Datenschutz Verstehen – IT-Sicherheitskonzept und IT-Sicherheitsgesetz 2.0
Kurze Einleitung:
Die eigenen Unternehmensdaten sind sehr wertvoll für jedes Unternehmen. Umso wichtiger stellt es sich somit dar, diese gut vor Angriffen zu schützen, unabhängig von der Größe des Unternehmens. Hierzu ist ein zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) in Kraft getreten. Doch was ist überhaupt ein IT-Sicherheitskonzept und welche Regelungen bringt das IT-Sicherheitsgesetz 2.0 mit sich?
Inhalt:
- Was ist ein IT-Sicherheitskonzept?
- Wer braucht ein IT-Sicherheitskonzept?
- Ziel eines IT-Sicherheitskonzepts
- Bestandteile eines IT-Sicherheitskonzepts
- Wer ist für das IT-Sicherheitskonzept verantwortlich?
- Was ist das IT-Sicherheitsgesetz 2.0?
- Wer ist von dem IT-Sicherheitsgesetz 2.0 betroffen?
- Welche Auswirkungen hat das IT-Sicherheitsgesetz 2.0 auf die Unternehmen?
- Zusammenhang vom IT-Sicherheitskonzept und IT-Sicherheitsgesetz 2.0
- FAQ
- Fazit
Was ist ein IT-Sicherheitskonzept?
Ein IT-Sicherheitskonzept kann als Informationsverbund gesehen werden und ist Bestandteil des IT-Sicherheitsmanagements. Seine Erforderlichkeit wird aus Art. 25 und Art. 32 DSGVO abgeleitet. Es umfasst Schutzziele und Richtlinien, die schriftlich festgehalten werden. Ein IT-Sicherheitskonzept dient zur Informationssicherheit, um Verfügbarkeit, Integrität und Vertraulichkeit von Daten sicherzustellen.
Für ein IT-Sicherheitskonzept werden Unternehmensdaten und Maßnahmen klassifiziert. Dadurch ist es möglich, den Ist- und Sollzustand zu vergleichen. Ein IT-Sicherheitskonzept verfügt darüber hinaus auch über Mechanismen zur Zugriffskontrolle und Technologien für die Verschlüsselung.
Vorab müssen jedoch der Geltungsbereich, die Risiken, der Schutzbedarf sowie das Schutzniveau geklärt werden. Im Zuge dessen sollten wichtige Fragen gestellt und beantwortet werden. Dabei handelt es sich um Fragen darüber, um welche Informationen es überhaupt geht und wie diese geschützt werden können.
Ein IT-Sicherheitskonzept ist von großer Bedeutung, um den Datenschutz zu gewährleisten. Durch technische und organisatorische Maßnahmen (kurz: TOM) können Datenpannen verhindert werden. Bei einem IT-Sicherheitskonzept muss die gesamte IT des Unternehmens berücksichtigt werden. Darüber hinaus können auch Mitarbeiterschulungen zu diesem Thema durchgeführt werden.
Wer braucht ein IT-Sicherheitskonzept?
Ein IT-Sicherheitskonzept ist für jedes Unternehmen wichtig, da Angriffe – unabhängig von der Größe eines Unternehmens – vollzogen werden können. Gerade im Zuge der Digitalisierung gewinnt ein starkes IT-Sicherheitskonzept zunehmend an Bedeutung. Gem. Art. 32 DSGVO muss jeder, der mit personenbezogenen Daten arbeitet oder mit eben diesen in Berührung kommt, ein angemessenes Schutzniveau nachweisen. Enorm wichtig ist ein IT-Sicherheitskonzept dabei bei Unternehmen, bei denen besonders sensible Daten verarbeitet werden, wie zum Beispiel Berufsgeheimnisträger. Zu diesen zählen neben Steuerberatern auch Rechtsanwälte, Notare und Ärzte.
