GlobalSign Blog

25 Jan 2019

Cybersicherheitsgesetze verstehen: diese vier gesetzlichen Bestimmungen sollten Sie kennen

Cybersicherheit war in der Vergangenheit kein großes Thema für Geschäftsinhaber. Heutzutage aber bestimmt das Internet über viele Unternehmensaktivitäten.

Manche Unternehmen agieren ausschließlich online und selbst solche die es üblicherweise nicht tun, binden das Internet meist auf irgendeine Weise in ihre Abläufe ein – sei es im Kundenmarketing oder um Daten richtig zu erfassen.

Wenn die Unternehmensführung die relevanten Cybersicherheitsgesetze für ihre Abläufe nicht versteht, kann dies erhebliche Strafzahlungen zur Folge haben. Es können außerdem hohe Kosten entstehen, wenn Aufsichtsbehörden Defizite feststellen und Maßnahmen eingeführt werden müssen, um konform zu werden. Der erste Schritt, um diese Probleme zu vermeiden ist Kenntnis der Rechtslage. Es folgen vier unabhängige Gesetze, die es sich lohnt zu verstehen.

1. Nationale US-Cybersicherheitsgesetze

Es mag wohl überraschen, dass es bisher keine übergreifenden nationalen Cybersicherheitsgesetze in den Vereinigten Staaten gibt. Aber das bedeutet noch lange nicht, dass Unternehmen sich nicht an Cybersicherheitsstandards halten müssen. Das liegt daran, weil einige Einrichtungen, die bestimmte Dienste anbieten, sich trotzdem an die jeweiligen gesetzlichen Vorgaben halten müssen. So müssen sich zum Beispiel Regierungsauftragnehmer an bestimmte Regeln halten.

Seit dem 31. Dezember 2017 müssen alle Auftragnehmer des Verteidigungsministeriums (Department of Defense, DoD) sich an die Anforderungen dieser Organisation halten. Wenn dem nicht so ist, laufen sie Gefahr den Auftrag zu verlieren oder sie müssen Arbeitsaufträge so lange einstellen, bis belegt wird, dass sie die Konformitätsanforderungen erfüllen.

Mit einer laxen Einstellung in Bezug auf Cybersicherheit ist es außerdem außergewöhnlich schwierig wettbewerbsfähig bei neuen Auftragsausschreibungen zu bleiben. Repräsentanten des DoD wissen, dass sie unzureichende Cybersicherheit anfällig für Angriffe macht. Da Auftragsnehmer oft mit vertraulichen Informationen umgehen, ist dies besonders gefährlich.

In einer der Cybersicherheitsregeln vom DoD geht es um die DFARS Klausel. Sie bestimmt, wie die Informationen von Regierungseinheiten, die unter Verschluss stehen (Controlled Unclassified Information, CUI) handgehabt werden müssen. Dazu gehören zum Beispiel Dokumente mit Informationen über Gesundheit, Informationen über Gerichtsverfahren oder urheberrechtliches Material.

Im Januar 2018 hat die General Services Administration (GSA) bekanntgegeben, dass neue Richtlinien für Auftragnehmer geplant sind, einschließlich Bestimmungen zur Datenverwaltung und wie schnell Datenverletzungen gemeldet werden müssen. Sobald die Regeln final und veröffentlicht sind, bieten sie einheitliche Cybersicherheitsempfehlungen für Regierungsbehörden.

Auch außerhalb der US-Regierung findet man einige Branchen, die Regeln für die Datenverwaltung haben. Zum Beispiel wird das Gesundheitswesen von Bundesverordnungen zur Verwaltung von Patientendaten bestimmt. Je nachdem wie stark das Gesetz verletzt wurde, können Strafen für Zivilsachen schnell mehr als eine Millionen Dollar ausmachen. Ein strafbarer Verstoß gegen die Gesundheitsdatengesetze kann zusätzlich zu bis zu 10 Jahren Haftstrafe führen.

2. Sicherheitsvorschriften in den einzelnen US-Staaten

Es liegt an den Unternehmen selbst sich mit den relevanten Cybersicherheitsgesetzen im jeweiligen US-Staat vertraut zu machen. Viele legen fest, wie Daten gesammelt werden dürfen und in welchem Zeitrahmen und über welche Methoden Kunden informiert werden müssen, falls Daten kompromittiert werden.

Einige Staaten haben besonders strenge Cybersicherheitsgesetze, wie zum Beispiel New York für die Finanzbranche. Es wird kritisiert, dass keine eindeutigen Strafen bei Nicht-Einhaltung festgelegt sind. Unternehmen werden Strafen auferlegt, aber Details darüber hinaus sind rar.

Wenn Unternehmen in mehreren Staaten aktiv sind – falls sie zum Beispiel online tätig sind – dann müssen sie sich bewusst machen, dass sie sich an die Cybersicherheitsgesetze der verschiedenen Orte halten müssen. Es wird außerdem versucht die Vorschriften strenger zu gestalten. Kalifornien wird ab Januar 2020 sein Datenschutzgesetz einführen. Das Gesetz gibt Menschen mehr Kontrolle über die Informationen, die von Unternehmen gesammelt werden.

