Podcast-Blog-Eintrag-Banner

Folge 10

"Cybersecurity-Recht" und aktuelle Buzzwords: der Versuch eines Überblicks

00:38: Inhaltliche Einleitung

Fast täglich liest man von Hackerangriffen und "Cyber": mal -Sicherheit, mal -Terror. Kristian Köhntopp hat sogar eine eigene Sektion auf Google+ für "Hackerterrorcybercyber". Aber so gut wie immer liest es sich, als sei die Technologie der rechtlichen Entwicklung so weit voraus, dass Hacking ein "rechtsfreier" Raum sei. Gleichzeitig gibt es eine proportional erscheinende Korrelation zwischen Unternehmensgröße und IT-Sicherheitsaufwand. Informationssicherheit ("InfoSec") scheint zu einem erheblichen Wirtschaftszweig vor allem für Beratungsunternehmen herangewachsen zu sein. In diesen Legal Bits sprechen Volker und ich über den aktuellen Stand der "Cybersecurity" in rechtlicher Hinsicht in Deutschland und der EU. Wir beleuchten Aspekte der "NIS-Richtlinie" (EU-Richtlinie 2016/1148), die eigentlich "Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" heißt. Damit man aber verstehen kann, was sie eigentlich regelt, grenzen wir eingangs die verschiedenen einschlägigen Begriffe "Informationssicherheit", "Cybersicherheit", "IT-Sicherheit", "Datensicherheit" und "Datenschutz" voneinander ab.

02:02: Was sind die aktuellen Vorschriften für "Cybersicherheit"?

NIS-Richtlinie" (EU-Richtlinie 2016/1148): "Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union"
Deutsche Ausführung: IT-Sicherheitsgesetz ("Metagesetz"), das vor allem Vorschriften im BSI-Gesetz eingeführt hat.

03:46: Abgrenzung einschlägiger Begriffe:

08:46: Systematik der EU-Vorschriften und der deutschen Gesetze

09:32: Inhaltliche Aspekte der NIS-Richtlinie

  • Art. 5 Abs. 1: Ermittlung der Betreiber wesentlicher Dienste im öffentlichen und privaten Sektor bis zum 09.11.2018
  • Art. 6: Vermeidung erheblicher Störungen: abhängig von verschiedenen Faktoren wie z. B.:
    • Nutzerzahl
    • angebotenem Dienst
    • möglicher Auswirkung von Sicherheitsvorfällen
    • Marktanteil der Einrichtung
    • geografischer Ausbreitung des Sicherheitsvorfalls
  • Nationale Auswirkung dieser Vorschriften in §§ 2, 8a BSIG für "Kritische Infrastruktururen" --> Konkretisierung der Sektoren und Schwellenwerte in der BSI-Kritis-V (wird aktuell überarbeitet)
  • Aber auch alle anderen Telemedien (z. B. Online-Shops, aber auch jedes Blog) müssen (mit Augenmaß) sicher betrieben werden.
  • ENISA als zentrale Ansprechpartnerin für Know-How, Beratung und Awareness
  • Ziel der NIS-Richtlinie: Schaffung einer "Risikokultur"
  • Nationale Gesetzgeber müssen Verwaltungsvorschriften bis zum 09.05.2018 erlassen und ab dem 10.05.2018 anwenden.

18:25: Bankenspezifische Vorschriften (Auszug)

22:00 Technische und Organisatorische Maßnahmen (TOM)

  • Die bisherigen "Großen 8" nach Anlage zu § 9 BDSG
    • Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle
    • Eingabe- und Auftragskontrolle
    • Verfügbarkeitskontrolle
    • Datentrennung
  • Die zukünftigen Kategorien nach Art. 32 DSGVO
    • Vertraulichkeit (Confidentiality)
    • Integrität, Authentizität (Integrity)
    • Verfügbarkeit (Availability)

32:51 Fazit

  • Das deutsche ITSG/BSIG ist die deutsche Umsetzung der NIS-Richtlinie.
  • Begriffe und Vorschriften sind in der deutschen/europäischen Landschaft zersplittet, was zu Verwirrung führt.
  • Weder IT-Sicherheit/InfoSec noch Datenschutz wird durch die DSGVO nicht völlig anders, sondern vor allem begrifflich und teilweise strukturell neu gefasst. "Stand der Technik" ist eben jeweils der Stand der Technik, unabhängig davon, welche Vorschrift ihn fordert.

37:00 Endrunde

Fragen an euch:

  • Fehlen euch in dieser Ausgabe Aspekte der InfoSec-Rechtslandschaft?
  • Was interessiert euch in Sachen IT-Sicherheit/InfoSec, worüber wollt ihr mehr wissen?

Hinterlasst Kommentare, schickt eine E-Mail oder twittert an @ra_stiegler oder @neuernick!

Die Einsprecher und der schöne Weihnachtsgesag kommen von Sarah Nakic aus Köln.