6 Rechtliche und regulatorische Rahmenbedingungen in der IT-Sicherheit

Die IT-Sicherheit ist nicht nur eine technische Herausforderung, sondern auch ein rechtlicher Imperativ. Unternehmen und Organisationen müssen sich an eine Vielzahl von Gesetzen, Verordnungen und Standards halten, um den Schutz sensibler Daten zu gewährleisten und gesetzlichen Anforderungen zu entsprechen. Dieses Kapitel beleuchtet die wichtigsten Datenschutzgesetze, Compliance-Vorgaben und internationalen Standards, die für die IT-Sicherheit relevant sind.

6.1 Datenschutzgesetze und Compliance

6.1.1 Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in der Europäischen Union in Kraft und bildet den Rechtsrahmen für den Schutz personenbezogener Daten. Sie zielt darauf ab, die Privatsphäre von EU-Bürgern zu schützen und legt fest, wie Unternehmen Daten erheben, verarbeiten und speichern dürfen.

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten dürfen nur auf rechtmäßige Weise und mit informierter Zustimmung der betroffenen Person verarbeitet werden.
• Zweckbindung: Erhebung und Verarbeitung personenbezogener Daten nur für festgelegte, eindeutige und legitime Zwecke.
• Datenminimierung: Verarbeitung nur der Daten, die für den Zweck notwendig sind.
• Richtigkeit: Sicherstellung, dass Daten korrekt und aktuell sind.
• Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.
• Integrität und Vertraulichkeit: Gewährleistung angemessener Sicherheit der Daten, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung.

6.1.2 Bundesdatenschutzgesetz (BDSG)

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO auf nationaler Ebene in Deutschland. Es enthält spezifische Regelungen, insbesondere zu:

• Beschäftigtendatenschutz: Regelungen zur Verarbeitung personenbezogener Daten von Mitarbeitern.
• Aufsichtsbehörden: Bestimmungen über die Zusammenarbeit und Zuständigkeiten der Datenschutzaufsichtsbehörden.
• Videoüberwachung: Spezielle Vorschriften zur Beobachtung öffentlich zugänglicher Räume.

6.1.3 Branchenspezifische Compliance-Vorgaben

Je nach Branche können zusätzliche gesetzliche Anforderungen gelten:

• Kreditwesengesetz (KWG): Regelt die Anforderungen an Banken und Finanzdienstleister in Deutschland.
• Telemediengesetz (TMG): Bezieht sich auf Anbieter von Telemedien und deren Pflichten in Bezug auf Datenschutz und Datensicherheit.
• Medizinproduktegesetz (MPG): Vorschriften für Hersteller von Medizinprodukten, einschließlich Anforderungen an die Datensicherheit.

6.2 Internationale Standards

6.2.1 ISO/IEC 27001

Die ISO/IEC 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). Er bietet einen systematischen Ansatz für:

• Risikomanagement: Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken.
• Sicherheitskontrollen: Implementierung von Kontrollmechanismen gemäß einem festgelegten Maßnahmenkatalog.
• Kontinuierliche Verbesserung: Regelmäßige Überprüfung und Verbesserung des ISMS.

6.2.2 NIST Cybersecurity Framework

Das National Institute of Standards and Technology (NIST) hat ein Cybersecurity Framework entwickelt, das insbesondere in den USA weit verbreitet ist. Es umfasst fünf Kernfunktionen:

1. Identify (Identifizieren): Verständnis für die Organisationsumgebung zur effektiven Handhabung von Risiken.
2. Protect (Schützen): Entwicklung und Implementierung geeigneter Schutzmaßnahmen.
3. Detect (Entdecken): Implementierung von Aktivitäten zur rechtzeitigen Erkennung von Cybersecurity-Ereignissen.
4. Respond (Reagieren): Maßnahmen zur Reaktion auf erkannte Cybersecurity-Vorfälle.
5. Recover (Wiederherstellen): Pläne zur Wiederherstellung von Funktionen oder Diensten, die durch Cybersecurity-Ereignisse beeinträchtigt wurden.

6.2.3 Weitere relevante Standards und Frameworks

• COBIT (Control Objectives for Information and Related Technologies): Rahmenwerk für IT-Management und IT-Governance, das hilft, die Lücke zwischen technischen Fragen, Geschäftszielen und Risiken zu schließen.
• BSI IT-Grundschutz: Vom Bundesamt für Sicherheit in der Informationstechnik entwickeltes Konzept zur Absicherung informationstechnischer Systeme.
• PCI DSS (Payment Card Industry Data Security Standard): Sicherheitsstandard für Organisationen, die Kreditkartendaten verarbeiten, speichern oder übertragen.