Log Management Gesetze und Verordnungen
Gesetze und Regularien
Durch die verstärkte Digitalisierung steigen die Anforderungen an die IT-Sicherheit immer mehr. Durch Gesetze, Verordnungen, Zertifizierungen bzw. branchenspezifische Gesetze werden Unternehmen dazu gedrängt ein Log Management im Rahmen ihrer IT-Sicherheit einzusetzen.
Beim Log Management müssen das IT-Sicherheitsgesetz (ITSiG), die daraus abgeleitete BSI-Kritisverordnung (BSI-KritisV), das Bundesdatenschutzgesetz (BDSG), die europäische Datenschutzgrundverordnung (EU-DSGVO), das Telemediengesetz (TMG), ISO 27001, ISO 27002, SOX, HIPAA, FISMA, Basel-III, Vorgaben aus dem „Handbuch sicherer IT-Betrieb“ des SIZ (SITB), das Geschäftsgeheimnisgesetz (GeschGehG) und unternehmensinterne Vorschriften beachtet werden.
Kritische Infrastrukturen haben seit dem Jahr 2015 die Verpflichtung, sich an das IT-Sicherheitsgesetz (ITSiG), die EU-DSGVO und die Kritis-Bestimmungen zu halten. Die BSI-KritisV erläutert, wer zu den kritischen Infrastrukturen zählen. Dazu zählen u.a. Energielieferanten, Wasserwerke, kommunale Rechenzentren und Lieferanten für IT und Krankenhäuser, da sie wichtig für das staatliche Allgemeinwesen sind. Für die Bundesregierung ist es bedeutend wichtig, dass die IT-Systeme dieser kritischen Infrastrukturen stets verfügbar und sicher sind. Deutschland zählt zu einem der führenden industriellen und technologischen Länder der Welt. Deutschland muss sich in den globalen Märkten behaupten und die Bevölkerung sichern und absichern, weshalb deren Infrastrukturen reibungsfrei funktionieren müssen. Wenn diese nicht besonders geschützt werden würden, hätte dies einen schwerwiegenden Einfluss auf das öffentliche Leben und die öffentliche Sicherheit. Deshalb verpflichtet §8a des IT-Sicherheitsgesetzes kritische Infrastrukturen seit dem 18. Juli 2017 dazu, Vorkehrungen zu treffen, die Störungen vermeiden.
Für jedes Unternehmen, das mit personenbezogenen Daten arbeitet, gilt in Deutschland das BDSG. Anforderungen schreiben in Deutschland vor, wie die IT-Systeme personenbezogene Daten verarbeiten sollen. Wenn personenbezogene Daten erhoben werden, sollen sie entweder anonymisiert oder pseudonymisiert werden. Am 27. April 2016 wurde zudem die EU-DSGVO von der europäischen Union eingeführt, die für alle Unternehmen bzw. Behörden in der EU gilt, die personenbezogene Daten speichern und auswerten. Sie muss seit dem 25. Mai in allen EU-Mitgliedsstaaten beachtet werden. Die EU-DSGVO hat das Ziel, Grundrechte, Freiheiten von Personen und personenbezogene Daten zu schützen.
Die beiden internationalen ISO/IEC 27001 und ISO 27002 Standards stellen Anforderungen, wie ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen ist und berücksichtigt dabei Prozesse, Personen und Technologien von einem Unternehmen. Diese sind besonders für kritische Infrastrukturen wichtig. Das Risikomanagement zum Schutz bzw. zur Verwaltung von Information wird durch die Umsetzung dieser Standards besonders erleichtert. Ein ISMS, das auf Basis der ISO 27001 aufgebaut wurde, erfüllt die Anforderungen an die IT-Sicherheit und den Datenschutz.
Die ISO 27002 enthält einen Leitfaden mit Umsetzungshinweisen als Hilfestellung, damit ein Audit nach ISO 27001 erfolgreich abgeschlossen wird. Das am 21. März 2019 vom Deutschen Bundestag beschlossene GeschGehG richtet sich an jedes Unternehmen in Deutschland und schützt vertrauliche Geschäftsinformationen vor rechtswidriger Nutzung bzw. Offenlegung. Geschäftsgeheimnisse sind sowohl für Konkurrenzunternehmen als auch die eigene Unternehmensentwicklung interessant. Damit keine rechtswidrigen Zugriffe auf geheime Daten erfolgen, müssen Maßnahmen getroffen werden.
In bestimmten Branchen unterliegen die IT-Infrastrukturen strengen gesetzlichen Vorschriften und müssen hohe Anforderungen in der IT-Sicherheit erfüllen. In der Finanzbranche gilt es das Kreditwesengesetz (KWG), die MaRISK Novelle mit bestimmten Mindestanforderungen an das Risiko-Management, bankaufsichtliche Anforderungen an die IT (BAIT), MaGo Basel-III und PCI-DSS zu beachten. Erst Ende 2017 bzw. Anfang 2018 sind diese hinzugekommen. Die auf den Mindestanforderungen des Risikomanagements, dem IT-Sicherheitsgesetz sowie den ISO 27001 und 27002 Standards basierenden BAIT betreffen alle Kredit- und Finanzdienstleistungsinstitute. Sie stellen Anforderungen für Maßnahmen, die die eingesetzten IT-Ressourcen schützen, um eine bessere IT- und Datensicherheit zu gewährleisten. Die Kreditinstitute müssen ihre IT-Infrastruktur so aufbauen, dass die zu verarbeitenden Daten integer, verfügbar und authentisch sind. Die versicherungsaufsichtlichen Anforderungen an die IT (VAIT) richten sich an Versicherungsgesellschaften und stellen Anforderungen an Maßnahmen, um die IT- sowie die Datensicherheit zu gewährleisten.
In der Automobilbranche ist das VDA Information Security Assessment (VDA-ISA) entscheidend. Dabei handelt es sich um ein im Jahr 2005 vom Verband der Automobilindustrie entwickelten Fragenkatalog zur Informationssicherheit, der sich an den internationalen Standards ISO 27001 und 27002 orientiert. Dieser wird vom Prüf- und Austauschmechanismus TISAX herangezogen, um die Informationssicherheit zu überprüfen. Die VDA-ISA schreibt vor, dass alle Aktionen von Systemadministratoren und -operatoren protokolliert werden, um alle Änderungen an den IT-Systemen nachvollziehen zu können. Diese sollen in Logs erfasst und in Bezug auf die gesetzlichen Vorschriften ausgewertet werden. In der katholischen Kirche gilt es das kirchliche Datenschutzgesetz (KDG) und in der evangelischen Kirche das EKD-Datenschutzgesetz (DSG-EKD) zu beachten.
Energieversorger, Strom- und Gasnetze haben ebenfalls Gesetze zu beachten. Unter anderem die in den IT-Sicherheitskatalogen eingeführten Mindestanforderungen sind von der Bundesnetzagentur eingeführt worden, um gegen Angriffe auf Telekommunikations- und Datenverarbeitungssysteme zu schützen und fordern ein ISMS auf Basis der DIN ISO/IEC 27001-Vorgaben.
