Rechtliche Auswirkungen des neuen IT Sicherheitsgesetzes

Heute noch eine unbequeme Wahrheit für das Management von Rechenzentren:  Stand heute sind die wenigsten Rechenzentren in Deutschland (nach dem geltenden IT-Sicherheitsgesetz) rechtskonform. Ab Mitte 2017 drohen den Betreibern – und vor allem deren Management – empfindliche Strafen.


Anzeige

Kurze Zusammenfassung 

Grund für die missliche Situation der Rechenzentren ist das neue IT-Sicherheitsgesetz, das seit dem 25. Juli 2015 gilt. Dieses gibt die rechtlichen Grundlagen für den Betrieb von Rechenzentren vor. Das Betreiben von nicht rechtskonformen Rechenzentren steht – nach einer zweijährigen Übergangsfrist – unter Strafe – was auch für das Management eines Unternehmens gilt. Und diese Übergangsfrist endet am 26. Juli 2017! Also gerade mal in sieben Monaten von heute, werden Organisationen, die es nicht schaffen, die Vorgaben zu erfüllen, hohe Strafen bezahlen zu müssen. Interessant dabei ist, dass selbst das Management des Unternehmens nicht vor Strafen bis zu 100.000 Euro gefeit ist.

Weitere nationale und internationale Gesetze

Neben dem recht neuen IT-Sicherheitsgesetz (IT SiG) gibt es diverse andere nationale wie internationale Gesetze, die die Verfügbarkeit und die Wiederherstellung von Daten regeln. Das Nichteinhalten dieser Gesetze kann zum Teil empfindliche Strafen nach sich ziehen, die nicht nur das IT-Personal, sondern auch das Unternehmensmanagement betreffen können. Die IT-Sicherheit vieler Unternehmen und Organisationen benötigt vielerorts noch dringende Anpassungen der IT hinsichtlich Datenverfügbarkeit und Datensicherheit, um geltendem Recht zu entsprechen. Welche Gesetze gibt es, welche Strafen drohen und welche technischen Lösungen sind notwendig, um auf der sicheren Seite zu sein und volle Sicherheit in einer virtualisierten Welt zu garantieren? Nachfolgend ein Überblick.

Das neue IT Sicherheitsgesetz

Das IT SiG ist seit dem Sommer 2015 in Kraft und soll dazu dienen, die allgemeine Sicherheit von IT-Systemen zu erhöhen. Es ist für bestimmte Branchen gültig und beinhaltet vielfältige Verpflichtungen hinsichtlich der Sicherheit von Systemen und Daten. So sind beispielsweise Anbieter von Telemediendiensten jetzt zur Umsetzung von Sicherheitsmaßnahmen nach dem jeweils aktuellen Stand der Technik verpflichtet. Zu dieser Gruppe gehören fast alle nicht dem rein privaten Bereich zuzuordnenden Internet-Angebote, wie Webshops, Online-Auktionshäuser, Suchmaschinen, E-Mail-Dienste, Informationsdienste, Podcasts, Chatrooms, Social Communities, Webportale und Blogs.

Zu den wichtigsten Regelungen gehören die „technischen Sicherungspflichten für Telemediendiensteanbieter im reformierten Telemediengesetz (TMG) und die technischen Mindestanforderungen und Meldepflichten zu IT-Sicherheitsvorfällen für die Betreiber kritischer Infrastruktureinrichtungen (KRITIS) im neuen Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz /BSIG)." Es ist also zuerst einmal wichtig zu wissen, wer denn eigentlich ein Betreiber einer kritischen Infrastruktur, kurz KRITIS, ist.

Betreibern kritischer Infrastrukturen drohen bei Verschulden hohe Strafen

Betreiber kritischer Infrastrukturen (KRITIS) sind generell Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Es geht also um Infrastrukturen, die von großer Bedeutung für das Gemeinwesen sind, weil Störungen oder deren Ausfall zu gravierenden Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würden.

