IT-Security. Existentielle Bedrohungslage und Gegenstrategien für den Mittelstand

Größe: px

Ab Seite anzeigen:

Download "IT-Security. Existentielle Bedrohungslage und Gegenstrategien für den Mittelstand"

Kerstin Geisler
vor 8 Jahren
Abrufe

1 IT-Security Existentielle Bedrohungslage und Gegenstrategien für den Mittelstand

2 Relevante Gesetze Strafrecht Datenschutzrecht Telekommunikationsrecht Zivilrecht und Wettbewerbsrecht (Tun, Unterlassen, Schadenersatz) Handelsrecht (Bilanzierung, Lagebericht) Arbeitsrecht (Individualrecht und kollektives Recht)

(Tun, Unterlassen, Schadenersatz) Handelsrecht

3 Rechtliche Rahmenbedingugnen Das Bundesdatenschutzgesetz (BDSG) Spätestens seit muß die eigene Datenverarbeitung an die aktuellen gesetzlichen Anforderungen angeglichen sein Geschäftsführer und Vorstände haften seit dem persönlich und gesamtschuldnerisch für die IT-Sicherheit und den Datenschutz in Ihrem Unternehmen.

Anforderungen angeglichen sein Geschäftsführer und Vorstände haften seit dem

4 ACHTUNG: Chefsache Diese Verantwortung ist nicht delegierbar!!!

5 Haftung für Mitarbeiter und Organe? Zurechnung fremden Verschuldens Erfüllungsgehilfe ( 278 BGB) Verrichtungsgehilfe ( 831 BGB) Organe ( 31 BGB) Beamte ( 78 BBG) Eigenes Verschulden Organisationsverschulden (= Unternehmen ist nicht so organisiert, dass die Entscheidungskompetenz und Prüfungspflicht für alle wichtigen und wesentlichen Aufgabengebiete bei den verfassungsgemäß berufenen Vertretern oder deren Organen (Geschäftsführer oder Vorstände) liegt)

Beamte ( 78 BBG) Eigenes Verschulden Organisationsverschulden (= Unternehmen ist nicht so organisiert, dass die

6 Rechtliche Rahmenbedingugnen Gewerbeordung / Organisationsverpflichtung: Eine ordentliche Durchführung des Geschäftes muß gewährleistet sein Datenschutzrichtlinie für elektronische Kommunikation: geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit seiner Dienste zu gewährleisten ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist

Kommunikation: geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit

7 Existentielle Risiken Finanzielle Schäden durch Aberkennung der Vorsteuerabzugsberechtigung!!! Produktionsausfälle (Stillstand bis zum Bankrott!!!) Recovery-Massnahmen Herabsetzung der Bonität ( Basel II) Datendiebstahl Image-Verlust Schadenersatzforderungen Verlust des Versicherungsschutzes Siehe auch Matrix der Haftungsrisiken BITKOM

!!) Recovery-Massnahmen Herabsetzung der Bonität ( Basel II) Datendiebstahl

9 Existentielle Risiken Rechtliche Rahmenbedingugnen Persönliche Konsequenzen für Verantwortliche Persönliche Verantwortung für entstehende Schäden bei grober Fahrlässigkeit Wird die eigene Infrastruktur für IT-spezifische Straftaten verwand, mögliche stellvertretende Verantwortung als Straftäter! Bei grob fahrlässigem Verstoß gegen BDSG bis zu ú Strafe Siehe auch Matrix der Haftungsrisiken BITKOM

Infrastruktur für IT-spezifische Straftaten verwand, mögliche stellvertretende Verantwortung als

11 Rechtliche Rahmenbedingugnen Persönliche Konsequenzen für IT-Verantwortliche - Top Schadensersatzforderungen 2. Bußgeld 3. Haftstrafe oder Geldstrafe 4. Gewerberechtliche / Wettbewerbsrechtliche Ahndung 5. Reputationsverlust 6. Aufsichtsbehörden 7. Beweisprobleme 8. Leistungskürzungen durch Versicherungen 9. Urheberrecht 10. Jugendschutz Quelle: Heussen Rechtsanwaltsgesellschaft mbh

Gewerberechtliche / Wettbewerbsrechtliche Ahndung 5. Reputationsverlust 6. Aufsichtsbehörden 7.

12 Technische Kompetenzen reichen alleine nicht aus!!

13 Klassische Angriffe Steigerung der Gefährdungen: Wunsch nach Datenzugriff, immer und überall -> Was nicht verboten ist, ist erlaubt! Johann Christoph Friedrich von Schiller ( ) Unüberlegter Einsatz von Security-Produkten!

14 Gegenmaßnahmen Erweiterung der Sicherheit Die herkömmlichen Methoden ( Virenscanner, Firewall,.. ) führen mit vertretbarem Aufwand nicht mehr zu einem zufriedenstellenden Ergebnis Eine punktuelle Betrachtung von Sicherheitsproblemen ist nicht mehr zeitgemäß, die Infrastruktur entwickelt sich zu einer virtuellen Firewall Gegenstrategie: Mitigation ( = Eindämmung, Minimierung ) durch Einsatz eher konservativer Gegenmaßnahmen -> Was nicht explizit erlaubt ist, ist verboten! Und: Das Verbot wird durchgesetzt!!

Sicherheitsproblemen ist nicht mehr zeitgemäß, die Infrastruktur entwickelt sich zu einer virtuellen Firewall Gegenstrategie:

15 Gegenmaßnahmen Vorgehensweise zur Erreichung einer sicheren IT- Infrastruktur Erstellung eines Sicherheitskonzepts, das die speziellen Belange des Unternehmens berücksichtigt und mit den gesetzlichen Anforderungen in Einklang bringt. Umsetzung und Kontrolle des Konzepts Zyklische Überarbeitung des Konzepts

Belange des Unternehmens berücksichtigt und mit den gesetzlichen

16 IT-Sicherheit = GL Sache Datenschutzbeauftragter / IT Sicherheitsbeauftragter Angriffsabwehr Identitätsmanagement Backup / Restore Sicherer Transport Organisation IT Sicherheitsrichtlinie Rechtliche Prüfung

Identitätsmanagement Backup / Restore Sicherer

17 Todo-Liste für GL 1. Machen Sie IT Sicherheit zur Chefsache 2. Holen Sie sich professionelle Beratung ins Haus 3. Bestellen Sie einen Verantwortlichen für die IT Sicherheit 4. Erstellen Sie eine betriebsinterne Richtlinie / Betriebsanweisung für IT Sicherheit 5. Schulen Sie die Mitarbeiter zum Thema IT Sicherheit 6. Erstellen Sie einen Notfallplan für den Ausfall verschiedener Komponenten und 7. Entscheiden Sie mit IT-Verantwortlichen oder Dienstleistern Infrastrukturmaßnahmen im Gesamtkonzept 8. Befreien Sie sich von der Durchgriffshaftung durch rechtliche Absicherung der IT-Security Policy.

Schulen Sie die Mitarbeiter zum Thema IT Sicherheit 6. Erstellen Sie einen Notfallplan für den Ausfall verschiedener Komponenten und 7.

18 Fazit IT-Sicherheit ist kein Produkt! IT-Sicherheit ist ein Managementprozeß!

19 Vielen Dank Sie erreichen uns unter Dipl.Ing. Klaus Walheim Mobil

Ähnliche Dokumente

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft