"In vielen Ländern besteht für Unternehmen keine umfängliche Meldepflicht bei IT-Angriffen. So bleiben viele Vorfälle in der Öffentlichkeit unbekannt", erklärte Patrick Sweeney, Executive Director, Dell Security, anlässlich der Veröffentlichung des 2015 Dell Security Annual Threat Report.
Für Unternehmen in Deutschland zumindest können zahlreiche Informationspflichten bestehen, wenn es zu einem kritischen IT-Sicherheitsereignis oder einer Datenschutz-Panne kommt. Mit dem IT-Sicherheitsgesetz sind sogar noch weitere Meldepflichten hinzugekommen:
Die Meldepflicht bei erheblichen IT-Sicherheitsvorfällen nach dem IT-Sicherheitsgesetz betrifft zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen, so eine Erläuterung des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Eine Meldepflicht bei erheblichen IT-Sicherheitsvorfällen für andere KRITIS-Betreiber tritt erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung in Kraft. Diese wird festlegen, welche Unternehmen den Regelungen des Gesetzes unterliegen.
Informationspflichten nach IT-Sicherheitsgesetz bestehen aber nicht nur in Richtung BSI oder bei Telekommunikationsunternehmen an die Bundesnetzagentur. Telekommunikationsunternehmen sind zudem verpflichtet, ihre Kunden zu warnen, wenn sie bemerken, dass der Anschluss des Kunden für IT-Angriffe missbraucht wird. Bei der Vielzahl an Kundenanschlüssen, die Telekommunikationsunternehmen betreiben, und der Häufigkeit der Cyber-Attacken kann es oft der Fall sein, dass Anwenderunternehmen gewarnt werden müssen.
Schon hier wird deutlich, dass das Management der Meldepflichten und der "Incident Reports" komplex werden kann, wenn betroffene Unternehmen sicherstellen wollen, dass sie alle entsprechenden Vorgaben wirklich einhalten.
Verbände kritisieren Ausgestaltung der Meldepflichten
Der zu erwartende Aufwand durch Melde- und Informationspflichten ist einer der Gründe, warum mehrere IT-Verbände an der Ausgestaltung des IT-Sicherheitsgesetzes Kritik geübt haben und dies auch weiterhin tun.
Eine Studie der Beratungsgesellschaft KPMG im Auftrag von BDI, Bitkom und weiteren Branchenverbänden ergab 2014, dass allein aus der Meldepflicht für schwere IT-Sicherheitsvorfälle Kosten in Höhe von rund 1,1 Milliarden Euro pro Jahr für die deutsche Wirtschaft entstehen können.
Die Verfahrensweise bei den Meldepflichten von IT-Sicherheitsvorfällen an das BSI sowie die reaktiven Befugnisse des BSI müssten rechtlich und praktisch ausgestaltet werden, so TeleTrusT - Bundesverband IT-Sicherheit. Die diesbezügliche Rechtsunsicherheit bei den Unternehmen müsse beseitigt werden.
Grundsätzlich infrage stellt eco - Verband der Internetwirtschaft den Sinn und Zweck von Meldepflichten. "Aus unserer Sicht stellen diese Meldepflichten die größte wirtschaftliche Belastung dar, da sie aufwendige Prozesse und Einrichtungen voraussetzen, die keinen direkten Bezug zur Verbesserung der IT-Sicherheit haben und damit auch keinen erkennbaren Mehrwert für die Unternehmen und ihre Kunden", erklärt eco-Vorstand Politik & Recht Oliver Süme.
Datenschutz und Compliance sehen Meldepflichten vor
Die Aufsichtsbehörden für den Datenschutz stellen ebenso konkrete Forderungen an Meldepflichten bei IT-Sicherheitsvorfällen. So besagt die Entschließung der 89. Konferenz der Datenschutzbeauftragten des Bundes und der Länder "IT-Sicherheitsgesetz nicht ohne Datenschutz", dass die Datenschutzaufsichtsbehörden in die Meldewege eingebunden und bei der Beratung der Beteiligten im Sinne des Abwägungsprozesses zwischen Informationssicherheits- und Datenschutzmaßnahmen beteiligt werden sollten. Zudem könnte mit der Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI eine datenschutzrechtliche Meldepflicht von Datenpannen verbunden sein.
Das Bundesdatenschutzgesetz (BDSG) sieht entsprechende Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten vor, ebenso die EU-Verordnung über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten. Entsprechende Meldepflichten bei Datenpannen sind auch von der EU-Datenschutz-Grundverordnung zu erwarten.
