Informationspflichten bei IT-Vorfällen

Wie Incident Report Tools helfen

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Bei IT-Sicherheitsvorfällen bestehen vielfältige Meldepflichten für Unternehmen. Spezielle Tools unterstützen dabei, die Vorgaben einzuhalten.

"In vielen Ländern besteht für Unternehmen keine umfängliche Meldepflicht bei IT-Angriffen. So bleiben viele Vorfälle in der Öffentlichkeit unbekannt", erklärte Patrick Sweeney, Executive Director, Dell Security, anlässlich der Veröffentlichung des 2015 Dell Security Annual Threat Report.

Für Unternehmen in Deutschland zumindest können zahlreiche Informationspflichten bestehen, wenn es zu einem kritischen IT-Sicherheitsereignis oder einer Datenschutz-Panne kommt. Mit dem IT-Sicherheitsgesetz sind sogar noch weitere Meldepflichten hinzugekommen:

  • Die Meldepflicht von erheblichen IT-Sicherheitsvorfällen nach IT-Sicherheitsgesetz betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, so eine Erläuterung des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

  • Eine Meldepflicht erheblicher IT-Sicherheitsvorfälle für andere KRITIS-Betreiber tritt erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung in Kraft. Diese wird festlegen, welche Unternehmen den Regelungen des Gesetzes unterliegen.

  • Informationspflichten nach IT-Sicherheitsgesetz bestehen aber nicht nur in Richtung BSI oder bei Telekommunikationsunternehmen an die Bundesnetzagentur. Telekommunikationsunternehmen sind zudem verpflichtet, ihre Kunden zu warnen, wenn sie bemerken, dass der Anschluss des Kunden für IT-Angriffe missbraucht wird. Bei der Vielzahl an Kundenanschlüssen, die Telekommunikationsunternehmen betreiben, und der Häufigkeit der Cyberattacken kann es oft der Fall sein, dass Anwenderunternehmen gewarnt werden müssen.

Schon hier wird deutlich, dass das Management der Meldepflichten und der "Incident Reports" komplex werden kann, wenn betroffene Unternehmen sicherstellen wollen, dass sie alle entsprechenden Vorgaben wirklich einhalten.

Laut eco-Studie „IT-Sicherheit 2015“ berichten 14 Prozent der befragten Unternehmen von mehreren, gravierenden IT-Sicherheitsvorfällen in den letzten Jahren, 20 Prozent von einem solchen Vorfall. Ziel der gesetzlichen Meldepflichten ist es, mehr Transparenz in die IT-Sicherheitslage zu bekommen, um die Prävention und Abwehr entsprechend auszurichten.
Laut eco-Studie „IT-Sicherheit 2015“ berichten 14 Prozent der befragten Unternehmen von mehreren, gravierenden IT-Sicherheitsvorfällen in den letzten Jahren, 20 Prozent von einem solchen Vorfall. Ziel der gesetzlichen Meldepflichten ist es, mehr Transparenz in die IT-Sicherheitslage zu bekommen, um die Prävention und Abwehr entsprechend auszurichten.
Foto: eco

Verbände kritisieren Ausgestaltung der Meldepflichten

Der zu erwartende Aufwand durch Melde- und Informationspflichten ist einer der Gründe, warum mehrere IT-Verbände an der Ausgestaltung des IT-Sicherheitsgesetzes Kritik geübt haben und dies auch weiterhin tun.

Eine Studie der Beratungsgesellschaft KPMG im Auftrag von BDI, Bitkom und weiteren Branchenverbänden ergab 2014, dass allein aus der Meldepflicht für schwere IT-Sicherheitsvorfälle Kosten in Höhe von rund 1,1 Milliarden Euro pro Jahr für die deutsche Wirtschaft entstehen können.

Die Verfahrensweise bei den Meldepflichten von IT-Sicherheitsvorfällen an das BSI sowie die reaktiven Befugnisse des BSI müssten rechtlich und praktisch ausgestaltet werden, so TeleTrusT - Bundesverband IT-Sicherheit. Die diesbezügliche Rechtsunsicherheit bei den Unternehmen müsse beseitigt werden.

Blue Box – die „Alles-Easy-Private Cloud“? - Foto: Nmedia_Fotolia.com

Blue Box – die „Alles-Easy-Private Cloud“?

Grundsätzlich in Frage stellt eco - Verband der Internetwirtschaft den Sinn und Zweck von Meldepflichten. "Aus unserer Sicht stellen diese Meldepflichten die größte wirtschaftliche Belastung dar, da sie aufwändige Prozesse und Einrichtungen voraussetzen, die keinen direkten Bezug zur Verbesserung der IT-Sicherheit haben und damit auch keinen erkennbaren Mehrwert für die Unternehmen und ihre Kunden", erklärt eco-Vorstand Politik & Recht Oliver Süme.

Notfallplanung und Compliance zählen zu den IT-Sicherheitsthemen, die laut der eco-Studie „IT-Sicherheit 2015“ besonders relevant sind. Zu diesen Themen gehört auch das Incident Management und Reporting.
Notfallplanung und Compliance zählen zu den IT-Sicherheitsthemen, die laut der eco-Studie „IT-Sicherheit 2015“ besonders relevant sind. Zu diesen Themen gehört auch das Incident Management und Reporting.
Foto: eco

Datenschutz und Compliance sehen Meldepflichten vor

Die Aufsichtsbehörden für den Datenschutz stellen ebenso konkrete Forderungen an Meldepflichten bei IT-Sicherheitsvorfällen. So besagt die Entschließung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder "IT-Sicherheitsgesetz nicht ohne Datenschutz", dass die Datenschutzaufsichtsbehörden in die Meldewege eingebunden und bei der Beratung der Beteiligten im Sinne des Abwägungsprozesses zwischen Informationssicherheits- und Datenschutzmaßnahmen beteiligt werden sollten. Zudem könnte mit der Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI eine datenschutzrechtliche Meldepflicht von Datenpannen verbunden sein.

Das Bundesdatenschutzgesetz (BDSG) sieht entsprechende Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten vor, ebenso die EU-Verordnung über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten, entsprechende Meldepflichten bei Datenpannen sind auch von der EU-Datenschutz-Grundverordnung zu erwarten.

Laut BDSG müssen Unternehmen der zuständigen Datenschutzaufsichtsbehörde sowie den Betroffenen unverzüglich mitteilen, wenn zum Beispiel

  • besondere Arten personenbezogener Daten (wie Gesundheitsdaten),

  • personenbezogene Daten, die einem Berufsgeheimnis unterliegen, oder

  • personenbezogene Daten zu Bank- oder Kreditkartenkonten

unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.

Neben dem IT-Sicherheitsgesetz und dem Bundesdatenschutzgesetz sehen eine Reihe weiterer Gesetze und Compliance-Vorgaben Meldepflichten bei IT-Sicherheitsvorfällen vor, teilweise abgeleitet aus den Vorgaben des BDSG, darunter das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG). Es gibt aber auch branchenspezifische Meldepflichten, wie die sich in Beratung befindlichen Vorgaben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), zum Beispiel bei einem schwerwiegenden Zahlungssicherheitsvorfall, sowie die Richtlinie Security Incident Management der Kassenärztlichen Bundesvereinigung (KBV). Einen Überblick zu den Meldepflichten auf EU-Ebene gibt ENISA (European Union Agency for Network and Information Security) in der Publikation "Cyber Incident Reporting in the EU".

Inhalt dieses Artikels