KRITIS-Betreiber sind verpflichtet, entsprechende Maßnahmen zu ergreifen, die ihre IT inklusive der zugehörigen Prozesse vor Störungen schützt oder die Störung mit Mitteln zu beseitigen, die dem „Stand der Technik" gerecht werden. Dazu kommen bei Sicherheitsvorfällen noch gewisse Meldepflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Bei Verstößen gegen die Vorschriften können
Bußgelder bis zu 100.000 Euro verhängt werden.

Um nicht mit einem Schlag die meisten Betreiber kritischer Systeme in eine legale Grauzone zu bringen, bekamen diese vom Tag des Inkrafttretens der neuen Gesetzgebung zwei Jahre Zeit passende Lösungen einzuführen, um den Verpflichtungen des Gesetzes nachzukommen. Anschließend müssen alle betroffenen Organisationen gegenüber dem BSI mindestens alle zwei Jahre nachweisen, dass Ihre IT den Bestimmungen gerecht wird. Da die Maßnahmen kein eigenständiges Gesetz als solches, sondern eher die Erweiterungen bereits bestehender Gesetzgebung sind, gilt die Neuregelung für Telekommunikations- und Telemedienanbieter bereits heute.

Mehr Details finden sich im Whitepaper "Das neue IT-Sicherheitsgesetz: Erweiterte Rechtspflichten und potenzielle Haftungsfallen des modernen IT-Sicherheitsmanagements" von Dr. Jens Bücking, Seite 15 ff. Das Whitepaper lässt sich hier herunterladen. Aktuell geht beim Download die Dateinamenerweiterung verloren. Daher muss an nach dem Download die Dateinamenerweiterung .pdf an den Dateinamen anhängen. Anschließend lässt sich das Dokument in einem PDF-Reader öffnen.

Weitere rechtliche Grundlagen außerhalb des IT SiG

Rechtliche Grundlagen für Unternehmen und Organisationen, die nicht unter das IT SiG fallen, sind ebenfalls vorhanden und vielfältig. So gibt es zur Datensicherheit im Disaster-Fall das Bundesdatenschutzgesetz (BDSG), das im BDSG § 9 regelt, dass alle Organisationen, die mit personenbezogenen Daten zu tun haben, entsprechende technische und organisatorische Maßnahmen treffen müssen, die den Anforderungen des BDSG gerecht werden. Dazu zählt auch ein geeignetes Disaster-Recovery-Konzept vorweisen zu können. Dieses muss sicherstellen, dass Daten auch dann nicht verloren gehen, wenn diese versehentlich zerstört oder gelöscht werden, zum Beispiel durch menschliches Versagen.


Anzeige

Wichtige Systeme, wie etwa ERP, müssen nach einem Disaster umgehend wieder mit aktuellen Daten laufen. Nur bei weniger wichtigen Daten und Applikationen wird mehr Zeit eingeräumt. Ein zeitgemäßes BC/DR-Konzept muss dokumentiert sein und auch regelmäßig überprüft werden.

Zum neuen IT SiG und dem BDSG § 9 kommen noch weitere rechtliche Grundlagen für die Sicherung und Aufbewahrung von Daten hinzu, die es ebenfalls zu berücksichtigen gilt. Dazu gehören das Handelsgesetzbuch (§§ 257, 239 Abs. 4 HGB) und die Abgabenordnung (§§ 146 Abs. 5, 147 AO) in Verbindung mit den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD von 2014), die für alle Buchführungspflichtige gültig sind.

Für diejenigen, die unter keine branchenspezifischen Vorschriften fallen, gelten die handels- und steuerrechtlichen Regularien für die Verfügbarkeit, Sicherheit, Integrität und Auffindbarkeit der Daten. Die IT-Systeme müssen gegen Datenverlust und unberechtigten Zugriff oder Veränderungen geschützt sein. Darüber hinaus gibt es sogar noch internationale Regelungen auf europäischer Ebene, die es zu beachten gilt.

