Kaum ein Unternehmen profitiert nicht von einer digitalisierten Infrastruktur. Doch mit wachsender Vernetzung steigen auch die Risiken. Compliance mit Cybersecurity-Vorgaben wird zum Gebot der Stunde. Doch wie lassen sich all die rechtlichen Vorgaben einhalten?
Der Verbraucher will, dass seine Daten geschützt sind, und auch im B2B-Bereich können sich Sicherheitslücken zu ausgewachsenen Katastrophen entwickeln. Unsichere Produkte, gestörte Lieferketten, Schadensersatz, Bußgelder– die denkbaren Konsequenzen sind vielfältig und unangenehm. Das Paragraphendickicht mag auf den ersten Blick undurchdringbar wirken, doch mit der richtigen Strategie und kompetenter Unterstützung lässt sich die Herausforderung Cybersecurity-Compliance bewältigen.
Vorgabenkatalog aufstellen
Die erste Hürde besteht darin, die einschlägigen Vorgaben auszumachen. IT- bzw. Cybersecurity-Vorschriften finden sich nicht in einem einheitlichen Gesetz, sondern sind in allerlei Rechtsmaterien verstreut. Anders ist das auch nicht denkbar, denn nur so kann der Gesetzgeber den drastisch unterschiedlichen Gegebenheiten verschiedener Branchen und den dortigen Risikofaktoren Rechnung tragen. Dabei lassen sich zwar im Groben unternehmens- und produktbezogene Vorschriften unterscheiden, die Grenzen verwischen allerdings gelegentlich. So sind Datenschutzvorschriften zum Beispiel sowohl auf Unternehmensebene als auch innerhalb von IoT-Produkten relevant.
Allgemeine Datenschutzvorschriften sind verhältnismäßig leicht zu finden. Hier ist der Blick auf die europäische Datenschutzgrundverordnung (DSGVO) und das deutsche Bundesdatenschutzgesetz (BDSG) zu richten. Unternehmer sind zum angemessenen Schutz der verarbeiteten persönlichen Daten verpflichtet und haben die erforderlichen Maßnahmen zu treffen sowie Risiken zu minimieren (Art. 24 Abs. 1, 32 DSGVO). Cyberattacken fallen im Umkehrschluss schnell in deren Verantwortlichkeit, wie jüngste Datenleck-Fälle zeigen. Bei Nichteinhaltung können heftige Bußgelder drohen, bis zu einer Höhe von 4% des Jahresumsatzes.
Kniffeliger wird das Aufspüren der branchen- und produktspezifischen Regelungen. Beispielhaft treffen Anbieter „kritischer Systeme“ (KRITIS) Verpflichtungen nach dem BSI-Gesetz (BSIG) im Einklang mit der Network and Information Security Richtlinie 2 (NIS2). Online-Plattformen haben den neuen EU-Digital-Services Act (DSA) zu beachten. Finanzdienstleister unterstehen dem Kreditwesengesetz (KWG), dessen Anforderungen wiederum in „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) konkretisiert werden. An dieser Stelle lässt sich kaum eine abschließende Liste aller Spezialvorschriften aufstellen. Deshalb wird für die Aufstellung des Vorgabenkatalogs meist ein Fachanwalt oder ein Compliance-Dienstleister herangezogen.
Zuletzt können sich IT-Anforderungen auch mittelbar aus etwaigen Haftungsrisiken ergeben. Das Risiko von Schadensersatz- und Gewährleistungsforderungen wegen fehlerhafter Produkte oder unterbrochener Lieferketten hebt die Anforderungen an Produkt- und Verwaltungssicherheit automatisch an.
Resiliente IT-Strukturen schaffen
Wenn die einschlägigen Vorschriften feststehen, sind die nötigen Maßnahmen in ein internes IT-Sicherheitskonzept umzusetzen. Auch hier bietet es sich an, einen Dritten zu konsultieren, der eine professionelle Risikoabwägung für Unternehmen und Produkt vornimmt, und ein passendes IT-Sicherheitsprogramm erstellt.
