{"id":10723,"date":"2017-02-28T12:13:34","date_gmt":"2017-02-28T11:13:34","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=10723"},"modified":"2017-02-24T10:20:58","modified_gmt":"2017-02-24T09:20:58","slug":"die-auswirkungen-des-neuen-it-sicherheitsgesetzes-und-andere-rechtlicher-grundlagen-auf-bcdr","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=10723","title":{"rendered":"Die Auswirkungen des neuen IT Sicherheitsgesetzes und andere rechtlicher Grundlagen auf BC\/DR"},"content":{"rendered":"

Autor\/Redakteur: Andreas Mayer, Zerto<\/a>\/gg<\/p>\n

Neben dem recht neuen IT-Sicherheitsgesetz (IT SiG) gibt es diverse andere nationale wie internationale Gesetze, die die Verf\u00fcgbarkeit und die Wiederherstellung von Daten regeln. Das Nichteinhalten dieser Gesetze kann zum Teil empfindliche Strafen nach sich ziehen, die nicht nur das IT-Personal, sondern auch das Unternehmensmanagement betreffen k\u00f6nnen. Die IT-Sicherheit vieler Unternehmen und Organisationen ben\u00f6tigt vielerorts noch dringende Anpassungen der IT hinsichtlich Datenverf\u00fcgbarkeit und Datensicherheit, um geltendem Recht zu entsprechen. Welche Gesetze gibt es, welche Strafen drohen und welche technischen L\u00f6sungen sind notwendig, um auf der sicheren Seite zu sein und volle Sicherheit in einer virtualisierten Welt zu garantieren? Ein detaillierter \u00dcberblick.<\/p>\n

<\/p>\n

Das neue IT Sicherheitsgesetz \u2013 Was steckt dahinter?<\/strong><\/p>\n

Das IT SiG ist seit dem Sommer 2015 in Kraft und soll dazu dienen, die allgemeine Sicherheit von IT-Systemen zu erh\u00f6hen. Es ist f\u00fcr bestimmte Branchen g\u00fcltig und enth\u00e4lt vielf\u00e4ltige Verpflichtungen hinsichtlich der Sicherheit von Systemen und Daten. So sind beispielsweise Anbieter von Telemediendiensten jetzt zur Umsetzung von Sicherheitsma\u00dfnahmen nach dem jeweils aktuellen Stand der Technik verpflichtet. Zu dieser Gruppe geh\u00f6ren fast alle nicht dem rein privaten Bereich zuzuordnenden Internet-Angebote, wie Webshops, Online-Auktionsh\u00e4user, Suchmaschinen, E-Mail-Dienste, Informationsdienste, Podcasts, Chatrooms, Social Communities, Webportale und Blogs. Die wichtigsten Regelungen umfassen die „technischen Sicherungspflichten f\u00fcr Telemediendiensteanbieter im reformierten Telemediengesetz (TMG) und die technischen Mindestanforderungen und Meldepflichten zu IT-Sicherheitsvorf\u00e4llen f\u00fcr die Betreiber kritischer Infrastruktureinrichtungen (KRITIS) im neuen Gesetz \u00fcber das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI-Gesetz \/BSIG).“ Es ist also zuerst einmal wichtig zu wissen, wer denn eigentlich ein Betreiber einer kritischen Infrastruktur, kurz KRITIS, ist.<\/p>\n

Betreibern kritischer Infrastrukturen drohen bei Verschulden hohe Strafen<\/strong><\/p>\n

Betreiber kritischer Infrastrukturen sind generell Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ern\u00e4hrung sowie Finanz- und Versicherungswesen. Es geht also um Infrastrukturen, die von gro\u00dfer Bedeutung f\u00fcr das Gemeinwesen sind, weil St\u00f6rungen oder deren Ausfall zu gravierenden Versorgungsengp\u00e4ssen oder Gef\u00e4hrdungen der \u00f6ffentlichen Sicherheit f\u00fchren w\u00fcrden. KRITIS-Betreiber sind verpflichtet, entsprechende Ma\u00dfnahmen zu ergreifen, die ihre IT inklusive der zugeh\u00f6rigen Prozesse vor St\u00f6rungen sch\u00fctzt oder die St\u00f6rung mit Mitteln zu beseitigen, die dem „Stand der Technik“ gerecht werden. Dazu kommen bei Sicherheitsvorf\u00e4llen noch gewisse Meldepflichten beim Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI). Bei Verst\u00f6\u00dfen gegen die Vorschriften k\u00f6nnen\u00a0Bu\u00dfgelder bis zu 100.000 Euro verh\u00e4ngt werden.<\/p>\n

