top of page
  • AutorenbildMarc Borgers

Welche Gesetze sind im Kontext der Informationssicherheit besonders relevant?


TKG, StGB, BDSG, Informationssicherheit, Richtlinien, B3S, ISMS, IT-SiG, BSIG, Kundenverträge, AktG, KritisV, BVerfG, ElGVG, DSGVO, GeschGehG, GG, GmbHG, GDPdU, GoB, GoBS, GoDV, HGB, KonTraG, SigG, SigV, SGB, SÜG, SÜFV, TDDSG, TDSV, TKÜV, UrhG, VwVfG, Gesetze, BAIT, VAIT, SiKat, Verträge, TMG, GoBD

Immer wieder wird die Frage gestellt, welche Gesetze im Kontext der Informationssicherheit einen besonderen Einfluss auf das Informationssicherheitsmanagementsystem (ISMS) haben. Diese Frage ist für Informationssicherheitsbeauftragte nicht leicht zu beantworten, insbesondere wenn sie keine Rechtswissenschaften studiert oder entsprechende Literatur bis dato gemieden haben. Jedoch ist die Kenntnis dieser Gesetze von zentraler Bedeutung, wenn man adäquate Vorgaben, Konzepte und Richtlinien für ein ISMS verfassen muss. Folgende Gesetze habe ich bei der Erstellung meiner Richtlinien oft herangezogen und empfehle diese als Lesetipp. Natürlich müssen Sie Ihre eigene passende Auswahl treffen.

Die folgende Übersicht und Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie haben keinen Anspruch auf Vollständigkeit, stellen keine Rechtsberatung dar und sind auch nicht als solche auszulegen.

Kürzel

Titel / Artikel / Paragraf

AktG

Aktiengesetz § 91 Abs. 2

​BDSG neu

Bundesdatenschutzgesetz

​BSI-KritisV

BSI-Kritisverordnung

BSIG

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik

BVerfG

Betriebsverfassungsgesetz

​EU-DSGVO

​Europäische Datenschutzgrundverordnung

GeschGehG

​Gesetz zum Schutz von Geschäftsgeheimnissen

GG

Grundgesetz Artikel 2, 10

​GmbHG

GmbH Gesetz §43 Abs. 1

GoB

Grundsätzen ordnungsmäßiger Buchführung

GoBD

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff

GoDV

Grundsätze für eine ordnungsmäßige Datenverarbeitung

HGB

​Handelsgesetzbuch § 37a i.V.m. § 257 HGB bzw. §§ 145-147 AO, §§ 238-239, 257-261

IT-SiG

IT-Si­cher­heits­ge­setz

KonTraG

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

SGB

Sozialgesetzbuch I § 35, X §§ 67-78

StGB

Strafgesetzbuch § 202a, § 202b, § 202c, § 206, § 263a, §§ 268-274, § 303a, § 303b, § 317

SÜG

Sicherheitsüberprüfungsgesetz

TKÜV

Telekommunikations-Überwachungsverordnung

TKG

Telekommunikationsgesetz

TMG

​Telemediengesetz

UrhG

Urheberrechtsgesetz §§ 69a ff, § 106

VwVfG

​Verwaltungsverfahrensgesetz § 30

​...

Gerne wird dabei vergessen, dass neben den reinen Gesetzen auch noch weitere Anforderungen bei der Erstellung von adäquaten Richtlinien berücksichtigt werden müssen. Beispiel dafür können sein:

Kürzel

Titel

B3S

​Branchenspezifische Sicherheitsstandards

BAIT

Bankaufsichtliche Anforderungen an die IT

IT-SiKat

​IT-Sicherheitskatalog gem. EnWG § 11 1a/1b

VAIT

Versicherungsaufsichtliche Anforderungen an die IT

​...

