IT-Sicherheit in deutschen Unternehmen: Anforderunen und Umsetzung

In Deutschland ansässige Unternehmen sind nicht erst seit dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) dazu verpflichtet, ein IT-Risikomanagement zu betreiben und in entsprechende Maßnahmen, die zur IT-Sicherheit beitragen, zu investieren. Auch wenn die weltweite Vernetzung und die Mobilität insbesondere international agierenden Unternehmen Chancen und Nutzen bieten, so birgt die erhöhte Abhängigkeit von elektronischen Informationssystemen aber auch Gefahren in sich. Darauf hat der Gesetzgeber reagiert und die Anforderungen an einen erweiterten IT-Grundschutz angepasst. Eine repräsentative Umfrage unter mehr als 500 Unternehmen in Deutschland ergab, dass sich fast die Hälfte aller Firmen für verschärfte gesetzliche Anforderungen aussprachen. Doch wie können diese Vorgaben sinnvoll umgesetzt werden und welche Strafen drohen bei Nichteinhaltung?

Vorschriften und Gesetze zur IT-Sicherheit

Gesetze und Verordnungen, die den Datenschutz und die IT-Sicherheit betreffen, wurden geschaffen, um einen verlässlichen Schutz von Unternehmensdaten zu ermöglichen. Hier geht es u. a. um sensible Mitarbeiterdaten, aber auch um Daten der Unternehmenskunden. Die Gesetzgebung schafft einen Rahmen für die Datenverfügbarkeit, Integrität und vor allem um Datenvertraulichkeit. Damit Unternehmen ihre IT-Landschaft regelkonform umsetzen, sind folgende Vorschriften und Gesetze für deutsche Firmen relevant:

Des Weiteren wurden im kaufmännischen Bereich die bekannten “Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern” (GoBD) an die Erfordernisse moderner elektronischer Buchführung angepasst, bei der u. a. auch Finanzverwaltungen Zugriff “von außen” auf unternehmenseigene Daten erhalten.

Die Datenschutz-Grundverordnung (EU-DSGVO) sorgt für EU-weite einheitliche Regelungen, die den Datenschutz betreffen, wodurch es keine nationalen Unterschiede mehr gibt. Hieraus ergeben sich erhöhte Anforderungen an das Datenschutzmanagement-System sowie an die Datenschutz-Compliance.

Das IT-Sicherheitsgesetz zur Erhöhung der Sicherheit von IT-Systemen ist – wie auch die DSGVO – ein so genanntes Artikelgesetz. Das bedeutet, dass bereits bestehende Regelungen geändert und ergänzt werden können. Dadurch kann der Gesetzgeber auf die Sicherheitsanforderungen neuer Technologien schnell reagieren. Beim IT-Sicherheitsgesetz stehen insbesondere Betreiber systemkritischer Infrastrukturen (Wasser- und Stromversorgung, Ernährung, Finanzen, Telekommunikation usw.) im Fokus. Speziell diese Betreiber sind gesetzlich verpflichtet, ihre IT angemessen zu sichern und mindestens alle zwei Jahre überprüfen zu lassen. Hinzu kommen Meldepflichten an das BSI nach aufgetretenen IT-Sicherheitsvorfällen. Telemedien-Provider wiederum sind gemäß § 13 des Telemediengesetzes (TMG) dazu angehalten, technische Maßnahmen zum Schutz ihrer Systeme und der darauf enthaltenen Daten zu treffen. Hierfür gilt auch eine Nachweispflicht.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) blickt auf die Verbesserung der Grundsätze der Unternehmensführung. Firmenleitung und Geschäftsführung sollen dazu bewegt werden, sich vermehrt mit dem IT-Risikomanagement zu beschäftigen und dazu passende Investitionen in ein Risikofrüherkennungssystem zu tätigen. Um dies zu erreichen, wurden durch das KonTraG die Gesetzestexte u. a. des Handelsgesetzbuches, des GmbH-Gesetzes sowie des Aktiengesetzes geändert und ergänzt. Ein prägnantes Beispiel hierfür ist § 43 des GmbHG, aus dem sich konkrete Pflichten für die Einhaltung einer angemessenen Informationssicherheit ableiten lassen. Insbesondere in einer GmbH wird deutlich: Für den IT-Grundschutz ist der Geschäftsführer verantwortlich. Erst wenn dieser alle sicherheitsrelevanten Maßnahmen getroffen hat, ist er bei IT-Sicherheitsvorkommnissen aus der Haftung befreit.