Um nicht mit einem Schlag die meisten Betreiber kritischer Systeme in eine legale Grauzone zu bringen, bekommen diese vom Tag des Inkrafttretens der neuen Gesetzgebung zwei Jahre Zeit, passende L\u00f6sungen einzuf\u00fchren, um den Verpflichtungen des Gesetzes nachzukommen. Anschlie\u00dfend m\u00fcssen alle betroffenen Organisationen gegen\u00fcber dem BSI mindestens alle zwei Jahre nachweisen, dass Ihre IT den Bestimmungen gerecht wird. Da die Ma\u00dfnahmen kein eigenst\u00e4ndiges Gesetz als solches, sondern eher die Erweiterungen bereits bestehender Gesetzgebung sind, gilt die Neuregelung f\u00fcr Telekommunikations- und Telemedienanbieter bereits heute.<\/p>\n

<\/p>\n

Gesetze, Gesetze, Gesetze: Weitere rechtliche Grundlagen au\u00dferhalb des IT SiG<\/strong><\/p>\n

Rechtliche Grundlagen f\u00fcr Unternehmen und Organisationen, die nicht unter das IT SiG fallen, sind ebenfalls vorhanden und vielf\u00e4ltig. So gibt es zur Datensicherheit im Disaster-Fall das Bundesdatenschutzgesetz (BDSG), das im BDSG \u00a7 9 regelt, dass alle Organisationen, die mit personenbezogenen Daten zu tun haben, entsprechende technische und organisatorische Ma\u00dfnahmen treffen m\u00fcssen, die den Anforderungen des BDSG gerecht werden. Dazu z\u00e4hlt auch ein geeignetes Disaster-Recovery-Konzept vorweisen zu k\u00f6nnen. Dieses muss sicherstellen, dass Daten auch dann nicht verloren gehen, wenn diese versehentlich zerst\u00f6rt oder gel\u00f6scht werden, zum Beispiel durch menschliches Versagen.<\/p>\n

Wichtige Systeme, wie etwa ERP, m\u00fcssen nach einem Disaster umgehend wieder mit aktuellen Daten laufen. Nur bei weniger wichtigen Daten und Applikationen wird mehr Zeit einger\u00e4umt. Ein zeitgem\u00e4\u00dfes BC\/DR-Konzept muss dokumentiert sein und auch regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden.<\/p>\n

Zum neuen IT SiG und dem BDSG \u00a7 9 kommen noch weitere rechtliche Grundlagen f\u00fcr die Sicherung und Aufbewahrung von Daten hinzu, die es ebenfalls zu ber\u00fccksichtigen gilt. Dazu geh\u00f6ren das Handelsgesetzbuch (\u00a7\u00a7 257, 239 Abs. 4 HGB) und die Abgabenordnung (\u00a7\u00a7 146 Abs. 5, 147 AO) in Verbindung mit den Grunds\u00e4tzen zur ordnungsm\u00e4\u00dfigen F\u00fchrung und Aufbewahrung von B\u00fcchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD von 2014), die f\u00fcr alle Buchf\u00fchrungspflichtige g\u00fcltig sind.<\/p>\n

F\u00fcr diejenigen, die unter keine branchenspezifischen Vorschriften fallen, gelten die handels- und steuerrechtlichen Regularien f\u00fcr die Verf\u00fcgbarkeit, Sicherheit, Integrit\u00e4t und Auffindbarkeit der Daten. Die IT-Systeme m\u00fcssen gegen Datenverlust und unberechtigten Zugriff oder Ver\u00e4nderungen gesch\u00fctzt sein. Dar\u00fcber hinaus gibt es sogar noch internationale Regelungen auf europ\u00e4ischer Ebene, die es zu beachten gilt.<\/p>\n

