Strategien


Informationspflichten bei IT-Vorfällen

Wie Incident Report Tools helfen

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Meldepflichten: Wer was wann warum melden muss

Rechtliche
Grundlage

Betroffene Organisation

Meldepflicht

IT-Sicherheits-
gesetz

zunächst nur die Betreiber von Kernkraftwerken
und Tele-
kommunikations-
unternehmen

andere
KRITIS-Betreiber
erst nach
Verabschiedung
der noch
zu erstellenden
Rechts-
verordnung

Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das BSI zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branche des Betreibers enthalten.

IT-Sicherheits-
gesetz

Unternehmen,
die öffentlich
zugängliche Telekommunikations-dienste erbringen

Werden dem Diensteanbieter Störungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, so hat er die Nutzer, soweit ihm diese bereits bekannt sind, unverzüglich darüber zu benachrichtigen.

Bundes-
Datenschutz-
gesetz
(BDSG)

Öffentliche und
nichtöffentliche
Stellen, die personenbezogene
Daten
nach Maßgabe
des BDSG
verarbeiten

Benachrichtigung des Betroffenen:

  • unverzüglich, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird

  • Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen

Benachrichtigung der zuständigen Datenschutz-Aufsichtsbehörde:

  • zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen

Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle:

  • Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme

Verordnung
(EU)
Nr. 611/2013

Betreiber
öffentlich
zugänglicher
elektronischer Kommunikations-
dienste

Der Betreiber benachrichtigt die zuständige nationale Behörde von der Verletzung des Schutzes personenbezogener Daten binnen 24 Stunden nach Feststellung der Verletzung, soweit dies möglich ist.

Telemedien-
gesetz
(TMG)

Diensteanbieter
gemäß TMG

Wenn bei dem Diensteanbieter gespeicherte Bestands- oder Nutzungsdaten unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers drohen, gelten Vorgaben aus Bundesdatenschutzgesetz (§ 42a BDSG)

Tele-
kommunikations-
gesetz (TKG)

Unternehmen,
die
öffentlich
zugängliche Tele-kommunikations-
dienste erbringen

Im Fall einer Verletzung des Schutzes personenbezogener Daten sind unverzüglich die Bundesnetzagentur und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit von der Verletzung zu benachrichtigen.

In Fällen, in denen in dem Sicherheitskonzept nachgewiesen wurde, dass die von der Verletzung betroffenen personenbezogenen Daten durch geeignete technische Vorkehrungen gesichert, insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gespeichert wurden, ist eine Benachrichtigung nicht erforderlich, es sei denn, es besteht eine spezielle Verpflichtung seitens der Bundesnetzagentur.

BaFin:
Mindest-anforderungen
an die Sicherheit
von Internet-zahlungen
(in Beratung)

Alle
Zahlungs-
dienstleister
im Sinne
Zahlungs-
dienste-
aufsichtsgesetz
(ZAG),
die
Zahlungs-
geschäfte
im Massen-Zahlungsverkehr
über
das Internet
anbieten

Kritische IT-Sicherheitsvorfälle sind an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie gegebenenfalls an die Strafverfolgungsbehörden und die zuständigen Datenschutzbeauftragten zu melden. Als kritisch ist ein IT-Sicherheitsvorfall dann zu betrachten, wenn die Verfügbarkeit, Integrität, Vertraulichkeit oder Authentizität von IT-Systemen, Anwendungen oder Daten mit einem hohen oder sehr hohen Schutzbedarf verletzt oder beeinträchtigt wird.

Kassen-
ärztliche
Bundes-
vereinigung
(KBV):

Richtlinie
Security
Incident Management

Mitglieder der Kassenärztlichen Vereinigungen,
also Vertragsärzte
und -psychotherapeuten
oder ein anderer
nach den
Richtlinien der
KBV
zugelassener
Teilnehmer
des "Sicheren
Netzes der KVen"

Security Incidents mit Einfluss auf andere Verantwortungsbereiche und Organisationen müssen an die KBV und die betreffenden Organisationen gemeldet werden.

Falls durch eine Organisation Security Incidents bemerkt werden, die nicht im eigenen Verantwortungsbereich liegen, so müssen diese an die KBV und die verantwortliche Organisation gemeldet werde.

Individual-
verträge nach Vorgaben zur Auftrags-
daten-verarbeitung
(§ 11 BDSG)

Auftrags-
daten-
verarbeiter

Laut Vertrag mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen (wie Service Level Agreements, SLAs)

Zur Startseite