Meldepflicht im T-Sicherheitsgesetz und in der DSGVO

Die Frist für ordnungsgemäße Meldungen beträgt 72-Stunden

| Autor / Redakteur: Alexander Frese* / Ulrike Ostler

Einfach einmal zum Telefon greifen, um zu melden wenn die Hütte brennt, damit ist es beim IT-Sicherheitsgesetz und der DSGVO nicht getan.
Einfach einmal zum Telefon greifen, um zu melden wenn die Hütte brennt, damit ist es beim IT-Sicherheitsgesetz und der DSGVO nicht getan. (Bild: gemeinfrei - PIX1861/Pixabay / CC0)

Dass IT-Sicherheitsgesetz und die EU-Datenschutzgrundverordnung bringen Meldepflichten mit sich, die gar nicht so einfach zu erfüllen sind. Vor allem bei Datenschutzpannen haben die Unternehmen nur 72 Stunden Zeit zu reagieren.

Für IT-Störungen, Sicherheitsverstöße und Datenschutzverletzungen gibt es seit einiger Zeit verstärkte Meldepflichten, die von den Unternehmen innerhalb von recht kurzen Fristen befolgt werden müssen. Um diese Pflichten zu erfüllen, müssen sich Unternehmen gut vorbereiten und Vorkehrungen treffen.

Die Unternehmen sollten bereits im Vorfeld wissen, welche Störungen und Datenschutzverletzungen gemeldet werden müssen. Darüber hinaus sind entsprechende organisatorische Vorkehrungen notwendig, sodass die Meldepflicht zeitnah erfüllt werden kann.

Bereits seit dem Juli 2015 gibt es das IT-Sicherheitsgesetz, das für Unternehmen mit kritischen Infrastrukturen Meldepflichten vorsieht. Ein Jahr später ist die NIS-Richtlinie (Netzwerk- und Informationssicherheits-Richtlinie) der EU in Kraft getreten, die Betreiber von IT-Systemen zu einem hohen Sicherheitsniveau verpflichtet und ebenfalls Meldepflichten vorsieht. Beide Regelungen decken sich in wesentlichen Teilen und Deutschland hat im Laufe des Jahres 2016 das IT-Sicherheitsgesetz an die EU-Regeln angepasst.

Meldepflichten nach dem IT-Sicherheitsgesetz

Die Meldepflichten nach dem IT-Sicherheitsgesetz gelten für Cyber-Angriffe in Unternehmen mit kritischen Infrastrukturen. Dazu gehören Betreiber aus den Sektoren Energie, Informations- und Telekommunikationstechnik (ITK), Wasser, Ernährung, Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit.

Betroffen sind alle Unternehmen, die 500.000 oder mehr Bürger mit ihrer Dienstleistung versorgen. Sie müssen IT-Störungen größeren Ausmaßes an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Die NIS-Richtlinie gilt potenziell für eine größere Zahl an Unternehmen. In ihr ist als zusätzlicher Sektor etwas unscharf von „digitalen Diensten“ die Rede. Sie sind bei Überschreiten bestimmter Schwellwerte für den Umfang des Geschäftsbetriebs ebenfalls meldepflichtig. Das IT-Sicherheitsgesetz ist bisher nicht auf diese Unternehmenstypen erweitert worden. Es ist jedoch möglich, dass dies bald geschehen wird und in den nächsten Jahren auch Cloud Services, Suchmaschinen, Online-Händler und andere Services darunterfallen.

Für die Meldepflichten sieht das IT-Sicherheitsgesetz drei unterschiedliche Fälle vor:

  • 1. Die kritische Dienstleistung des Betreibers ist bereits ausgefallen oder beeinträchtigt. Das könnte beispielsweise bedeuten, dass Rechenzentren eines Cloud-Anbieters ausfallen und damit die geschäftskritischen Anwendungen vieler Unternehmen nicht mehr erreichbar sind. In solchen Fällen ist eine namentliche Meldung zwingend erforderlich.
  • 2. Eine Beeinträchtigung oder ein Ausfall der kritischen Dienstleistung ist bei dem entsprechenden Sicherheitsvorfall nicht möglich. In diesem Fall wird auf die Meldung verzichtet.
  • 3. Besteht die Möglichkeit, dass die kritische Dienstleistung beeinträchtigt wird oder ausfällt, muss der Sicherheitsvorfall gemeldet werden - sofern es sich um eine außergewöhnliche IT-Störung handelt.

Der Knackpunkt der ganzen Regel ist die Definition des Begriffs „außergewöhnliche IT-Störung“. Das BSI versteht darunter Störungen, die nicht auf einfache Weise abgewehrt werden können. Malware, die vom Virenschutz erkannt wurde, Fehler auf einer Festplatte oder Hardware-Ausfälle müssen nicht gemeldet werden.

