I. Ausgangs­si­tuation

1

Eine allge­mein­gültige Definition des Begriffs „unter­neh­mens­kri­tische Daten“ gibt es nicht. Hinweise auf den Begriff „Unter­neh­mens­kri­tische Infor­ma­tionen und Prozesse“ finden sich im Zusam­menhang mit Infor­ma­tions-Sicher­heits-Management-Systemen (ISMS) im IT-Grund­schutz-Kompendium des BSI¹ und sodann in den Anfor­de­rungen an Kritische Infra­struk­turen (KRITIS) in § 8a BSiG i.V.m. der BSI-KritisV oder in ISO/IEC 27001 bzw. ISIS 12.²

2

Die Bestimmung „unter­neh­mens­kri­ti­scher Daten“ hat im Einzelfall anhand der in den genannten Regel­werken aufge­führten Kriterien zu erfolgen.

3

Wesent­liche Bestand­teile eines ISMS sind danach

-            Analyse der unter­neh­men­sin­di­vi­du­ellen Bedro­hungslage

-            Risiko­analyse – Analyse der Verwund­barkeit

-            Definition der Schutz­ziele

-            Definition der Maßnahmen (Sicher­heits­ar­chi­tektur)

-            Aufrecht­er­haltung der Maßnahmen.³

4

Im Rahmen der Bedro­hungs­analyse sind die Bedro­hungen für IT-Systeme zu identi­fi­zieren, die für das Unter­nehmen so relevant sind, dass sie bei Notfall­plänen und im Business Conti­nuity Management Berück­sich­tigung finden müssen.⁴ Eine Bedrohung ist ein poten­ti­elles Ereignis, dessen Eintritt zu einem wahrnehm­baren Schaden führt.⁵ Im Rahmen einer solchen Bedro­hungs­analyse sind hinsichtlich der Nutzung von Daten die Bedro­hungen zu identi­fi­zieren, die für das Unter­nehmen so relevant sind, dass sie bei Notfall­plänen und im Business Conti­nuity Management Berück­sich­tigung finden müssen. Eine solche Bedrohung hinsichtlich der Nutzung von Daten liegt dann vor, wenn bei Nicht-Nutzbarkeit von Daten der Geschäfts­be­trieb nicht oder nur mit erheb­lichen Einschrän­kungen aufrecht­er­halten und/oder nicht fortge­führt werden und dies zu einem wahrnehm­baren Schaden, namentlich einem Betriebs­aus­fall­schaden, führen kann. Solche Daten sind für das Unter­nehmen kritisch, also unter­neh­mens­kri­tisch.

5

Dies können perso­nen­be­zogene oder nicht perso­nen­be­zogene Daten sein, wie Kunden­stamm- und Auftrags­daten im Rahmen eines ERP-Systems oder Maschi­nen­daten für Mainte­nance-Management-Systeme oder Daten zur Steuerung der Produk­ti­ons­kette. Ist der Zugriff auf Kunden­stamm- und/oder Auftrags­daten nicht möglich, können weder Angebote erstellt noch Rechnungen generiert oder Umsätze gebucht werden. Stehen Maschi­nen­daten nicht zur Verfügung, kann ihre Funkti­ons­tüch­tigkeit nicht überwacht werden; bei Nicht­ver­füg­barkeit von Daten zur Steuerung der Produk­ti­ons­kette kann nicht produ­ziert werden.

6

Sodann sind die Schutz­ziele, wie Vertrau­lichkeit, Verfüg­barkeit, Integrität und Belast­barkeit der Systeme zu identi­fi­zieren.⁶ Im Hinblick auf die Daten­nutzung ist in erster Linie das Schutzziel der Verfüg­barkeit und sodann der Integrität von Daten von beson­derer Bedeutung.⁷

7

Im Rahmen der Risiko­analyse erfolgt die Bewertung der evalu­ierten Bedrohung, indem dem Ereignis eine Eintritts­wahr­schein­lichkeit, also ein Risiko, zugeordnet wird.⁸ Dabei kommen neben techni­schen Einschrän­kungen bzgl. der Verfüg­barkeit recht­liche Risiken in Betracht. Zur Bestimmung der Eintritts­wahr­schein­lichkeit und somit des Risikos ist weiter zu evalu­ieren, ob dem Auftrag­geber bei einer Vorent­haltung von unter­neh­mens­kri­ti­schen Daten gegen den Anbieter Ansprüche auf Nutzung und Herausgabe der Daten zustehen und durch­ge­setzt werden können.

8

Ist dies nicht der Fall oder ist die Rechtslage unklar, stellt dies ein recht­liches Risiko im Hinblick auf die Nutzung und Herausgabe unter­neh­mens­kri­ti­scher Daten dar. In diesem Fall sind vertrag­liche und ggf. zusätzlich technische Maßnahmen zu treffen, um dieses Risiko zu vermeiden oder weitest­gehend zu minimieren. (...)