Immer wieder wird die Frage gestellt, welche deutsche Gesetze im Kontext der Informationssicherheit einen besonderen Einfluss auf das Informationssicherheitsmanagementsystem (ISMS) haben. Diese Frage ist für Informationssicherheitsbeauftragte nicht leicht zu beantworten, insbesondere wenn sie keine Rechtswissenschaften studiert oder entsprechende Literatur bis dato gemieden haben. Jedoch ist die Kenntnis dieser Gesetze von zentraler Bedeutung, wenn man adäquate Vorgaben, Konzepte und Richtlinien für ein ISMS verfassen muss. Folgende Gesetze habe ich bei der Erstellung meiner Richtlinien oft herangezogen und empfehle diese als Lesetipp. Natürlich müssen Sie Ihre eigene passende Auswahl treffen.
Die folgende Übersicht und Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie haben keinen Anspruch auf Vollständigkeit, stellen keine Rechtsberatung dar und sind auch nicht als solche auszulegen.
Kürzel | Titel / Artikel / Paragraf | Bemerkungen | Einbindung ins ISMS (wenn einschlägig) |
|---|---|---|---|
AktG | Aktiengesetz § 91 Abs. 2 | Aktualisiert | Anforderungen an Risikomanagementsysteme, insbesondere in Bezug auf IT-Risiken, müssen in die ISMS-Prozesse integriert werden. |
BDSG | Bundesdatenschutzgesetz | BDSG neu wird wieder als BDSG bezeichnet, das Gesetz wurde mehrfach angepasst, zuletzt im Zuge der DSGVO. | Datenschutzmanagement muss in das ISMS integriert werden, inklusive Maßnahmen zur Sicherstellung der Einhaltung des BDSG. |
BSI-KritisV | BSI-Kritisverordnung | Besteht weiterhin | Vorgaben zur Sicherung kritischer Infrastrukturen müssen in die ISMS-Richtlinien und -Maßnahmen aufgenommen werden. |
BSIG | Gesetz über das Bundesamt für Sicherheit in der Informationstechnik | Wurde durch das IT-Sicherheitsgesetz 2.0 ergänzt. | Mindestanforderungen an IT-Sicherheitsmaßnahmen sind im ISMS zu berücksichtigen, insbesondere für KRITIS-Betreiber. |
BVerfG | Betriebsverfassungsgesetz | Besteht weiterhin | Betriebsräte müssen in die Sicherheitsprozesse einbezogen werden, insbesondere bei der Einführung von Überwachungsmaßnahmen. |
EU-DSGVO | Europäische Datenschutzgrundverordnung | Besteht weiterhin, bildet zusammen mit dem BDSG die Grundlage des Datenschutzes in Deutschland. | Das ISMS muss Maßnahmen zur Einhaltung der DSGVO implementieren, einschließlich Datenverarbeitung, -sicherung und -löschung. |
GeschGehG | Gesetz zum Schutz von Geschäftsgeheimnissen | Besteht weiterhin | Geheimnisschutz muss im ISMS durch Maßnahmen wie Zutrittskontrollen, Verschlüsselung und Zugriffsbeschränkungen gesichert werden. |
GG | Grundgesetz Artikel 2, 10 | Besteht weiterhin | Rechte auf Datenschutz und persönliche Freiheit müssen bei der Planung von ISMS-Prozessen berücksichtigt werden. |
GmbHG | GmbH Gesetz §43 Abs. 1 | Besteht weiterhin | Verantwortlichkeiten der Geschäftsführung hinsichtlich IT-Sicherheit sind im ISMS-Prozess zu definieren. |
GoB | Grundsätzen ordnungsmäßiger Buchführung | Besteht weiterhin | Buchführungsprozesse im ISMS müssen Integrität und Verfügbarkeit der Daten sicherstellen. |
GoBD | Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff | Besteht weiterhin | Elektronische Aufbewahrungs- und Zugriffsprozesse müssen im ISMS so gestaltet sein, dass sie den GoBD entsprechen. |
GoDV | Grundsätze für eine ordnungsmäßige Datenverarbeitung | Besteht weiterhin | ISMS muss sicherstellen, dass Datenverarbeitungsprozesse GoDV-konform sind, durch Dokumentation und regelmäßige Prüfungen. |
HGB | Handelsgesetzbuch § 37a i.V.m. § 257 HGB bzw. §§ 145-147 AO, §§ 238-239, 257-261 | Besteht weiterhin | Datenintegrität und -verfügbarkeit in IT-Systemen müssen im ISMS nach HGB gesichert sein. |
IT-SiG 2.0 | IT-Sicherheitsgesetz 2.0 | Erweitert und aktualisiert die vorherigen IT-Sicherheitsgesetze, eingeführt 2021. | Das ISMS muss erweiterte Anforderungen des IT-Sicherheitsgesetzes berücksichtigen, insbesondere bei KRITIS-Betreibern. |
KonTraG | Gesetz zur Kontrolle und Transparenz im Unternehmensbereich | Besteht weiterhin | Risikomanagement und Transparenzanforderungen müssen in die ISMS-Strategie integriert werden. |
