Rechtliches Einmaleins der IT-Sicherheit aus Anwendersicht (Dovas/Intveen, ITRB 2024, 47)

Immer häufiger berichten die Medien über Cyberangriffe auf verschiedene Unternehmen und auch auf öffentliche Einrichtungen in Deutschland. Betroffen sind danach nicht nur Unternehmen der deutschen Wirtschaft wie Banken, Finanzdienstleister und andere Großunternehmen, sondern auch Einrichtungen der öffentlichen Hand und sogar der Deutsche Bundestag, ebenso Krankenhäuser und nicht zuletzt gerade aktuell ein Luxuskaufhaus in Berlin.

Dieser Beitrag soll für Unternehmen und für Einrichtungen der öffentlichen Hand bzw. öffentliche Stellen eine Art Checkliste IT-Sicherheit mit Handlungsempfehlungen für die tägliche Praxis darstellen, allerdings ohne Anspruch auf Vollständigkeit.

1. Hintergrund

2. Definitionen

a) Sicherheit

b) Angriffsmethoden

c) Stand der Technik

3. Gefährdete Bereiche

4. Einzuführende Prozesse und umzusetzende Maßnahmen

a) IT-Grundschutz

b) ISO 27001-Zertifizierung

c) Fort- und Weiterbildungen

5. Eingebundene Abteilungen, Verantwortlichkeiten

6. Dokumentation

7. Aktualisierung und Überprüfung

8. Versicherbarkeit

9. Fazit


1. Hintergrund

Der Digitalverband Bitkom hatte zu Cyberangriffen eine Studie in Auftrag gegeben, in deren Rahmen mehr als 1.000 Unternehmen sämtlicher Branchen repräsentativ befragt wurden. Danach sind neun von zehn Unternehmen bereits Opfer von Datendiebstahl, Spionage oder Sabotage geworden, wodurch allein im Jahr 2022 ein Schaden i.H.v. 203 Mrd. Euro entstanden sein soll.

Auch soll nach der Studie des Bitkom ein bestimmter Täterkreis, nämlich das organisierte Verbrechen und dazugehörige Banden, im Jahr 2022 erstmals zu mehr als 50 % an derartigen Angriffen beteiligt gewesen sein. Und auch die von bestimmten Ländern durchgeführten und insb. seit dem Jahr 2022 sprunghaft angestiegenen Angriffe in den Bereichen Cyberspionage und Cybercrime haben danach mittlerweile einen Großteil der deutschen Industrie erreicht.

Was allerdings für besondere Unruhe sorgen dürfte, ist, dass ein großer Teil derartiger Angriffe entweder zumindest über einen längeren Zeitraum überhaupt nicht bemerkt oder aber nicht der Öffentlichkeit mitgeteilt wird, was wiederum die Schlussfolgerung zulässt, dass der tatsächliche Schaden nicht nur für deutsche Unternehmen, sondern auch für die deutsche Volkswirtschaft insgesamt weitaus höher liegen dürfte, als vom Bitkom genannt.

Und genau vor diesem Hintergrund muss auch das kürzlich veröffentlichte Bundeslagebild Cybercrime 20221 gesehen werden, das nach Mitteilung des BKA nur die „Spitze des Eisbergs“ in der Statistik für 2022 erfasst und insgesamt 136.865 Fälle von Cyberkriminalität registriert. Denn selbst das BKA schätzt das Dunkelfeld auf bis zu 90 %, was nichts anderes heißt, als dass von zehn Fällen von Cyberkriminalität nur ein einziger Fall tatsächlich zur Anzeige kommt bzw. öffentlich wird.

2. Definitionen

a) Sicherheit

Die Begriffe Cybersecurity und IT-Sicherheit werden häufig synonym verwendet für den Schutz von IT-Systemen, Netzwerken und Programmen vor digitalen Angriffen zwecks Diebstahls oder Beschädigung von Hard- und Software oder auch der insoweit verarbeiteten Daten, ebenso vor Unterbrechung und Missbrauch von angebotenen Diensten und Funktionen, wie z.B. Software as a Service (SaaS), die mittlerweile zunehmend im Rahmen von Cloud-Diensten angeboten und eingesetzt werden.

Cybersicherheit soll in der Regel zum Schutz vor Zugriffen, Änderungen oder Zerstörung vertraulicher Informationen, vor dem Erpressen von Geld oder dem Stören der normalen Geschäftsabläufe dienen. Dabei gestalten sich das Implementieren und Aufrechterhalten effektiver Cyber Sicherheitsmaßnahmen immer schwieriger, nicht zuletzt vor dem Hintergrund, dass sich die Zahl der betroffenen Geräte der jeweiligen IT-Infrastruktur ständig vergrößert und die Angreifer immer geschickter und einfallsreicher werden.

Es scheint so, als ob es keine grundlegenden Definitionen bzw. verordnungsrechtlichen und gesetzlichen Definitionen der Begriffe „IT-Sicherheit“ und „Informationssicherheit“ gibt, was zur Folge hat, dass (...)