Business Security Stage CeBIT 24.03.2017
Aktuelle Rechtsfragen der IT-Sicherheit
Nationale Initiative für Informations- und
Internetsicherheit e.V.
Selbsthilfeorgansation der Wirtschaft für die
Wirtschaft
Anbieter und Anwender von IT-Sicherheit
Initiative "IT-Sicherheit in der Wirtschaft“ des BMWE
Themen: Cyber-Sicherheitslage
NIFIS Studie IT-Sicherheit
Ausgaben werden steigen
Spähattacken
EU US Privacy Shield
BSI Bericht zur Lage Cybersicherheit
Anforderungen Webshops
Persönliche Verantwortung
Studiendesign - NIFIS-Studie 2016
Zielgruppe: Fach- und Führungskräfte
Stichprobe: N = 100
Befragungszeitraum: 18 Oktober 2016
Methode: Persönliche Befragung im Rahmen der it-
sa
EU-US PRIVACY SHIELD?
NIFIS Studie
Der neue EU-US Privacy Shield, der den Datenschutz zwischen der EU
und den USA regelt…
a) Ist genauso kritisch wie das
vorherige Safe-Harbour-
Abkommen, das der
Europäische Gerichtshof für
ungültig erklärt hat
d) Stellt endlich die dringend
benötigte Rechtssicherheit her
c) Ist deutlich besser als
das Safe-Harbour-
Abkommen
b) Lässt weiterhin völlig im
Dunkeln, in welchem Umfang
die US-Geheimdienste auf
Daten von europäischen
Unternehmen weiterhin
zugreifen
EU US Privacy Shield
Datentransfer in Drittstaaten nach BDSG und künftig
EU DSGVO begrenzt
Sichere Drittstaaten – festgestellt von der EU-
Kommission, u.a. Schweiz, Israel
EU US Privacy Shield – Nachfolger Safe Harbour
EU US Privacy Shield
Verbesserung gegenüber Vorgängerlösung
Kein Schutz vor staatlicher Überwachung durch
Geheimdienste
Massenüberwachungsmaßnahmen ohne
Verhältnismäßigkeitsprüfung
Ombudsmann unabhängig, aber ohne klare
Befugnisse
ANFORDERUNGEN AN
WEBSEITEN
IT-SicherheitsG
IT-Sicherheitsgesetz
IT-Sicherheitsgesetz ist seit Juli 2015 in Kraft
KRITIS-Sektoren Energie, Informationstechnik und
Telekommunikation, Wasser und Ernährung
(erste VO Mai 2016)
VO für Finanzen, Transport und Verkehr sowie
Gesundheit wird Frühjahr 2017 erwartet
Umsetzung: sechs Monate nach Inkrafttreten der VO
IT-Sicherheitsgesetz
Shopbetreiber und andere Webseitenbetreiber sind
seit 25.07.2015 verpflichtet, mittels technischer und
organisatorischer Vorkehrungen sicherzustellen,
dass keine Angriffe oder Störungen auf die genutzten
technischen Einrichtungen erfolgen.
Die Vorkehrungen müssen dem Stand der Technik
entsprechen und dem Anbieter technisch möglich
und wirtschaftlich zumutbar sein.
WAS BEDEUTET DAS FÜR BETREIBER?
Wer beispielsweise eine Standardsoftware einsetzt,
hat regelmäßig Sicherheitspatches einzuspielen um
hierdurch Angriffe vermeiden zu können. Dies betrifft
nicht nur die Shopsoftware, sondern natürlich auch
das verwendete Betriebssystem des jeweiligen
Servers.
Was passiert in der Praxis?
Kompliziert wird es mit dem Einspielen von
Sicherheitspatches in den Fällen, in denen die
wirtschaftliche Zumutbarkeit unklar ist: es wird z. B.
eine eigens entwickelte Software eingesetzt oder
eine Shopsoftware nicht mehr von Hersteller
supportet.
PERSÖNLICHE
VERANTWORTUNG
KontrAG
IT-Sicherheitsmanagement
Teil der Anforderungen an ordentliche
Unternehmensführung gemäß § 91 Abs.2 AktG:
„Der Vorstand hat geeignete Maßnahmen zu treffen,
insbesondere ein Überwachungssystem einzurichten,
damit den Fortbestand der Gesellschaft gefährdende
Entwicklungen früh erkannt werden.“
Persönliche Haftung nach § 93 Abs. 2 AktG
Sorgfaltspflicht und Verantwortlichkeit der
Vorstandsmitglieder:
„Vorstandsmitglieder, die ihre Pflichten verletzen,
sind der Gesellschaft zum Ersatz des daraus
entstehenden Schadens als Gesamtschuldner
verpflichtet. Ist streitig, ob sie die Sorgfalt eines
ordentlichen und gewissenhaften Geschäftsleiters
angewandt haben, so trifft sie die Beweislast.“
Anwendungsbereich
Geltung für sämtliche privatrechtlichen Unternehmens-
formen mit Pflicht zur ordnungsgemäßen Unternehmens-
führung
Alleingesellschafter (durch Insolvenzverwalter oder
Gläubiger)
Fall Compliance Off.
Diverse Vorstände von Banken
Leiter der Innenrevision (Compliance Officer) kann
nach einem Urteil v. 17.7.2009 des
Bundesgerichtshofs (BGH) eine Garantenpflicht
treffen
Fall Compliance Officer
andere herausgehobene Funktionsträger, wie
IT-Sicherheitsbeauftragte
DS-BeAUFTRAGTE
(Klumpen-)Risiken
Risiken waren wegen ihrer Komplexität und Intransparenz
nicht zu steuern
übergroße Risiken bei der Kreditvergabe
Komplexität AUCH IM it-Bereich gegeben