Aber auch vertragliche Anforderungen, wie zum Beispiel verpflichtende Sicherheitsmaßnahmen oder Meldefristen von Vorfällen spielen eine wichtige Rolle. Aus diesem Grund muss der Informationssicherheitsbeauftrage sich auch immer mit den Inhalten der Kundenverträge auseinandersetzen und die relevanten Anforderungen in seine Prozesse, Konzepte und Richtlinien übernehmen. So fordert zum Beispiel die BMW Group in ihren, im Internet veröffentlichten, internationalen Einkaufsbedingungen für Produktionsmaterial und Kraftfahrzeugteile:


"17.4 Der Verkäufer hat sicherzustellen, dass im Zusammenhang mit dem Liefervertrag keine möglicherweise Schaden stiftende Software (z.B. Viren, Würmer oder Trojaner) zum Einsatz kommt, z.B. in mitgelieferten Treibern oder Firmware. Dies hat der Verkäufer nach dem Stand der Technik zu überprüfen und auf Anforderung des Käufers schriftlich zu bestätigen, dass er bei dieser Prüfung keine Hinweise auf Schaden stiftende Software gefunden hat. 17.5 Erlangt der Verkäufer Kenntnis von einem Vorfall, der eine Verletzung der Informationssicherheit zum Gegenstand hat (z.B. Sicherheitslücken, Datenverluste, Störfälle, Gefährdungen, Befall durch Schaden stiftende Software, Datenmissbrauch) und den Käufer betreffen könnte, insbesondere in Form eines unberechtigten Zugriffs Dritter auf Daten des Käufers (z.B. Datenleck oder Cyber-Attacke), oder bestehen Anhaltspunkte für den Verkäufer, die bei verständiger Würdigung den Verdacht eines solchen Vorfalls begründen, hat der Verkäufer unverzüglich und unentgeltlich

  • BMW hierüber zu informieren, und

  • alle notwendigen Schritte zur Sachverhaltsaufklärung und Schadensbegrenzung zu ergreifen sowie BMW hierbei zu unterstützen und,

  • falls die Verletzung der Informationssicherheit eine Unterbrechung oder Verzögerung der Warenlieferung, eine Verringerung der Betriebseffizienz oder den Verlust von Daten verursacht, BMW bei der Wiederherstellung der Daten zu unterstützen, und

  • auf Anforderung von BMW einen Sicherheitsbericht für einen vorgegebenen Betrachtungszeitraum zur Verfügung zu stellen. Notwendige Inhalte eines solchen Berichts sind insbesondere Ergebnisse von Sicherheitsprüfungen, Identifizierte Informationssicherheitsrisiken, sowie Identifizierte Informationssicherheitsvorfälle und deren Behandlung sowie,

  • BMW auf Verlangen zu ermöglichen, sich von der Einhaltung der Informationssicherheit und der vereinbarten Datenschutz- und Sicherheitsrichtlinien zu überzeugen (nachfolgend „Audits“). Der Verkäufer hat die Audits des Käufers zu dulden und Mitwirkungsleistungen, wie Auskünfte, zu erbringen, soweit dies für das Audit erforderlich ist. Klausel 22.5 gilt entsprechend. Der Käufer ist berechtigt, die Audits durch ein externes, gegenüber Dritten zur Verschwiegenheit verpflichtetes und qualifiziertes Unternehmen durchführen zu lassen, sofern es sich dabei nicht um einen Wettbewerber des Verkäufers handelt. Gesetzliche Kontroll- und Auskunftsrechte des Käufers werden hierdurch weder eingeschränkt noch ausgeschlossen; solange kein Nachweis gemäß Klausel 17.3 vorliegt, kann BMW auch ohne einen Vorfall/einen Verdacht auf Vorliegen eines Vorfalls gem. Klausel 17.5 ein Audit verlangen." (Stand 31.03.2018, Quelle, Linkdatum 18.08.2020)


Zusammenfassend kann man sagen, dass zumindest die gesetzlichen, regulatorischen und vertraglichen Anforderungen erfasst, dokumentiert, bewertet und im ISMS berücksichtigt werden werden müssen, die einen direkten Einfluss auf die Sicherheitsziele, Vorschriften, Risikobewertungen, Maßnahmen, Fristen sowie Eskalations- und Meldewege haben. Denn wenn der Informationssicherheitsbeauftragte diese relevanten Informationen weder kennt noch berücksichtigt, ist die Gefahr groß, dass das ISMS letztlich seinen Zweck nicht ausreichend erfüllen wird.

bottom of page