Kunden können außerdem Unternehmen dazu zwingen ihre Informationen zu löschen. Unternehmen dürfen Kunden nach einem Optout keinen minderwertigeren Service bieten.

3. Die Datenschutz-Grundverordnung (DS-GVO)

Die Datenschutz-Grundverordnung (DS-GVO) trifft auf alle Mitgliedsländer der Europäischen Union zu, sowie Unternehmen, die zwar anderweitig ansässig sein mögen, aber ihre Dienste den Menschen in der Europäischen Union anbieten. Viele Bestimmungen der DS-GVO sind auch in Kaliforniens Gesetzen zu finden. Aber die DS-GVO ist noch ausführlicher als die Anforderungen des US-Staates.

Verschiedene Faktoren, wie die Anzahl an betroffenen Leuten und die Handlungen, um Schaden zu verringern, bestimmen wie hoch die Strafen für Missachtung der DS-GVO ausfallen. Die maximale Strafe kann aber bei bis zu 10 Millionen Euro liegen, bzw. 2 Prozent des weltweit jährlichen Umsatzes.

Wenn Unternehmen die Cybersicherheitsgesetze nicht kennen, kann dies zu finanziellen Schäden und Ansehensverlust führen. Daher ist es unabdingbar, dass das Unternehmen bei Compliance mit an Bord ist.

In letzter Zeit hat die DS-GVO aufgrund der Einführung im Mai 2018 viel Berichterstattung erfahren. Aber es handelt sich dabei nicht um eine einzelne vom Bund eingeforderte Cybersicherheitsbestimmung. Zum Beispiel hat Kanada seit April 2000 das Gesetz ‘Personal Information Protection and Electronic Documents Act’ (PIPEDA). Es trifft auf Unternehmen in Privatsektoren zu und bestimmt, wie für kommerzielle Zwecke gesammelte Daten zu verwalten sind.

4. Kaliforniens Gesetzentwurf SB-327 für IoT-Sicherheit

Das Internet of Things (IoT) umfasst mit dem Internet verbundene Geräte und einige Leute haben zu Recht kritisiert, dass sich die Gerätehersteller nicht hinreichend für Cybersicherheit interessieren. In Kalifornien wurde jedoch vor Kurzem ein Gesetzentwurf verfasst, um dies zu ändern. Kaliforniens IoT-Gesetzentwurf SB-327 tritt ab 1. Januar 2020 in Kraft, am gleichen Tag wie das bereits genannte Datenschutzgesetz.

Es legt Sicherheitsstandards für mit dem Internet verbundene Geräte fest. Jedes Gerät muss zum Beispiel ein eigenes Passwort haben, oder der Benutzer muss eins bei der Einrichtung des Geräts erstellen, statt sich auf generische Passwörter zu verlassen, die Hacker leicht erraten können.

Obwohl sich SB-327 nur auf Kalifornien beschränkt ist es doch wahrscheinlich, dass die Auswirkungen weitreichender sind. Es ist nicht praktikabel ein IoT-Gerät zu entwickeln, das manchmal den Kalifornischen Standards entspricht und manchmal nicht.

Es ist am kosteneffektivsten alle IoT-Geräte so herzustellen, dass sie mit den kalifornischen Gesetzen konform sind. So sind Unternehmen auch besser vorbereitet, sollten andere Staaten dem Vorbild Kaliforniens folgen.

Neben Kalifornien wurden weitere Gesetzesentwürfe im Kongress vorgestellt, sie haben es aber noch nicht bis zur Abstimmung geschafft. Allein die Tatsache, dass sich die Gesetzgeber auf Bundesebene mit IoT-Sicherheit beschäftigen deutet aber darauf hin, dass ein bundesweites Gesetz folgen könnte. Vor allem da IoT-Geräte sich immer weiter ausbreiten.

Unternehmen müssen die notwendigen Schritte einleiten, um konform zu sein

Es ist zu früh, um abzuschätzen welche Strafen auf Unternehmen zukommen, die nicht mit den zukünftigen Gesetzen in Kalifornien konform sind. Doch bestehende Gesetze bestrafen Unternehmen, die nicht konform sind, schon jetzt auf strengste Weise. Es ist nicht nur wichtig die Grundlagen der hier erwähnten Gesetze für Cybersicherheit zu verstehen, Unternehmen müssen auch so bald wie möglich feststellen, ob sie diese Anforderungen erfüllen.

Sobald ein Compliance-Plan herausgearbeitet ist, müssen Unternehmen Cybersicherheit kontinuierlich priorisieren. Egal welche Gesetze in Zukunft entstehen, Unternehmen tun gut daran, sich an den bereits bestehenden zu orientieren und so möglicherweise schädigende Auswirkungen zu verhindern, die im Falle von Nichteinhaltung entstehen.

Artikel teilen