IT-Grundschutz als Leitfaden vom BSI

Der so genannte IT-Grundschutz wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ursprünglich für Behörden und deren erhöhte IT-Sicherheitsanforderungen konzipiert und empfiehlt detaillierte Maßnahmen in Sachen Sicherheitsmanagement. Diese decken personelle, organisatorische, technische sowie infrastrukturelle Aspekte ab. Bereits seit über 25 Jahren hat sich der IT-Grundschutz branchenübergreifend als ein effektives Instrument der Informationssicherheit erwiesen und ist dadurch als Standardwerk etabliert. Selbst renommierte Institutionen wie die Bundesanstalt für Finanzaufsicht (BaFin) verweisen in ihren Grundsätzen für das Risikomanagement auf den IT-Grundschutz. Bei vielen Projekten, bei denen deutsche Behörden mit externen Dienstleistern aus der Privatwirtschaft zusammenarbeiten, wird die Einhaltung des IT-Grundschutzes vertraglich explizit gefordert.

Der IT-Grundschutz wird in Form eines Kompendiums veröffentlicht, das wiederum in mehrere Bausteine unterteilt ist. Diese behandeln jeweils spezifische infrastrukturelle, organisatorische oder technische Themen, beispielsweise Anforderungen an Schulungsmaßnahmen, geeignete Maßnahmen zum Schutz einer virtuellen Arbeitsumgebung oder auch sicherheitsrelevante Punkte beim Betrieb eines Serverraums. Neben den Hinweisen auf Gefahrenpunkte erfährt der Leser auch von Maßnahmen, um Gefährdungen entgegenzuwirken. Kurz: IT-Grundschutz ist ein Werk aus und für die Praxis.

Welche Strafen drohen bei der Nichteinhaltung von Datenschutzbestimmungen?

Diese Fragestellung hängt naturgemäß vom Umfang des jeweiligen Einzelfalls ab. Ein kleines Unternehmen, bei dem kurzzeitig aufgrund von Fahrlässigkeit ein Datenleck aufgetreten ist, ist strafrechtlich nicht so hoch zur Verantwortung zu ziehen wie ein Branchenriese, der im Big-Data-Stil Kundendaten sammelt und diese missbräuchlich Drittparteien zur Verfügung stellt.

Zur Veranschaulichung sollen hier zwei Beispiele angeführt werden. So hatte der Bundesdatenschutzbeauftragte im November 2019 einem bekannten Telekommunikationsdienstleister mit einem Bußgeld von fast 10 Millionen Euro belegt. Als Begründung wurde angeführt, dass das Unternehmen ungenügende Maßnahmen ergriffen hatte, die verhindern sollen, dass Kunden, die die telefonische Kundenbetreuung in Anspruch nehmen, unberechtigte Auskünfte zu Kundendaten erhalten können. Im konkreten Fall konnten Anrufer beim Kundensupport des Unternehmens bereits durch die Angabe eines Namens und des Geburtsdatums (also Daten von Mitmenschen, die man ohne großen Aufwand ermitteln kann) weitreichende personenbezogene Daten erhalten. Dieses unzureichende Authentifizierungsverfahren ist ein Verstoß gegen Art. 32 EU-DSGVO, da es eindeutig fehlende technische und organisatorische Maßnahmen belegt, die die Verarbeitung von personenbezogenen Daten schützen sollen. Die Höhe des Bußgelds wurde damit begründet, dass der Tatbestand nicht nur auf einzelne Datensätze, sondern auf den gesamten Kundenstamm zutraf. Inzwischen wurde dieser Mangel behoben und die Sicherheitsstandards des Authentifizierungsverfahrens erhöht.

