Welche Gesetze sind im Kontext der Informationssicherheit besonders relevant?

Immer wieder wird die Frage gestellt, welche Gesetze im Kontext der Informationssicherheit einen besonderen Einfluss auf das Informationssicherheitsmanagementsystem (ISMS) haben. Diese Frage ist für Informationssicherheitsbeauftragte nicht leicht zu beantworten, insbesondere wenn sie keine Rechtswissenschaften studiert oder entsprechende Literatur bis dato gemieden haben. Jedoch ist die Kenntnis dieser Gesetze von zentraler Bedeutung, wenn man adäquate Vorgaben, Konzepte und Richtlinien für ein ISMS verfassen muss. Folgende Gesetze habe ich bei der Erstellung meiner Richtlinien oft herangezogen und empfehle diese als Lesetipp. Natürlich müssen Sie Ihre eigene passende Auswahl treffen.

 

Die folgende Übersicht und Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie haben keinen Anspruch auf Vollständigkeit, stellen keine Rechtsberatung dar und sind auch nicht als solche auszulegen.

 

Kürzel Titel / Artikel / Paragraf
AktG Aktiengesetz § 91 Abs. 2
BDSG neu Bundesdatenschutzgesetz
BSI-KritisV BSI-Kritisverordnung
BSIG Gesetz über das Bundesamt für Sicherheit in der Informationstechnik
BVerfG Betriebsverfassungsgesetz
EU-DSGVO Europäische Datenschutzgrundverordnung
GeschGehG Gesetz zum Schutz von Geschäftsgeheimnissen
GG Grundgesetz Artikel 2, 10
GmbHG GmbH Gesetz §41 Abs. 1
GoB Grundsätzen ordnungsmäßiger Buchführung
GoBD Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
GoDV Grundsätze für eine ordnungsmäßige Datenverarbeitung
HGB Handelsgesetzbuch § 37a i.V.m. § 257 HGB bzw. §§ 145-147 AO, §§ 238-239, 257-261
IT-SiG IT-Si­cher­heits­ge­setz
KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
SGB Sozialgesetzbuch I § 35, X §§ 67-78
StGB Strafgesetzbuch § 202a, § 202b, § 202c, § 206, § 263a, §§ 268-274, § 303a, § 303b, § 317
SÜG Sicherheitsüberprüfungsgesetz
TKÜV Telekommunikations-Überwachungsverordnung
TKG Telekommunikationsgesetz
TMG Telemediengesetz
UrhG Urheberrechtsgesetz §§ 69a ff, § 106
VwVfG Verwaltungsverfahrensgesetz § 30
...  

Gerne wird dabei vergessen, dass neben den reinen Gesetzen auch noch weitere Anforderungen bei der Erstellung von adäquaten Richtlinien berücksichtigt werden müssen. Beispiel dafür können sein:

Kürzel Titel
B3S Branchenspezifische Sicherheitsstandards
BAIT Bankaufsichtliche Anforderungen an die IT
IT-SiKat IT-Sicherheitskatalog gem. EnWG § 11 1a/1b
VAIT Versicherungsaufsichtliche Anforderungen an die IT
...  

Aber auch vertragliche Anforderungen, wie zum Beispiel verpflichtende Sicherheitsmaßnahmen oder Meldefristen von Vorfällen spielen eine wichtige Rolle. Aus diesem Grund muss der Informationssicherheitsbeauftrage sich auch immer mit den Inhalten der Kundenverträge auseinandersetzen und die relevanten Anforderungen in seine Prozesse, Konzepte und Richtlinien übernehmen. So fordert zum Beispiel die BMW Group in ihren, im Internet veröffentlichten, internationalen Einkaufsbedingungen für Produktionsmaterial und Kraftfahrzeugteile:

"17.4 Der Verkäufer hat sicherzustellen, dass im Zusammenhang mit dem Liefervertrag keine möglicherweise Schaden stiftende Software (z.B. Viren, Würmer oder Trojaner) zum Einsatz kommt, z.B. in mitgelieferten Treibern oder Firmware. Dies hat der Verkäufer nach dem Stand der Technik zu überprüfen und auf Anforderung des Käufers schriftlich zu bestätigen, dass er bei dieser Prüfung keine Hinweise auf Schaden stiftende Software gefunden hat.

