Lukas Wagner, Autor auf IT-Sicherheit-und-Recht.de

Cyberrisiken und Cyberversicherung

Ein Gastbeitrag von Boris Pahn, Fachanwalt für Versicherungsrecht bei audalis.de 29.03.2018 Dass die Cyberrisiken für Unternehmen zunehmen und das nicht erst seit „Petya“ und „Wannacry“, liest man mittlerweile regelmäßig in der Tagespresse. Die zunehmende Digitalisierung macht Unter-nehmen aller Wirtschaftszweige und jeder Größenordnung abhängiger von IT & Internet und anfälli-ger für Schäden durch Datenverlust oder Angriffe auf ihre IT-Infrastruktur, die in einer Betriebsunter-brechung münden können, oder Datenbestände, die ihre Kunden gefährden. Und das führt zu einem zusätzlichem Haftungsrisiko für Unternehmenslenker und Anteilseigner. Hierauf hat die Versicherungswirtschaft reagiert und bietet bereits seit einigen Jahren Versicherungs-lösungen an, die unter dem Namen Cyber-Versicherung zusammengefasst werden. Lange ein Laden-hüter rechnet die Branche nun mit dem Durchbruch dieses Versicherungsproduktes und seit April 2017 können Versicherer bei der Konzeption einer Cyberpolice auf die Muster-Versicherungsbedingungen ihres Branchenverbandes GDV zurückgreifen, was in Zukunft eine gewisse Vereinheitlichung der Leistungen im Schadenfall erwarten lässt. Was müssen Sie zur Cyberversicherung wissen? 1. Der Versicherer schützt Ihr Unternehmen nicht ohne Gegenleistung, sondern macht den Versiche-rungsschutz davon abhängig, dass Sie die informationsverarbeitenden Systeme Ihres Unternehmens im Einklang mit allen gesetzlichen, behördlichen und vertraglichen Sicherheitsvorschriften schützen: Technisch: Neben der Einrichtigung individueller Mitarbeiterkonten mit ausreichend komplexen Passwörtern und der Einrichtung unterschiedlicher Befugnisebenen bezogen auf den Zugang zu Un-ternehmensdaten gehört die Ausstattung aller an das Internet angeschlossener, auch mobiler Endge-räte mit Firewall, Virenscanner, 2-Faktor-Authentifizierung, moderner Verschlüsselungstechnologie und Diebstahlsicherung ebenso dazu, wie der Einsatz eines Patch-Management-Verfahrens, das die unverzügliche Installation von relevanten Sicherheitspatches sicherstellt. Gängige Versicherungspoli-cen verlangen im Hinblick auf hohe Schäden durch Datenverlust außerdem regelmäßige Datensiche-rungen und stellen hohe Anforderungen an die Datenaufbewahrung und -wiederherstellung. Organisatorisch: Cybersicherheit ist keine IT-, sondern eine Managementaufgabe. In Ihrer Organisati-on gibt es danach Verantwortliche für IT-Sicherheit sowie Datenschutz, Ihre Mitarbeiter werden ge-schult und zur Einhaltung der IT-Sicherheitsbestimmungen Ihres Unternehmens verpflichtet. Teilwei-se verlangen Versicherer, dass Sie einen IT-Notfall- und Wiederanlaufplan bereithalten, der dem Muster des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entspricht. To do: Sie haben neben den bevorstehenden Änderungen im Datenschutzrecht einen zusätzlichen Grund, die IT-Sicherheit Ihres Unternehmens zu organisieren und auf den aktuellen Stand der Technik zu bringen und zu halten (IT-Sicherheit ist kein Zustand, sondern ein Prozess). Achten Sie auf eine lückenlose Dokumentation Ihrer Maßnahmen. Erstellen Sie einen Notfallplan. 2. Viele Policen schließen bestimmte, schwer kalkulierbare Risiken von vornherein vom Versicherungsschutz aus: Schäden infolge von Krieg, Terrorakten, Streiks, Unruhen, durch Kernenergie oder Diskriminierung (wie in anderen Versicherungen auch), aber auch z.B. Schäden infolge des Ausfalls der Infrastruktur (Telefon-, Internet- oder Funknetz) oder von Einrichtungen der Daseinsvorsorge in Ihrem Landkreis oder Stadtteil, Schäden aus einer Zahlung von Löse-

