Verwendete Dienste und Cookies

Unsere Website nutzt Cookies, um Ihre Nutzungserfahrung zu verbessern. Einige Cookies sind essentiell für das Funktionieren und Managen der Seite, während andere für anonyme Statistiken oder personalisierte Inhalte verwendet werden. Bitte beachten Sie, dass bei eingeschränkter Cookie-Nutzung bestimmte Webseitenfunktionen beeinträchtigt sein können.

Weitere Informationen: Impressum, Datenschutz

Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen oder z.B. Ihre Cookie-Einstellungen speichern. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Diese Kategorie kann nicht deaktiviert werden.
  • Name:
    ukie_a_cookie_consent_manager
  • Domain:
    blomstein.com
  • Zweck:
    Speichert die Cookie-Einstellungen der Website-Besucher.
  • Name:
    blomstein_session
  • Domain:
    blomstein.com
  • Zweck:
    Der Session-Cookie ist für das grundlegende Funktionieren der Website unerlässlich. Er ermöglicht es den Nutzern, durch die Website zu navigieren und ihre grundlegenden Funktionen zu nutzen.
  • Name:
    XSRF-TOKEN
  • Domain:
    blomstein.com
  • Zweck:
    Dieser Cookie dient der Sicherheit und hilft, Cross-Site Request Forgery (CSRF)-Angriffe zu verhindern. Er ist technisch notwendig.
Diese Cookies sammeln Informationen darüber, wie Sie eine Website nutzen, z. B. welche Seiten Sie besucht und auf welche Links Sie geklickt haben.
  • Name:
    _ga
  • Domain:
    blomstein.com
  • Zweck:
    Das Google Analytics Cookie _ga wird verwendet, um Benutzer zu unterscheiden, indem es eine eindeutige Identifikationsnummer für jeden Besucher vergibt. Diese Nummer wird bei jedem Seitenaufruf an Google Analytics gesendet, um Nutzer-, Sitzungs- und Kampagnendaten zu sammeln und die Nutzung der Website statistisch auszuwerten. Das Cookie hilft Website-Betreibern zu verstehen, wie Besucher mit der Website interagieren, indem es Informationen anonym sammelt und Berichte generiert.
  • Name:
    _ga_*
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _ga_[container_id], spezifisch für Google Analytics 4 (GA4), dient der Unterscheidung von Website-Besuchern durch Zuweisung einer einzigartigen ID für jede Sitzung und jeden Nutzer. Es ermöglicht die Sammlung und Analyse von Daten über das Nutzerverhalten auf der Website in anonymisierter Form. Dies umfasst das Tracking von Seitenaufrufen, Interaktionen und dem Weg, den Nutzer auf der Website zurücklegen, um Website-Betreibern tiefere Einblicke in die Nutzung ihrer Seite zu geben und die Benutzererfahrung zu verbessern.
  • Name:
    _gid
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gid ist ein von Google Analytics gesetztes Cookie, das dazu dient, Benutzer zu unterscheiden. Es weist jedem Besucher der Website eine einzigartige Identifikationsnummer zu, die bei jedem Seitenaufruf an Google Analytics gesendet wird. Dies ermöglicht es, das Nutzerverhalten auf der Website über einen Zeitraum von 24 Stunden zu verfolgen und zu analysieren.
  • Name:
    _gat_gtag_UA_77241503_1
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gat_gtag_UA_77241503_1 ist Teil von Google Analytics und Google Tag Manager und wird verwendet, um die Anfragerate zu drosseln, d.h., es begrenzt die Datensammlung auf Websites mit hohem Verkehrsaufkommen. Dieses Cookie ist mit einer spezifischen Google Analytics-Property-ID (in diesem Fall UA-77241503-1) verknüpft, was bedeutet, dass es für die Leistungsüberwachung und -steuerung der Datenerfassung für diese spezielle Website-Property eingesetzt wird.

