IT und Recht

01.02.2018

Wenn man auf das Jahr 2017 zurückblickt, dann könnte es das Jahr sein, in dem Informationstechnik und Recht wirklich zusammengekommen sind. Auch wenn IT längst Alltagsgut ist, so konnte man bis vor kurzem noch den Eindruck haben, dass diese Branche mit so lästigen Dingen wie rechtlichen Vorgaben oder der verpflichtenden Umsetzung von Selbstverständlichkeiten nichts am Hut hat.

Wenn der Hersteller einer Firewall-"Appliance", also eines gebrauchsfertigen Produkts aus Hard- und Software auf Seite 29 seiner Lizenzierungs- und Sonstwas-Erklärungen seine finanzielle Haftung auf 10 Dollar beschränkt, dann ist das auch ein Ausdruck davon, dass man in keiner Weise damit rechnet, dass ein Jurist solche Formulierungen jemals betrachtet und bewertet. Auch die Dreistigkeit, mit der große US-Konzerne europäische Regeln zum Datenschutz ganz einfach ignorieren, ist der Tatsache geschuldet, dass man innerhalb Europas bei Bedarf ein paar rechtliche Scharmützel ausfechten konnte, ohne in Gefahr von ernsthaften Sanktionen zu kommen.

Mit der Gleichgültigkeit, die in den Chefetagen bisher den rechtlichen Aspekten der IT und den möglichen Folgen von Rechtsverstößen entgegengebracht wurde, ist es nun vorbei: Das IT-Sicherheitsgesetz (ITSiG) und die KRITIS-Verordnung zwingen mittlerweile Unternehmen aus "kritischen" Branchen zu einem belastbaren Management der Informationssicherheit. Die Sicherheit von Technik und Organisation der IT ist nicht mehr eine nette Kür, der man sich widmen kann, wenn die eigentlichen Anwendungen brauchbar funktionieren. Die Schaffung von Informationssicherheit und die Durchsetzung einer brauchbaren Dokumentation dieser Informationssicherheit wird zur essentiellen Managementaufgabe. Dabei ist zu beachten, dass die möglicherweise spannendste juristische Neuerscheinung des Jahres 2017 in Ergänzung des schon länger bekannten ITSiG das neue Grundschutz-Kompendium des BSI sein könnte.

In den Bausteinen des neuen IT-Grundschutz-Kompendiums werden Anforderungen an die Umsetzung und Gestaltung von Maßnahmen der Informationssicherheit eindeutig durch die Modalverben MUSS und SOLLTE sowie den zugehörigen Verneinungen formuliert. Das bedeutet, dass ein Richter, der keine starke Affinität zu IT-Themen besitzt, auch ohne langwierige Hinzuziehung von Sachverständigen zu einer Einschätzung kommen kann, ob der im ITSiG geforderte Stand der Technik durch passende Sicherheitsmaßnahmen (MUSS!) umgesetzt wurde oder nicht. Das doch eher abstrakte ITSiG hat durch das Kompendium eine ausführliche Konkretisierung zur Seite bekommen.

Das zweite Gesetz, das im Jahr 2017 Wirkung bei IT-Verantwortlichen gezeigt hat, kommt weniger feinsinnig daher. Die EU-Datenschutz-Grundverordnung beeindruckt durch die darin angedrohten Geldbußen "von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs".

Mit solchen Zahlen schafft man "Management-Attention" und prompt wird das rechtssichere Handeln mit der eigenen IT zum Topthema. Auch wenn Strafen der in Artikel 83 der DSGVO aufgeführten Größenordnung nach fester Überzeugung des Sicherheits-Berater keinesfalls auf den deutschen Mittelstand zielen, sind damit in sehr vielen Unternehmen Aktivitäten ausgelöst worden, die den Datenschutz und die ebenfalls in der Grundverordnung geforderte Informationssicherheit auf ein vorzeigbares Niveau heben sollen. "Ziel erreicht" könnte man denken. WERNER METTERHAUSEN


Dieser Beitrag ist Bestandteil von:


Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de