Rechtliche Regulierung von Cybersecurity

„Deutschland ist beim Thema IT-Sicherheit in Europa vergleichsweise Vorreiter“, betonte Dr. Dennis-Kenji Kipker, Wissenschaftlicher Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht an der Universität Bremen. Bereits seit dem Jahr 2011 gibt es hierzulande eine Cyber-Sicherheitsstrategie, die vor einem Jahr – im November 2016 – aufgrund der neuen Bedrohungslage angepasst wurde. Zwei der vier Handlungsfelder der Strategie betreffen dabei die Privatwirtschaft – und damit auch Unternehmen: „Zum einen geht es darum, Kritische Infrastrukturen zu sichern und damit Unternehmen in Deutschland zu schützen. Zum anderen soll eine leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur gewährleistet werden“, erklärte Kipker.

Dazu bedürfe es einer umfassenden IT-Security-Compliance: „Wie bei Compliance im klassischen Sinn,  geht es bei IT-Security-Compliance darum, diejenigen Vorgaben, die sich speziell mit IT-Sicherheit befassen, einzuhalten – im weitesten Sinne gilt das auch für das Thema Datenschutz.“ Dabei gebe es ganz unterschiedliche Quellen für die IT-Security-Compliance, die sich auch in den unterschiedlichen Gesetzen – vom Aktien- und GmbH-Gesetz bis zum Telemediengesetz  – wiederfinden. So heißt es zum Beispiel im GmbH-Gesetz: Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden. „In der Rechtsprechung fallen darunter auch Cyber-Security-Vorfälle“, betonte Kipker. Die Crux bei der IT-Sicherheit sei, dass es keine kodifizierte Regelung  gebe – auch nicht auf europäischer Ebene. In vielen Gesetzestexten laute deshalb die Prämisse, sich am Stand der Technik zu orientieren. Doch was ist Stand der Technik? Hier kommen Normen und Standards ins Spiel.

Zwar haben Normen und Standards laut Kipker grundsätzlich keine Rechtswirkung: Sie werden von einer Vereinigung privaten Rechts, nicht aber in einem verfassungsrechtlich geregelten Gesetzgebungsverfahren durch das staatliche Parlament geschaffen. Allerdings gibt es Ausnahmen: Sind sie Teil privatrechtlicher Verträge oder in gesetzlichen Vorschriften genannt, dann haben Normen und Standards Rechtswirkung: „Das ist vor allem dann der Fall, wenn in Gesetzestexten von der Orientierung am Stand der Technik die Sprache ist.“

Etwa 820 Normen gibt es derzeit im Bereich der IT-Sicherheit – von besonderer Bedeutung für Unternehmen ist dabei der internationale Standard ISO/IEC 2700X, der für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) in Unternehmen zwingend notwendig ist. In der Norm 27002 werden dabei konkrete Vorgaben zur Umsetzung genannt. „Allerdings werden in der gesamten ISO/IEC-2700X-Reihe kleine und mittlere Unternehmen, also KMU, nicht explizit erwähnt“, erläuterte Sven Müller von der DKE Deutsche Kommission Elektrotechnik Elektronik Informationstechnik und Mitarbeiter im VDE-Kompetenzzentrum Informationssicherheit. KMU empfahl er deshalb den VdS Quick Check. Mit diesem können sich kleine und mittlere Unternehmen in 15 bis 20 Minuten einen ersten Eindruck über den Status ihrer IT-Sicherheit verschaffen. Für den Aufbau eines ISMS empfiehlt Müller den aktuellen Leitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Eine weitere Hilfe im Dickicht der Regelungen um Normen rund um IT-Sicherheit ist der von VDE|DKE und Universität Bremen entwickelte Cybersecurity Navigator: „Der Online-Navigator ermöglicht dem Anwender, relevante Normen, Standards und Richtlinien sowie gesetzliche Vorgaben für den eigenen Anwendungsfall zu finden“, erklärte Müller. In KMU käme es aber vor allem darauf an, Mitarbeiter für IT-Sicherheit zu sensibilisieren: „Die Maßnahmen zur IT-Sicherheit in einem Unternehmen können noch so gut sein, wenn ein Mitarbeiter zum Beispiel Dateien eines auf dem Parkplatz gefunden USB-Sticks öffnet.“ Am Ende entscheiden also weder Gesetze noch Normen über das Funktionieren von IT-Sicherheit, sondern immer der Faktor Mensch.