Der allgemeine Rechtsrahmen für Cyber-Security in Deutschland und Europa

12.11.2020

Cyber-Security gewinnt in Deutschland und in Europa zunehmend an Bedeutung. Das Bedürfnis, den digitalen Markt und die IT Systeme der dort handelnden Unternehmen vor Angriffen zu schützen, wächst stetig. In den vergangenen zwei Jahren haben 68% der Unternehmen Cyber-Angriffe registriert. Laut Aussage des BSI-Präsidenten kommen täglich 390.000 neue Varianten zu den bekannten 800 Millionen Schadprogrammen hinzu. Der europäische und der deutsche Gesetzgeber haben unter dem Regelungsziel „Cyber-Sicherheit“ daher eine Reihe von Rechtsnormen erlassen und den Mitgliedstaaten bzw. Unternehmen weitgehende Pflichten auferlegt. Dieses Briefing soll einen Überblick geben über die prominentesten Gesetzesakte im Bereich Cyber-Security und die darin verankerten Pflichten der Adressaten.

Die bestehenden Rechtsvorschriften zur Cyber-Security lassen sich grob in zwei Gruppen unterteilen: Einige Regelwerke haben Cyber-Security zum unmittelbaren Regelungsgegenstand. Hervorzuheben ist hierbei die im Sommer 2019 in Kraft getretene EU-Cyber-Security-Verordnung (Cyber-Security-Verordnung). Es existieren jedoch auch Gesetze mit Regelungen zur Cyber-Security, deren Fokus eigentlich auf anderen Regelungen liegt. Hierunter fällt beispielsweise die Verordnung (EU) 2016/679 (DSGVO).

Gesetzesakte zur Cyber-Security

Mit der Richtlinie 2009/140/EG (Rahmen-Richtlinie) und der Richtlinie 2002/58/EG (ePrivacy-Richtlinie), die in Deutschland durch das Telekommunikationsgesetz (TKG) umgesetzt wurden, werden Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher elektronischer Telekommunikationsdienste adressiert. In Umsetzung der Richtlinie (EU) 2016/1148 (NIS-Richtlinie) wurden hierzulande u.a. das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und das Energiewirtschaftsgesetz (EnWG) geändert. Die Vorschriften zur IT-Sicherheit in diesen Regelungswerken richten sich an das BSI selbst, an Betreiber Kritischer Infrastrukturen (Organisationen und Einrichtungen mit hoher Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Beeinträchtigung erhebliche Folgen hätte) und an Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste). Kleinstunternehmen sind vom Anwendungsbereich des BSIG ausgenommen und die Pflichten der Anbieter digitaler Dienste richten sich auch nicht an kleine Unternehmen.

Die Gesetze zur Cyber-Security legen insbesondere Mindestsicherheitsanforderungen und Meldepflichten fest:

Mindestsicherheitsanforderungen

Die genannten Regelungen schreiben den jeweils adressierten Unternehmen technische und organisatorische Maßnahmen zur Bewältigung der Risiken für die Sicherheit ihrer Netze und IT-Systeme vor. Auswirkungen von Sicherheitsverletzungen sollen vermieden bzw. so gering wie möglich gehalten werden. Die Sicherheitsanforderungen werden in der Regel durch Verweise auf Verordnungen oder „soft law“ weiter konkretisiert. Sie legen besondere Vorgaben für einzelne Branchen fest.

So müssen Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher elektronischer Telekommunikationsdienste einen Sicherheitsbeauftragten benennen und auf Grundlage des Sicherheitskatalogs der Bundesnetzagentur ein Sicherheitskonzept erstellen. Erstere müssen dieses Sicherheitskonzept unverzüglich nach Aufnahme des Netzbetriebs bei der Bundesnetzagentur einreichen. Für Anbieter digitaler Dienste werden die Sicherheitsstandards durch die Durchführungsverordnung (EU) 2018/151 der EU-Kommission konkretisiert. Betreiber von Energieversorgungsnetzen müssen sich an einen von der Bundesnetzagentur erstellten Katalog von Sicherheitsanforderungen halten. Für Betreiber von Energieanlagen, die als Kritische Infrastruktur zu qualifizieren sind, gibt es einen entsprechenden Katalog. Alle sonstigen Betreiber Kritischer Infrastrukturen können dem BSI branchenspezifische Sicherheitsstandards vorschlagen und sich diese bestätigen lassen. Sie müssen die Erfüllung der Sicherheitsanforderungen mindestens alle zwei Jahre nachweisen.