Laut BDSG müssen Unternehmen der zuständigen Datenschutzaufsichtsbehörde sowie den Betroffenen unverzüglich mitteilen, wenn zum Beispiel
besondere Arten personenbezogener Daten (wie Gesundheitsdaten),
personenbezogene Daten, die einem Berufsgeheimnis unterliegen, oder
personenbezogene Daten zu Bank- oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.
Neben dem IT-Sicherheits-Gesetz und dem Bundesdatenschutzgesetz sehen eine Reihe weiterer Gesetze und Compliance-Vorgaben Meldepflichten bei IT-Sicherheits-Vorfällen vor, teilweise abgeleitet aus den Vorgaben des BDSG, darunter das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG). Es gibt aber auch branchenspezifische Meldepflichten, wie die sich in Beratung befindlichen Vorgaben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), zum Beispiel bei einem schwerwiegenden Zahlungssicherheitsvorfall, sowie die Richtlinie Security Incident Management der Kassenärztlichen Bundesvereinigung (KBV). Einen Überblick zu den Meldepflichten auf EU-Ebene gibt ENISA (European Union Agency for Network and Information Security) in der Publikation "Cyber Incident Reporting in the EU".
Unternehmen brauchen Unterstützung
Je nach geltender Vorgabe zur Meldepflicht müssen die betreffenden Organisationen einiges beachten, wie das Beispiel ein Blick in die Verordnung (EU) Nr. 611/2013 zeigt, die für Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste gilt.
Eine Vereinfachung hinsichtlich Informations- und Meldepflichten ist nicht zu erwarten. So wird zum Beispiel von der Zurich Versicherung eine Ausweitung der Meldepflichten gefordert. Zudem steht die NIS-Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union im Raum.
"Wenn jetzt auch noch direkt nach Einführung der Auflagen in Form einer Richtlinie die angekündigte europäische Richtlinie kommt, haben wir wie auch beim Vergaberecht ein heilloses Durcheinander an Berichts- und Meldepflichten", so der Bundesverband IT-Mittelstand anlässlich der Verabschiedung des IT-Sicherheits-Gesetzes. Unterstützung bei der Einhaltung der um sich greifenden Meldepflichten tut also not.
Incident Report Tools: Bitte anpassen
Eine ganze Reihe von Tools hat sich dem Incident Management verschrieben oder bietet zumindest Funktionen für das Incident Reporting, darunter EnCase Cybersecurity Incident Response, PPM 2000 Perspective SOC, iTrak Incident Reporting & Risk Management System und Report Exec. Teilweise lassen sich diese Tools auch für Berichte über kritische Vorfälle außerhalb der IT einsetzen.
Besonders hilfreich ist es für meldepflichtige Organisationen, wenn Lösungen bereits vorbereitete Berichtsvorlagen und Workflows enthalten, die individuell angepasst werden können. So enthält zum Beispiel die D3 Security Cyber Security Incident Response Software vorbereitete Workflows für verschiedene Typen von IT-Sicherheits-Vorfällen wie DDoS-Attacken, Phishing oder Advanced Persistent Threats (APTs). RSA Archer Incident Management unterstützt die in verschiedenen Compliance-Vorgaben vorgesehene Möglichkeit zur anonymen Meldung von Vorfällen durch Whistleblower. Das Resilient Privacy Module bietet Incident-Response-Pläne auf Basis verschiedener Datenschutzgesetze zum Beispiel aus Europa, USA und Kanada.
Da die meisten Tools internationaler Herkunft sind, kommen Unternehmen aus Deutschland kaum an einer Anpassung der Berichte und Meldewege an die nationalen beziehungsweise europäischen Vorgaben vorbei. Entscheidend bei der Suche nach einem Incident Reporting Tool ist es deshalb, dass die Workflows, Berichte, Kommunikationswege und Berichtsempfänger auf die individuellen Anforderungen des Meldepflichten anpassbar sind. Was zum Beispiel im Fall von schwerwiegenden Zahlungssicherheitsvorfällen die Meldungen der Internet-Zahlungsdienstleister an BaFin enthalten sollen, zeigen entsprechende Vorlagen zur Erstmeldung und zur Abschlussmeldung.
