Es ist Oktober. Zeit für Herbststürme und Regenwetter. Und zugleich Zeit für IT-Security. Der Monat Oktober ist offiziell der Cybersecurity-Monat. Er wird von verschiedenen Regierungen unter verschiedenen Bezeichnungen ("National Cybersecurity Awareness Month" oder "European Cybersecurity Month") im Kalender vermerkt, um dem Thema mehr Gewicht zu geben. Im Oktober ist auch Halloween. Am 31. Oktober wird sich dann zeigen, welche Gruselgeschichten der IT-Sicherheit der Monat Oktober bereit gehalten hat. Im September waren es unter anderem Phishing-Attacken mit teilweise finanziellen Folgen (Universitäten), der Angriff auf SwissSign (DDoS-Attacke) oder Attacken auf ein Spital (in Deutschland) mit offenbar einem Todesfall, der einen gewissen Bezug hatte zum Angriff auf das Spital.

Es ist schwer, IT-Security juristisch zu verorten, wenn man noch wenig davon weiss. Natürlich kann man das Datenschutzgesetz zitieren. So wird dort IT-Security an verschiedenen Ecken besonders angesprochen. Das Ende September vom Parlament verabschiedete revidierte Datenschutzgesetz, dessen Inkrafttreten für das Jahr 2022 zu erwarten ist, nennt zum Beispiel "Datenschutz durch Technik" (Art. 7 revDSG), die Pflicht zur "Datensicherheit" (Art. 8 revDSG) und die Pflicht zur Meldung von Verletzungen der Datensicherheit (Art. 24 revDSG). 

Art. 8 und Art. 24 revDSG dürften die beiden Bestimmungen sein, die für Minimalisten die zentralsten Umsetzungsmassnahmen darstellen. Eine Verletzung der Mindestanforderungen an die Datensicherheit, die der Bundesrat nach Art. 8 Abs. 3 revDSG zu erlassen hat, kann mit Busse bis 250'000 Franken sanktioniert werden. Sicherheitsmassnahmen zum Schutz von Daten sind selbstverständlich bereits unter dem heutigen DSG gefordert. Die geltende Verordnung zum DSG enthält entsprechende Mindestanforderungen (Art. 8 – 9 VDSG).

Abgesehen vom Datenschutzgesetz gibt es im Cyberbereich aber kaum einfach auffindbare Vorgaben:

• Man kann an das Informationssicherheitsgesetz denken (das aber noch immer im Parlament beraten wird und das es Ende September 2020 erneut nicht in die Schlussabstimmung geschafft hat); es soll die IT-Sicherheitsanforderungen an Bundesbehörden konsolidieren.

• In einem Bericht vom Dezember 2019 schlägt der Bundesrat Varianten für die Einführung von Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen vor.

• Auch das Produktsicherheitsgesetz kann angeführt werden (es kann für Anwendungen des Internet of Things relevant sein).

• Es lassen sich auch sektorspezifische Regelwerke anführen, zum Beispiel das Rundschreiben 2008/21 der FINMA mit dem Titel "Operationelle Risiken" für Banken. In einem Kapitel wird dort die Technologieinfrastruktur abgehandelt. Es geht um den physischen und logischen (elektronischen) Aufbau von IT- und Kommunikationssystemen, die einzelnen Hard- und Softwarekomponenten, die Daten und die Betriebsumgebung. Dort heisst es, dass Auf- und Ausbau der Technologieinfrastruktur nach international anerkannten Standards zu dokumentieren sind. Man gelangt so zu ISO-Standards (z.B. ISO 27001, der nach einem Information Security Management System, einem sogenannten ISMS, verlangt). Neben Dokumentationspflichten fordert die FINMA Verwundbarkeitsanalysen und regelmässige Penetrations-Tests. Zudem sind Banken gemäss FINMA-Gesetz und Aufsichtsmeldung 05/2020 verpflichtet, der FINMA Cyber-Attacken zu melden.

• Ein weiteres Beispiel für eine sektorspezifische Regelung ist die Stromversorgungsverordnung, die zum Beispiel für Smart Metering besondere Massnahmen der IT-Sicherheit verlangt. Ebenfalls im Energiebereich verlangen das Kernenergiegesetz und entsprechende Richtlinien des ENSI ein IT-Sicherheitsdispositiv für Kernanlagen.

• Man kann weiter IT-Sicherheit auch aus der Perspektive der allgemeinen Sorgfaltspflichten eines Unternehmens denken.

• Und schliesslich geht es auch bei vielen IT-Verträgen um IT-Sicherheit.

Meistens landet man mit allen Betrachtungsweisen beim sogenannten "Stand der Technik". Und fast durchwegs bleibt der konkrete Anforderungsmassstab schwammig. Zudem ist oft unklar, wer nun konkret definiert, was als "Stand der Technik" gilt. Das ist bedauerlich und sollte gelegentlich verbessert werden.

Insgesamt ist IT-Sicherheit als Aufgabenstellung im Recht also zu wenig abgebildet. Dabei geht es um die erste der drei Säulen des Informationsrechts, den Zugriff auf Daten. Die weiteren Themen des Informationsrechts (Nutzung, Datenintegrität und Compliance) können erst anknüpfend daran diskutiert werden. Es würde sich also lohnen, Daten- und Informationsschutz etwas mehr aus der Perspektive der IT-Sicherheit zu denken. Dieser Oktobermonat ist eine gute Gelegenheit dafür.

Dr. Christian Laux, LL.M. ist Anwalt und fokussiert auf IT-Rechtsangelegenheiten. Für inside-it.ch äussert er sich an dieser Stelle regelmässig zu Rechtsfragen, welche die Schweizer IT-Branche in relevanter Weise betreffen.