Aktuelle Rechtsprechung: Outsourcing schützt nicht vor Haftung

Die IT-Sicherheit hinsichtlich der Unternehmensdaten gehört aus Sicht der Rechtsprechung zu den „…unternehmerischen Selbstverständlichkeiten im Zeitalter digitaler Datenverarbeitung… Die Arbeitsgerichtsbarkeit wertet das betriebliche Interesse an Datensicherheit als Rechtsgut, das höher zu werten ist als das der unternehmerischen Mitbestimmung.

Nicht zuletzt das höchste deutsche Zivilgericht, der Bundesgerichtshof, sieht die Sicherheit der Kommunikation als Compliance-relevante Verpflichtung an. Unternehmenskritische – und insbesondere auch beweiserhebliche – Dokumente müssen aus Gründen der Rechtssicherheit und Beweisführung vorgehalten werden. Wird dies nicht ermöglicht, kann ein Prozess bereits unter bloßen Beweislastgesichtspunkten wegen „Beweisfälligkeit" verloren gehen." (Quelle: „Das neue IT-Sicherheitsgesetz: Erweiterte Rechtspflichten und potenzielle Haftungsfallen des modernen IT-Sicherheitsmanagements", Whitepaper, Dr. Jens Bücking, Seite 12).

Wichtig ist in diesem Zusammenhang, dass durch Outsourcing, zum Beispiel an Cloud Provider, die haftungsrechtliche Verantwortung hinsichtlich der IT-Sicherheit nicht oder nicht komplett abgegeben werden kann. Je nach Fall kann die beauftragende Organisation zu 100 Prozent in der Haftung bleiben, obwohl der Fehler beim Outsourcer geschehen ist.

Sanktionen gegen die entsprechenden Gesetzesgrundlagen können je nach Vorfall, Auswirkung und Schweregrad sehr teuer werden und auch das Management kann persönlich haftbar gemacht werden. Versäumnisse beim IT-Risikomanagement können zudem zum Verlust des Versicherungsschutzes führen. Mangelnde IT-Compliance ist als Erhöhung der versicherten Gefahr z. B. in der IT-Coverage und in der Director's and Officer's-Versicherung anzeigepflichtig.

Synchrone Spiegelung bietet alleine keine Rechtsicherheit

Business Continuity Management wird heutzutage in der Praxis sehr häufig in Form synchroner Spiegel für den unterbrechungsfreien Betrieb der geschäftskritischen Systeme und Applikationen realisiert. Im Hinblick auf das neue IT SiG und andere gesetzliche Regelungen ist dies alleine aber nicht ausreichend, da mit dieser Methode nur physische Fehler abgedeckt werden können.

Unter dem Aspekt der Ausfallsicherheit ist der aktuelle Stand der Technik nicht mehr nur in der Synchronisation zu sehen, sondern in einer Kombination von redundanten Rechenzentren und einer Softwaretechnologie, die von logischen Fehlern betroffene Systeme in Sekunden wieder produktiv werden lässt.

Logische Fehler sind laut Studien in 50 bis 70 Prozent der Fälle verantwortlich für Datenverlust (Quellen: NTZ, Forrester, Ponemon). Bei synchroner Spiegelung bedeutet dies, dass der Fehler wie jede andere Änderung repliziert wird, so dass ein Ausweichen auf die Kopie natürlich keinen Sinn ergibt. Eine Wiederherstellung des nicht-korrupten Datenbestandes, beziehungsweise der lauffähigen Applikation, bedeutet mit konventionellen Methoden einen hohen Aufwand und unter Umständen auch Datenverlust, da hierzu meist noch auf veraltete Snapshot- und Backuptechnologien zurückgegriffen werden muss.