So vielfältig die Gesetze auch sind, sie geben in aller Regel keine konkreten Maßnahmen vor, sondern definieren vielerorts nur das gewünschte Schutzniveau, für das der Unternehmer die „hinreichenden“ Maßnahmen selbst zu finden hat. Die möglichen Maßnahmen sind wiederum selten auf einen Bereich beschränkt. Zielführende Methoden sind: Aufrüstung und Umstellung der Hardware, Implementierung spezialisierter Software-Lösungen, Aufstellung von internen Sicherheits- und Vertraulichkeitsrichtlinien sowie entsprechende Schulungen des Personals.
Die gesetzlichen Schutzziele lassen sich für die praktische Umsetzung in drei Kategorien unterteilen: Integrität (Schutz vor der Manipulation des Datenbestands), Vertraulichkeit (Gewährleistung, dass nur autorisierte Personen Zugriff haben) und Verfügbarkeit (stetige Einsehbarkeit der Informationen). Konkrete Methoden, Prozesse und Verfahren finden sich stattdessen in branchenübergreifenden, nicht-gesetzlichen Normen. International ist hier der ISO-Standard 270001 zu nennen, der seinerseits kompatibel mit den Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI-Standards) ist. Letztere sind per se nur für öffentliche Stellen verpflichtend (§ 8 Abs. 1 BSIG), doch das BSI gibt umfassende Anleitungen heraus, die das Schutzniveau auch für kleine und mittelständische Unternehmen zugänglich machen. Dieser „IT-Grundschutz“ umfasst Empfehlungen für die Einrichtung interner Informationssicherheits-Management-Systeme (ISMS), die Umsetzung und Absicherung von Sicherheitsprozessen sowie Vorsorge-, Angriffs- und Risikomanagementstrategien. Der Standard sieht auch Bewältigungsmechanismen für Notfälle vor. Unter dem Stichwort „Business Continuity Management“ werden Strategien gefasst, die einen Fortlauf des Geschäftsbetriebs auch im Angriffsfall gewährleisten sollen. Lesen Sie dazu auch unser Whitepaper „Wenn das Unternehmen Opfer eines Cyberangriffs wird“.
Auf dem neuesten Stand bleiben
Zu einem integren Datensicherheitsplan gehört nicht nur der Status Quo, sondern auch eine gewisse Zukunftssicherheit. Unternehmer sollten deshalb darauf achten, dass das aufgestellte IT-Sicherheitskonzept ein stetiges Monitoring möglicher neuer Vorschriften beinhaltet.
Für die laufende Betreuung wird hier je nach Unternehmensgröße die Einstellung eines Informationssicherheitsbeauftragten (ISB) sinnvoll sein.
Fazit
Die Herausforderung der Cybersecurity-Compliance mag komplex erscheinen, doch mit einer durchdachten Strategie und der richtigen Expertise lässt sie sich erfolgreich bewältigen. Auch der Jurist muss zugeben, dass hier eine reine Gesetzeslektüre kaum weiterhilft. Vielmehr sollte hier auf etablierte Praktiken und Standards gesetzt werden. Das Rad muss auch in Sachen Cybersecurity nicht neu erfunden werden; es gibt Software-Lösungen und Strategien, die sich lösungsorientiert auf Ihr Unternehmen zuschneiden lassen. Je größer die Risiken, umso sinnvoller ist es, einen externen Experten hinzuzuziehen. Unternehmen, die proaktiv handeln und ein umfassendes IT-Sicherheitskonzept entwickeln, schützen ihre Geheimnisse, verarbeitete persönliche Daten und nicht zuletzt auch ihre Wettbewerbsfähigkeit und Reputation. Die Zukunft gehört denen, die Sicherheit als fortlaufenden Prozess begreifen und in ihre Unternehmenskultur integrieren. Nur so lässt sich eine resiliente und zukunftsfähige digitale Infrastruktur schaffen, die sowohl aktuellen als auch zukünftigen Herausforderungen gewachsen ist.