Zusammenfassung
In wenigen Politikfeldern ist die Diskrepanz zwischen dem Interesse von Wirtschaft und Gesellschaft an tragfähigen normativen Vorgaben und den von staatlicher Seite entfalteten Regulierungsaktivitäten so groß wie im Fall der Informationssicherheit. Ursache des Regulierungsbedarfs ist die drängende Gefährdungslage gerade für vernetzte und informationsgetriebene Industrie- und Wirtschaftsunternehmen. So wurden in den Jahren 2016 und 2017 knapp 70 Prozent der Unternehmen in Deutschland Opfer von Cyber-Angriffen. Branchenverbände beziffern den 2017 bis 2018 durch Cyber-Angriffe entstandenen Schaden für die deutsche Industrie auf mehr als 43 Mrd. Euro. Durch das Internet der Dinge potenzieren sich die Gefahren nochmals. Die Politik hat den Ernst der Lage mittlerweile erkannt. Dennoch gleicht das Recht der Informationssicherheit nach wie vor einem Flickenteppich. Der vorliegende Beitrag ordnet die zerstreute Materie, arbeitet die zentralen regulatorischen Grundlinien heraus und führt umfassend in die Instrumente und Institutionen des neuen Rechtsgebiets ein.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
Für staatliche Stellen im Bereich der Strafverfolgung und Gefahrenabwehr greifen zudem die Art. 29–31 der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, ABl. L 119 vom 04.05.2016, S. 89.
- 2.
Zum Begriff der kritischen Infrastrukturen umfassend Wiater (2013). Die Einstufung als Betreiber einer kritischen Infrastruktur richtet sich nach § 2 Abs. 10 BSIG bzw. den Schwellenwerten der auf § 10 Abs. 1 BSIG gestützten Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV vom 22.04.2016, BGBl. I 2016, 958, geändert durch Verordnung vom 21.06.2017, BGBl. I 2017, 1903). BSIG und BSI-KritisV ziehen den Begriff der kritischen Infrastrukturen weiter als die NIS-RL, vgl. Schallbruch (2017a), S. 650 f.
- 3.
Vgl. die Übersicht über die Branchenstandards unter https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/Was_tun/Stand_der_Technik/B3S_BAKs/B3S_BAKs_node.html (zugegriffen 7. Januar 2019).
- 4.
Eine Liste der vergebenen Zertifikate findet sich unter https://www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Listen/Listen_node.html (zugegriffen 7. Januar 2019).
- 5.
Vgl. etwa BMI, Allgemeine Verwaltungsvorschrift v. 12.12.2014, GMBl. 2015, S. 173. Für eine Liste der Mindeststandards des BSI siehe https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststan-dards/mindeststandards_node.html (zugegriffen am 7. Januar 2019). Zum Forschungsrahmenprogramm der Bundesregierung für IT-Sicherheit siehe https://www.bmbf.de/de/sicher-in-der-digitalen-welt-849.html (zugegriffen am 7. Januar 2019).
- 6.
Dazu näher auch unter https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/digitaler_Verbraucherschutz/digitaler_Verbrauscherschutz_node.html (zugegriffen am 14. November 2018).
- 7.
Vgl. zu dieser Spannungslage bereits EuGH v. 19.10.2016 – Rs. C-582/14; BGH, NJW 2017, 2416, vgl. auch Ruhmann und Bernhardt (2017). Zum Versuch eines Ausgleichs siehe § 109a TKG.