Kooperation mit der Bundesingenieurkammer: DSGVO-Webinare für Ingenieurinnen und Ingenieure

In Kooperation mit der Bundesingenieurkammer bieten wir im April - exklusiv für Mitglieder der Ingenieur-/ Baukammern - DSGVO-Webinare für Ingenieurinnen und Ingenieure an! Die Umsetzung der Anforderungen der Datenschutz-Grundverordnung stellt alle Berufsgruppen, insbesondere auch Ingenieure, vor erhebliche Herausforderungen. Das ist verständlich, da die Verordnung eine Vielzahl von neuen und erweiterten Pflichten enthält, die rechtlich, technisch und organisatorisch abgebildet werden müssen. Dazu gehören etwa die neue Rechenschaftspflicht, die Auftragsverarbeitung sowie die erhöhten Anforderungen an IT-Sicherheitsmaßnahmen. Die Webinare, die in Kooperation mit der Bundesingenieurkammer veranstaltet werden, stellen anhand von Schwerpunkten dar, wie die Umsetzung der DSGVO in Ingenieurbüros gestaltet werden kann. Viel Zeit bleibt dafür nicht mehr. Sie gilt ab dem 25. Mai 2018. Dieses Webinar ist sinnvoll für Ingenieurbüros, die – die Umsetzung der DSGVO projektieren möchten, – praktische Anwendungsbeispiele und Priorisierungsmöglichkeiten kennenlernen möchten, – den Umgang mit Neu- und Bestandsverträgen mit Datenschutzbezügen bis/ ab dem 25.05.2018 planen müssen, – sich über aktuelle Entwicklungen auf dem Laufenden halten möchten. Termine Fr, 06.04. // 10.00 – 11.30 Uhr mit Rechtsanwalt Karsten U. Bartels LL.M. Di, 17.04. // 10.00 – 11.30 Uhr mit Rechtsanwalt Karsten U. Bartels LL.M. Di, 24.04. // 10.00 – 11.30 Uhr mit Rechtsanwalt Michael Schramm LL.M. Preis 99 EUR zzgl. 19% USt. Zur Anmeldung

Deutsche Bankenaufsicht updated Anforderungen an die IT-Sicherheit von Banken

Nachdem die BaFin (Bundesanstalt für die Finanzdienstleistungen) bereits im Oktober neue Mindestanforderungen an das Risikomanagement der Banken (MaRisk) veröffentlicht hat, veröffentlichte sie nun eine ergänzendes Rundschreiben zu den bankaufsichtlichen Anforderungen an die IT (BAIT). Rundschreiben der BaFin haben den Charakter von Verwaltungsvorschriften und geben für die jeweiligen beaufsichtigenden Institute vor, wie gesetzliche Anforderungen zu interpretieren und konkretisieren sind. Das Rundschreiben zu den BAIT ergeht auf Grundlage des § 25a Kreditwesengesetz (KWG), der besondere technische und organisatorische Pflichten regelt, sowie des § 25b KWG, der die geltenden Anforderungen an die Auslagerung von Aktivitäten und Prozessen normiert. Die BAIT konkretisieren die Anforderungen an folgende Bereiche: IT-Strategie IT-Governance Informationsrisikomanagement Informationssicherheitsmanagement Benutzerberechtigungsmanagement IT-Projekte, Anwendungsentwicklung IT-Betrieb inklusive Datensicherung Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen Für den Bereich des Informationssicherheitsmanagements sehen die BAIT insbesondere vor, dass adressierte Institute die Funktion eines Informationssicherheitsbeauftragten einzurichten haben. Dessen Funktion soll die Unterstützung der Geschäftsleitung beim Festlegen und Anpassen einer Informationssicherheitsrichtlinie sowie die Beratung zu Fragen der Informationssicherheit umfassen. Außerdem soll der Informationssicherheitsbeauftragte unter anderem die Informationssicherheitsprozesse im Unternehmen managen, die Umsetzung von Informationssicherheitsmaßnahmen betreuen und als Ansprechpartner innerhalb des Institutes fungieren. (KB) Bildnachweis: kentoh/shutterstock.com

