier- und Prüfbarkeit durch sachkundigen Dritten sicher (z.b. in Form eines Audit Cyber-Security- Check gemäß BSI). Wir unterstützen Sie in allen Phasen des Regelkreislaufs im IT- Sicherheitsmanagement.

6 Management SummaryIT-Sicherheitsgesetz Ihr Partner Next Generation Consulting für Finanzunternehmen. Severn Consultancy ist eine auf den nationalen und internationalen Finanzmarkt spezialisierte Unternehmensberatung. Exzellente Beratung und sofort wirksame Lösungen für unsere Mandanten mit diesem Anspruch wurde Severn Consultancy 1987 in London gegründet. Mittlerweile ist der Hauptsitz in Frankfurt, die Philosophie ist gleich geblieben. Kompetente Fach- und Managementberatung gepaart mit effektivem Projekt-Management, wirkungsvoller Organisationsentwicklung und zukunftssicherem IT-Management sind die Säulen des "Severn way to get it done". In mehr als 20 Jahren Beratungspraxis haben wir eine Vielzahl renommierter Unternehmen bei der effizienten Durchführung ihrer Projekte und der Optimierung unternehmensinterner Prozesse unterstützt. Unsere Mandanten schätzen unsere innovativen Beratungskonzepte, das methodische Know-how sowie unsere fundierten Marktund Branchenkenntnisse. Ansprechpartner Christian Moerler Geschäftsführer / Managing Director Dr. Achim Stein Manager Severn Consultancy GmbH Hansa Haus, Berner Straße Frankfurt am Main T +49 (0)69 / F +49 (0)69 / welcome@severn.de Disclaimer Die Inhalte der Seiten wurden von Severn mit größter Sorgfalt angefertigt. Severn übernimmt jedoch keinerlei Gewähr für die Aktualität, Korrektheit und Vollständigkeit der bereitgestellten Informationen. Haftungsansprüche gegenüber Severn, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen, sofern vonseiten Severns kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt. Severn behält sich ausdrücklich vor, Teile der Seiten ohne gesonderte Ankündigung zu verändern, zu ergänzen und/oder zu löschen. Alle Rechte vorbehalten. Die Reproduktion oder Modifikation ganz oder teilweise ohne schriftliche Genehmigung von Severn ist untersagt.