 

17.5 Erlangt der Verkäufer Kenntnis von einem Vorfall, der eine Verletzung der Informationssicherheit zum Gegenstand hat (z.B. Sicherheitslücken, Datenverluste, Störfälle, Gefährdungen, Befall durch Schaden stiftende Software, Datenmissbrauch) und den Käufer betreffen könnte, insbesondere in Form eines unberechtigten Zugriffs Dritter auf Daten des Käufers (z.B. Datenleck oder Cyber-Attacke), oder bestehen Anhaltspunkte für den Verkäufer, die bei verständiger Würdigung den Verdacht eines solchen Vorfalls begründen, hat der Verkäufer unverzüglich und unentgeltlich

  • BMW hierüber zu informieren, und
  • alle notwendigen Schritte zur Sachverhaltsaufklärung und Schadensbegrenzung zu ergreifen sowie BMW hierbei zu unterstützen und,
  • falls die Verletzung der Informationssicherheit eine Unterbrechung oder Verzögerung der Warenlieferung, eine Verringerung der Betriebseffizienz oder den Verlust von Daten verursacht, BMW bei der Wiederherstellung der Daten zu unterstützen, und
  • auf Anforderung von BMW einen Sicherheitsbericht für einen vorgegebenen Betrachtungszeitraum zur Verfügung zu stellen. Notwendige Inhalte eines solchen Berichts sind insbesondere Ergebnisse von Sicherheitsprüfungen, Identifizierte Informationssicherheitsrisiken, sowie Identifizierte Informationssicherheitsvorfälle und deren Behandlung sowie,
  • BMW auf Verlangen zu ermöglichen, sich von der Einhaltung der Informationssicherheit und der vereinbarten Datenschutz- und Sicherheitsrichtlinien zu überzeugen (nachfolgend „Audits“). Der Verkäufer hat die Audits des Käufers zu dulden und Mitwirkungsleistungen, wie Auskünfte, zu erbringen, soweit dies für das Audit erforderlich ist. Klausel 22.5 gilt entsprechend. Der Käufer ist berechtigt, die Audits durch ein externes, gegenüber Dritten zur Verschwiegenheit verpflichtetes und qualifiziertes Unternehmen durchführen zu lassen, sofern es sich dabei nicht um einen Wettbewerber des Verkäufers handelt. Gesetzliche Kontroll- und Auskunftsrechte des Käufers werden hierdurch weder eingeschränkt noch ausgeschlossen; solange kein Nachweis gemäß Klausel 17.3 vorliegt, kann BMW auch ohne einen Vorfall/einen Verdacht auf Vorliegen eines Vorfalls gem. Klausel 17.5 ein Audit verlangen."

(Stand 31.03.2018, Quelle, Linkdatum 18.08.2020)

 

In a nutshell...

Zusammenfassend kann man sagen, dass zumindest die gesetzlichen, regulatorischen und vertraglichen Anforderungen erfasst, dokumentiert, bewertet und im ISMS berücksichtigt werden werden müssen, die einen direkten Einfluss auf die Sicherheitsziele, Vorschriften, Risikobewertungen, Maßnahmen, Fristen sowie Eskalations- und Meldewege haben. Denn wenn der Informationssicherheitsbeauftragte diese relevanten Informationen weder kennt noch berücksichtigt, ist die Gefahr groß, dass das ISMS letztlich seinen Zweck nicht ausreichend erfüllen wird.

 

Off: GDPdU, GoBS, SigG, SigV, TDDSG, TDSV

Beratung: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
KRITIS-Prüfung: B3S KRITIS, Ernährung, Ernährungsindustrie, Ernährungswirtschaft, Anlagen zur Steuerung und Bündelung (Aggregatoren), Gesundheitsversorgung im Krankenhaus, Pharma, Datacenter & Hosting
Termin prüfen: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG

TISAX® und ENX® sind eingetragene Marken der ENX Association.