Ziel eines IT-Sicherheitskonzepts
Als Ziel eines IT-Sicherheitskonzepts stellt sich die Gewährleistung der Informationssicherheit im Unternehmen sowie die Datensicherheit im Internet dar. Hierdurch können Risiken und Sicherheitslücken erkannt und eliminiert werden. Dies sichert einerseits das Kundenvertrauen und bietet auf der anderen Seite somit einen Wettbewerbsvorteil für Unternehmen gegenüber Konkurrenten. Darüber hinaus dient es in hohem Maße der Rechtssicherheit. IT-Sicherheit findet dabei bereichsübergreifend statt, wobei das ganze Unternehmen miteinbezogen wird. Auch die Mitarbeiterakzeptanz steigt durch die geschaffene IT-Sicherheit. Als Schutzziele eines IT-Sicherheitskonzepts lassen sich Vertraulichkeit, Integrität und Verfügbarkeit nennen, welche deckungsgleich zu den Zielen der Datenschutz-Grundverordnung zu sehen sind.
Bestandteile eines IT-Sicherheitskonzepts
Ein IT-Sicherheitskonzept besteht aus verschiedenen Teilen, die individuell auf das jeweilige Unternehmen angepasst sind. Dabei beinhaltet ein solches Konzept nach ISO 27001 acht Phasen.
Schritte zur Erarbeitung eines Konzeptes:
1. Bestandsanalyse
In dem ersten Schritt wird der Schutzbedarf ermittelt, um den Geltungsbereich des IT-Sicherheitskonzepts zu begrenzen. Hierbei wird der Informationsverbund definiert, organisatorische, infrastrukturelle und personelle Komponenten berücksichtigt werden.
2. IT-Strukturanalyse
Hier wird der Ist-Zustand analysiert und der Informationsverbund strukturiert erfasst.
3. Schutzbedarfserstellung
Der Schutzbedarf wird mit Hilfe von Schutzbedarfskategorien ermittelt. Die Bewertung erfolgt dann aufgrund einer qualitativen Abschätzung eines potenziellen Schadens.
4. Modellierung
In diesem Schritt wird ein realer Informationsverbund anhand von Bausteinen der IT-Grundschutz-Kataloge und eines Schichtenmodells nachgestellt.
5. Basis-Sicherheitscheck
Der Basis-Sicherheitscheck stellt dann die Soll-Vorgabe der erforderlichen Maßnahmen dar und ergibt sich aus dem Ergebnis der Modellierung.
6. Ergänzende Sicherheitsanalyse
Eine ergänzende Sicherheitsanalyse ist für manche Elemente des Informationsverbundes notwendig, die einen hohen Schutzbedarf haben, nicht in der Modellierung darstellbar sind oder in Einsatzszenarien betrieben werden, die beim IT-Grundschutz nicht berücksichtigt werden.
7. Konsolidierung des Sicherheitskonzepts
In diesem Schritt werden die abgeleiteten Sicherheitsmaßnahmen geprüft und zusammen gebracht. Hierbei können auch einzelne Maßnahmen ersetzt werden. Ziel ist es, am Ende nur noch Maßnahmen, die ein angemessenes Schutzniveau bieten, übrigzuhaben.
8. Ergänzender Basis-Sicherheitscheck
Im letzten Schritt wird der Basis Sicherheitscheck aus Schritt 5 wiederholt, um gegebenenfalls entstandene Lücken herauszufinden.
Diese Maßnahmen wirken nur, wenn sie vollständig umgesetzt werden. Zudem ist die regelmäßige Durchführung von Kontrollen von großer Notwendigkeit, da sich die Systeme verändern und teilweise auch Zertifizierungen notwendig werden. Im Zuge dessen kann dabei ein Leitfaden zum Download für das jeweilige Unternehmen erstellt werden.
Wer ist für das IT-Sicherheitskonzept verantwortlich?
Ein IT-Sicherheitskonzept wird sowohl von der IT-Leitung, als auch von dem Informationssicherheitsbeauftragten sowie dem Datenschutzbeauftragten zunächst ausgearbeitet und in einem weiteren Schritt daraufhin umgesetzt. Allerdings ist es wichtig, dass alle Mitarbeiter das Konzept und Vorgehen verstanden haben und so dazu beitragen, dass dieses funktioniert.
Was ist das IT-Sicherheitsgesetz 2.0?
