1. Funktion des Begriffs der IT- Sicherheit
Einen Blog über das Thema IT- Sicherheit mit der Feststellung zu beginnen, dass es keine gesetzliche Definition für den Begriff IT- Sicherheit gibt, hat sicher einen Geschmack.
Kurz und trocken ausgedrückt, soll IT- Sicherheit bewirken, dass die IT- Services, wie beabsichtigt, funktionieren und die mit den Services verarbeiteten Daten nicht unzulässig ausgelesen oder manipuliert werden dürfen.
Die Besetzung des Begriffes kann abgeleitet werden aus der DSGVO.
Unter Art. 5 lit. f DSGVO heißt es, dass personenbezogene Daten (pbzD)
„in einer Weise verarbeitet werden (müssen), die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“) (gewährleistet);“
Im Art 32 Abs. 1 und Abs. 2 DSGVO heißt es dann ganz ausdrücklich:
„(1) ….. treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, ….; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von, beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“
Diese Regelungen treffen die beabsichtigte Funktion des Begriffs IT- Sicherheit gut, wenn man berücksichtigt, dass es bei unserer Beschreibung der IT- Sicherheit nicht nur um personenbezogene Daten, sondern um Daten allgemein geht, also auch Betriebs- und Geschäftsgeheimnisse von dem Begriff umschlossen sein sollen.
Danach dient der Begriff der IT- Sicherheit der Beschreibung von Maßnahmen, die dazu dienen, dass
IT- Services wie beabsichtigt verfügbar sind und im Falle einer Störung möglichst schnell wieder zur Verfügung gestellt werden können; und die mit den Services verarbeiteten Daten gegen unbeabsichtigte Zugriffe und Manipulation geschützt und, wie beabsichtigt, verfügbar sind.
2. Stand der Technik
Über den Begriff „Stand der Technik“ habe ich an anderer Stelle ausführlich berichtet.
An dem Inhalt dieses Blogs hat sich nichts geändert.
Mit dem Begriff „Stand der Technik“ will der Gesetzgeber ausdrücken, dass der Verantwortliche technische und organisatorische Maßnahmen ergreift, die nach einem profunden Wissensschatz unter den Anwendern als vernünftige Maßnahme angesehen werden. Die Grenze zu dem Punkt, der nicht als Stand der Technik angesehen wird, wäre immer dann erreicht, wenn die Mehrzahl von IT- Unternehmen mit ähnlicher Ausrichtung und ähnlichem Kundenstand sagen würde: „Davon würden wir zum aktuellem Stand nicht raten, das erscheint uns als nicht angemessen.“ In der Praxis finden solche Befragungen jedoch nicht statt.
Sofern es mit den Kunden oder Versicherungen zum Streit kommt, geht man zum Gericht. Und dieses Gericht schaltet mangels eigener Sachkunde einen Sachverständigen ein. Dessen Aussage darüber, ob die getroffenen Maßnahmen nachträglich als noch vernünftige Maßnahme zur Wahrung der IT- Sicherheit qualifiziert werden können, entscheidet den Prozess.
Damit lebt man als Anwender immer mit einem gewissen Risiko. Aber auch im Straßenverkehr gilt, dass man immer den Umständen des Einzelfalls nach angemessen zu fahren hat.