Outsourcing sch\u00fctzt nicht vor Haftung. Wie sieht die derzeitige Rechtsprechung aus?<\/strong><\/p>\n

Die IT-Sicherheit hinsichtlich der Unternehmensdaten geh\u00f6rt aus Sicht der Rechtsprechung zu den „…unternehmerischen Selbstverst\u00e4ndlichkeiten im Zeitalter digitaler Datenverarbeitung… Die Arbeitsgerichtsbarkeit wertet das betriebliche Interesse an Datensicherheit als Rechtsgut, das h\u00f6her zu werten ist als das der unternehmerischen Mitbestimmung. Nicht zuletzt das h\u00f6chste deutsche Zivilgericht, der Bundesgerichtshof, sieht die Sicherheit der Kommunikation als Compliance-relevante Verpflichtung an. Unternehmenskritische \u2013 und insbesondere auch beweiserhebliche \u2013 Dokumente m\u00fcssen aus Gr\u00fcnden der Rechtssicherheit und Beweisf\u00fchrung vorgehalten werden. Wird dies nicht erm\u00f6glicht, kann ein Prozess bereits unter blo\u00dfen Beweislastgesichtspunkten wegen „Beweisf\u00e4lligkeit“ verloren gehen.“ („Das neue IT-Sicherheitsgesetz: Erweiterte Rechtspflichten und potenzielle Haftungsfallen des modernen IT-Sicherheitsmanagements“, Whitepaper, Dr. Jens B\u00fccking, Seite 12).<\/p>\n

Wichtig ist in diesem Zusammenhang, dass durch Outsourcing, zum Beispiel an Cloud Provider, die haftungsrechtliche Verantwortung hinsichtlich der IT-Sicherheit nicht oder nicht komplett abgegeben werden kann. Je nach Fall kann die beauftragende Organisation zu 100 Prozent in der Haftung bleiben, obwohl der Fehler beim Outsourcer geschehen ist.<\/p>\n

Sanktionen gegen die entsprechenden Gesetzesgrundlagen k\u00f6nnen je nach Vorfall, Auswirkung und Schweregrad sehr teuer werden und auch das Management kann pers\u00f6nlich haftbar gemacht werden. Vers\u00e4umnisse beim IT-Risikomanagement k\u00f6nnen zudem zum Verlust des Versicherungsschutzes f\u00fchren. Mangelnde IT-Compliance ist als Erh\u00f6hung der versicherten Gefahr zum Beispiel in der IT-Coverage und in der Director\u2019s and Officer\u2019s-Versicherung anzeigepflichtig.<\/p>\n

<\/p>\n

Synchrone Spiegelung bietet alleine keine Rechtsicherheit<\/strong><\/p>\n

Business Continuity Management wird heutzutage in der Praxis sehr h\u00e4ufig in Form synchroner Spiegel f\u00fcr den unterbrechungsfreien Betrieb der gesch\u00e4ftskritischen Systeme und Applikationen realisiert. Im Hinblick auf das neue IT SiG und andere gesetzliche Regelungen ist dies alleine aber nicht ausreichend, da mit dieser Methode nur physische Fehler abgedeckt werden k\u00f6nnen. Unter dem Aspekt der Ausfallsicherheit ist der aktuelle Stand der Technik nicht mehr nur in der Synchronisation zu sehen, sondern in einer Kombination von redundanten Rechenzentren und einer Softwaretechnologie, die von logischen Fehlern betroffene Systeme in Sekunden wieder produktiv werden l\u00e4sst.<\/p>\n