Verpflichtend ist die Meldung dagegen bei Störungen wie etwa bisher nicht veröffentlichten Schwachstellen in Software, unbekannten Schadprogrammen, außergewöhnlichen technischen Defekten sowie bei Spear-Phishing. Bei letzterem zielen Cyber-Kriminelle spezifisch auf Personen oder Einrichtungen eines Unternehmens und zeigen dabei intime Kenntnisse über das Unternehmen – ein Hinweis auf eine Sicherheitslücke.

Alexander Frese,Referent für Strategisches Marketing bei Itenos: „Für viele Unternehmen dürften die vorgesehenen Fristen ein Problem sein.“
Alexander Frese,Referent für Strategisches Marketing bei Itenos: „Für viele Unternehmen dürften die vorgesehenen Fristen ein Problem sein.“ (Bild: Itenos)

Meldepflichten nach EU-Datenschutzgrundverordnung

Eine weitere Meldepflicht betrifft die Verletzung des Datenschutzes, beispielsweise die unbefugte Offenlegung solcher Daten, der unbefugte Zugang zu den verarbeitenden Systemen, die unbefugte Übermittlung oder Speicherung der Daten. In allen diesen Fällen müssen nicht nur die Aufsichtsbehörden, sondern auch die betroffenen Personen unterrichtet werden.

Diese Meldepflicht wird aktuell von der EU-DSGVO geregelt, ist aber nicht vollständig neu. Das Bundesdatenschutzgesetz kannte sie ebenfalls, allerdings begrenzt auf besonders sensible Bereiche wie Gesundheits- oder Finanzdaten.

Die neue EU-Regelung fordert solche Meldungen aber von allen Unternehmen, die personenbezogene Daten verarbeiten. Erschwerend kommt hinzu, dass die neue Meldepflicht auch eine erweiterte Dokumentationspflicht mit sich bringt: Die Unternehmen müssen die Datenschutzverletzung, ihre Auswirkungen und alle ergriffenen Gegenmaßnahmen penibel dokumentieren.

Einhaltung der Fristen

Ein gewisses Problem für viele Unternehmen dürften die vorgesehenen Fristen sein. Das IT-Sicherheitsgesetz nennt keine genauen Zeiträume, fordert aber eine umgehende Meldung. Unternehmen sollten also nicht lange zögern, die Störung zu melden. Die DSGVO ist da deutlich konkreter: Meldungen von Datenpannen müssen innerhalb von 72 Stunden bei der Datenschutzbehörde eintreffen.

Es wird für alle Unternehmen sinnvoll sein, die von ihnen zu erfüllenden Meldepflichten generell innerhalb von drei Tagen zu erledigen und dafür auch entsprechende Prozesse zu schaffen und Verantwortliche zu benennen. Denn Verstöße können teuer werden, vor allem beim Datenschutz.

Sieht das IT-Sicherheitsgesetz für unterlassene Meldungen lediglich Strafen von 50.000 Euro vor, so ist die Strafandrohung bei DSGVO-Vorstößen deutlich höher: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes, je nachdem, welcher Wert höher ist.

Wie kann sich das Melden vereinfachen?

Kurz: Es ist also besser für ein Unternehmen, wenn IT-Systeme und Daten nach aktuellen Sicherheitsstandards geschützt sind. Ein Rundumschutz beispielsweise in einem modernen Co-Location-Rechenzentrum mit Cloud-Infrastrukturen verringert auch für kleinere Unternehmen die Wahrscheinlichkeit von Verstößen gegen IT-Sicherheit und Datenschutz.

Ein Rechenzentrumsbetreiber wie Itenos ist in aller Regel ohnehin auf dem Stand der Technik, den das IT-Sicherheitsgesetz und die EU-DSGVO fordern. So verhindert beispielsweise Redundanz auf Hardware-, aber auch Software-Ebene, dass kleinere Störungen zu kritischen Ausfällen werden. Rechenzentren sind zudem sehr gut vor allen Arten von Cyber-Angriffen geschützt und haben im Falle eines Falles die technischen Möglichkeiten und das Knowhow zur Verfügung, Angriffe abzuwehren oder ins Leere laufen zu lassen.

Allerdings entbindet die Nutzung eines modernen Datacenter-Anbieters oder Cloud-Providers nicht von den üblichen Sorgfaltspflichten. Denn leider helfen technische Vorkehrungen nicht gegen Spear-Phishing oder Versuche, mit „Social Engineering“ Zugang zu den IT-Systemen zu bekommen. Außerdem müssen alle auf Nutzerseite möglichen Schutzvorkehrungen auch eingesetzt werden.

Einige Datenlecks der letzten Jahre sind durch Bedienungsfehler entstanden und wären vermeidbar gewesen. Immerhin erleichtert ein Rechenzentrum oder Cloud-Service auch die Meldepflichten und die Dokumentation von Vorfällen. So besitzen Rechenzentren Systeme zur Erkennung von Cyber-Angriffen und ihrer automatisierten Abwehr, deren Protokolldateien im Einzelfall für die entsprechenden Meldungen eingesetzt werden können.

* Alexander Frese ist Produktmanager bei Itenos.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45259677 / Services)