Literatur
Bitkom (2018) Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie. https://www.bitkom.org/noindex/Publikationen/2018/Studien/Wirtschaftsschutzstudie/181008-Bitkom-Studie-Wirtschaftsschutz-2018-NEU.pdf. Zugegriffen am 07.01.2019
Breternitz T, Herbig S (2018) Zuständigkeiten und Aufgaben in der deutschen Cyber-Sicherheitspolitik. Stiftung Neue Verantwortung. https://www.stiftung-nv.de/sites/default/files/cybersicherheitsarchitektur_papier.pdf. Zugegriffen am 07.01.2019
BSI (2017) Zertifizierte IT-Sicherheit. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Zertifizierte-IT-Sicherheit.html. Zugegriffen am 07.01.2019
BSI (2018) Die Lage der IT-Sicherheit in Deutschland. https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html. Zugegriffen am 07.01.2019
Buchberger E (2014) § 1 BSIG. In: Schenke WR, Graulich K, Ruthig J (Hrsg) Sicherheitsrecht des Bundes. C.H. Beck, München
Bundesregierung (2014) Digitale Agenda 2014–2017. https://www.bmvi.de/SharedDocs/DE/Anlage/Digitales/digitale-agenda-2014-deutsch.html. Zugegriffen am 07.01.2019
Bundesregierung (2016) Cyber-Sicherheitsstrategie für Deutschland. http://www.bmi.bund.de/DE/Themen/Sicherheit/IT-Cybersicherheit/Cyber-Sicherheitsstrategie/cyber-sicherheitsstrategie_node.html. Zugegriffen am 14.11.2018
Chaos Computer Club und OpenWrt (2018) Technische Richtlinie des BSI zu sicheren Routern unzureichend. 19. November 2018. https://www.ccc.de/de/updates/2018/risikorouter. Zugegriffen am 07.01.2019
DIVSI (2017) Digitalisierung – Deutsche fordern mehr Sicherheit: Was bedeutet das für Vertrauen und für Kommunikation? https://www.divsi.de/publikationen/studien/digitalisierung-deutsche-fordern-mehr-sicherheit-was-bedeutet-das-fuer-vertrauen-und-fuer-kommunikation/. Zugegriffen am 07.01.2019
Einzinger K, Skopik F (2017) Über die datenschutzrechtliche Problematik in CERTs/CSIRTs-Netzwerken. DuD 41(9): 572–576
Europäische Kommission (2017) Gemeinsame Mitteilung an das Europäische Parlament und den Rat. Abwehrfähigkeit, Abschreckung und Abwehr: die Cybersicherheit in der EU wirksam erhöhen. 13. September 2017. JOIN(2017) 450 final
Europäisches Parlament (2017) Report. 20. Oktober 2017. A8-0324/2017. http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A8-2017-0324+0+DOC+PDF+V0//EN. Zugegriffen am 07.01.2019
European Banking Authority (2017) Final Report Guidelines on major incident reporting under Directive (EU) 2015/2366 (PSD2). EBA/GL/2017/10. http://www.eba.europa.eu/documents/10180/1914076/Guidelines+on+incident+reporting+under+PSD2+%28EBA-GL-2017-10%29.pdf. Zugegriffen am 07.01.2019
Finnemore M, Hollis D (2016) Constructing Norms for Global Cybersecurity. Am J Int Law 110(3):425–479
Gehrmann M, Voigt P (2017) IT-Sicherheit – Kein Thema nur für Betreiber Kritischer Infrastrukturen. CR 33(2):93–99
Grudzien W (2016) IT-Sicherheitsgesetz – Gedanken zur Implementierung. DuD 40(1):29–33
Grzeszick B (2018) Nationale Parlamente und EU-Datenschutzgrundverordnung. NVwZ 1505–1512
Gusy C (1995) Probleme der Verrechtlichung technischer Standards. NVwZ 105–112
Heckmann D (2009) Staatliche Schutz- und Förderpflichten zur Gewährleistung von IT-Sicherheit. In: Rüßmann H (Hrsg) Festschrift für Gerhard Käfer. juris, Saarbrücken, S 129–164
Heinemann M (2015) Grundrechtlicher Schutz informationstechnischer Systeme. Duncker & Humblot, Berlin
IT-Planungsrat (2013) Leitlinie Informationssicherheit für die öffentliche Verwaltung. Entscheidung 2013/01. http://www.it-planungsrat.de/SharedDocs/Entscheidungen/DE/2013/Entscheidung_2013_01.html?nn=6849116. Zugegriffen am 07.01.2019
Kingreen T, Poscher R (2018) Polizei- und Ordnungsrecht, 10. Aufl. C.H. Beck, München
Klein-Hennig M, Schmidt F (2017) Zurück auf Los – Die IT-Sicherheit zurück in der Steinzeit. DuD 41(10):605–611
Knopp M (2017) Stand der Technik, Ein alter Hut oder eine neue Größe? DuD 41(11):663–666
Koalitionsvertrag (2018) Ein neuer Aufbruch für Europa – Eine neue Dynamik für Deutschland – Ein neuer Zusammenhalt für unser Land (CDU, CSU und SPD) 19. Legislaturperiode. https://www.cdu.de/system/tdf/media/dokumente/koalitionsvertrag_2018.pdf?file=1. Zugegriffen am 07.01.2019
Kowalski B, Intemann M (2018) Perspektiven der IT-Sicherheits-Zertifizierung für Europas Märkte. DuD 42(7):415–420
Leisterer H (2018) Internetsicherheit in Europa. Zur Gewährleistung der Netz- und Informationssicherheit durch Informationsverwaltungsrecht. Mohr Siebeck, Tübingen
Leuschner S (2018) Sicherheit als Grundsatz – Eine grundrechtsdogmatische Rekonstruktion im Unionsrecht am Beispiel der Cybersicherheit. Mohr Siebeck, Tübingen
Martini M, Wiesner C (2017) Art. 91c Abs. 5 GG und das neue Zugangsregime zur digitalen Verwaltung – Quantensprung oder zu kurz gesprungen? ZG 32(3):193–227.
