10 Mai

IT Sicherheitsgesetz 3.5 – Aus gegebenem Anlass … wieder einmal

Sicherheitsgesetz
IT Sicherheitsgesetz 3.5 – Aus gegebenem Anlass … wieder einmal

Der vierte Artikel dieser Serie, der sich mit der potentiellen Interaktion zwischen IT-Sicherheitsgesetz und dem (österreichischen) Datenschutzrecht beschäftigen soll, steht bereits in den Startlöchern, als uns einmal mehr die aktuellen Geschehnisse überholt haben und Anlass zu diesem Zwischenspiel geben.

Wie bereits im zweiten Teil dieser Artikel-Reihe beleuchtet, ergibt sich aus dem deutschen IT-SicherheitsG nicht im Detail, was eigentlich als kritische Infrastruktur zu verstehen ist. Wie dort ebenfalls angemerkt, ist – oder besser: war – eine Verordnung in Arbeit, die eben diese Lücke füllen sollte und die Definition von kritischen Infrastrukturen erleichtern sollte.

Wie nun etwa heise.de in der News-Meldung vom 03.05.2016 mitteilt, ist der Vorschlag der Verordnung vom deutschen Gesetzgeber mit gleichem Datum in Kraft getreten. Anhand dieser ist es nun auch möglich mittels der in der Verordnung aufgelisteten Kriterien in den verschiedenen potentiell betroffenen Bereichen konkret zu ermitteln, ob der jeweilige Betrieb als kritische Infrastruktur zu sehen ist und daher dem IT-Sicherheitsgesetz unterfällt.

Natürlich erleichtert dies im Einzelfall nur wenig, da sich Kriterien – wie bereits im zweiten Artikel beschrieben – etwa auf Output-Leistungen und Verbrauchswerte abstellen. Ohne einen gewissen Aufwand wird es sohin auch hier nicht getan sein.

Interessant ist überdies, dass auch Einrichtungen wie Serverfarmen oder Rechenzentren, je nach Kapazität, als kritische Infrastruktur gelten können und sohin bei Sitz in Deutschland durch das IT-SicherheitsG erhöhte Sorgfalts- und Informationspflichten treffen.

Der Text der in Kraft getretenen Verordnung entspricht im Übrigen de facto jenem des Entwurfes mit lediglich geringen Umformulierungen. In Anbetracht dessen, dass ein ähnliches Gesetzesvorhaben in Österreich immer wahrscheinlicher wird, empfiehlt es sich bereits jetzt auf die deutsche Rechtslage zu achten und festzustellen, ob der eigene Betrieb nicht ebenfalls potentiell als kritische Infrastruktur gelten könnte.

#IT-Sicherheitsgesetz #ITRecht #kritischeInfrastruktur

Links:
IT-Sicherheitsgesetz Teil1
IT-Sicherheitsgesetz Teil2
IT-Sicherheitsgesetz Teil3

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist derzeit Rechtsanwaltsanwärter am Ende seiner Ausbildung bei der Rechtsanwaltskanzlei Mag. Bonelli in Wels, Vortragender zum Thema Internetrecht sowie begeisterter User neuer Technologien.
09 Feb

2016 das Jahr der Hacker

mask2

2016 – das Jahr der Hacker

Das Jahr 2016 ist noch jung und dennoch mehren sich bereits jetzt die Berichte über Cyber-Attacken gegen Unternehmen und andere Einrichtungen. Wie etwa Futurezone berichtet hat, wurden derartige Hacks einerseits gegenüber dem Telekommunikationsanbieter A1 und andererseits gegenüber dem Wiener Volkshochschulen durchgeführt.

Fast gebetsmühlenartig wurde seitens der beiden Opfer versichert, dass keine problematischen Daten hinsichtlich der jeweiligen Kunden in Gefahr seien, jedoch hatte man als Kunde von A1 offenbar zumindest Verbindungsprobleme. Jedenfalls mittelbar waren also nicht nur die Unternehmen selbst betroffen, sondern auch die Benutzer der  A1 Dienste.

Wie bereits im ersten Artikel behandelt, begegnete man in Deutschland solchen vermehrten Angriffen mit der Schaffung eines eigenen IT-Sicherheitsgesetzes, welches Standards schaffen soll und überdies durch Zusammenarbeit der Behörden mit den Unternehmern einen besseren Schutz schaffen soll.
Geht man von dem deutschen IT-Sicherheitsgesetz aus, so kann man unter Umständen bei den Wiener Volkshochschulen noch diskutieren, ob es sich um ‚kritische Infrastruktur‘ handelt, ein Telekommunikationsanbieter wie A1 hingegen fällt schon mit ziemlicher Sicherheit in den Anwendungsbereich.

Spätestens durch die genannten Angriffe wird klar, dass derartige Vorfälle nicht nur Realität sind und in Zukunft auch zunehmen werden, sondern auch, dass die User nicht vollkommen außer Acht gelassen werden können. Denn letztlich zielen Hacks zumeist darauf ab, Daten auszulesen und zu erbeuten. Und gerade User-Daten sind wertvoller als man annehmen möchte, können sie doch beispielsweise wieder für Phishing-Versuche und Ähnliches verwendet werden.

Der österreichische Gesetzgeber hat immerhin einen ersten Schritt in die (richtige) Richtung genommen, als durch das Strafrechtsänderungsgesetz 2015 mit 1.1.2016 durch den neuen § 118a StGB das Hacking unter Strafe gestellt wurde. Thematisch wird das neue Delikt dabei in den Bereich Verletzungen der Privatsphäre und bestimmter Berufsgeheimnisse eingeordnet.
Doch ungeachtet dessen wäre es sinnvoll, wenn zusätzlich der Weg des deutschen Gesetzgebers gegangen werden und einheitliche Standards geschaffen würden. Denn nur in Kombination aus Prävention bei den potentiellen Opfern und Verfolgung der Täter kann ein tragfähiges Sicherheitsnetz zur Abwehr von Cyber-Attacken geschaffen werden.

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist derzeit Rechtsanwaltsanwärter am Ende seiner Ausbildung bei der Rechtsanwaltskanzlei Mag. Bonelli in Wels, Vortragender zum Thema Internetrecht sowie begeisterter User neuer Technologien.