Business Security Stage CeBIT 24.03.2017

Aktuelle Rechtsfragen der IT-Sicherheit

Nationale Initiative für Informations- und

Internetsicherheit e.V.

Selbsthilfeorgansation der Wirtschaft für die

Wirtschaft

Anbieter und Anwender von IT-Sicherheit

Initiative "IT-Sicherheit in der Wirtschaft“ des BMWE

Themen: Cyber-Sicherheitslage

NIFIS Studie IT-Sicherheit

Ausgaben werden steigen

Spähattacken

EU US Privacy Shield

BSI Bericht zur Lage Cybersicherheit

Anforderungen Webshops

Persönliche Verantwortung

Studiendesign - NIFIS-Studie 2016

Zielgruppe: Fach- und Führungskräfte

Stichprobe: N = 100

Befragungszeitraum: 18 Oktober 2016

Methode: Persönliche Befragung im Rahmen der it-

sa

EU-US PRIVACY SHIELD?

NIFIS Studie

Der neue EU-US Privacy Shield, der den Datenschutz zwischen der EU

und den USA regelt…

a) Ist genauso kritisch wie das

vorherige Safe-Harbour-

Abkommen, das der

Europäische Gerichtshof für

ungültig erklärt hat

d) Stellt endlich die dringend

benötigte Rechtssicherheit her

c) Ist deutlich besser als

das Safe-Harbour-

Abkommen

b) Lässt weiterhin völlig im

Dunkeln, in welchem Umfang

die US-Geheimdienste auf

Daten von europäischen

Unternehmen weiterhin

zugreifen

EU US Privacy Shield

Datentransfer in Drittstaaten nach BDSG und künftig

EU DSGVO begrenzt

Sichere Drittstaaten – festgestellt von der EU-

Kommission, u.a. Schweiz, Israel

EU US Privacy Shield – Nachfolger Safe Harbour

EU US Privacy Shield

Verbesserung gegenüber Vorgängerlösung

Kein Schutz vor staatlicher Überwachung durch

Geheimdienste

Massenüberwachungsmaßnahmen ohne

Verhältnismäßigkeitsprüfung

Ombudsmann unabhängig, aber ohne klare

Befugnisse

ANFORDERUNGEN AN

WEBSEITEN

IT-SicherheitsG

IT-Sicherheitsgesetz

IT-Sicherheitsgesetz ist seit Juli 2015 in Kraft

KRITIS-Sektoren Energie, Informationstechnik und

Telekommunikation, Wasser und Ernährung

(erste VO Mai 2016)

VO für Finanzen, Transport und Verkehr sowie

Gesundheit wird Frühjahr 2017 erwartet

Umsetzung: sechs Monate nach Inkrafttreten der VO

IT-Sicherheitsgesetz

Shopbetreiber und andere Webseitenbetreiber sind

seit 25.07.2015 verpflichtet, mittels technischer und

organisatorischer Vorkehrungen sicherzustellen,

dass keine Angriffe oder Störungen auf die genutzten

technischen Einrichtungen erfolgen.

Die Vorkehrungen müssen dem Stand der Technik

entsprechen und dem Anbieter technisch möglich

und wirtschaftlich zumutbar sein.

WAS BEDEUTET DAS FÜR BETREIBER?

Wer beispielsweise eine Standardsoftware einsetzt,

hat regelmäßig Sicherheitspatches einzuspielen um

hierdurch Angriffe vermeiden zu können. Dies betrifft

nicht nur die Shopsoftware, sondern natürlich auch

das verwendete Betriebssystem des jeweiligen

Servers.

Was passiert in der Praxis?

Kompliziert wird es mit dem Einspielen von

Sicherheitspatches in den Fällen, in denen die

wirtschaftliche Zumutbarkeit unklar ist: es wird z. B.

eine eigens entwickelte Software eingesetzt oder

eine Shopsoftware nicht mehr von Hersteller

supportet.

PERSÖNLICHE

VERANTWORTUNG

KontrAG

IT-Sicherheitsmanagement

Teil der Anforderungen an ordentliche

Unternehmensführung gemäß § 91 Abs.2 AktG:

„Der Vorstand hat geeignete Maßnahmen zu treffen,

insbesondere ein Überwachungssystem einzurichten,

damit den Fortbestand der Gesellschaft gefährdende

Entwicklungen früh erkannt werden.“

Persönliche Haftung nach § 93 Abs. 2 AktG

Sorgfaltspflicht und Verantwortlichkeit der

Vorstandsmitglieder:

„Vorstandsmitglieder, die ihre Pflichten verletzen,

sind der Gesellschaft zum Ersatz des daraus

entstehenden Schadens als Gesamtschuldner

verpflichtet. Ist streitig, ob sie die Sorgfalt eines

ordentlichen und gewissenhaften Geschäftsleiters

angewandt haben, so trifft sie die Beweislast.“

Anwendungsbereich

Geltung für sämtliche privatrechtlichen Unternehmens-

formen mit Pflicht zur ordnungsgemäßen Unternehmens-

führung

Alleingesellschafter (durch Insolvenzverwalter oder

Gläubiger)

Fall Compliance Off.

Diverse Vorstände von Banken

Leiter der Innenrevision (Compliance Officer) kann

nach einem Urteil v. 17.7.2009 des

Bundesgerichtshofs (BGH) eine Garantenpflicht

treffen

Fall Compliance Officer

andere herausgehobene Funktionsträger, wie

IT-Sicherheitsbeauftragte

DS-BeAUFTRAGTE

(Klumpen-)Risiken

Risiken waren wegen ihrer Komplexität und Intransparenz

nicht zu steuern

übergroße Risiken bei der Kreditvergabe

Komplexität AUCH IM it-Bereich gegeben

Vielen Dank für Ihre

Aufmerksamkeit!

Weitere Informationen unter www.nifis.de