Meldepflichten

Von großer praktischer Bedeutung sind ferner die Meldepflichten, die in den genannten Gesetzesakten vorgeschrieben werden. Betreiber öffentlicher Kommunikationsnetze und Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste müssen erhebliche Beeinträchtigungen ihrer Netze und Dienste unverzüglich der Bundesnetzagentur und dem BSI mitteilen (§ 109 Abs. 5 TKG). Betreiber Kritischer Infrastrukturen haben in solchen Fällen gemäß § 8b Abs. 4 BSIG bei Störungen, die zu Ausfällen geführt haben, sowie erheblichen Störungen, die zu Ausfällen führen können, über ihre Kontaktstelle das BSI unverzüglich zu unterrichten. Anbieter digitaler Dienste müssen Vorfälle, die gemäß § 8c Abs. 3 BSIG erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes haben, unverzüglich dem BSI melden. Vorfälle mit erheblichen Auswirkungen sind durch die Parameter der Vorschrift wie beispielsweise die Anzahl der betroffenen Nutzer, die Dauer, das betroffenen geographische Gebiet sowie das Ausmaß der Unterbrechung näher definiert.

Das BSI wiederum hat die zuständigen Landesaufsichtsbehörden und die Betreiber Kritischer Infrastrukturen unverzüglich über bekannte Sicherheitslücken sowie erfolgte und versuchte Cyber-Angriffe zu unterrichten.

Bußgelder

Legen Betreiber öffentlicher Telekommunikationsnetze das zu erstellende Sicherheitskonzept nicht unverzüglich nach Aufnahme des Netzbetriebs der Bundesnetzagentur vor, droht ihnen nach dem TKG ein Bußgeld bis zu 100.000 Euro. Der Verstoß gegen die Meldepflicht wird nach dem TKG mit bis zu 50.000 Euro geahndet. Für Non-Compliance und bei Missachtung der Meldepflichten sehen das EnWG Bußgelder bis zu 100.000 Euro und das BSIG Bußgelder bis zu 50.000 Euro vor.

Regelungen zur Cyber-Security in anderen Gesetzen

Auch Regelungen anderer Gesetze enthalten Vorschriften zur Cyber-Security. Die DSGVO sowie das Bundesdatenschutzgesetz sehen konkrete Maßnahmen vor, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, so etwa deren Pseudonymisierung und Verschlüsselung. Die Verantwortlichen müssen eine Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde melden. Bei einem hohen Risiko für die Rechte des Betroffenen ist auch dieser zu benachrichtigen. Die Datenschutz-Grundverordnung sieht für Non-Compliance und bei Missachtung der Meldepflicht Bußgelder bis zu 10 Mio. Euro vor.

Das Kreditwesengesetz verlangt von Kreditinstituten und der BaFin ebenfalls Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit. Nach dem Netzwerkdurchsetzungsgesetz müssen Anbieter sozialer Netzwerke, die im Kalenderjahr mehr als 100 Beschwerden über rechtswidrige Inhalte erhalten, einen Bericht über den Umgang mit diesen Beschwerden erstellen und im Bundesanzeiger sowie auf der eigenen Homepage veröffentlichen. Bei Missachtung dieser Pflicht drohen den Betroffenen Bußgelder bis zu 5 Mio. Euro.

