IT-Sicherheit: neue Pflichten für kirchliche Einrichtungen

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz - IT-SiG) ist am 25. Juli 2015 in Kraft getreten. Es handelt sich um ein Artikelgesetz, das Vorschriften in ­anderen Gesetzen ändert und er­gänzt. Diese sind: BSI-Gesetz¹, Atom­gesetz, En­ergiewirtschaftsgesetz, Telemediengesetz, Telekommunikationsgesetz, Bundesbesoldungsgesetz, Bundeskriminalgesetz sowie das Gesetz zur Strukturreform des Gebührenrechts des Bundes.

Das IT-SiG nimmt kirchliche Einrichtungen in die Pflicht beim

• Schutz Kritischer Infrastrukturen² im Gesundheitssektor und
• dem Betreiben von Websites.

Nach dem BSI-Gesetz zählt der Bereich der Gesundheit zu den Kritischen Infrastrukturen, da dieser für das Funktionieren des Gemeinwesens von hoher Bedeutung ist und besonders geschützt werden muss. Es ist zu erwarten, dass voraussichtlich auch größere kirchliche Krankenhäuser hierunter zählen werden. Allerdings lässt sich eine genaue Aussage erst nach der Verabschiedung einer Rechtsverordnung treffen. Voraussichtlich wird Ende 2016 der hier interessierende Teil der Rechtsverordnung verabschiedet. Nach Inkrafttreten der Verordnung haben die Betreiber Kritischer Infrastrukturen zwei Jahre Zeit für die Umsetzung der erforderlichen Maßnahmen.³

Einrichtungen, die als Kritische Infrastruktur eingestuft werden, haben hohe Anforderungen zu erfüllen. Sie müssen ausreichende technische und organisatorische Sicherheitsmaßnahmen nach dem Stand der Technik ergreifen und diese alle zwei Jahre überprüfen lassen. Dafür muss ein IT-Sicherheitsaudit eingeführt werden, mit dem die Einhaltung eines Mindest­niveaus der IT-Sicherheit nachgewiesen werden kann. Es besteht die Möglichkeit, dem BSI branchenspezifische Standards vorzuschlagen und zur Anwendung genehmigen zu lassen.⁴

Aus der Erfahrung, dass technische An­forderungen sich schnell entwickeln und Vorgaben des Gesetzgebers dem nachhinken, werden keine konkreten technischen Maßnahmen vorgegeben. Vielmehr sind diese je nach Fallgestaltung festzulegen. Dabei können als Stand der Technik (in­ter-)nationale Standards wie die BSI-Grundschutzkataloge oder die ISO 27001-
Reihe sowie praxiserprobte Maßnahmen herangezogen werden.⁵

Neben angemessenen technischen und organisatorischen Maßnahmen gemäß den gesetzlichen Vorgaben müssen Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI, welches künftig als zentrale Melde- und Aufsichtsstelle fungieren wird, eingerichtet werden. Die aus diesen Meldungen und aus diversen weiteren Informationen gewonnenen Er­kenntnisse stellt das BSI allen Betreibern Kritischer Infrastrukturen (KRITIS-Be­treibern) zur Verfügung, damit diese ihre IT gegen Angriffe und Ausfälle angemessen schützen können. Die Einrichtung einer Kontaktstelle, die rund um die Uhr erreichbar sein muss, ist bereits sechs Monate nach Verabschiedung der Rechtsverordnung vorzunehmen.⁶

Schutz eigener Websites und neue Meldepflichten

Wichtig ist eine Änderung in § 13 Abs. 7 des Telemediengesetzes. Die Betreiber von Internetangeboten - darunter fallen auch viele kirchliche Einrichtungen - müssen zum Schutz personenbezogener Daten technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen, die den unerlaubten Zugriff verhindern sowie Störungen durch äußere Angriffe abwehren. Mögliche Maßnahmen liegen beispielsweise darin, regelmäßig Sicherheits-Updates einzuspielen oder Websites verschlüsselt zu betreiben.

Im neuen § 109a Abs. 5 Telekommunikationsgesetz wird eine Mitteilungspflicht bei gravierenden Verstößen festgelegt.

