:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mit „Preparedness“ zur erfolgreichen „Incident Response“ IT-Sicherheit als Compliance-Thema
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Mängel in der IT-Sicherheit können Unternehmen viel Geld kosten. Dennoch machen die meisten in diesem Bereich zu wenig, bis es das erste Mal zu spät ist. Dabei ist die richtige Vorbereitung auf einen Angriff nicht nur aus juristischen Gründen geboten, sondern auch bei wirtschaftlicher Betrachtung mehr als die halbe Miete. Um die Umsetzung richtig anzupacken, muss geplant vorgegangen werden. Denn IT-Sicherheit ist eine Querschnittsmaterie aus rechtlichen, organisatorischen und technischen Themen. Effektive Maßnahmen kann nur erarbeiten, wer in allen drei Bereichen mit der notwendigen Expertise operiert.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht Angriffe auf die IT-Sicherheit als „die größte Bedrohung für Unternehmen und Institutionen“ im Internet an. Solche Angriffe sind ein lukratives Geschäftsfeld für die organisierte Kriminalität und haben schwerwiegende Folgen für die Betroffenen. Der Stillstand der gesamten Produktion droht im Worstcase und häufig ist, anders als etwa beim Ausspionieren bestimmter Unternehmensinterna, ein Angriff nicht geheim zu halten, sondern sofort sichtbar und spürbar.
Geforderte Lösegelder zu zahlen, scheint dann oft als attraktiver Lösungsweg. Denn die Lösegeldforderungen sind heutzutage meist so zugeschnitten, dass sie wehtun – aber geleistet werden können. Die Sicherheitsbehörden raten naturgemäß dringend ab, das zu tun, weil das kriminelle Geschäftsmodell damit gefördert wird. Auch die Rechtslage ist hierzu nicht eindeutig. So steht die „Unterstützung krimineller Vereinigungen“ nach dem Strafgesetzbuch sogar unter Strafe.
Rechtlich ist das allerdings nicht die einzige Frage, die sich Unternehmen stellen müssen. Denn neben der strafrechtlichen Dimension werden bei Angriffen auf die IT-Sicherheit von Unternehmen oft auch Bereiche wie Daten- und Geheimnisschutz oder allgemeine zivilrechtliche Haftung und Versicherung tangiert.
Um sich in diesem Minenfeld juristischer Fallstricke rechtssicher zu bewegen und gleichzeitig noch eine angemessene Abwehr bzw. Aufarbeitung des Angriffs zu ermöglichen, benötigt man Lösungen, die am besten bereits im Vorfeld erarbeitet wurden. Denn während eine Angriffsszenarios, bleibt keine Zeit dazu. Im Falle eines Angriffs auf das IT-System ist eine rasche Reaktion existenziell. Hierbei hilft es, sich zuvor eine Checkliste zu erstellen. Damit im Ernstfall nichts vergessen wird, sollten die Abläufe vorab getestet werden.
Was können Sie bereits vor einem Angriff umsetzen? („Preparedness“)
- Aufstellung eines schlagkräftigen Teams aus den Bereichen Management, Recht, IT, Datenschutz, Kommunikation und Betriebsrat als Task-Force zur Aufarbeitung des Angriffs
- Wichtig bei der Zusammensetzung ist, dass die Task-Force entsprechend geschult und entscheidungsbefugt ist – denn hier laufen die Fäden zusammen
- Erstellung eines Kommunikationskonzeptes sowohl unternehmensintern als auch gegenüber Geschäftspartnern
- Erarbeitung von Verhaltensrichtlinien für Mitarbeiter – insb. zum Umgang mit Unternehmens-IT
- Erstellung eines Konzepts zur kontrollierten Abschaltung bzw. Quarantäne betroffener Systeme sowie zum zeitnahen Rückgriff auf Backups und Ersatzsysteme zur Minimierung eines Produktionsausfallrisikos
Was sind wirksame Sofortmaßnahmen bei einem Cyberangriff? („Incident Response“)
- Aktivieren der unternehmensinternen Task-Force
- Sofern dafür keine eigene Expertise im Haus vorhanden ist: Beauftragung eines IT-Forensikers zur technischen Aufarbeitung des Angriffs, zur Beweissicherung, Datensicherung und Wiederherstellung der Arbeitsfähigkeit.
- Kontaktaufnahme zu Staatsanwaltschaft, Kriminalpolizei und ggf. BSI
- Überprüfung datenschutzrechtlicher Meldepflichten gegenüber den Datenschutzaufsichten (Art. 33 DSGVO) und den Betroffenen (Art. 34 DSGVO). Die Zeitfenster sind hier kurz bemessen (ggü. der Aufsicht nur 72 Stunden)
Was ist sonst noch wichtig?
- Einschaltung der Versicherung, insbesondere wenn IT-Sicherheitsvorfälle vom Versicherungsschutz erfasst sind
- Abwehr von Ansprüchen Dritter (Kunden / Lieferanten)
- Prüfung von Ansprüchen gegen eingesetzte IT-Provider
- Verhinderung zukünftiger Angriffsrisiken durch technische Härtung der genutzten Infrastruktur, Schulung von Mitarbeitern in Bezug auf Sicherheitsrisiken sowie gegebenenfalls die kontinuierliche Simulation von Angriffsszenarien („Penetrationstests“)
Die Verknüpfung von IT- Sicherheit, Unternehmensdatenschutz und Compliance
Viele dieser Maßnahmen fallen unter den Überbegriff „Compliance“. Doch Compliance steht für „mehr“ und rückt zunehmend in den Fokus der Unternehmensführungen. Compliance ist kein feststehender Rechtsbegriff, sondern eine Sammelbezeichnung für alle notwendigen Maßnahmen eines Unternehmens, die zur Einhaltung sämtlicher für das Unternehmen geltenden Gesetze und Richtlinien erforderlich sind. Zwar gibt es in Deutschland kein Gesetz, das konkrete Pflichten und Vorgaben für den Schutz von Unternehmensdaten oder die IT- Sicherheit aufstellt. Kommen aber beispielsweise sensible Kundendaten, Geschäftsgeheimnisse oder ähnliches aufgrund unzureichender IT- Sicherheit abhanden, kann dies erhebliche Schadenersatzforderungen auslösen, von dem damit einhergehenden Reputationsschaden ganz zu schweigen. Unternehmensdatenschutz bedeutet also immer auch Kundendatenschutz und stellt daher schon aus Haftungsgründen ein enorm wichtiges Compliance- Thema dar.
