Einführung in IT-Sicherheit und Recht

Informationstechnische Systeme sind aus dem Alltag staatlichen und unternehmerischen Handelns nicht mehr wegzudenken. Fast alle Lebens- und Arbeitsbereiche werden brachenübergreifend digitalisiert und in das Internet verlagert. Diese vor Angriffen von außen und innen insbesondere vor Datenverlusten zu schützen, ist ein Hauptbestandteil der IT-Sicherheit und des IT-Sicherheitsrechts. Die Digitalisierung fast aller Lebensbereiche erhöht die Abhängigkeit von einer funktionierenden und sicheren Technik. Aufgrund dessen bedeutet IT-Sicherheit nicht nur die Absicherung von IT-Systemen nach außen oder innen vor Datenverlusten, sondern auch die Verfügbarkeit informationstechnischer Systeme.

Doch der Rechtsbegriff der IT-Sicherheit geht über diese Aufgabe hinaus. Bisher hat sich jedoch noch keine allgemein anerkannte Definition des Begriffes durchgesetzt. Unter Berücksichtigung der Anforderungen für eine rechtssichere elektronische Kommunikation bietet es sich daher an, von folgender Definition auszugehen:1

„IT-Sicherheit ist gewährleistet, wenn die in einem informationstechnischen System hinterlegten Informationen verfügbar sind, und zwar einschränkend immer dann, wenn dies erforderlich (und vereinbart) ist [Zugänglichkeit/Verfügbarkeit], für jeden Nutzer, der hierzu berechtigt ist (und dies nachweist), und zwar nur für diesen [Vertraulichkeit], mit genau dem Inhalt, den der Urheber geschaffen hat [Unversehrtheit/Integrität].2 Zusätzlich müssen die Informationen jedem Urheber in dem Maße zurechenbar sein, in dem der Zweck der Informationsverarbeitung diese Zurechnung fordert [Zurechenbarkeit/Authentizität].“ 3

Das IT-Sicherheitsrecht fasst alle Rechtsnormen zusammen, die diese Voraussetzungen gewährleisten.

Ausgangspunkt der Betrachtung des IT-Sicherheitsrecht sind dessen verfassungsrechtliche Grundlagen, welche als Basis des gesetzgeberischen Handelns dienen. Die IT-sicherheitsrechtlichen Vorgaben finden sich in nationalen sowie internationalen Rechtsnormen. Die IT-Sicherheitsgesetzgebung richtet sich nicht nur an die Betreiber kritischer Infrastrukturen, sondern auch an kleine und mittelständige Unternehmen und die Verwaltung.

Diese rechtlichen Vorgaben bedürfen technischer Umsetzung. Für den Schutz und die Einhaltung der IT-Sicherheit gibt es unterschiedliche staatliche und innerbetriebliche Akteure. Neben diesen kommt aber auch der Wissenschaft eine tragende Rolle bei der IT-Sicherheit zu.

Jeder Einsatz informationstechnischer Systeme (z.B. im Rahmen des Cloud Computings, etc.) birgt IT-sicherheitsrechtliche Risiken und bedarf daher einer individuellen Risiko- und Sicherheitsanalyse. Im Folgenden werden allgemeine und konkrete Handlungsempfehlungen für unterschiedliche Einsatzszenarien dargestellt.

Im Rahmen der IT-Sicherheitsgesetzgebung bestehen unterschiedliche netzpolitische Positionen. Ein weiterhin bestehender gesetzgeberischer Handlungsbedarf wird vorliegend aufgezeigt.