Mehrbrey KL, Schreibauer M (2016) Haftungsverhältnisse bei Cyber-Angriffen – Ansprüche und Haftungsrisiken von Unternehmen und Organen. MMR 75–82
Michaelis P (2016a) Der „Stand der Technik“ im Kontext regulatorischer Anforderungen. DuD 40(7):458–462
Michaelis P (2016b) Cybersecurity: Technische Voraussetzungen der „Maßnahme“ nach § 13 Abs. 7 TMG – Herausforderung „Stand der Technik“. ITRB 118–119
Mitrakas A (2018) The emerging EU framework on cybersecurity certification. DuD 42(7):411–414
Möllers C, Pflug L (2010) Verfassungsrechtliche Rahmenbedingungen des Schutzes kritischer IT-Infrastrukturen. In: Kloepfer M (Hrsg) Schutz kritischer Infrastrukturen. Nomos, Baden-Baden, S 47–66
Neumann L (2015) Stellungnahme zum IT-Sicherheitsgesetz für den Chaos Computer Club, 17. April 2015. https://www.ccc.de/de/updates/2015/it-sicherheit. Zugegriffen am 07.01.2019
Pernice I (2018) Global cybersecurity governance: a constitutionalist analysis. Glob Const 7:112–141
Petrlic R (2018) HTTPS im Lichte der DSGVO. DuD 42(11):691–693
Pohle J (2017) Datenschutz und Technikgestaltung. Geschichte und Theorie des Datenschutzes aus informatischer Sicht und Folgerungen für die Technikgestaltung. Dissertation, HU Berlin
Pospisil B, Gusenbauer M, Huber E, Hellwig O (2017) Cyber-Sicherheitsstrategien – Umsetzung von Zielen durch Kooperation. DuD 41(10):628–632
Raabe O, Schallbruch M, Steinbrück A (2018) Systematisierung des IT-Sicherheitsrechts. CR 34(11):706–715
Rid T, Buchanan B (2015) Attributing cyber attacks. J Strateg Stud 38:4–37
Roßnagel A (2015) Das IT-Sicherheitsgesetz. DVBl 130(19):1206–1212
Ruhmann I, Bernhardt U (2017) Der EuGH-Entscheid als Anstoß für mehr Rechtssicherheit in der IT-Sicherheit. DuD 41(1): 34–38
Schallbruch M (2017a) IT-Sicherheitsrecht – Schutz kritischer Infrastrukturen und staatlicher IT-Systeme, Zur Entwicklung des IT-Sicherheitsrechts in der 18. Wahlperiode (Teil 1). CR 33(10):648–656
Schallbruch M (2017b) IT-Sicherheitsrecht – Schutz digitaler Dienste, Datenschutz und Datensicherheit (Folge 2). CR 798–804
Schallbruch M (2018) IT-Sicherheitsrecht – Abwehr von IT-Angriffen, Haftung und Ausblick, Zur Entwicklung des IT-Sicherheitsrechts in der 18. Wahlperiode (Folge 3). CR 34(4):215–224
Schneider F (2017) Meldepflichten im IT-Sicherheitsrecht. Nomos, Baden-Baden
Sparenberg M, Pohlmann N (2018) Cybersecurity made in EU. DuD 42(4):220–223
Spindler G (2016) IT-Sicherheitsgesetz und zivilrechtliche Haftung. CR 32(5):297–312
Voigt P (2018) IT-Sicherheitsrecht. Pflichten und Haftung im Unternehmen. Otto Schmidt, Köln
Weidenhammer D, Gundlach R (2018) Wer kennt den „Stand der Technik“? DuD 42(2):106–110
Wiater P (2013) Sicherheitspolitik zwischen Staat und Markt. Nomos, Baden-Baden
Wischmeyer T (2017) IT-Sicherheitsgesetz und NIS-Richtlinie als Bausteine eines Ordnungsrechts für die Informationsgesellschaft. DV 50:155–188
Wischmeyer T (2018) Art. 91c GG. In: von Mangoldt/Klein/Starck. Grundgesetz. Bd 3. 7. Aufl. C.H. Beck, München
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2020 Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature
About this chapter
Cite this chapter
Wischmeyer, T., Mohnert, A. (2020). Recht der Informationssicherheit. In: Frenz, W. (eds) Handbuch Industrie 4.0: Recht, Technik, Gesellschaft. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-58474-3_12
Download citation
DOI: https://doi.org/10.1007/978-3-662-58474-3_12
Published:
Publisher Name: Springer, Berlin, Heidelberg
Print ISBN: 978-3-662-58473-6
Online ISBN: 978-3-662-58474-3
eBook Packages: Social Science and Law (German Language)