NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006
Rechtliche Aspekte Administration Gliederung Praktische Grundlagen Datenschutz Wirtschaftsrecht 2
Praktische Grundlagen Legaldefinition im BSIG 2 Abs. II BSIG: Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1.in informationstechnischen Systemen oder Komponenten oder 2.bei der Anwendung von informationstechnischen Systemen oder Komponenten. 3
IT-Sicherheit Begriff und Schutzrichtung Verfügbarkeit Unversehrtheit Vertraulichkeit Authentizität Schutz vor Informationsverlust Schutz vor Informationsveränderung Schutz vor Informationsausspähung Schutz vor Informationsentwertung 4
IT Sicherheit Bedeutung von Richtlinien Quelle: IT Security Studie, InformationWeek, September 2006 5 NetworkedAssets
Übersicht Gesetze und Richtlinien Auszug BDSG Deutschland Bundesdatenschutzgesetz, KonTraG 95/46/EC Deutschland Europa Gesetz zur Kontrolle und Transparenz im Unternehmensbereich. Europäische Datenschutzrichtlinie AO und GdPDU TKG Deutschland Deutschland Abgabenordnung in Verbindung mit den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Telekommunikationsgesetz Basel II Europa Schutz vor operativen Risiken SOX USA (weltweit) Erhöhte Auflagen zur Beschreibung der Geschäftsentwicklung 6
Übersicht Gesetze und Richtlinien Praktische Richtlinien COBIT Control Objectives for Information and related Technology, 1996 Best practices für IT governance, oft im Zusammenhang mit SOX verwendet ISO 17799 ISO Norm mit Best Practices zur Informationssicherheit ITIL Definiert Prozesse und Aktivitäten im Zusammenhang mit IT-Sicherheit. (UK, 1983) 7
Rechtliche Aspekte Administration Rechtsfolgen Wirtschaftliche Nachteile: z.b.: Schlechteres Rating Zivilrechtliche Haftung, verschuldensunabhängig ( 7 I BDSG) und persönlich unbegrenzt (z.b. Vorstände AG) aber: Entlastung bei Gewährleistung von Integrität und Vertraulichkeit (z.b. durch Zertifizierung). Ordnungswidrigkeiten, Strafrecht 8
Datenschutz Bundesdatenschutzgesetz Spezifische Anforderungen bei der Durchführung von Auftragsverarbeitung ( 11 BDSG). Anwendungsbereich: personenbezogene Daten Details: Anlage zu 9 BDSG Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Datentrennung 9
Datenschutz Telekommunikationsgesetz (TKG) 88 Fernmeldegeheimnis (Art. 10) 91-107 Einzelgregelung (Verkehrs- und Bestandsdaten) 109 Verpflichtung zur Abgabe eines Sicherheitskonzeptes 10
Datenschutz EU Richtlinie 95/26/EG Europäische Datenschutzrichtlinie (1995) Verpflichtet die Mitgliedsstaaten zur Umsetzung von Regelungen zum Umgang mit personenbezogenen Daten in Nationales Recht Umsetzung bis 1998 11
Wirtschaftsrecht KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG,1998) Einführung von Risikomanagement Früherkennung bestandgefährdender Entwicklungen Einleitung von Gegenmaßnahmen Einrichtungen eines Überwachungssystem Allgemeine Sorgfaltspflichten der Geschäftsführung aller Gesellschaftsformen 12
Wirtschaftsrecht Basel II Basler Ausschuss für Bankenaufsicht, Basel II verpflichtet Banken zu einem strengeren Risikomanagement bei Kreditvergabe In einem Rating Prozess ist auch IT-Sicherheit ein Kriterium der Evaluation Ab 2007 in nationales Recht umzusetzen (Richtlinie 2006/49/EG, KeditwesenG, SolvabilitäsVO). Kann erhebliche Auswirkungen auf die Kreditwürdigkeit haben. 13
Wirtschaftsrecht Sarbanes Oxley Act (SOX) Verabschiedet 2002 nach dem Enron Skandal Compliance für kleinere Unternehmen bis Mai 2005 Betrifft auch deutsche Unternehmen, die an amerikanischen Finanzplätzen gelistet sind Persönlich Haftung der Geschäftsführung (5 Mio $ oder 20 Jahre Gefängnis). Bei internationaler Tätigkeit SOX Compliance als Qualitätsmerkmal 14
Wirtschaftsrecht AO und GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen. (2001 mit Änderungen AO und 2002 in Kraft getreten). 10 Jahre lang müssen in EDV Systemen steuerrelevante Daten aufbewahrt und zur maschinellen Verarbeitung durch einen Steuerprüfer verfügbar gehalten werden. Auch als Übergabe von Datenträgern (Z3) Details unklar. 15