Immer wieder wird die Frage gestellt, welche Gesetze im Kontext der Informationssicherheit einen besonderen Einfluss auf das Informationssicherheitsmanagementsystem (ISMS) haben. Diese Frage ist für Informationssicherheitsbeauftragte nicht leicht zu beantworten, insbesondere wenn sie keine Rechtswissenschaften studiert oder entsprechende Literatur bis dato gemieden haben. Jedoch ist die Kenntnis dieser Gesetze von zentraler Bedeutung, wenn man adäquate Vorgaben, Konzepte und Richtlinien für ein ISMS verfassen muss. Folgende Gesetze habe ich bei der Erstellung meiner Richtlinien oft herangezogen und empfehle diese als Lesetipp. Natürlich müssen Sie Ihre eigene passende Auswahl treffen.
Die folgende Übersicht und Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie haben keinen Anspruch auf Vollständigkeit, stellen keine Rechtsberatung dar und sind auch nicht als solche auszulegen.
Kürzel | Titel / Artikel / Paragraf |
AktG | Aktiengesetz § 91 Abs. 2 |
BDSG neu | Bundesdatenschutzgesetz |
BSI-KritisV | BSI-Kritisverordnung |
BSIG | Gesetz über das Bundesamt für Sicherheit in der Informationstechnik |
BVerfG | Betriebsverfassungsgesetz |
EU-DSGVO | Europäische Datenschutzgrundverordnung |
GeschGehG | Gesetz zum Schutz von Geschäftsgeheimnissen |
GG | Grundgesetz Artikel 2, 10 |
GmbHG | GmbH Gesetz §43 Abs. 1 |
GoB | Grundsätzen ordnungsmäßiger Buchführung |
GoBD | Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff |
GoDV | Grundsätze für eine ordnungsmäßige Datenverarbeitung |
HGB | Handelsgesetzbuch § 37a i.V.m. § 257 HGB bzw. §§ 145-147 AO, §§ 238-239, 257-261 |
IT-SiG | IT-Sicherheitsgesetz |
KonTraG | Gesetz zur Kontrolle und Transparenz im Unternehmensbereich |
SGB | Sozialgesetzbuch I § 35, X §§ 67-78 |
StGB | Strafgesetzbuch § 202a, § 202b, § 202c, § 206, § 263a, §§ 268-274, § 303a, § 303b, § 317 |
SÜG | Sicherheitsüberprüfungsgesetz |
TKÜV | Telekommunikations-Überwachungsverordnung |
TKG | Telekommunikationsgesetz |
TMG | Telemediengesetz |
UrhG | Urheberrechtsgesetz §§ 69a ff, § 106 |
VwVfG | Verwaltungsverfahrensgesetz § 30 |
... | |
Gerne wird dabei vergessen, dass neben den reinen Gesetzen auch noch weitere Anforderungen bei der Erstellung von adäquaten Richtlinien berücksichtigt werden müssen. Beispiel dafür können sein:
Kürzel | Titel |
B3S | Branchenspezifische Sicherheitsstandards |
BAIT | Bankaufsichtliche Anforderungen an die IT |
IT-SiKat | IT-Sicherheitskatalog gem. EnWG § 11 1a/1b |
VAIT | Versicherungsaufsichtliche Anforderungen an die IT |
... | |
Aber auch vertragliche Anforderungen, wie zum Beispiel verpflichtende Sicherheitsmaßnahmen oder Meldefristen von Vorfällen spielen eine wichtige Rolle. Aus diesem Grund muss der Informationssicherheitsbeauftrage sich auch immer mit den Inhalten der Kundenverträge auseinandersetzen und die relevanten Anforderungen in seine Prozesse, Konzepte und Richtlinien übernehmen. So fordert zum Beispiel die BMW Group in ihren, im Internet veröffentlichten, internationalen Einkaufsbedingungen für Produktionsmaterial und Kraftfahrzeugteile:
"17.4 Der Verkäufer hat sicherzustellen, dass im Zusammenhang mit dem Liefervertrag keine möglicherweise Schaden stiftende Software (z.B. Viren, Würmer oder Trojaner) zum Einsatz kommt, z.B. in mitgelieferten Treibern oder Firmware. Dies hat der Verkäufer nach dem Stand der Technik zu überprüfen und auf Anforderung des Käufers schriftlich zu bestätigen, dass er bei dieser Prüfung keine Hinweise auf Schaden stiftende Software gefunden hat.