HK2 Vortrag: 7 Monate bis zur DSGVO – Umsetzungsprojekt oder Notversorgung?

Am 25.10.2017 veranstaltet die IHK zu Dortmund das kostenlose Praxis-Seminar "EU-Datenschutzgrundverordnung". In diesem wird HK2 Rechtsanwalt Merlin Backer von 09.10 bis 09.50 Uhr zur Umsetzung der DSGVO referieren und im Anschluss an einer Diskussionsrunde mit weiteren Referenten teilnehmen. Weitere Vorträge werden sich mit der praktischen Umsetzung der Schutzziele der Verordnung sowie der DSGVO in der IT-Praxis befassen. Ausgangspunkt des HK2 Vortrages bildet die nach zweijähriger Übergangsfrist ab dem 25. Mai 2018 unmittelbar Geltung entfaltende DSGVO. Sie führt in vielen Punkten zu Veränderungen der jetzigen datenschutzrechtlichen Vorgaben und wird eine konsolidierte Umsetzung von technischem Datenschutz und der IT-Sicherheit erfordern. Sowohl Unternehmen als auch die öffentliche Verwaltung müssen bei der Verarbeitung von Daten technische und organisatorische Maßnahmen umsetzen, um die Einhaltung der neuen Grundsätze des technischen Datenschutzes zu gewährleisten. Die neuen Voraussetzungen an technische und organisatorische Maßnahmen unterscheiden sich signifikant von den bisherigen Regelungen. Sie sind insbesondere vor dem Hintergrund der deutlich erhöhten Bußgelder bei Verstößen zu beachten. Zudem werden für Gesetzesadressaten umfangreiche Rechenschafts- und Dokumentationspflichten bestehen, die es sowohl bei der Umsetzung von Maßnahmen als auch bei der Vertragsgestaltung zu berücksichtigen gilt. Flyer zur Veranstaltung Bild: fotolia.com/VVT Studio

Informationspflichten bei der Datenerhebung

Die DSGVO sieht Informationspflichten für die Verarbeitung personenbezogener Daten vor. Diese sollen es ermöglichen, dass Betroffene ihre Rechte leichter wahrnehmen können. Die DSGVO differenziert bezüglich des Umfangs dieser Pflichten zwischen der Direkterhebung durch den Verantwortlichen sowie der Erhebung von Daten durch Dritte. Im Rahmen der letzten Konferenz der Datenschutzbeauftragten des Bundes und der Länder wurde ein Kurzpapier zum Umgang mit diesen Pflichten veröffentlicht. Dieses enthält eine Übersicht zur Gewährleistung einer gesetzeskonformen Datenerhebung der zur Verfügung zu stellenden Informationen, wie z.B. Kontaktdaten oder Zwecke, sowie Rechtsgrundlagen der Datenverarbeitung. Die Aufsichtsbehörden empfehlen zudem, die Informationspflichten bei der Gestaltung von Angeboten sowie die gesetzlich geforderten datenschutzfreundlichen Voreinstellungen zu berücksichtigen. Wir helfen Ihnen gern bei der gesetzeskonformen Umsetzung. Mehr Beiträge zu IT-Sicherheits-Themen gibt es in unserem monatlichen Magazin-Newsletter: HK2 Der Rote Faden Bildnachweis: © Pressmaster/shutterstock.com