Cyber-Security-Verordnung

Am 27. Juni 2019 trat die Cyber-Security-Verordnung in Kraft. Mit diesem Rechtsakt wird der personell und finanziell gestärkten Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) ein dauerhaftes Mandat geschaffen. Zusätzlich führt die Verordnung einen europäischen Rahmen für die Cyber-Sicherheitszertifizierung von informationstechnischen Produkten, Prozessen und Dienstleistungen ein. Sicherheitsmerkmale in IT-Produkten und -Diensten werden durch eine unabhängige Stelle verifiziert, wodurch Nutzer feststellen können, wie vertrauenswürdig die von ihnen gekauften IT-Produkte und -Dienste sind. Ferner sieht die Verordnung vor, dass Sicherheitsmerkmale bei IT-Produkten und -Diensten bereits in der Frühphase ihrer technischen Konzeption und Entwicklung eingebaut werden, um spätere Sicherheitslücken zu verhindern („security by design“).

Regulatorischer Ausblick

Das breite Spektrum an geltendem Recht schließt viele Sicherheitslücken im Cyber-Raum. Doch die hohe Anzahl an Cyber-Angriffen verdeutlicht, dass die Sicherheitsstandards fortlaufend an die sich verändernden Risiken angepasst werden müssen. Ein weiteres Problem ist die dargestellte Zersplitterung der Regeln zur Cyber-Security auf viele verschiedene Gesetze. Es stellt Unternehmen vor hohe Herausforderungen, den für sie geltenden Rechtsrahmen herauszufinden.

Der Koalitionsvertrag zwischen CDU und SPD sieht ein IT-Sicherheitsgesetz 2.0 vor. Am 7. Mai 2020 hat das Bundesinnenministerium (BMI) dieses Gesetzesvorhaben im Wege eines zweiten Referentenentwurfs konkretisiert. Eine entscheidende vorgesehene Neuerung betrifft die Ausweitung der bisher für kritische Infrastrukturen geltenden besonderen Pflichten auf „Unternehmen im besonderen öffentlichen Interesse“ (§ 2 Abs. 14 BSIG-E). Hierunter fallen neben Rüstungs-, Raumfahrt-, Chemie- und IT-Sicherheitsunternehmen auch Unternehmen von „besonderer volkswirtschaftlicher Bedeutung“. Eine genauere Konkretisierung dieser Kategorien soll im Wege einer Rechtsverordnung erfolgen.

Zudem soll das BMI zukünftig berechtigt sein, den Einsatz kritischer Komponenten nicht vertrauenswürdiger Hersteller durch Betreiber kritischer Infrastrukturen zu untersagen (§ 9b BSIG-E). Durch diese Vertrauenswürdigkeitsprüfung soll insbesondere eine missbräuchliche Zugriffsmöglichkeit auf Hard- und Software zu Sabotage- und Spionagezwecken im Rahmen des Aufbaus der 5G-Netze verhindert werden. Auch die Mitwirkungspflichten von Telekommunikations- und Telemedienanbietern bei der Cyberabwehr sollen verschärft werden. So räumt der Referentenentwurf dem BSI die Befugnis ein, künftig Cyberabwehrmaßnahmen gegenüber Telekommunikationsanbietern anzuordnen (§ 109a Abs. 8 TKG-E). Für Non-Compliance und für die Verletzung von Meldepflichten sieht der aktuelle Referentenentwurf eine drastische Erhöhung der Bußgelder vor, die wie zu erwarten an die Regelungen der DSGVO angeglichen werden sollen. Die Entwicklung des regulatorischen Rahmens zur Verbesserung der Cyber-Security im öffentlichen und privaten Bereich ist also noch lange nicht abgeschlossen.

Wenn Sie Fragen zu den jetzigen beziehungsweise zukünftigen Auswirkungen der Cyber-Security auf Ihr Unternehmen oder Ihre Branche haben, stehen Ihnen Dr. Roland M. Stein und Dr. Christopher Wolters jederzeit gern zur Verfügung.

zurück zur Übersicht