Weitere Kriterien bei der Suche nach einer passenden Lösung zur Unterstützung bei der Umsetzung der Informations- und Meldepflichten sind neben den anpassbaren Berichtsvorlagen und Workflows Punkte wie die Verfügbarkeit und Ausfallsicherheit der Lösung, der Zugriffsschutz für Auswertungen und Berichte (besondere Zweckbindung der Daten), die grundsätzlich zu verschlüsselnde Übertragung und Speicherung der Daten über die Sicherheitsvorfälle sowie die Datensparsamkeit beziehungsweise Anonymisierung hinsichtlich personenbezogener Daten in den Incident Reports. Schließlich soll die Meldung eines IT-Sicherheits-Vorfalles nicht selbst einen neuen IT-Vorfall oder eine Datenpanne ermöglichen.
Auf der folgenden Seite sind betroffene Gesetze, Unternehmen sowie Art und Umfang der jeweils geltenden Meldepflichten übersichtlich aufgeführt.
Meldepflichten: Wer was wann warum melden muss
Rechtliche Grundlage | Betroffene Organisation | Meldepflicht |
Zunächst nur die Betreiber von Kernkraftwerken und Telekommunikationsunternehmen Andere KRITIS-Betreiber erst nach Verabschiedung der noch zu erstellenden Rechtsverordnung | Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das BSI zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik und zur Branche des Betreibers, enthalten. | |
Unternehmen, die öffentlich zugängliche Telekommunikationsdienste erbringen | Werden dem Diensteanbieter Störungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, so hat er die Nutzer, soweit ihm diese bereits bekannt sind, unverzüglich darüber zu benachrichtigen. | |
Bundesdatenschutzgesetz (BDSG) | Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten nach Maßgabe des BDSG verarbeiten | Benachrichtigung des Betroffenen:
Benachrichtigung der zuständigen Datenschutz-Aufsichtsbehörde:
Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle:
|
Betreiber öffentlich zugänglicher elektronischer Kommunikationsdienste | Der Betreiber benachrichtigt die zuständige nationale Behörde von der Verletzung des Schutzes personenbezogener Daten binnen 24 Stunden nach Feststellung der Verletzung, soweit dies möglich ist. | |
Diensteanbieter gemäß TMG | Wenn bei dem Diensteanbieter gespeicherte Bestands- oder Nutzungsdaten unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers drohen, gelten Vorgaben aus Bundesdatenschutzgesetz (§ 42a BDSG) | |
Unternehmen, die öffentlich zugängliche Telekommunikationsdienste erbringen | Im Fall einer Verletzung des Schutzes personenbezogener Daten sind unverzüglich die Bundesnetzagentur und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit von der Verletzung zu benachrichtigen. In Fällen, in denen in dem Sicherheitskonzept nachgewiesen wurde, dass die von der Verletzung betroffenen personenbezogenen Daten durch geeignete technische Vorkehrungen gesichert, insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gespeichert wurden, ist eine Benachrichtigung nicht erforderlich, es sei denn, es besteht eine spezielle Verpflichtung seitens der Bundesnetzagentur. | |
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht): Mindestanforderungen an die Sicherheit von Internetzahlungen (in Beratung) | Alle Zahlungsdienstleister im Sinne des Zahlungsdiensteaufsichtsgesetzes (ZAG), die Zahlungsgeschäfte im Massenzahlungsverkehr über das Internet anbieten (Internet-Zahlungsdienste) | Kritische IT-Sicherheits-Vorfälle sind an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie gegebenenfalls an die Strafverfolgungsbehörden und die zuständigen Datenschutzbeauftragten zu melden. Als kritisch ist ein IT-Sicherheits-Vorfall dann zu betrachten, wenn die Verfügbarkeit, Integrität, Vertraulichkeit oder Authentizität von IT-Systemen, Anwendungen oder Daten mit einem hohen oder sehr hohen Schutzbedarf verletzt oder beeinträchtigt wird. |
Kassenärztliche Bundesvereinigung (KBV): | Mitglieder der Kassenärztlichen Vereinigungen, also Vertragsärzte und -psychotherapeuten oder ein anderer nach den Richtlinien der KBV zugelassener Teilnehmer des "Sicheren Netzes der KVen" | Security Incidents mit Einfluss auf andere Verantwortungsbereiche und Organisationen müssen an die KBV und die betreffenden Organisationen gemeldet werden. Falls durch eine Organisation Security Incidents bemerkt werden, die nicht im eigenen Verantwortungsbereich liegen, müssen diese an die KBV und die verantwortliche Organisation gemeldet werde. |
Individualverträge nach Vorgaben zur Auftragsdatenverarbeitung (§ 11 BDSG) | Auftragsdatenverarbeiter | Laut Vertrag mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen (wie Service Level Agreements, SLAs) |
(sh)