Wir leben heute im digitalen Zeitalter und sind vernetzt wie nie zuvor. Durch diese Umwandlung produzieren wir eine große Menge an Daten, die wir zum Beispiel über soziale Netzwerke mit anderen Menschen teilen.
Aber was passiert eigentlich mit unseren Daten? Sind unsere Daten sicher? Gibt es Gesetze, die uns vor Datenmissbrauch schützen? Diese Fragen sind extrem wichtig, damit unsere persönlichen Daten nicht in falsche Hände geraten.
simpleclub erklärt dir, was die wichtigsten Gesetze und Standards der IT-Sicherheit sind!
IT-Gesetze einfach erklärt
Die Effekte des digitalen Zeitalters kann man in allen Bereichen des alltäglichen Lebens sehr stark spüren. Durch soziale Medien wurde unser Kommunikationsverhalten so drastisch verändert, dass wir mit wenigen Klicks Menschen aus der ganzen Welt kontaktieren können und somit Brücken zwischen verschiedenen Kulturen und Ländern schlagen können.
Auch in anderen Bereichen, wie Bildung, wurde vieles revolutioniert. Suchmaschinen haben den Zugang zu Informationen sehr erleichtert und man kann durch online Lernplattformen personalisiertes Lernen fördern.
Wir sehen also, wie viele Vorteile die Digitalisierung mit sich bringt. Leider kann es aber auch passieren, dass unsere Daten missbraucht werden. Das kann katastrophale Konsequenzen haben, da wir zum Teil sehr persönliche Daten von uns preisgeben. Andererseits kann es auch passieren, dass sehr wichtige IT-Infrastrukturen angegriffen werden.
Somit werden Gesetze entworfen und Standards definiert, um unsere persönlichen Daten und kritische IT-Infrastrukturen zu schützen.
IT-Gesetze Definition
IT-Gesetze dienen dazu, rechtlich bindende Vorschriften zu definieren, um persönliche Daten und kritische IT-Systeme zu schützen.
IT-Gesetze und Standards Erklärung
Gesetze der IT-Sicherheit
IT-Sicherheitsgesetz
Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist seit Juli 2015 in Kraft, mit dem Ziel, kritische Infrastrukturen (KRITIS), wie zum Beispiel Staat und Verwaltung, zu schützen.
Zusätzlich sind auch kommerzielle Websitebetreiber und Telekommunikationsunternehmen dazu verpflichtet, die Sicherheit ihrer IT-Systeme zu erhöhen. Die Bundesnetzagentur ist die zuständige Aufsichtsbehörde, um die Einhaltung dieser Regeln zu überprüfen.
EU-DSGVO
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist eine Verordnung der Europäischen Union, mit dem Ziel, Regelungen zum Schutz personenbezogener Daten EU-weit zu vereinheitlichen.
Mit dieser Reihe von Gesetzen soll transparent gemacht werden, wie private Unternehmen und öffentliche Stellen persönliche Daten verarbeiten. Daten dürfen nur noch gesammelt werden, wenn die betreffende Person zugestimmt hat. Diese Zustimmung kann auch jederzeit widerrufen werden und verpflichtet die betroffenen Organisationen, alle personenbezogenen Daten zu löschen.
Schwerwiegende DSGVO-Verstöße können mit einem Bußgeld von bis zu 20 Millionen Euro geahndet werden. Für Unternehmen beträgt der Bußgeldrahmen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes.
Standards der IT-Sicherheit
NSI-Richtlinie
Die Richtlinie zur Netzwerk- und Informationssicherheit (NSI-Richtlinie) ist ein EU-weiter Standard mit dem Ziel nationale Kapazitäten für die Cybersicherheit aufzubauen. Es ist für alle Mitgliedstaten der Europäischen Union verpflichtend, die NSI-Richtlinie in nationales Recht umzusetzen.
Mit dieser Richtlinie sollen nicht nur kritische Infrastrukturen (KRITIS) einer Meldepflicht im Falle von IT-Störungen unterliegen, sondern auch Online-Marktplätze, Suchmaschinen und Anbieter von Cloud-Computing-Diensten. Das Gesetz zur Umsetzung der NSI-Richtlinie erweitert in Deutschland die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das die Einhaltung der neuen Meldepflichten überprüfen muss.
