Strategien


Informationspflichten bei IT-Vorfällen

Wie Incident Report Tools helfen

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Die Verfahrensweise bei den Meldepflichten von IT-Sicherheitsvorfällen an das BSI sowie die reaktiven Befugnisse des BSI müssten rechtlich und praktisch ausgestaltet werden, so TeleTrusT - Bundesverband IT-Sicherheit. Die diesbezügliche Rechtsunsicherheit bei den Unternehmen müsse beseitigt werden.

Grundsätzlich in Frage stellt eco - Verband der Internetwirtschaft den Sinn und Zweck von Meldepflichten. "Aus unserer Sicht stellen diese Meldepflichten die größte wirtschaftliche Belastung dar, da sie aufwändige Prozesse und Einrichtungen voraussetzen, die keinen direkten Bezug zur Verbesserung der IT-Sicherheit haben und damit auch keinen erkennbaren Mehrwert für die Unternehmen und ihre Kunden", erklärt eco-Vorstand Politik & Recht Oliver Süme.

Notfallplanung und Compliance zählen zu den IT-Sicherheitsthemen, die laut der eco-Studie „IT-Sicherheit 2015“ besonders relevant sind. Zu diesen Themen gehört auch das Incident Management und Reporting.
Notfallplanung und Compliance zählen zu den IT-Sicherheitsthemen, die laut der eco-Studie „IT-Sicherheit 2015“ besonders relevant sind. Zu diesen Themen gehört auch das Incident Management und Reporting.
Foto: eco

Datenschutz und Compliance sehen Meldepflichten vor

Die Aufsichtsbehörden für den Datenschutz stellen ebenso konkrete Forderungen an Meldepflichten bei IT-Sicherheitsvorfällen. So besagt die Entschließung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder "IT-Sicherheitsgesetz nicht ohne Datenschutz", dass die Datenschutzaufsichtsbehörden in die Meldewege eingebunden und bei der Beratung der Beteiligten im Sinne des Abwägungsprozesses zwischen Informationssicherheits- und Datenschutzmaßnahmen beteiligt werden sollten. Zudem könnte mit der Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI eine datenschutzrechtliche Meldepflicht von Datenpannen verbunden sein.

Das Bundesdatenschutzgesetz (BDSG) sieht entsprechende Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten vor, ebenso die EU-Verordnung über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten, entsprechende Meldepflichten bei Datenpannen sind auch von der EU-Datenschutz-Grundverordnung zu erwarten.

Laut BDSG müssen Unternehmen der zuständigen Datenschutzaufsichtsbehörde sowie den Betroffenen unverzüglich mitteilen, wenn zum Beispiel

  • besondere Arten personenbezogener Daten (wie Gesundheitsdaten),

  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen, oder

  • personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.

Neben dem IT-Sicherheitsgesetz und dem Bundesdatenschutzgesetz sehen eine Reihe weiterer Gesetze und Compliance-Vorgaben Meldepflichten bei IT-Sicherheitsvorfällen vor, teilweise abgeleitet aus den Vorgaben des BDSG, darunter das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG). Es gibt aber auch branchenspezifische Meldepflichten, wie die sich in Beratung befindlichen Vorgaben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), zum Beispiel bei einem schwerwiegenden Zahlungssicherheitsvorfall, sowie die Richtlinie Security Incident Management der Kassenärztlichen Bundesvereinigung (KBV). Einen Überblick zu den Meldepflichten auf EU-Ebene gibt ENISA (European Union Agency for Network and Information Security) in der Publikation "Cyber Incident Reporting in the EU".

Zur Startseite