Lex Laux: Zeit für IT-Security

9. Oktober 2020 um 11:19
  • kolumne
  • regulierung
  • lex laux
image

Oktober ist der Cybersecurity-Monat. Unser Kolumnist hat die verstreuten juristischen Vorgaben dazu zusammengetragen und fordert eine Diskussion.

Es ist Oktober. Zeit für Herbststürme und Regenwetter. Und zugleich Zeit für IT-Security. Der Monat Oktober ist offiziell der Cybersecurity-Monat. Er wird von verschiedenen Regierungen unter verschiedenen Bezeichnungen ("National Cybersecurity Awareness Month" oder "European Cybersecurity Month") im Kalender vermerkt, um dem Thema mehr Gewicht zu geben. Im Oktober ist auch Halloween. Am 31. Oktober wird sich dann zeigen, welche Gruselgeschichten der IT-Sicherheit der Monat Oktober bereit gehalten hat. Im September waren es unter anderem Phishing-Attacken mit teilweise finanziellen Folgen (Universitäten), der Angriff auf SwissSign (DDoS-Attacke) oder Attacken auf ein Spital (in Deutschland) mit offenbar einem Todesfall, der einen gewissen Bezug hatte zum Angriff auf das Spital.
Es ist schwer, IT-Security juristisch zu verorten, wenn man noch wenig davon weiss. Natürlich kann man das Datenschutzgesetz zitieren. So wird dort IT-Security an verschiedenen Ecken besonders angesprochen. Das Ende September vom Parlament verabschiedete revidierte Datenschutzgesetz, dessen Inkrafttreten für das Jahr 2022 zu erwarten ist, nennt zum Beispiel "Datenschutz durch Technik" (Art. 7 revDSG), die Pflicht zur "Datensicherheit" (Art. 8 revDSG) und die Pflicht zur Meldung von Verletzungen der Datensicherheit (Art. 24 revDSG). 
Art. 8 und Art. 24 revDSG dürften die beiden Bestimmungen sein, die für Minimalisten die zentralsten Umsetzungsmassnahmen darstellen. Eine Verletzung der Mindestanforderungen an die Datensicherheit, die der Bundesrat nach Art. 8 Abs. 3 revDSG zu erlassen hat, kann mit Busse bis 250'000 Franken sanktioniert werden. Sicherheitsmassnahmen zum Schutz von Daten sind selbstverständlich bereits unter dem heutigen DSG gefordert. Die geltende Verordnung zum DSG enthält entsprechende Mindestanforderungen (Art. 8 – 9 VDSG).
Abgesehen vom Datenschutzgesetz gibt es im Cyberbereich aber kaum einfach auffindbare Vorgaben:
• Man kann an das Informationssicherheitsgesetz denken (das aber noch immer im Parlament beraten wird und das es Ende September 2020 erneut nicht in die Schlussabstimmung geschafft hat); es soll die IT-Sicherheitsanforderungen an Bundesbehörden konsolidieren.
• In einem Bericht vom Dezember 2019 schlägt der Bundesrat Varianten für die Einführung von Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen vor.
• Auch das Produktsicherheitsgesetz kann angeführt werden (es kann für Anwendungen des Internet of Things relevant sein).
• Es lassen sich auch sektorspezifische Regelwerke anführen, zum Beispiel das Rundschreiben 2008/21 der FINMA mit dem Titel "Operationelle Risiken" für Banken. In einem Kapitel wird dort die Technologieinfrastruktur abgehandelt. Es geht um den physischen und logischen (elektronischen) Aufbau von IT- und Kommunikationssystemen, die einzelnen Hard- und Softwarekomponenten, die Daten und die Betriebsumgebung. Dort heisst es, dass Auf- und Ausbau der Technologieinfrastruktur nach international anerkannten Standards zu dokumentieren sind. Man gelangt so zu ISO-Standards (z.B. ISO 27001, der nach einem Information Security Management System, einem sogenannten ISMS, verlangt). Neben Dokumentationspflichten fordert die FINMA Verwundbarkeitsanalysen und regelmässige Penetrations-Tests. Zudem sind Banken gemäss FINMA-Gesetz und Aufsichtsmeldung 05/2020 verpflichtet, der FINMA Cyber-Attacken zu melden.
• Ein weiteres Beispiel für eine sektorspezifische Regelung ist die Stromversorgungsverordnung, die zum Beispiel für Smart Metering besondere Massnahmen der IT-Sicherheit verlangt. Ebenfalls im Energiebereich verlangen das Kernenergiegesetz und entsprechende Richtlinien des ENSI ein IT-Sicherheitsdispositiv für Kernanlagen.
• Man kann weiter IT-Sicherheit auch aus der Perspektive der allgemeinen Sorgfaltspflichten eines Unternehmens denken.
• Und schliesslich geht es auch bei vielen IT-Verträgen um IT-Sicherheit.
Meistens landet man mit allen Betrachtungsweisen beim sogenannten "Stand der Technik". Und fast durchwegs bleibt der konkrete Anforderungsmassstab schwammig. Zudem ist oft unklar, wer nun konkret definiert, was als "Stand der Technik" gilt. Das ist bedauerlich und sollte gelegentlich verbessert werden.
Insgesamt ist IT-Sicherheit als Aufgabenstellung im Recht also zu wenig abgebildet. Dabei geht es um die erste der drei Säulen des Informationsrechts, den Zugriff auf Daten. Die weiteren Themen des Informationsrechts (Nutzung, Datenintegrität und Compliance) können erst anknüpfend daran diskutiert werden. Es würde sich also lohnen, Daten- und Informationsschutz etwas mehr aus der Perspektive der IT-Sicherheit zu denken. Dieser Oktobermonat ist eine gute Gelegenheit dafür.

Über den Autor:

Dr. Christian Laux, LL.M. ist Anwalt und fokussiert auf IT-Rechtsangelegenheiten. Für inside-it.ch äussert er sich an dieser Stelle regelmässig zu Rechtsfragen, welche die Schweizer IT-Branche in relevanter Weise betreffen.

Loading

Mehr erfahren

Mehr zum Thema

image

Vogt am Freitag: Mehr Anstrengung, statt mehr Überwachung

EU-Staaten wollen ein gigantisches Überwachungsprogramm implementieren, das auch Bürgerinnen und Bürger hierzulande betrifft. Aber grosse Medien ignorieren das. Warum?

publiziert am 14.6.2024 2
image

Vor 24 Jahren: Gericht ordnet Aufsplittung von Microsoft an

Aus Microsoft sollen zwei Firmen werden: eine für die Entwicklung von Betriebssystemen und eine für alle anderen Anwendungen. Umgesetzt wurde das Urteil eines US-Richters allerdings nie.

publiziert am 14.6.2024
image

Von Hensch zu Mensch: Steht Z für Zukunft oder für Zumutung?

Immer mehr Unternehmen lamentieren über fehlenden Nachwuchs und beklagen die Einstellung der Jungen zu Leistung und Arbeitswelt. Das ist der falsche Ansatz, schreibt Kolumnist Jean-Marc Hensch.

publiziert am 11.6.2024 6
image

Vogt am Freitag: Serviette

Die Aufarbeitung des Xplain-Falls ist eine Farce. Es scheint, als wollten die Verantwortlichen zur Tagesordnung übergehen.

publiziert am 7.6.2024 2