IT-Sicherheit für Dummies. Rainer W. Gerling
Чтение книги онлайн.

Читать онлайн книгу IT-Sicherheit für Dummies - Rainer W. Gerling страница 21

СКАЧАТЬ 72 Stunden Meldestelle BSI BNA, BSI BNA, BfDI DS-Aufsicht

      Tabelle 3.1: Die expliziten gesetzlichen Vorgaben für Unternehmen bezüglich der Meldepflicht eines IT-Sicherheits- beziehungsweise Datenschutzvorfalls.

      Die Meldepflichten sollen den Druck auf Unternehmen und Behörden erhöhen, die Vorgaben auch ernst zu nehmen. Hinzu kommt, dass das BSI regelmäßig Lagebilder zur Situation der IT-Sicherheit in Deutschland erstellt. Auch hierzu werden Daten über Vorfälle benötigt. Der Austausch von Informationen zu Vorfällen kann bisher nicht betroffenen Unternehmen helfen, sich selber besser aufzustellen. Der Austausch und das Voneinander-Lernen sind ein wesentlicher Aspekt der Verbesserung der Informationssicherheit, auf den wir im Kapitel 15 ausführlich eingehen.

      Im Rahmen der Evaluierung der NIS-Richtlinie war die Europäische Kommission unzufrieden mit der Bandbreite der Umsetzungen der Meldepflicht in den verschiedenen Mitgliedsländern. Unternehmen, die in Ländern mit weniger stringenten Vorgaben ansässig sind, haben Wettbewerbsvorteile, da die weniger aufwendigen Meldevorgaben weniger Kosten verursachen. Unternehmen, die in mehreren Mitgliedsländern tätig sind, müssen die unterschiedlichen Meldepflichten beachten und haben dadurch Nachteile. Insofern will die Kommission die Vorgaben zur Meldepflicht stringenter fassen und damit vereinheitlichen.

      Zur Konkretisierung werden sowohl im BSI-Gesetz (§ 8a Abs. 2) als auch in der DS-GVO (Art. 40 Abs. 2 lit. h) branchenspezifische IT-Sicherheitsstandards (kurz B3S) vorgesehen. Diese Standards müssen vom BSI beziehungsweise den Datenschutzaufsichtsbehörden genehmigt werden. Das BSI bezieht sich bei Vorgaben natürlich gerne auf seinen eigenen Standard, den IT-Grundschutz (siehe Kapitel 8).

      Die DS-GVO schreibt in Art 40 Abs. 4 DS-GVO vor, dass die Standards (in der deutschen Fassung der DS-GVO unglücklich »Verhaltensregeln« genannt) zwingend Regelungen zur »obligatorischen Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten« enthalten müssen. Die Verhaltensregeln können neben dem technisch-organisatorischen Vorgehen auch die rechtlichen Rahmenbedingungen für die Verarbeitung personenbezogener Daten konkretisieren und gestalten. Eine Verhaltensregel zur IT-Sicherheit und zum technisch-organisatorischen Datenschutz sollte unabhängig von den anderen materiell-rechtlichen Regelungsbereichen sein. Dadurch werden die Zeitskalen für erforderliche Aktualisierungen getrennt. Technik entwickelt sich im Allgemeinen schneller als rechtliche Vorgaben.

      Mit dem § 75b wurde Ende 2019 eine Vorschrift zur Sicherstellung der IT-Sicherheit in ärztlichen, psychotherapeutischen und zahnärztlichen Praxen in das SGB V aufgenommen. Danach müssen von den Kassenärztlichen Bundesvereinigungen »Richtlinien zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung« erstellt werden. Diese wörtlich identischen Richtlinien sind Anfang 2021 in Kraft getreten.

      Der etwas später in das SGB-V eingefügte § 75c macht Vorgaben zur IT-Sicherheit in Krankenhäusern, die nicht unter die KRITIS-Regeln fallen (das sind kleinere Krankenhäuser mit weniger als 30.000 stationären Aufnahmen pro Jahr). Diese Vorgaben müssen seit dem 1. Januar 2022 von den kleineren Krankenhäusern eingehalten werden.

      Damit sind im medizinischen Bereich rechtliche Vorgaben zur IT-Sicherheit von der kleinsten Praxis bis zum größten Universitätsklinikum vorhanden. Die Vorgaben sind nicht einheitlich und leider über zwei Gesetze verteilt. Auf Dauer ist es nicht sinnvoll, die rechtlichen Vorgaben zur IT-Sicherheit in branchenspezifische Spezialgesetze wie zum Beispiel das SGB V zu schreiben. Es ist besser, wie auch im Datenschutz, sie in einem Gesetz branchenübergreifend zu bündeln.

      Für Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste empfiehlt das TKG den Einsatz von Systemen zur Angriffserkennung (Intrusion Detection Systems). Für TK-Betreiber mit erhöhtem Gefährdungspotenzial werden Systeme zur Angriffserkennung ab dem 1. Dezember 2022 zwingend vorgeschrieben (§ 165 Abs. 3 in Verbindung mit § 230 Abs. 12 TKG).

      Welche Unternehmen TK-Betreiber mit erhöhtem Gefährdungspotenzial sind, wird von der Bundesnetzagentur durch eine Allgemeinverfügung festgelegt. Die Tatsache, dass in einem Gesetz derart konkrete Sicherheitsmaßnahmen vorgeschrieben werden, ist ungeschickt. Die konkreten Vorgaben sollten durch Verordnungen oder Allgemeinverfügungen geregelt werden. Das Gesetz sollte nur die Ermächtigung zum Erlass der konkreten Regeln enthalten. Je konkreter eine Vorgabe ist, je häufiger muss sie an technische Entwicklungen angepasst werden. Dieser Anpassungsprozess ist bei Gesetzen zu aufwendig und zu langwierig.

      Trotzdem müssen Sie sich, wenn Sie in den entsprechenden Branchen tätig sind, mit der rechtlichen Situation arrangieren.

      Bei einem Audit unterziehen ein oder mehrere Prüfer den Prüfgegenstand einer systematischen Prüfung. Der Prüfer muss für diesen Prüfvorgang zugelassen (zertifiziert) sein. Die Zertifizierung des Prüfers setzt den Nachweis des erforderlichen Fachwissens voraus, das durch eine Ausbildung und praktische Erfahrung erworben wird. Die Details für die Ausbildung und Prüfung sowie die Zulassung sind detailliert geregelt.

      Wenn Sie sich als Auditor zertifizieren lassen wollen, müssen Sie zuerst ein Verfahren zur Überprüfung Ihrer Fachkunde (Kompetenzfeststellung) erfolgreich durchlaufen. Danach folgt die dreijährige Zertifizierungsphase. Das BSI beobachtet Sie bei der Ausübung Ihrer Tätigkeit. Bei Kompetenzmängeln oder Verstößen gegen Auditregeln kann das BSI Ihr Zertifikat vorzeitig widerrufen. Nach Ablauf der Zertifizierungsphase ist eine Rezertifizierung möglich und üblich. Ähnlich wie Piloten, die zum Erhalt ihrer Fluglizenz regelmäßig Flugstunden absolvieren müssen, müssen Sie als Auditor während der Zertifizierungsphase auch regelmäßig Audits durchführen. [BSI19b]

      Im BSI-Gesetz ist geregelt, dass das BSI die »Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und Zertifizierungen« und die »Anforderungen an die Art und Weise der Durchführung, an die hierüber auszustellenden Nachweise СКАЧАТЬ