17 March 2016

Aktuelle Entwicklungen im Bereich IT-Security

Sowohl auf europäischer als auch auf nationaler Ebene haben sich im letzten Jahr die regulatorischen Anforderungen verschärft. 

Bereits im Juli 2015 wurde das IT-Sicherheitsgesetz in Deutschland verabschiedet. Dadurch wurde u.a. das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz), das TMG und das TKG geändert. Auf europäischer Ebene wurde im Dezember 2015 eine Einigung über die Richtlinie zur Gewährleistung einer hohen Netz- und Informationssicherheit („network and information security“-Richtlinie; kurz: NIS-Richtlinie) erreicht. Diese soll im Frühjahr 2016 verabschiedet werden und voraussichtlich anderthalb Jahre danach in Kraft treten. 

Das BSI-Gesetz enthält die Rechtsgrundlagen für Verordnungen zur Erhöhung der IT-Sicherheit. Dadurch soll der gesetzliche Rahmen in den nächsten Monaten ausgefüllt werden. Insbesondere hat das Bundesinnenministerium nun einen ersten Entwurf einer Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz veröffentlicht. In diesem sog. Ersten Korb sind die Bereiche Energie, Informationstechnologien, Ernährung und Wasser erfasst. In einem Zweiten Korb, geplant für Ende 2016, werden die Bereiche Finanzen, Gesundheit und Transport & Verkehr geregelt. 

Durch die Verordnung wird festgelegt, welche Anbieter- und Dienstleistertypen jeweils als kritische Infrastruktur angesehen werden. Insbesondere fallen „Content Delivery Networks“ und „Host-Provider“ in den sog. Ersten Korb. Dabei werden bestimmte Schwellenwerte anhand des ausgelieferten Datenvolumens in TByte/Jahr definiert. Die einzelnen Datenübertragungsarten (z. B. Download, Streaming) werden nicht unterschieden.

Unternehmen sollten nun prüfen, welche ihrer Leistungen von der geplanten Verordnung erfasst werden und ob die Schwellenwerte jeweils erreicht werden (nachdem es sich lediglich um einen ersten Entwurf handelt, können sich insbesondere die Schwellenwerte noch ändern). Verstößt ein relevanter Anbieter gegen das IT-Sicherheitsgesetz, drohen Bußgelder bis zu EUR 100.000.

Selbst wenn ein Online-Dienstleister nicht unter die strengen Anforderungen des IT-Sicherheitsgesetzes fällt, muss er aufgrund des neuen § 13 Abs. 7 TMG verschärfte Anforderungen an die IT-Sicherheit beachten. Der Zweck der Vorschrift ist, Störungen im Bereich Telemedien und die Verbreitung von Schadsoftware über ein Online-Medium zu verhindern. Die genannten unbestimmten Rechtsbegriffe können z. B. durch Checklisten und anerkannte Standards ausgefüllt werden. Das BSI stellt Checklisten zur Verfügung. Diese müssen jedoch modifiziert werden, um die individuellen Anforderungen eines Unternehmens zu erfassen. Ein Verstoß gegen diese geforderten TMG-Datensicherheitspflichten kann mit einem Bußgeld von bis zu EUR 50.000 sanktioniert werden.

Online-Dienstleister sollten spätestens jetzt anerkannte Verschlüsselungsverfahren (z. B. die aktuelle TLS-Version mit Perfect Forward Secrecy) nutzen und sichere Authentifizierungsverfahren einsetzen. Die Landesdatenschutzbehörden können Bußgelder verhängen, wenn Updates nicht zeitnah installiert werden.


In diesem Zusammenhang möchten wir Sie gerne auf unser kostenloses Inhouse-Seminar hinweisen:

Link: Inhouse-Seminar zur IT-Sicherheit

Share on LinkedIn Share on Facebook Share on Twitter
    Das könnte Sie auch interessieren

    Ein Verbraucherschutzverein klagte gegen Amazon auf Unterlassung einer solchen Nutzungsbedingung

    20 Juli 2016

    Der für das Lauterkeitsrecht zuständige I. Zivilsenat des BGH hat entschieden, dass es grundsätzlich nicht unlauter ist, wenn ein Unternehmen Rabatt-Coupons seiner Mitbewerber einlöst.

    20 Juli 2016

    Entgegen des Urteils des LG Kölns verbot das OLG Köln mit Urteil vom 24.06.2016 den Vertrieb der Adblock Plus Software

    20 Juli 2016

    EuGH-Entscheidung: Benutzung einer Marke durch einen Dritten auf einer Website

    20 Juli 2016