Obama will mehr Sicherheit im Netz

usa 05
News

Die Cyber-Attacke auf Sony Pictures im November, deren Ausmaß in den USA alle bisherigen Angriffe auf Infrastrukturen in den Schatten stellt, ist auch ein Grund dafür, dass Präsident Barack Obama um die Sicherheit des Internets besorgt ist. Heute legt er dem Kongress einen umfangreichen Gesetzesentwurf vor, der durchaus Parallelen zum Entwurf des deutschen IT-Sicherheitsgesetzes aufweist.

Datenschutz ist auch ein Thema

Obamas Entwurf sieht eine Reihe von technischen Maßnahmen vor und solche zum Schutz der Privatsphäre, die unserem Verständnis von Datenschutz sehr nahe kommen. Wie die New York Times meldet, soll unter anderem die Verbreitung von Botnets unter Strafe gestellt werden und Infrastrukturen, von denen die Verbreitung ausgeht, sollen per richterlichem Beschluss abgeschaltet werden können. Es gibt sogar einige Schritte in Richtung Datenschutz, wie der Spiegel meldet: Besonderen Schutz sollen Schüler und Studenten erhalten, deren persönlichen Daten nämlich nicht an Dritte verkauft werden könnten, wenn es nicht um Zwecke der Ausbildung geht.

Security Breach Notification

Der Schutz personenbezogener Daten ist in den Vereinigten Staaten nicht durch ein einheitliches Gesetz geregelt, sondern durch eine Vielzahl von Vorschriften für einzelne Teilbereiche. Für Finanzdienstleister gilt z.B. der Gramm-Leach-Bliley Act (GLBA), es gibt den den Children’s Online Privacy Protection Act (COPPA, deutsch: „Gesetz zum Schutz der Privatsphäre von Kindern im Internet“) und im Bereich Krankenversicherung den Health Insurance Portability and Accountability Act (HIPAA).

Das wichtigste Instrumentarium zum Schutz von Daten bildet in den USA die Security Breach Notification: Bei einem unbefugtem Zugriff auf personenbezogene Daten sind die Betroffenen zu benachrichtigen, wenn ein Missbrauch der Daten eingetreten oder nach vernünftigen Maßstäben möglich erscheint.

Die Regelungen zu der Security Breach Notification sind in einigen Bundesgesetzen enthalten, vor allem aber in den jeweiligen Gesetzen der US-Bundesstaaten und daher sehr uneinheitlich. Obamas Gesetzesinitiative dient der Vereinheitlichung und sieht laut Spiegel vor, dass Unternehmen ihre Kunden im Fall eines Datenabflusses oder Hackerangriffs binnen 30 Tagen informieren müssen.

Ansätze zu einer solchen Benachrichtigungspflicht gibt es auch im deutschen IT-Sicherheitsgesetz, wonach zumindest Telekommunikationsanbieter (Provider) verpflichtet wären, Kunden über IT-Sicherheitsvorfälle zu benachrichtigen. Der neue § 109a Abs. 4 Telekommunikationsgesetz verpflichtet sogar zu Informationen über die Beseitigung von Störungen: „Soweit technisch möglich und zumutbar, müssen die Nutzer auf angemessene, wirksame und zugängliche technische Mittel hingewiesen werden, mit deren Hilfe die Nutzer Störungen, die von ihren Datenverarbeitungssystemen ausgehen, erkennen und beseitigen können.

Meldung an Behörden

Zu den zentralen Sicherheitsmaßnahmen beider Gesetze gehört der Austausch von Informationen darüber, wie die Angriffe auf IT-Systeme ausgeführt wurden. Daher müssen nach dem Entwurf des § 8b Abs. 4 BSI-Gesetz Betreiber kritischer Infrastrukturen schwerwiegende Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse unverzüglich an das Bundesamt für Informationssicherheit melden.

Die entsprechende Regelung in dem US-amerikanischen Entwurf sieht eine Meldung an die Heimatschutzbehörde (Department of Homeland Security) vor. Diese Behörde würde sie Informationen an andere Behörden weiterleiten, die wiederum interessierte Unternehmen informieren würde.

Den Kern des Gesetzesentwurfs aus den USA macht eine Haftungsfreistellung aus, die es in Deutschland nicht geben wird. Unternehmen sollen nach den Plänen der Regierung von der Haftung freigestellt werden, wenn sie einen Sicherheitsvorfall melden, wie unter anderem von der Washington Post berichtet wird.

Werden die Gesetze verabschiedet?

Es gibt noch eine Parallele zwischen der US-amerikanischen und der deutschen Gesetzesinitiative. Ähnliche Initiativen sind in beiden Ländern vor nicht allzu langer Zeit schon einmal gescheitert. Wegen des Widerstands aus dem FDP-geführten Wirtschaftsministerium zeichnete sich im Jahr 2012 ab, dass die damalige Bundesregierung den Entwurf des Innenministeriums nicht einmal ins Parlament einbringen würde. Und ein Jahr zuvor scheiterte der erste Entwurf der Obama-Regierung am Wiederstand des Senats.

Der neue Vorstoß der deutschen Regierung wird von der gesamten Koalition getragen, insofern sieht es ganz gut aus. Aber in den USA haben Obamas Demokraten sowohl im Senat als auch im Repräsentantenhaus die Mehrheit verloren. Um den Republikanern die Dringlichkeit des Problems zu vergegenwärtigen, wäre es also ganz hilfreich, wenn Kim Jong Un noch einmal seine Hacker von der Leine lassen würde …

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.