Diese Lösungen sind außerdem sehr komplex und aufwändig in der Verwaltung, da gleich mehrere Systeme und Anwendungen bedient werden müssen. Sie gehen fast immer mit Datenverlust und/oder einer sehr langen Wiederanlaufzeit einher. Unternehmen, die nur auf Hardware-basierte Replikation mit synchronen Spiegeln setzen, betreiben höchstwahrscheinlich ein System, das den gesetzlichen Anforderungen nicht gerecht wird und benötigen eine neue Lösung um ihr System nicht nur sicher sondern auch rechtskonform zu machen.

Hypervisor-basierter Replikation bietet Rechtsicherheit

Ein moderner, ganzheitlicher Ansatz für BC/DR, der die Nachteile des veralteten synchronen Spiegels ausgleicht und Systeme, die den rechtlichen Anforderungen nicht genügen, aus der juristischen Grauzone holt, kann in Hypervisor-basierter Replikation bestehen.

Da dabei Replikation im Hypervisor geschieht, ist dieser Ansatz Applikations-übergreifend und komplett unabhängig von der darunter liegenden Hardware. Durch die Unabhängigkeit von der Hardware können an den IT-Standorten sogar unterschiedliche Systeme eingesetzt werden und die Lösung schützt Applikationen in VMware- oder Hyper-V-Umgebungen trotzdem.

Asynchrone Replikation bietet hier den Vorteil, dass es keine Beeinträchtigung der produktiven Umgebung gibt und keine Einschränkung der Entfernung zwischen den Standorten, wie es bei synchronen Spiegeln eigentlich notwendig ist. Besonders wichtig in einer virtuellen Umgebung ist die Möglichkeit, die Replikation Applikations-konsistent zu gestalten, was beispielsweise mittels CDP, Continuous Data Protection, möglich ist.

Bei diesem Ansatz werden die Daten ohne Snapshots kontinuierlich mit nur einem kleinen Zeitversatz im Sekundenbereich repliziert was RPOs (Recovery Point Objectives) im Sekundenbereich ermöglicht sowie RTOs (Recovery Time Objectives) im Minutenbereich. Ähnlich wie bei anderen Lösungen können die Daten komprimiert werden oder es kann ein Throtteling eingeschaltet werden, um eventuelle Bandbreitenrestriktionen abfedern zu können.

Beispiel SAP

Mit Hypervisor-basierter Replikation kann ein Unternehmen im Falle eines Disasters in Sekundenschritten zu dem Zeitpunkt in der Vergangenheit zurück gehen, an dem die Daten noch konsistent waren. Zudem wird die gesamte Applikation mit einbezogen, was am Beispiel von SAP bedeutet, dass der gesamte SAP-Applikationsstack von einem konsistenten Checkpoint für die Anwendung und von jedem Zeitpunkt in Sekundenschritten, bis zu 30 Tagen rückwirkend, wiederhergestellt werden kann.

Dies wird ermöglicht, indem Virtual Protection Groups (VPGs) gebildet werden, die konsistenten Schutz und Recovery des gesamten Applikationsstacks und aller SAP-Module mit hypervisor-basierter Replikation realisieren. Dadurch wird gewährleistet, dass der Applikationsstack und ähnliche Systeme außerhalb von SAP auch nach der Wiederherstellung weiterhin synchron sind. Dies garantiert eine konsistente und funktionstüchtige Wiederherstellung mit RPOs in Sekundenschritten ohne manuelle Nachkonfiguration der Applikation.

Pflichterfüllung mit einfachen Mitteln

Zwischen Theorie und Praxis klaffen mitunter große Unterschiede. Ob ein Wiederherstellungsprozess funktioniert, und damit rechtskonform ist, kann man nur mittels eines Distaster-Recovery-Tests (DR-Test) herausfinden. Konventionelle DR-Tests sind häufig ein sehr schwieriges Unterfangen und oft mit Wochenendeinsätzen und "Offline-gehen" verbunden.

Eine moderne Lösung macht das Testen der Notfallwiederherstellung im laufenden Betrieb möglich und das inklusive eines Reports, der anschließend für die Dokumentation und Audits verwendet werden kann.