HK2 Vortrag: Gesetzliche IT-Sicherheit – Pflichten für Unternehmen und die öffentliche Verwaltung nach dem IT-Sicherheitsgesetz und der Datenschutzgrundverordnung

Vom 26. bis 28.09.2017 findet die 6. IT-Sicherheitskonferenz an der Hochschule Stralsund statt. Die dreitägige Konferenz umfasst zahlreiche Fachvorträge und Workshops. Am 26.09. wird HK2 Rechtsanwalt Merlin Backer von 11.00 bis 12.00 Uhr zu den neuen gesetzlichen Anforderungen an die IT-Sicherheit referieren. Ausgangspunkte für den Vortrag bilden sowohl das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz sowie die im Mai 2018 in Kraft tretende Datenschutzgrundverordnung. Insbesondere die DSGVO führt in vielen Punkten zu Veränderungen der jetzigen datenschutzrechtlichen Vorgaben und wird eine konsolidierte Umsetzung von technischem Datenschutz und der IT-Sicherheit erfordern. Sowohl Unternehmen als auch die öffentliche Verwaltung müssen bei der Verarbeitung von Daten technische und organisatorische Maßnahmen umsetzen, um die Einhaltung der neuen Grundsätze des technischen Datenschutzes zu gewährleisten. Die neuen Voraussetzungen an technische und organisatorische Maßnahmen unterscheiden sich signifikant von den bisherigen Regelungen. Sie sind insbesondere vor dem Hintergrund der deutlich erhöhten Bußgelder bei Verstößen zu beachten. Statt der Einhaltung kategorischer Maßnahmen, wie beispielsweise noch in § 9 des Bundesdatenschutzgesetzes geregelt, haben Normadressaten nun ein individuelles Schutzniveau zu gewährleisten und daher eine umfangreiche Schutzbedarfsanalyse durchzuführen. Technische und organisatorische Maßnahmen müssen außerdem dem Stand der Technik entsprechen. Dieser unbestimmte Rechtsbegriff ist zu einem zentralen Element im IT-Sicherheitsrecht geworden. Seine Bestimmung gestaltet sich für den Rechtsanwender als komplex und führt zu umfassenden Dokumentationspflichten. Der Vortrag wird die rechtlichen Anforderungen und die zentrale Rolle datenschutzrelevanter Technikgestaltung sowohl im Rahmen des IT-Sicherheitsgesetzes als auch der Datenschutz-Grundverordnung aufzeigen. 6. IT-Sicherheitskonferenz and der Hochschule Stralsund Bildnachweis: VladKol/shutterstock.com

Umsetzung des E-Health-Gesetzes – Online-Verzeichnis für technische Standards in Betrieb