Logische Fehler sind laut Studien in 50 bis 70 Prozent der F\u00e4lle verantwortlich f\u00fcr Datenverlust (Quellen: NTZ, Forrester, Ponemon). Bei synchroner Spiegelung bedeutet dies, dass der Fehler wie jede andere \u00c4nderung repliziert wird, so dass ein Ausweichen auf die Kopie nat\u00fcrlich keinen Sinn ergibt. Eine Wiederherstellung des nicht-korrupten Datenbestandes, beziehungsweise der lauff\u00e4higen Applikation, bedeutet mit konventionellen Methoden einen hohen Aufwand und unter Umst\u00e4nden auch Datenverlust, da hierzu meist noch auf veraltete Snapshot- und Backuptechnologien zur\u00fcckgegriffen werden muss. Diese L\u00f6sungen sind au\u00dferdem sehr komplex und aufwendig in der Verwaltung, da gleich mehrere Systeme und Anwendungen bedient werden m\u00fcssen. Sie gehen fast immer mit Datenverlust und\/oder einer sehr langen Wiederanlaufzeit einher. Unternehmen, die nur auf Hardware-basierte Replikation mit synchronen Spiegeln setzen, betreiben h\u00f6chstwahrscheinlich ein System, das den gesetzlichen Anforderungen nicht gerecht wird und ben\u00f6tigen eine neue L\u00f6sung, um ihr System nicht nur sicher, sondern auch rechtskonform zu machen.<\/p>\n

Ein ganzheitlicher Ansatz mit Hypervisor-basierter Replikation bietet volle Rechtsicherheit<\/strong><\/p>\n

Ein moderner, ganzheitlicher Ansatz f\u00fcr BC\/DR, der die Nachteile des veralteten synchronen Spiegels ausgleicht und Systeme, die den rechtlichen Anforderungen nicht gen\u00fcgen, aus der juristischen Grauzone holt, kann in Hypervisor-basierter Replikation bestehen. Da dabei Replikation im Hypervisor geschieht, ist dieser Ansatz Applikations-\u00fcbergreifend und komplett unabh\u00e4ngig von der darunterliegenden Hardware. Durch die Unabh\u00e4ngigkeit von der Hardware k\u00f6nnen an den IT-Standorten sogar unterschiedliche Systeme eingesetzt werden und die L\u00f6sung sch\u00fctzt Applikationen in VMware- oder Hyper-V-Umgebungen trotzdem. Asynchrone Replikation bietet hier den Vorteil, dass es keine Beeintr\u00e4chtigung der produktiven Umgebung gibt und keine Einschr\u00e4nkung der Entfernung zwischen den Standorten, wie es bei synchronen Spiegeln eigentlich notwendig ist. Besonders wichtig in einer virtuellen Umgebung ist die M\u00f6glichkeit, die Replikation Applikations-konsistent zu gestalten, was beispielsweise mittels CDP, Continuous Data Protection, m\u00f6glich ist.<\/p>\n

Bei diesem neuen Ansatz werden die Daten ohne Snapshots kontinuierlich mit nur einem kleinen Zeitversatz im Sekundenbereich repliziert was RPOs (Recovery Point Objectives) im Sekundenbereich erm\u00f6glicht sowie RTOs (Recovery Time Objectives) im Minutenbereich. \u00c4hnlich wie bei anderen L\u00f6sungen k\u00f6nnen die Daten komprimiert werden oder es kann ein Throtteling eingeschaltet werden, um eventuelle Bandbreitenrestriktionen abfedern zu k\u00f6nnen.<\/p>\n

Beispiel SAP: So sch\u00fctzt Hypervisor-basierte Replikation in der Praxis<\/strong><\/p>\n

Mit Hypervisor-basierter Replikation kann ein Unternehmen im Falle eines Disasters in Sekundenschritten zu dem Zeitpunkt in der Vergangenheit zur\u00fcckgehen, an dem die Daten noch konsistent waren. Zudem wird die gesamte Applikation mit einbezogen, was am Beispiel von SAP bedeutet, dass der gesamte SAP-Applikationsstack von einem konsistenten Checkpoint f\u00fcr die Anwendung und von jedem Zeitpunkt in Sekundenschritten, bis zu 30 Tagen r\u00fcckwirkend, wiederhergestellt werden kann. Dies wird erm\u00f6glicht, indem Virtual Protection Groups (VPGs) gebildet werden, die konsistenten Schutz und Recovery des gesamten Applikationsstacks und aller SAP-Module mit hypervisor-basierter Replikation realisieren. Dadurch wird gew\u00e4hrleistet, dass der Applikationsstack und \u00e4hnliche Systeme au\u00dferhalb von SAP auch nach der Wiederherstellung weiterhin synchron sind. Dies garantiert eine konsistente und funktionst\u00fcchtige Wiederherstellung mit RPOs in Sekundenschritten ohne manuelle Nachkonfiguration der Applikation.<\/p>\n