Die rechtlichen Bestimmungen für die Sicherheit der IT wurden mit der Einführung des IT SiG noch weiter verschärft. Nicht nur Betreiber offiziell „kritischer Infrastrukturen" müssen darauf achten, dass ihre Systeme hinsichtlich der Geschäftskontinuität und der Notfallwiederherstellung legal sind. Sind sie das nicht, drohen empfindliche Strafen, auch für das Management.

Aktuelle, Hardware-basierte Lösungen, greifen zu kurz und werden den neuen Bestimmungen nicht gerecht. Ein Ansatz, der volle Rechtssicherheit bietet, besteht aus einer ganzheitlichen BC/DR-Lösung aufbauend auf hypervisor-basierter Replikation. Eine solche Lösung bietet auch einfaches DR-Testing, mit dessen Hilfe die rechtskonforme Einsatzbereitschaft der Systeme dokumentiert und gegenüber Kunden, Partnern und den Behörden nachgewiesen werden kann.

Mehr Details siehe „Das neue IT-Sicherheitsgesetz: Erweiterte Rechtspflichten und potenzielle Haftungsfallen des modernen IT-Sicherheitsmanagements", Whitepaper, Dr. Jens Bücking,, Seite 15 ff.

Anmerkung: Der Text zur rechtlichen Einschätzung stammt von Andreas Mayer und wurde mir zur Verfügung gestellt. Andreas Mayer hat rund 20 Jahre Erfahrung in der IT-Industrie und ist Marketing Manager bei Zerto. Er beschäftigt sich seit Jahren mit Technologien für Business Continuity und Notfallwiederherstellung und bekleidetet vor Zerto verschiedene Positionen bei Commvault.

Zerto stellt skalierbare Softwarelösungen zur Gewährleistung der Geschäftskontinuität bereit, um den Betrieb von Unternehmen und der Cloud-IT rund um die Uhr aufrechtzuerhalten. Die Zerto Cloud Continuity Platform™ ermöglicht es Unternehmen, virtuelle Arbeitslasten nahtlos zu schützen sowie zwischen der Public Cloud, der Private Cloud und der Hybrid Cloud zu verschieben. Das Produkt des Unternehmens, Zerto Virtual Replication, ist mittlerweile der Standard für den Schutz, die Wiederherstellung und die Migration von Anwendungen in Cloud- und virtualisierten Rechenzentren.

Ich fand den Artikel, gerade für die hier mitlesenden IT-Mitarbeiter aber relevant. Deshalb habe ich mich entschlossen, den Beitrag zu veröffentlichen. Die Einordnung der Lösung mit Hypervisor-basierter Replikation nehmt ihr daher selbst vor.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Rechtliche Auswirkungen des neuen IT Sicherheitsgesetzes

  1. Remo sagt:

    Hui, das war aber Lesestoff ! Danke dafür !

    Ich bin zwar nicht mehr in der Pflicht, also a.D. Es war aber trotzdem ein hochinteressanter Beitrag.

    Das hierbei auch die Teppich-Etage in die Pflicht genommen wird, ist mehr als begrüssenswert.

  2. Thorky sagt:

    Ich komme auf acht Monate Galgenfrist … ;) :)

  3. Dieter Schmitz sagt:

    Das ganze sieht aus wie ein Versuch, kleine Anbieter und kleine, mittelständische Unternehmen (bei Bedarf) ganz schnell in den Ruin zu treiben.

    Wo sollen die die ganzen Fachleute herbekommen, die das alles ganz genau umsetzen?

    Bei einer Aktiengesellschaft mit grosser Rechtsabteilung und grosser IT-Abteilung ist das kein Problem.

    Und die Teppich-Etage wird, wie immer, die Verantwortung abwälzen können. Nur der kleine Mann mit Rechtsschutzversicherung, wenn überhaupt, schaut in die Röhre – oder in den Bankrott, falls wirklich 100.000 Euro Strafe verhängt werden.

Schreibe einen Kommentar zu Remo Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.