Verantwortlichkeit der Geschäftsleitung
Vor diesem Hintergrund stehen die Unternehmensführungen – beispielsweise Geschäftsführer:innen – in der Verantwortung, das Unternehmen so zu organisieren, dass datenschutzrechtliche Bestimmungen eingehalten werden und das Unternehmen angemessen vor Angriffen auf die IT-Sicherheit geschützt ist. Selbstverständlich müssen sie sich um diese Angelegenheiten nicht selbst kümmern. Vielmehr müssen sie dafür Sorge tragen, dass entsprechende Fachbereiche im Unternehmen eingerichtet und anschließend darauf überwacht werden, dass sie ihre Aufgaben ordnungsgemäß erfüllen. Werden diese Organisations- und Überwachungspflichten aber unzureichend erfüllt und nimmt das Unternehmen deshalb Schaden, steht auch eine persönliche Haftung der Geschäftsführer:innen im Raum.
Diese Wechselwirkung aus Unternehmensdatenschutz, Kundendatenschutz und persönlicher Verantwortung der Geschäftsleitung einerseits sowie der potentiellen (Reputations-) Schäden andererseits bedingen die herausragende Bedeutung einer funktionierenden, sicheren IT-Infrastruktur.
Nicht zu vernachlässigen: Der Mitarbeiterdatenschutz
Im Gegensatz zu dem Schutz von Unternehmensdaten, ist der Schutz personenbezogener Daten umfassend kodifiziert – insbesondere in der DSGVO. Verstöße können empfindliche Bußgelder nach sich ziehen. Im Arbeitsverhältnis werden beispielsweise ständig personenbezogene Mitarbeiterdaten verarbeitet. Der Schutz dieser Daten entsprechend der bestehenden gesetzlichen Vorgaben, zählt deshalb neben einer Vielzahl anderer Arbeitsrechtsmaterien – wie z.B. das Arbeitszeitrecht, das Arbeitsschutzrecht, das Arbeitnehmerüberlassungsrecht, das Sozialversicherungsrecht oder das Lohnsteuerrecht – zu den gesetzlichen Pflichten, deren Einhaltung Unternehmen im Rahmen ihrer Compliance-Organisation beachten müssen. Gleichzeitig beeinflusst der Mitarbeiterdatenschutz die Umsetzung bestehender Compliance-Regeln. So müssen beispielsweise unternehmensinterne Whistleblower-Systeme, mit denen Mitarbeiter:innen auf bestehende Missstände aufmerksam machen können, so ausgestaltet sein, dass die Mitarbeiter:innen bei ihren Hinweisen auch wirklich anonym bleiben. Insofern beeinflusst der Mitarbeiterdatenschutz auch die Ausgestaltung und Umsetzung von Compliance- Richtlinien und lässt sich schon aus diesem Grund hiervon nicht trennen.
Über die Autoren
Jonas Puchelt ist Fachanwalt für Informationstechnologierecht und Zertifizierter Datenschutzbeauftragter (DSC) bei der Kanzlei FPS. Er ist auf die Beratung nationaler und internationaler Unternehmen im Rahmen technologischer Fragestellungen spezialisiert. Sein Beratungsschwerpunkt liegt im IT- und Datenschutzrecht mit einem besonderen Fokus auf juristische Fragestellungen des IT-Projektgeschäfts und der IT-Security. Herr Puchelt ist zudem Lehrbeauftragter an der Technischen Hochschule Mittelhessen.
Daniel Hammes ist als Rechtsanwalt bei FPS tätig. Er berät und vertritt nationale und internationale Unternehmen in allen Angelegenheiten des Arbeitsrechts. Zu seinen Tätigkeitsschwerpunkten zählen die Gestaltung von Anstellungsverträgen, die Verhandlung und Ausarbeitung von Aufhebungs- und Abwicklungsverträgen, sowie das Führen von Kündigungsschutzverfahren. Darüber hinaus berät er insbesondere zu den Themenbereichen Arbeitnehmerüberlassung und Statusfeststellungsverfahren.
(ID:48206485)
:quality(80)/p7i.vogel.de/wcms/b7/b0/b7b0230ab9171b829d91957e8613fb1f/0111196962.jpeg "Viele Organisationen tun sich schwer, ihre Infrastrukturen adäquat zu schützen. Finanzielle und personelle Ressourcen sind beschränkt und es fehlt oft auch am Bewusstsein, welchen Stellenwert IT-Security heutzutage einnimmt. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/67/4b673b566a04e24e8593a9ccbfd65c23/0110764137.jpeg "Durch die Verschlüsselung von Daten, bevor diese in der Cloud gespeichert werden, bewahren sich Unternehmen die vollständige Datenautonomie und gewährleisten so die Einhaltung der DSGVO, unabhängig vom verwendeten Cloud-Anbieter. (Bild: estherpoon - stock.adobe.com)")