Pflichterf\u00fcllung mit einfachen Mitteln<\/strong><\/p>\n

Zwischen Theorie und Praxis klaffen mitunter gro\u00dfe Unterschiede. Ob ein Wiederherstellungsprozess funktioniert, und damit rechtskonform ist, kann man nur mittels eines Distaster-Recovery-Tests (DR-Test) herausfinden. Konventionelle DR-Tests sind h\u00e4ufig ein sehr schwieriges Unterfangen und oft mit Wochenendeins\u00e4tzen und „Offline-gehen“ verbunden. Eine moderne L\u00f6sung macht das Testen der Notfallwiederherstellung im laufenden Betrieb m\u00f6glich und das inklusive eines Reports, der anschlie\u00dfend f\u00fcr die Dokumentation und Audits verwendet werden kann.<\/p>\n

Die rechtlichen Bestimmungen f\u00fcr die Sicherheit der IT wurden mit der Einf\u00fchrung des IT SiG noch weiter versch\u00e4rft. Nicht nur Betreiber offiziell „kritischer Infrastrukturen“ m\u00fcssen darauf achten, dass ihre Systeme hinsichtlich der Gesch\u00e4ftskontinuit\u00e4t und der Notfallwiederherstellung legal sind. Sind sie das nicht, drohen empfindliche Strafen, auch f\u00fcr das Management. Aktuelle, Hardware-basierte L\u00f6sungen, greifen zu kurz und werden den neuen Bestimmungen nicht gerecht. Ein Ansatz, der volle Rechtssicherheit bietet, besteht aus einer ganzheitlichen BC\/DR-L\u00f6sung aufbauend auf hypervisor-basierter Replikation. Eine solche L\u00f6sung bietet auch einfaches DR-Testing, mit dessen Hilfe die rechtskonforme Einsatzbereitschaft der Systeme dokumentiert und gegen\u00fcber Kunden, Partnern und den Beh\u00f6rden nachgewiesen werden kann.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Andreas Mayer, Zerto\/gg Neben dem recht neuen IT-Sicherheitsgesetz (IT SiG) gibt es diverse andere nationale wie internationale Gesetze, die<\/p>\n","protected":false},"author":1,"featured_media":10726,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[9138,9137,9136,9139,8698,490,9133,9132,485,8699,216,494,6257,1016,495,154,3585,4372,2685,3658,6505,9135,9134,5380,313,2339,7098,7201,5834,9130,175,9131,9140,3353,9141,9142,6536,2758,6538,6537,1992,36,9129,9143,1854,9144,6256,21,9145,8695],"class_list":["post-10723","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-ao","tag-aufgabenordnung","tag-aufzeichnungen-und-unterlagen-in-elektronischer-form-sowie-zum-datenzugriff","tag-bc","tag-bdsg","tag-bsi","tag-bsi-gesetz","tag-bsig","tag-bundesamt-fur-sicherheit-in-der-informationstechnik","tag-bundesdatenschutzgesetz","tag-business-continuity","tag-cdp","tag-cloud","tag-compliance","tag-continuous-data-protection","tag-desaster-recovery","tag-disaster","tag-dr","tag-erp","tag-forrester","tag-gobd","tag-grundsaetzen-zur-ordnungsmaessigen-fuehrung-und-aufbewahrung-von-buechern","tag-handelsgesetzbuch","tag-hgb","tag-hyper-v","tag-hypervisor","tag-it-sicherheitsgesetz","tag-it-sig","tag-kritis","tag-meldepflicht","tag-microsoft","tag-mindestanforderung","tag-ntz","tag-outsourcing","tag-ponemon","tag-recovery-point-objective","tag-recovery-time-objectives","tag-replikation","tag-rpo","tag-rto","tag-sap","tag-sicherheit","tag-telemediengesetz","tag-throtteling","tag-tmg","tag-virtual-protection-group","tag-virtualisierung","tag-vmware","tag-vpg","tag-zerto"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/10723","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=10723"}],"version-history":[{"count":4,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/10723\/revisions"}],"predecessor-version":[{"id":10728,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/10723\/revisions\/10728"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/10726"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=10723"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=10723"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=10723"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}