17.5 Erlangt der Verkäufer Kenntnis von einem Vorfall, der eine Verletzung der Informationssicherheit zum Gegenstand hat (z.B. Sicherheitslücken, Datenverluste, Störfälle, Gefährdungen, Befall durch Schaden stiftende Software, Datenmissbrauch) und den Käufer betreffen könnte, insbesondere in Form eines unberechtigten Zugriffs Dritter auf Daten des Käufers (z.B. Datenleck oder Cyber-Attacke), oder bestehen Anhaltspunkte für den Verkäufer, die bei verständiger Würdigung den Verdacht eines solchen Vorfalls begründen, hat der Verkäufer unverzüglich und unentgeltlich
BMW hierüber zu informieren, und
alle notwendigen Schritte zur Sachverhaltsaufklärung und Schadensbegrenzung zu ergreifen sowie BMW hierbei zu unterstützen und,
falls die Verletzung der Informationssicherheit eine Unterbrechung oder Verzögerung der Warenlieferung, eine Verringerung der Betriebseffizienz oder den Verlust von Daten verursacht, BMW bei der Wiederherstellung der Daten zu unterstützen, und
auf Anforderung von BMW einen Sicherheitsbericht für einen vorgegebenen Betrachtungszeitraum zur Verfügung zu stellen. Notwendige Inhalte eines solchen Berichts sind insbesondere Ergebnisse von Sicherheitsprüfungen, Identifizierte Informationssicherheitsrisiken, sowie Identifizierte Informationssicherheitsvorfälle und deren Behandlung sowie,
BMW auf Verlangen zu ermöglichen, sich von der Einhaltung der Informationssicherheit und der vereinbarten Datenschutz- und Sicherheitsrichtlinien zu überzeugen (nachfolgend „Audits“). Der Verkäufer hat die Audits des Käufers zu dulden und Mitwirkungsleistungen, wie Auskünfte, zu erbringen, soweit dies für das Audit erforderlich ist. Klausel 22.5 gilt entsprechend. Der Käufer ist berechtigt, die Audits durch ein externes, gegenüber Dritten zur Verschwiegenheit verpflichtetes und qualifiziertes Unternehmen durchführen zu lassen, sofern es sich dabei nicht um einen Wettbewerber des Verkäufers handelt. Gesetzliche Kontroll- und Auskunftsrechte des Käufers werden hierdurch weder eingeschränkt noch ausgeschlossen; solange kein Nachweis gemäß Klausel 17.3 vorliegt, kann BMW auch ohne einen Vorfall/einen Verdacht auf Vorliegen eines Vorfalls gem. Klausel 17.5 ein Audit verlangen." (Stand 31.03.2018, Quelle, Linkdatum 18.08.2020)
Zusammenfassend kann man sagen, dass zumindest die gesetzlichen, regulatorischen und vertraglichen Anforderungen erfasst, dokumentiert, bewertet und im ISMS berücksichtigt werden werden müssen, die einen direkten Einfluss auf die Sicherheitsziele, Vorschriften, Risikobewertungen, Maßnahmen, Fristen sowie Eskalations- und Meldewege haben. Denn wenn der Informationssicherheitsbeauftragte diese relevanten Informationen weder kennt noch berücksichtigt, ist die Gefahr groß, dass das ISMS letztlich seinen Zweck nicht ausreichend erfüllen wird.