Das IT-Sicherheitsgesetz schreibt die Meldung gravierender Verstöße an die Bundesnetzagentur vor, die dann das BSI unterrichtet.

Außerdem besteht nach dem Telemediengesetz eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Sobald Daten insbesondere zu Bankkonten oder besondere Arten personenbezogener Daten, wie beispielsweise Gesundheitsdaten oder Daten zur religiösen Mitgliedschaft, unrechtmäßig zur Kenntnis gelangen und schwere Beeinträchtigungen der Betroffenen drohen, müssen die Aufsichtsbehörde sowie die Betroffenen informiert werden.⁷

Bei festgestellten Verstößen gegen die Pflichten aus dem IT-SiG drohen neben einem Imageverlust auch erhebliche Bußgelder. Insbesondere für nicht angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik bei Webangeboten können Bußgelder von bis zu 50.000 Euro verhängt werden.⁸

Was ist zu tun?

Zählt man zu den Betreibern einer Kritischen Infrastruktur - was nach Verabschiedung der Rechtsverordnung Ende 2016 festgestellt werden kann -, so sind die Einhaltung eines Mindestniveaus für IT-Sicherheit, die Durchführung von Sicherheitsaudits und die Einhaltung der Meldepflichten innerhalb von zwei Jahren sowie die Einrichtung einer Kontaktstelle innerhalb von sechs Monaten nach Verabschiedung der Verordnung umzusetzen.

Wer keine Kritische Infrastruktur be­treibt, kann dennoch Handlungsbedarf haben: Die Anordnung über den Kirchlichen Datenschutz (KDO) verlangt für alle Einrichtungen, die personenbezogene Daten verarbeiten, bereits angemessene technische und organisatorische Maßnahmen zum Schutz dieser Daten.⁹ Dies gilt jetzt auch besonders für das Betreiben von Websites. Die betrieblichen Datenschutzbeauftragten haben auf die Einhaltung hinzuwirken und sollen dabei durch die Leitungen unterstützt werden.¹⁰

Anmerkungen
1. BSI: Bundesamt für Sicherheit in der Informationstechnik.
2. Zu den sog. Kritischen Infrastrukturen gehören neben den IT-Netzen zum Beispiel auch die Strom- und die Trinkwasserversorgung.
3. Siehe IT-SiG Art. 1, Änderung des BSI-Gesetzes, insbesondere 2. § 2 (10) und 7. § 8a sowie § 8c - darin werden kleine und mittlere Unternehmen ausgenommen.
4. Siehe IT-SiG Art 1, Änderung des BSI-Gesetzes, insbesondere 7. § 8a.
5. Siehe BSI: Häufige Fragen und Antworten (FAQ) zu § 8a BSIG im Rahmen der Orientierungshilfe B3S V0.9, 30.11.2015, Download: www.kritis.bund.de, Suchwort: "B3S".
6. Siehe IT-SiG Art 1, Änderung des BSI-Gesetzes, 7. § 8b; siehe www.bmi.bund.de/cae/servlet/contentblob/544770/publicationFile/27031/kritis.pdf
7. Telemediengesetz "§ 15a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Stellt der Dienstanbieter fest, dass bei ihm gespeicherte Bestands- oder Nutzungsdaten unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers, gilt § 42a des BDSG entsprechend."
Damit liegt hier der Fall vor, dass über eine bereichsspezifische Norm (Telemediengesetz) auf eine Bestimmung des Bundesdatenschutzgesetzes (BDSG) verwiesen wird und das BDSG anzuwenden ist.
8. Siehe IT-SiG, Art. 4, Änderung des Telemediengesetzes, 2. § 16 (2) Nr. 3 die Aufnahme von § 13 (7) Nr. 1 und Nr. 2a.
9. KDO § 6.
10. KDO §§ 20 f.; zur Notwendigkeit, betriebliche Datenschutzbeauftragte zu bestellen, siehe Fachet, S.: Tätigkeitsbericht vom 15.9.2015, Nr. 13.2 (zu beziehen per E-Mail beim Autor, s.u.).