Читать книгу IT-Sicherheit für Dummies - Rainer W. Gerling - Страница 50

Einzuhaltende Sicherheitsstandards werden vorgegeben, damit für Ihr Unternehmen oder Ihre Behörde zweifelsfrei klar ist, welche IT-Sicherheitsregeln eingehalten werden müssen. Die gesetzlichen Vorgaben sind sehr knapp und abstrakt, damit sie nicht zu häufig an technische Entwicklungen angepasst werden müssen.

Zur Konkretisierung werden sowohl im BSI-Gesetz (§ 8a Abs. 2) als auch in der DS-GVO (Art. 40 Abs. 2 lit. h) branchenspezifische IT-Sicherheitsstandards (kurz B3S) vorgesehen. Diese Standards müssen vom BSI beziehungsweise den Datenschutzaufsichtsbehörden genehmigt werden. Das BSI bezieht sich bei Vorgaben natürlich gerne auf seinen eigenen Standard, den IT-Grundschutz (siehe Kapitel 8).

Die DS-GVO schreibt in Art 40 Abs. 4 DS-GVO vor, dass die Standards (in der deutschen Fassung der DS-GVO unglücklich »Verhaltensregeln« genannt) zwingend Regelungen zur »obligatorischen Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten« enthalten müssen. Die Verhaltensregeln können neben dem technisch-organisatorischen Vorgehen auch die rechtlichen Rahmenbedingungen für die Verarbeitung personenbezogener Daten konkretisieren und gestalten. Eine Verhaltensregel zur IT-Sicherheit und zum technisch-organisatorischen Datenschutz sollte unabhängig von den anderen materiell-rechtlichen Regelungsbereichen sein. Dadurch werden die Zeitskalen für erforderliche Aktualisierungen getrennt. Technik entwickelt sich im Allgemeinen schneller als rechtliche Vorgaben.

Mit dem § 75b wurde Ende 2019 eine Vorschrift zur Sicherstellung der IT-Sicherheit in ärztlichen, psychotherapeutischen und zahnärztlichen Praxen in das SGB V aufgenommen. Danach müssen von den Kassenärztlichen Bundesvereinigungen »Richtlinien zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung« erstellt werden. Diese wörtlich identischen Richtlinien sind Anfang 2021 in Kraft getreten.

Der etwas später in das SGB-V eingefügte § 75c macht Vorgaben zur IT-Sicherheit in Krankenhäusern, die nicht unter die KRITIS-Regeln fallen (das sind kleinere Krankenhäuser mit weniger als 30.000 stationären Aufnahmen pro Jahr). Diese Vorgaben müssen seit dem 1. Januar 2022 von den kleineren Krankenhäusern eingehalten werden.

Damit sind im medizinischen Bereich rechtliche Vorgaben zur IT-Sicherheit von der kleinsten Praxis bis zum größten Universitätsklinikum vorhanden. Die Vorgaben sind nicht einheitlich und leider über zwei Gesetze verteilt. Auf Dauer ist es nicht sinnvoll, die rechtlichen Vorgaben zur IT-Sicherheit in branchenspezifische Spezialgesetze wie zum Beispiel das SGB V zu schreiben. Es ist besser, wie auch im Datenschutz, sie in einem Gesetz branchenübergreifend zu bündeln.

Neuere Gesetze (zum Beispiel das TKG) werden in ihren Vorgaben deutlich konkreter. Im Bereich Telekommunikation kann die Bundesnetzagentur in Abstimmung mit dem BSI und dem Bundesbeauftragten für Datenschutz und Informationsfreiheit einen »Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten« (§ 167 TKG) festlegen. Falls Sie sich wundern, dass die Datenschutzaufsichtsbehörden der Länder außen vor sind: Die Datenschutzaufsicht im Telekommunikationsbereich ist schon länger beim BfDI angesiedelt.

Für Betreiber öffentlicher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekommunikationsdienste empfiehlt das TKG den Einsatz von Systemen zur Angriffserkennung (Intrusion Detection Systems). Für TK-Betreiber mit erhöhtem Gefährdungspotenzial werden Systeme zur Angriffserkennung ab dem 1. Dezember 2022 zwingend vorgeschrieben (§ 165 Abs. 3 in Verbindung mit § 230 Abs. 12 TKG).

Welche Unternehmen TK-Betreiber mit erhöhtem Gefährdungspotenzial sind, wird von der Bundesnetzagentur durch eine Allgemeinverfügung festgelegt. Die Tatsache, dass in einem Gesetz derart konkrete Sicherheitsmaßnahmen vorgeschrieben werden, ist ungeschickt. Die konkreten Vorgaben sollten durch Verordnungen oder Allgemeinverfügungen geregelt werden. Das Gesetz sollte nur die Ermächtigung zum Erlass der konkreten Regeln enthalten. Je konkreter eine Vorgabe ist, je häufiger muss sie an technische Entwicklungen angepasst werden. Dieser Anpassungsprozess ist bei Gesetzen zu aufwendig und zu langwierig.

Trotzdem müssen Sie sich, wenn Sie in den entsprechenden Branchen tätig sind, mit der rechtlichen Situation arrangieren.