Business Security Stage CeBIT Aktuelle Rechtsfragen der IT-Sicherheit

Transkript

1 Business Security Stage CeBIT Aktuelle Rechtsfragen der IT-Sicherheit

2 Nationale Initiative für Informations- und Internetsicherheit e.v. Selbsthilfeorgansation der Wirtschaft für die Wirtschaft Anbieter und Anwender von IT-Sicherheit Initiative "IT-Sicherheit in der Wirtschaft des BMWE

3 Themen: Cyber-Sicherheitslage NIFIS Studie IT-Sicherheit Ausgaben werden steigen Spähattacken EU US Privacy Shield BSI Bericht zur Lage Cybersicherheit Anforderungen Webshops Persönliche Verantwortung

4 Studiendesign - NIFIS-Studie 2016 Zielgruppe: Fach- und Führungskräfte Stichprobe: N = 100 Befragungszeitraum: 18 Oktober 2016 Methode: Persönliche Befragung im Rahmen der itsa

5 NIFIS Studie EU-US PRIVACY SHIELD?

6 Der neue EU-US Privacy Shield, der den Datenschutz zwischen der EU und den USA regelt a) Ist genauso kritisch wie das vorherige Safe-Harbour- Abkommen, das der Europäische Gerichtshof für ungültig erklärt hat b) Lässt weiterhin völlig im Dunkeln, in welchem Umfang die US-Geheimdienste auf Daten von europäischen Unternehmen weiterhin zugreifen c) Ist deutlich besser als das Safe-Harbour- Abkommen d) Stellt endlich die dringend benötigte Rechtssicherheit her

7 EU US Privacy Shield Datentransfer in Drittstaaten nach BDSG und künftig EU DSGVO begrenzt Sichere Drittstaaten festgestellt von der EU- Kommission, u.a. Schweiz, Israel EU US Privacy Shield Nachfolger Safe Harbour

8 EU US Privacy Shield Verbesserung gegenüber Vorgängerlösung Kein Schutz vor staatlicher Überwachung durch Geheimdienste Massenüberwachungsmaßnahmen ohne Verhältnismäßigkeitsprüfung Ombudsmann unabhängig, aber ohne klare Befugnisse

9 IT-SicherheitsG ANFORDERUNGEN AN WEBSEITEN

10 IT-Sicherheitsgesetz IT-Sicherheitsgesetz ist seit Juli 2015 in Kraft KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung (erste VO Mai 2016) VO für Finanzen, Transport und Verkehr sowie Gesundheit wird Frühjahr 2017 erwartet Umsetzung: sechs Monate nach Inkrafttreten der VO

11 IT-Sicherheitsgesetz Shopbetreiber und andere Webseitenbetreiber sind seit verpflichtet, mittels technischer und organisatorischer Vorkehrungen sicherzustellen, dass keine Angriffe oder Störungen auf die genutzten technischen Einrichtungen erfolgen. Die Vorkehrungen müssen dem Stand der Technik entsprechen und dem Anbieter technisch möglich und wirtschaftlich zumutbar sein.

12 WAS BEDEUTET DAS FÜR BETREIBER? Wer beispielsweise eine Standardsoftware einsetzt, hat regelmäßig Sicherheitspatches einzuspielen um hierdurch Angriffe vermeiden zu können. Dies betrifft nicht nur die Shopsoftware, sondern natürlich auch das verwendete Betriebssystem des jeweiligen Servers.

13 Was passiert in der Praxis? Kompliziert wird es mit dem Einspielen von Sicherheitspatches in den Fällen, in denen die wirtschaftliche Zumutbarkeit unklar ist: es wird z. B. eine eigens entwickelte Software eingesetzt oder eine Shopsoftware nicht mehr von Hersteller supportet.

14 KontrAG PERSÖNLICHE VERANTWORTUNG

15 IT-Sicherheitsmanagement Teil der Anforderungen an ordentliche Unternehmensführung gemäß 91 Abs.2 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

16 Persönliche Haftung nach 93 Abs. 2 AktG Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder: Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast.

17 Anwendungsbereich Geltung für sämtliche privatrechtlichen Unternehmensformen mit Pflicht zur ordnungsgemäßen Unternehmensführung Alleingesellschafter (durch Insolvenzverwalter oder Gläubiger)

18 Fall Compliance Off. Diverse Vorstände von Banken Leiter der Innenrevision (Compliance Officer) kann nach einem Urteil v des Bundesgerichtshofs (BGH) eine Garantenpflicht treffen

19 Fall Compliance Officer andere herausgehobene Funktionsträger, wie IT-Sicherheitsbeauftragte DS-BeAUFTRAGTE

20 (Klumpen-)Risiken Risiken waren wegen ihrer Komplexität und Intransparenz nicht zu steuern übergroße Risiken bei der Kreditvergabe Komplexität AUCH IM it-bereich gegeben

21 Vielen Dank für Ihre Aufmerksamkeit! Weitere Informationen unter