Das IT-Sicherheitsgesetz 2.0 dient der sicheren Umsetzung der Digitalisierung. Inhaltlich stärkt das IT-Sicherheitsgesetz 2.0 das BSI (Bundesamt für Sicherheit in der Informationstechnik) in bestimmten Punkten. Es legt Mindeststandards für Behörden fest, die regelmäßig kontrolliert werden müssen. Weiterhin stärkt es das BSI vor allem in den Punkten Detektion von Sicherheitslücken und Abwehr von Cyberangriffen. Darüber hinaus trägt das Gesetz zur Gestaltung einer sicheren Digitalisierung bei. Besonders soll die Cybersicherheit in den Mobilfunknetzen durch Untersagung des Einsatzes kritischer Komponenten zum Schutz der öffentlichen Ordnung gewährleistet werden. So müssen Netzbetreiber hohe Sicherheitsanforderungen erfüllen und bestimmte Zertifizierungen vorweisen, auch um die Informationssicherheit einzuhalten.
Durch das IT-Sicherheitsgesetz 2.0 wird das BSI Anlaufstelle für Verbraucher bei IT-Sicherheitsfragen auf Bundesebene. Das BSI ist außerdem für die Überwachung und Durchsetzung der Vorschriften im Rahmen der EU Schemata für die Cybersicherheitszertifizierung zuständig.
Außerdem schreibt das IT-Sicherheitsgesetz 2.0 die Einführung eines IT-Sicherheitskennzeichens vor, damit die Transparenz für Verbraucher gewahrt wird.
Auch in Zukunft werden weitere Unternehmen, die von besonderem öffentlichen Interesse sind, bestimmte IT-Sicherheitsmaßnahmen umsetzen müssen.
Wer ist von dem IT-Sicherheitsgesetz 2.0 betroffen?
Durch das IT-Sicherheitsgesetz 2.0 zählt nun auch der Sektor “Entsorgung” zum Kreis der möglichen Betreiber kritischer Infrastrukturen. Zu den bereits existierenden Sektoren (KRITIS-Sektoren) gehören darüber hinaus: Energie, Informationstechnik, Telekommunikation und Transport und Verkehr, Gesundheit, Wasser, Ernährung und Finanz- und Versicherungswesen.
Auch Unternehmen im besonderen öffentlichen Interesse, wie z.B. Rüstunternehmen und Chemieunternehmen gelten als dazugehörig. Diese treffen im Zuge dessen eigene weiterführende Pflichten. Sie zählen zum Teil zu den größten Unternehmen Deutschlands und müssen sich ebenfalls an die KRITIS-Regulierung halten.
Welche Auswirkungen hat das IT-Sicherheitsgesetz 2.0 auf die Unternehmen?
Durch das IT-Sicherheitsgesetz 2.0 werden den Betreibern von kritischer Infrastruktur neue Pflichten auferlegt. Diese müssen Mindestsicherheitsstandards erfüllen. Außerdem gibt es höhere Sicherheitsanforderungen für kritische Komponenten. Darüber hinaus bestehen Informations- sowie Meldepflichten gegenüber dem BSI. Für Unternehmen von besonderem öffentlichen Interesse gilt zudem die Pflicht, sich beim BSI zu registrieren und einen Ansprechpartner zu benennen. Alle zwei Jahre müssen diese daher eine Selbsterklärung über Zertifizierungen, Sicherheitsaudits, Prüfungen, Sicherung der besonders schützenswerten IT-Systeme, Komponenten und Prozesse abgegeben. Zu kritischen Komponenten zählen dabei IT-Produkte, die in heiklen Infrastrukturen eingesetzt werden und auch bedeutend für das Funktionieren des Gemeinwesens sind. Dies ist der Fall, wenn sie die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der kritischen Infrastruktur gewährleisten. Außerdem zählen IT-Produkte dazu, die entweder aufgrund eines Gesetzes als kritische Komponenten bestimmt werden oder eine kritische Funktion im Unternehmen realisieren.
Bei Nichteinhaltung der Pflichten ist mit Bußgeldern von bis zu 20 Mio. € zu rechnen.
