Folge 10: "Cybersecurity-Recht" und aktuelle Buzzwords: der Versuch eines Überblicks

Geschrieben von Frank Stiegler am 28.01.2017.

00:38: Inhaltliche Einleitung

Fast täglich liest man von Hackerangriffen und "Cyber": mal -Sicherheit, mal -Terror. Kristian Köhntopp hat sogar eine eigene Sektion auf Google+ für "Hackerterrorcybercyber". Aber so gut wie immer liest es sich, als sei die Technologie der rechtlichen Entwicklung so weit voraus, dass Hacking ein "rechtsfreier" Raum sei. Gleichzeitig gibt es eine proportional erscheinende Korrelation zwischen Unternehmensgröße und IT-Sicherheitsaufwand. Informationssicherheit ("InfoSec") scheint zu einem erheblichen Wirtschaftszweig vor allem für Beratungsunternehmen herangewachsen zu sein. In diesen Legal Bits sprechen Volker und ich über den aktuellen Stand der "Cybersecurity" in rechtlicher Hinsicht in Deutschland und der EU. Wir beleuchten Aspekte der "NIS-Richtlinie" (EU-Richtlinie 2016/1148), die eigentlich "Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" heißt. Damit man aber verstehen kann, was sie eigentlich regelt, grenzen wir eingangs die verschiedenen einschlägigen Begriffe "Informationssicherheit", "Cybersicherheit", "IT-Sicherheit", "Datensicherheit" und "Datenschutz" voneinander ab.

02:02: Was sind die aktuellen Vorschriften für "Cybersicherheit"?

NIS-Richtlinie" (EU-Richtlinie 2016/1148): "Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union"

Deutsche Ausführung: IT-Sicherheitsgesetz ("Metagesetz"), das vor allem Vorschriften im BSI-Gesetz eingeführt hat.

03:46: Abgrenzung einschlägiger Begriffe:

Cybersicherheit (Plastiklocken --> Jugendkultur auf Wikipedia)
Informationssicherheit ("InfoSec")
IT-Sicherheit
Datenschutz
Datensicherheit

08:46: Systematik der EU-Vorschriften und der deutschen Gesetze

09:32: Inhaltliche Aspekte der NIS-Richtlinie

Art. 5 Abs. 1: Ermittlung der Betreiber wesentlicher Dienste im öffentlichen und privaten Sektor bis zum 09.11.2018
Art. 6: Vermeidung erheblicher Störungen: abhängig von verschiedenen Faktoren wie z. B.:
- Nutzerzahl
- angebotenem Dienst
- möglicher Auswirkung von Sicherheitsvorfällen
- Marktanteil der Einrichtung
- geografischer Ausbreitung des Sicherheitsvorfalls
Nationale Auswirkung dieser Vorschriften in §§ 2, 8a BSIG für "Kritische Infrastruktururen" --> Konkretisierung der Sektoren und Schwellenwerte in der BSI-Kritis-V (wird aktuell überarbeitet)
Aber auch alle anderen Telemedien (z. B. Online-Shops, aber auch jedes Blog) müssen (mit Augenmaß) sicher betrieben werden.
ENISA als zentrale Ansprechpartnerin für Know-How, Beratung und Awareness
Ziel der NIS-Richtlinie: Schaffung einer "Risikokultur"
Nationale Gesetzgeber müssen Verwaltungsvorschriften bis zum 09.05.2018 erlassen und ab dem 10.05.2018 anwenden.

18:25: Bankenspezifische Vorschriften (Auszug)

Viele Vorschriften umzusetzen. Beispiel PSD2
Vortrag von Vincent Haupert auf dem 33. CCC-Kongress über die Sicherheit bei N26: "Shut Up and Take My Money!"
Abgrenzung von Standards wie ISO-27001, BSI-100-1 des BSI, MaRisk und MaSI der BaFin
Vorschriften für IT-Sicherheit: § 25a KWG ("Besondere organisatorische Pflichten"), § 33 WpHG ("Organisationspflichten")

22:00 Technische und Organisatorische Maßnahmen (TOM)

Die bisherigen "Großen 8" nach Anlage zu § 9 BDSG
- Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle
- Eingabe- und Auftragskontrolle
- Verfügbarkeitskontrolle
- Datentrennung
Die zukünftigen Kategorien nach Art. 32 DSGVO
- Vertraulichkeit (Confidentiality)
- Integrität, Authentizität (Integrity)
- Verfügbarkeit (Availability)

32:51 Fazit

Das deutsche ITSG/BSIG ist die deutsche Umsetzung der NIS-Richtlinie.
Begriffe und Vorschriften sind in der deutschen/europäischen Landschaft zersplittet, was zu Verwirrung führt.
Weder IT-Sicherheit/InfoSec noch Datenschutz wird durch die DSGVO nicht völlig anders, sondern vor allem begrifflich und teilweise strukturell neu gefasst. "Stand der Technik" ist eben jeweils der Stand der Technik, unabhängig davon, welche Vorschrift ihn fordert.

37:00 Endrunde

Ausblick auf Folge 11: noch offen. Vielleicht E-Privacy-VO. Hängt von eurem Feedback ab. :)
Rückblick auf Folge 9: Das LG Hamburg und die Haftung für Hyperlinks (mal wieder)

Fragen an euch:

Fehlen euch in dieser Ausgabe Aspekte der InfoSec-Rechtslandschaft?
Was interessiert euch in Sachen IT-Sicherheit/InfoSec, worüber wollt ihr mehr wissen?

Hinterlasst Kommentare, schickt eine E-Mail oder twittert an @ra_stiegler oder @neuernick!

Die Einsprecher und der schöne Weihnachtsgesag kommen von Sarah Nakic aus Köln.

Letzter Artikel
41: Pentesting aus Strafrechts- und Vertragssicht