BSI-Standards
Die BSI-Standards sind eine Folge von Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu verschiedenen Themen der Informationssicherheit. Diese sollen eine Hilfestellung bieten, um unter anderem IT-Sicherheitskonzepte zu erstellen und Risikoanalysen durchzuführen.
BSI-Standards Beispiele
BSI-Standard 200-1
Der BSI-Standard 200-1 beschreibt allgemeine Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Hierbei werden die Ressourcen und Mitarbeiter eines Unternehmens in den Sicherheitsprozess mit eingebunden.
Zusätzlich werden die Aufgaben des Managements (der Leitungsebene) bezüglich der Informationssicherheit definiert, wie zum Beispiel:
- Übernahme der Gesamtverantwortung für Informationssicherheit
- Sicherheitsziele erstellen und kommunizieren
- Sicherheitskosten gegen Nutzen abwägen
BSI-Standard 200-2
Der BSI-Standard 200-2 definiert drei Vorgehensweisen bei der Umsetzung des IT-Grundschutzes, um das Schutzniveau bei IT-Systemen zu erhöhen.
Die Basis-Absicherung stellt sicher, dass die grundlegenden Geschäftsprozesse und andere Verfahren einer Organisation geschützt sind.
Durch die Kern-Absicherung sollen zunächst die kritischen Geschäftsprozesse und Einrichtungen gründlich geschützt werden.
Die Standard-Absicherung verfolgt das Ziel, alle Bereiche einer Organisation gleichermaßen angemessen zu schützen.
BSI-Standard 200-3
Mit dem BSI-Standard 200-3 wird ein Vorgehen definiert, mit dem Organisationen Risikoanalysen durchführen können. Ziel ist es, vorbeugende Maßnahmen zu definieren, um Risiken zu vermindern.
Typische Gefahren sind zum Beispiel schadhafte Software oder Hardware-Defekte. Aber auch Schäden durch Feuer oder Wasser müssen bei einer Risikoanalyse betrachtet werden.
Eine klassische Methode, mit der man eine Risikoanalyse durchführen kann, ist eine Risikomatrix. Hierbei wird die Eintrittshäufigkeit eines Risikos gegenüber dessen Auswirkung tabellarisch ins Verhältnis gesetzt.
BSI-Standard 200-4
Der BSI-Standard 200-4 beschreibt eine Anleitung, um ein Business Continuity Management System (BCMS) in einer Organisation zu etablieren.
Mit einem BCMS werden alternative Abläufe definiert, falls es in einem Unternehmen zu einer Ressourcenknappheit kommen sollte. Somit wird die Wettbewerbsfähigkeit und der Fortbestand des Unternehmens gesichert.
IT-Gesetze und Standards Zusammenfassung
Fassen wir nochmal das Wichtigste zusammen:
Den Einfluss der Digitalisierung kann man in allen Bereichen des Lebens sehr stark spüren. Deswegen ist es enorm wichtig, sich bewusst zu machen, wie wichtig Datenschutz ist.
Es gibt dafür verschiedene Gesetze und Standards in der IT-Sicherheit.
Das IT-Sicherheitsgesetz dient dazu, kritische Infrastrukturen (KRITIS) zu schützen. Zusätzlich verpflichtet es kommerzielle Websitebetreiber und Telekommunikationsunternehmen die Sicherheit ihrer IT-Systeme zu erhöhen.
Die EU-Datenschutz-Grundverordnung regelt den Schutz personenbezogener Daten EU-weit und verpflichtet Unternehmen zu mehr Transparenz beim Umgang mit diesen.
Die NSI-Richtlinie ist ein Leitfaden, woran sich alle Länder der EU orientieren können, um nationale Kapazitäten für die Cybersicherheit aufzubauen.
Durch die BSI-Standards können IT-Sicherheitskonzepte definiert werden, um Organisationen vor typischen Gefahren zu schützen.