Gegen ein Kleinstunternehmen der Telekommunikationsbranche wurde ein Verfahren eingeleitet, nachdem die Unternehmensleitung auch nach einer mehrmaligen Aufforderung keinen betrieblichen Datenschutzbeauftragten benennen konnte. Hier wurde ein Bußgeld in Höhe von 10.000 Euro verhängt. Gemäß Artikel 37 DSGVO muss die Benennung eines Datenschtzbeauftragten eines Unternehmens seit Juni 2019 ab einer Mitarbeiterzahl von 20 erfolgen, zuvor war ein Datenschutzbeauftragter bereits ab zehn Mitarbeitern vorgeschrieben.

Datenschutz und Datensicherheit – die Wahrnehmung in Unternehmen

In der Wahrnehmung von Unternehmensmitarbeitern erscheinen Maßnahmen, die die Datensicherheit betreffen, als “nervig und lästig”. Hier scheint nach wie vor Aufklärungsarbeit und Motivation notwendig zu sein. In der o.g. Umfrage in 500 Unternehmen gab nur jeder vierte Befragte an, dass bereits Notfallübungen absolviert wurden. In ca. 60 Prozent aller Firmen ist kein eigener Etat für IT-Sicherheit vorgesehen. Rund ein Drittel aller Umfrageteilnehmer gab sogar zu, dass in ihrem Unternehmen gewisse Risiken und Sicherheitslücken bekannt sind und bewusst in Kauf genommen werden. Über die Hälfte aller Mitarbeiter empfinden es als lästig, Passwörter zu ändern oder Authentifizierungsverfahren durchzuführen.

Ein weiteres Gefahrenszenario in Unternehmen entsteht durch das so genannte Social Engineering. Etwa jeder zehnte aller Befragten gab an, dass ihre Mitarbeiter schon einmal gezielt manipuliert worden seien, etwa durch gefälschte E-Mails, deren Autor sich als Geschäftsführer ausgab und z. B. einen Buchhalter anwies, Geld vom Geschäftskonto auf ein fremdes Konto zu transferieren. Auch kommt es vor, dass sich Anrufer als Mitarbeiter der IT-Abteilung ausgeben und nach User-ID und Passwort fragen, um angebliche Sicherheitsaufgaben erledigen zu können.

Aber auch positive Tendenzen sind zu erkennen. Bereits jedes achte Unternehmen nutzt bereits Werkzeuge der Künstlichen Intelligenz (KI), um z. B. eingeschleuste Schadsoftware oder ungewöhnliches Verhalten von IT-Systemen aufzuspüren. 37 Prozent der Unternehmen, die bereits heute KI einsetzen, nutzen Authentifizierungsverfahren wie Sprach- oder Gesichtserkennung.

Fazit

Eine durchdachte IT-Infrastruktur, die der Informationssicherheit dient und dem IT-Sicherheitsgesetz entspricht, ist aufgrund von technischen Weiterentwicklungen und ständig neuen Gefahren und Angriffsszenarien einem kontinuierlichem Wandel unterworfen. Auch Sie sollten sich regelmäßig die Frage stellen, inwieweit Sie die Sicherheit der Unternehmens- und Kundendaten verbessern können. Halten Sie sich auf dem Laufenden in Sachen neuer Compliance-Anforderungen! Potenzial, wie Sie Ihre Kunden bei der Einhaltung eigener Compliance-Anforderungen unterstützen können, bietet sich immer. Bedenken Sie, dass die meisten Geschäftsprozesse heute in digitaler Form abgebildet werden, allein deshalb ist die Sicherheit Ihrer IT-Landschaft eine wesentliche Unternehmensaufgabe.

Wir unterstützen und beraten Sie gern bei der Erfüllung all dieser Aufgaben. Mit unserer jahrzehntelangen Projekterfahrung im Bereich der Informationssicherheit sowie unsere Produktunabhängigkeit finden wir auch für Ihre speziellen Sicherheitsanforderungen individuelle Lösungen. Schreiben Sie uns oder rufen Sie uns an: 06103 20 55 300.