Einführung in IT-Sicherheit und Recht

Informationstechnische Systeme sind aus dem Alltag privaten, staatlichen und unternehmerischen Handelns nicht mehr wegzudenken. Fast alle Lebens- und Arbeitsbereiche werden branchenübergreifend digitalisiert und in das Internet verlagert. Der Schutz von Systemen gegen Angriffe von außen und innen sowie vor Datenverlusten ist ein Hauptbestandteil der IT-Sicherheit und des IT-Sicherheitsrechts. Die zunehmende Digitalisierung führt auch zu einer nicht zu unterschätzenden Abhängigkeit von einer funktionierenden und sicheren Technik; daher bedeutet IT-Sicherheit nicht nur die Absicherung der Systeme gegen unbefugte Zugriffe, Schad- und Ransomware, sondern auch deren Verfügbarkeit selbst.

Der Rechtsbegriff der IT-Sicherheit geht darüber jedoch noch hinaus. Eine einheitliche, allgemeingültige Definition konnte sich bislang nicht durchsetzen, was sicherlich auch dem ambivalenten Verständnis des Begriffs geschuldet ist, welches je nach Perspektive und Anwendungsbereich unterschiedliche Aspekte in den Vordergrund rückt.[1] Je nachdem, welche Ziele das Recht der IT-Sicherheit erreichen will, kommen unterschiedliche Prioritäten zum Zuge; ein einheitliches und abschließendes Gesetz zur IT-Sicherheit existiert nicht.[2] § 2 Abs. 2 BSIG definiert die Sicherheit in der Informationstechnik (im Sinne des BSIG) als „die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen“ in Systemen, Komponenten und Prozessen sowie auch bei deren Anwendung.

Weiter gefasst bedeutet IT-Sicherheit die Verfügbarkeit der in einem IT-System hinterlegten Informationen mit folgenden Einschränkungen:

  • Zugänglichkeit: Die Verfügbarkeit muss erforderlich und vereinbart sein.
  • Vertraulichkeit: Die Informationen darf nur für denjenigen Nutzer verfügbar sein, der über eine entsprechende Berechtigung verfügt und diese nachweist.
  • Unversehrtheit: Die Information muss genau mit dem Inhalt verfügbar sein, den der Urheber geschaffen hat.
  • Zurechenbarkeit: Die Information muss jedem Urheber zurechenbar sein, und zwar in dem Maß, das der Zweck der Informationsverarbeitung erfordert.[3]

Die Unversehrtheit und die Zurechenbarkeit der Information lassen sich dabei unter dem Begriff der Integrität zusammenfassen.[4]

Das IT-Sicherheitsrecht fasst alle Rechtsnormen zusammen, die diese Voraussetzungen gewährleisten. Ausgangspunkt der Betrachtung des Rechts der IT-Sicherheit sind dessen verfassungsrechtliche Grundlagen, welche als Basis des gesetzgeberischen Handelns dienen. IT-sicherheitsrechtliche Vorgaben finden sich sowohl in nationalen als auch internationalen Rechtsnormen. Dabei richtet sich die IT-Sicherheitsgesetzgebung nicht nur an die Betreiber kritischer Infrastrukturen, sondern auch an kleine und mittelständische Unternehmen sowie an die Verwaltung.

In jedem Fall bedürfen die rechtlichen Vorgaben einer technischen Umsetzung und der Einhaltung durch unterschiedliche staatliche und betriebliche Akteure. Daneben kommt jedoch auch der Wissenschaft eine tragende Rolle bei der Beobachtung rechtlicher sowie technischer und tatsächlicher Entwicklungen und Anwendungen zu.

Jeder Einsatz von informationstechnischen Systemen (auch beispielsweise im Rahmen von Cloud Computing) birgt IT-sicherheitsrechtliche Risiken und erfordert daher eine individuelle Risiko- und Sicherheitsanalyse sowie die Implementierung bedarfsgerechter technischer und organisatorischer Maßnahmen. Dabei gilt es, für unterschiedliche Einzelszenarien allgemeine und konkrete Handlungsempfehlungen zu beherzigen.

Im Rahmen der IT-Sicherheitsgesetzgebung sind verschiedene und teils gegenläufige Interessen in Ausgleich zu bringen. Dabei sind sowohl verschiedene netzpolitische Positionen zu bedenken, die aufzeigen können, bei welchen Aspekten noch Handlungsbedarf für den Gesetzgeber besteht.


[1] Vgl. Heckmann, in: Heckmann (Hrsg.), jurisPK-Internetrecht, 6. Aufl. 2019, Stand 20.03.2020, Kap. 5, Rn. 245.

[2] So auch Conrad, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 33 Rn. 9 ff.; Vgl. auch Schmidl, in: Hauschka/Moosmayer/Lösler (Hrsg.), Corporate Compliance, 3. Aufl. 2016, § 28 Rn. 20.

[3] Vgl. Heckmann, in: Heckmann, jurisPK-Internetrecht, 6. Aufl. 2019, Stand 20.03.2020, Kap. 5, Rn. 245; Vgl. auch ders., K&R 2009, 1, 6; ders., MMR 2006, 280, 281.

[4] Vgl. etwa Bock, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 33. Ed., Stand 01.05.2020, BDSG § 64 Rn. 6 ff.; Conrad, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 33 Rn. 9 ff.