Zusammenhang vom IT-Sicherheitskonzept und IT-Sicherheitsgesetz 2.0
Der Zusammenhang zwischen den beiden Gesetzen besteht quasi in der Neuerung. Diese Neuerung des Gesetzes für die Cyber- und Informationssicherheit war aufgrund von immer häufigeren und komplexeren Cyberattacken und der voranschreitenden Digitalisierung notwendig. Dabei demonstriert sie die Wichtigkeit eines IT-Sicherheitskonzepts. Durch die Neuerung sind bestimmte Unternehmen somit verpflichtet, ein IT-Sicherheitskonzept zu eruieren und dies beim BSI durch Zertifizierungen nachzuweisen. Weiterhin bewirkt die Änderung des Gesetztes eine Ausdehnung des Schutzbereiches, woraus resultiert, dass eine deutliche höhere Anzahl an Unternehmen betroffen ist. So müssen KRITIS Unternehmen nun ein System zur Angriffserkennung einsetzten, welches Teil des IT-Sicherheitskonzepts sein muss.
Das IT-Sicherheitsgesetz 2.0 verpflichtet außerdem dazu, Reaktionspläne und Präventionsmaßnahmen auszuarbeiten, welche ebenfalls als Teil des IT-Sicherheitskonzeptes fungieren.
FAQ: IT Sicherheit
Ein Datensicherheitskonzept soll den Schutz der Daten in Form von Integrität, Vertraulichkeit und Verfügbarkeit der Daten gewährleisten. Im Gegensatz dazu stellt ein IT-Sicherheitskonzept den Schutz der technischen Systeme sicher. Hierbei geht es auch um den allgemeinen Schutz von Informationen.
Das IT-Sicherheitsgesetz ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Durch dieses Gesetz sollen die deutschen digitalen Infrastrukturen und die IT-Systeme besser gesichert werden.
Neben den gesetzlichen Regelungen des IT-Sicherheitsgesetzes findet man auch in der internationalen Norm ISO/IEC 27001 :2013 weitere Anforderungen, beispielsweise für das Einrichten, Betreiben und Optimieren eines IT-Sicherheitskonzepts.
Ein IT-Sicherheitskonzept muss dann erstellt werden, wenn es um die Sicherheit der IT eines Betreibers geht. Hierbei ist es von enormer Wichtigkeit, dass es die Anforderungen der ISO 27001 erfüllt und diesen entspricht. Im Zuge dessen sollten schriftliche Richtlinien erstellt werden, die festlegen, wie die IT und die digitale Infrastruktur zu sichern sind.
Wer braucht ein IT-Sicherheitskonzept?
Ein IT-Sicherheitskonzept ist für jedes Unternehmen essenziell. Gerade durch die Digitalisierung ist es besonders wichtig geworden, Daten und Informationen zu schützen.
Nein, das Opt-Out ist ein elementarer Baustein für eine wirksame Einwilligung. Der Einsatz eines ausschließlichen Opt-Out-Verfahrens ohne vorheriger Einwilligung ist nur in ganz besonderen Fällen möglich, daher ist es geläufig, dass Opt-Out als “verboten” gelten.
Fazit
Zusammenfassend lässt sich sagen, dass ein IT-Sicherheitskonzept im Zuge der Digitalisierung immer wichtiger wird und darauf nicht verzichtet werden sollte. So schützt es zum Beispiel vor Cyberangriffen, stellt Kundenzufriedenheit her und verschafft dem Unternehmen einen Wettbewerbsvorteil. Grundsätzlich sollte jedes Unternehmen ein IT-Sicherheitskonzept vorweisen können. Wichtig ist dabei auch, die Beschäftigten zu diesem Thema zu schulen und zu sensibilisieren.
Schon während des Wirtschaftsrechts-Studiums entdeckte Frau Konstanze Krollpfeiffer ihr großes Interesse für den Datenschutz und arbeitete bereits als Werkstudentin bei der Keyed GmbH. Nach dem Abschluss des Studiums unterstützt sie das Team nunmehr als Junior Data Protection Consultant und betreut Kunden bei der Umsetzung datenschutzrechtlicher Vorgaben sowie bei der Etablierung datenschutzrechtlicher Standards. Durch ihre juristische sowie wirtschaftsrechtliche Ausbildung bringt Frau Krollpfeiffer dabei die notwendige Sachkenntnis mit.