Lieferkettensorgfaltspflichtengesetz | Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten | Neues Gesetz seit Dezember 2021, welches Aspekte der DSGVO und des BDSG in Bezug auf Telemedien und Telekommunikation vereint. | Schutz von Nutzerdaten und Einhaltung von Kommunikationsvorschriften müssen im ISMS beachtet werden. |
NIS2 | NIS-2 Richtlinie | Muss noch in nationales Recht umgewandelt werden. Derzeit keine direkte Anwendung in Deutschland, wird jedoch bis 2024/2025 erwartet. | Künftige Integration in das ISMS, insbesondere zur Erfüllung erweiterter Sicherheitsanforderungen und Meldepflichten. |
SGB | Sozialgesetzbuch I § 35, X §§ 67-78 | Besteht weiterhin | Schutz von Sozialdaten erfordert spezifische Datenschutzmaßnahmen im ISMS. |
StGB | Strafgesetzbuch § 202a, § 202b, § 202c, § 206, § 263a, §§ 268-274, § 303a, § 303b, § 317 | Besteht weiterhin | Sicherheitsmaßnahmen zur Prävention und Reaktion auf Cyberkriminalität müssen im ISMS berücksichtigt werden. |
SÜG | Sicherheitsüberprüfungsgesetz | Besteht weiterhin | Falls einschlägig, sollten Mitarbeiter mit Zugang zu sensiblen Informationen Sicherheitsüberprüfungen unterzogen werden. |
TKG | Telekommunikationsgesetz | Wurde mehrfach aktualisiert, zuletzt 2021, um unter anderem neue Vorgaben der EU zu integrieren. | Anforderungen an die Sicherheit von Telekommunikationsdiensten müssen im ISMS umgesetzt werden. |
TKÜV | Telekommunikations-Überwachungsverordnung | Besteht weiterhin | Das ISMS muss sicherstellen, dass Telekommunikationsüberwachung rechtlich korrekt und sicher erfolgt. |
TMG | Telemediengesetz | Besteht weiterhin, wurde jedoch zuletzt in Hinblick auf die DSGVO leicht angepasst. | Das ISMS muss Anforderungen an den Schutz personenbezogener Daten in Telemedien sicherstellen. |
TTDSG | Telekommunikation-Telemedien-Datenschutz-Gesetz | Neues Gesetz seit Dezember 2021, welches Aspekte der DSGVO und des BDSG in Bezug auf Telemedien und Telekommunikation vereint. | Schutz von Nutzerdaten und Einhaltung von Kommunikationsvorschriften müssen im ISMS beachtet werden. |
UrhG | Urheberrechtsgesetz §§ 69a ff, § 106 | Besteht weiterhin, zuletzt durch das Urheberrechts-Diensteanbieter-Gesetz (UrhDaG) und weitere Novellen ergänzt. | Schutz von geistigem Eigentum und Software muss im ISMS durch geeignete Sicherheitsmaßnahmen gesichert werden. |
VwVfG | Verwaltungsverfahrensgesetz § 30 | Besteht weiterhin | ISMS-Prozesse müssen sicherstellen, dass behördliche Verwaltungsverfahren sicher und korrekt ablaufen. |
... | |
Gerne wird dabei vergessen, dass neben den reinen Gesetzen auch noch weitere Anforderungen bei der Erstellung von adäquaten Richtlinien berücksichtigt werden müssen. Beispiel dafür können sein:
Kürzel | Titel |
B3S | Branchenspezifische Sicherheitsstandards |
BAIT | Bankaufsichtliche Anforderungen an die IT |
IT-SiKat | IT-Sicherheitskatalog gem. EnWG § 11 1a/1b |
VAIT | Versicherungsaufsichtliche Anforderungen an die IT |
... | |
Aber auch vertragliche Anforderungen, wie zum Beispiel verpflichtende Sicherheitsmaßnahmen, Meldungen oder Meldefristen spielen eine wichtige Rolle. So geben viele Unternehmen (z.B. VW, BMW, Posche, etc.) in ihren Einkaufsbedingungen konkrete Meldefristen und Meldewege für relevante Sicherheitsvorfälle vor. Aber auch die ENX und DEKRA fordern bei relevanen Änderungen im Unternehmen informiert zu werden.
Aus diesem Grund muss der Informationssicherheitsbeauftrage sich auch immer mit den Inhalten der Kundenverträge auseinandersetzen und die relevanten Anforderungen in seine Prozesse, Konzepte und Richtlinien übernehmen.
Zusammenfassend kann man sagen, dass zumindest die gesetzlichen, regulatorischen und vertraglichen Anforderungen erfasst, dokumentiert, bewertet und im ISMS berücksichtigt werden werden müssen, die einen direkten Einfluss auf die Sicherheitsziele, Vorschriften, Risikobewertungen, Maßnahmen, Fristen sowie Eskalations- und Meldewege haben. Denn wenn der Informationssicherheitsbeauftragte diese relevanten Informationen weder kennt noch berücksichtigt, ist die Gefahr groß, dass das ISMS letztlich seinen Zweck nicht ausreichend erfüllen wird.
