Informationspflichten bei IT-Vorfällen

Wie Incident Report Tools helfen

01.09.2015
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Meldepflichten: Wer was wann warum melden muss

Rechtliche Grundlage

Betroffene Organisation

Meldepflicht

IT-Sicherheitsgesetz

zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen

andere KRITIS-Betreiber erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung

Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das BSI zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branche des Betreibers enthalten.

IT-Sicherheitsgesetz

Unternehmen, die öffentlich zugängliche Telekommunikationsdienste erbringen

Werden dem Diensteanbieter Störungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, so hat er die Nutzer, soweit ihm diese bereits bekannt sind, unverzüglich darüber zu benachrichtigen.

Bundesdatenschutzgesetz (BDSG)

Öffentliche und nichtöffentliche Stellen, die personenbezogene Daten nach Maßgabe des BDSG verarbeiten

Benachrichtigung des Betroffenen:

  • unverzüglich, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird

  • Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen

Benachrichtigung der zuständigen Datenschutz-Aufsichtsbehörde:

  • zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen

Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle:

  • Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme

Verordnung (EU) Nr. 611/2013

Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste

Der Betreiber benachrichtigt die zuständige nationale Behörde von der Verletzung des Schutzes personenbezogener Daten binnen 24 Stunden nach Feststellung der Verletzung, soweit dies möglich ist.

Telemediengesetz (TMG)

Diensteanbieter gemäß TMG

Wenn bei dem Diensteanbieter gespeicherte Bestands- oder Nutzungsdaten unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers drohen, gelten Vorgaben aus Bundesdatenschutzgesetz (§ 42a BDSG)

Telekommunikationsgesetz (TKG)

Unternehmen, die öffentlich zugängliche Telekommunikationsdienste erbringen

Im Fall einer Verletzung des Schutzes personenbezogener Daten sind unverzüglich die Bundesnetzagentur und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit von der Verletzung zu benachrichtigen.

In Fällen, in denen in dem Sicherheitskonzept nachgewiesen wurde, dass die von der Verletzung betroffenen personenbezogenen Daten durch geeignete technische Vorkehrungen gesichert, insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gespeichert wurden, ist eine Benachrichtigung nicht erforderlich, es sei denn, es besteht eine spezielle Verpflichtung seitens der Bundesnetzagentur.

BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht):

Mindestanforderungen an die Sicherheit von Internetzahlungen (in Beratung)

Alle Zahlungsdienstleister im Sinne Zahlungsdiensteaufsichtsgesetz (ZAG), die Zahlungsgeschäfte im Massenzahlungsverkehr über das Internet anbieten (Internet-Zahlungsdienste)

Kritische IT-Sicherheitsvorfälle sind an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie gegebenenfalls an die Strafverfolgungsbehörden und die zuständigen Datenschutzbeauftragten zu melden. Als kritisch ist ein IT-Sicherheitsvorfall dann zu betrachten, wenn die Verfügbarkeit, Integrität, Vertraulichkeit oder Authentizität von IT-Systemen, Anwendungen oder Daten mit einem hohen oder sehr hohen Schutzbedarf verletzt oder beeinträchtigt wird.

Kassenärztliche Bundesvereinigung (KBV):

Richtlinie Security Incident Management

Mitglieder der Kassenärztlichen Vereinigungen, also Vertragsärzte und -psychotherapeuten oder ein anderer nach den Richtlinien der KBV zugelassener Teilnehmer des "Sicheren Netzes der KVen"

Security Incidents mit Einfluss auf andere Verantwortungsbereiche und Organisationen müssen an die KBV und die betreffenden Organisationen gemeldet werden.

Falls durch eine Organisation Security Incidents bemerkt werden, die nicht im eigenen Verantwortungsbereich liegen, so müssen diese an die KBV und die verantwortliche Organisation gemeldet werde.

Individualverträge nach Vorgaben zur Auftragsdatenverarbeitung (§ 11 BDSG)

Auftragsdatenverarbeiter

Laut Vertrag mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen (wie Service Level Agreements, SLAs)

(sh)