Das im Jahre 2015 verabschiedete Gesetz für sichere Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz) regelt die Digitalisierung in wichtigen Bereichen des Gesundheitswesens, insbesondere in Form der Einführung der elektronischen Gesundheitskarte. Deren Grundlagen als zukünftiger elektronischer Versicherungsnachweis sind in § 291 SGB V geregelt. Ab 1. Juli 2018 sind alle Kliniken und Arztpraxen verpflichtet, Lesegeräte für den Einsatz der elektronischen Gesundheitskarte bereitzuhalten und zu nutzen. Die Einführung der elektronischen Gesundheitskarte wird maßgeblich von der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) mit Sitz in Berlin geleitet. Die gematik prüft die Anbindung von Diensten an die Telematikinfrastruktur, durch die Gesundheitsdaten online überprüft und auf der elektronischen Gesundheitskarte aktualisiert werden können. Zudem entscheidet sie über die Verteilung des sogenannten Telematikzuschlags, der die entstehenden Investitions- und Betriebskosten durch einen Zuschlag finanzieren soll. Die gematik hat in diesem Zusammenhang das „vesta“ genannte zentrale Verzeichnis zur Schaffung einer Interoperabilität eingesetzter IT-Standards geschaffen. Es enthält unter anderem technische Standards und soll vor allem dazu beitragen, dass im Rahmen der elektronischen Kommunikation im Gesundheitswesen einheitliche Standards Anwendung finden. Ziel ist die Gewährleistung eines hohen Niveaus der IT-Sicherheit im Umgang mit Gesundheitsdaten. Werden Anbieter elektronischer Kommunikation von gesetzlichen Krankenkassen beauftragt, müssen sie die von Ihnen unterstützten Standards angeben. Die Aufnahme von IT-Standards in das vesta-Verzeichnis kann seit dem 30. Juni 2017 beantragt werden. In der Folge werden Stellungnahmen zu diesen Standards veröffentlicht werden. Zudem wird es am 31. Dezember 2017 eine Berichterstattung an den Deutschen Bundestag geben. Antragsberechtigt sind Anwender von IT-Systemen, deren Interessenvertretungen, wissenschaftliche Einrichtungen sowie Standardisierungs- und Normungsorganisationen. Bisher wurden Standards zur Kryptographie, der Verarbeitung bzw. Speicherung von Notfalldaten und persönlichen Erklärungen von Versicherten sowie zum Versichertenstammdaten-Management in das Verzeichnis aufgenommen. Trotz aktueller Umsetzungsprobleme, wie etwa Schwierigkeiten bei der allgemeinen Umsetzung der flächendeckenden Einführung der elektronischen Gesundheitskarte sowie Lieferschwierigkeiten für Lesegeräte durch Zulieferer, wird wohl auch in Zukunft an der geplanten Umsetzung der Regelungen des E-Health-Gesetzes festgehalten werden. Auch wenn die Konkurrenz durch kommerzielle Anbieter von Gesundheits-Apps und anderen vergleichbaren digitalen Produkten groß ist, ist aufgrund der besonders sensiblen zu verarbeitenden Daten auf eine hohes Datenschutz- und IT-Sicherheitsniveau hinzuwirken. Dabei werden die vesta-Standards eine zentrale Rolle spielen und sich in die Standards, die aufgrund der in der Vergangenheit verabschiedeten Gesetze zur Erhöhung der IT-Sicherheit für gesellschaftskritische Bereiche entstehen, einreihen. (MB) Bild: shutterstock.com/Balefire

DIN und DKE veröffentlichen aktuelle Normungsroadmap für den Bereich der IT-Sicherheit

Die nationale Normungsorganisation DIN und die DKE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik in DIN und VDE), verantwortlich für die elektrotechnische Normung, haben die dritte aktualisierte Ausgabe der Roadmap IT-Sicherheit vor- und zum Download bereit gestellt. Die Normungsroadmap soll Bereiche aufzeigen, in denen standardisierte IT-Sicherheitslösungen bestehen. Die Roadmap bietet einen aktuellen, branchen- und technikübergreifenden Blick auf Themen der IT-Sicherheit. Die Verfasser stellen insbesondere die Bedeutung der aktuellen nationalen und europäischen Gesetzgebung auf dem Gebiet der IT-Sicherheit heraus. Nach Verabschiedung des IT-Sicherheitsgesetzes kommt es durch die EU Datenschutz-Grundverordnung, die Richtlinie für Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) sowie der kommenden EU ePrivacy-Verordnung zu weiteren neuen Anforderungen an eine konsolidierte Umsetzung von IT-Sicherheit und Datenschutz. Schwerpunkte der aktuellen Roadmap liegen in den folgenden Bereichen: Datenschutz Energieversorgung und –erzeugung Industrielle Produktion (Industrie 4.0.) Elektromobilität Smart Home Für den Bereich der kritischen Infrastrukturen (KRITIS) werden Strukturen und Normen vorgestellt, die bisher zur Umsetzung der gesetzlichen Mindeststandards sowie der branchenspezifischen Sicherheitsstandards geschaffen worden sind. (MB) Bild: shutterstock.com/RGtimeline (Robert Gerhardt)