Deutsche und europäische Rechtsgrundlagen, regulatorische Anforderungen und internationale Standards für IT-Sicherheit und Datenschutz.
Die Datenschutz-Grundverordnung (DSGVO), seit dem 25. Mai 2018 unmittelbar anwendbar in allen EU-Mitgliedstaaten, bildet das zentrale Regelwerk für den Schutz personenbezogener Daten. Sie harmonisiert die Datenschutzgesetzgebung innerhalb der Europäischen Union und stärkt die Rechte der Betroffenen gegenüber datenverarbeitenden Stellen erheblich. Die DSGVO gilt für alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten — unabhängig vom Sitz des Unternehmens.
Die Verarbeitungsgrundsätze nach Art. 5 DSGVO umfassen Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage gemäß Art. 6 DSGVO, etwa eine Einwilligung, die Vertragserfüllung, eine rechtliche Verpflichtung oder ein berechtigtes Interesse. Die Rechenschaftspflicht (Accountability) verpflichtet den Verantwortlichen, die Einhaltung dieser Grundsätze nachweisen zu können.
Die Betroffenenrechte nach Kapitel III der DSGVO gewähren natürlichen Personen weitreichende Kontrolle über ihre Daten: Auskunftsrecht (Art. 15), Recht auf Berichtigung (Art. 16), Recht auf Löschung (Art. 17, „Recht auf Vergessenwerden"), Recht auf Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruchsrecht (Art. 21). Verantwortliche müssen diese Rechte innerhalb eines Monats nach Antragstellung erfüllen. Bei Auftragsverarbeitung nach Art. 28 DSGVO bleibt der Verantwortliche datenschutzrechtlich verantwortlich und muss die Verarbeitung durch einen Auftragsverarbeitungsvertrag (AVV) regeln.
Die Sanktionen der DSGVO sind empfindlich: Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist — können durch die zuständigen Aufsichtsbehörden verhängt werden. Unternehmen ab einer bestimmten Größe oder mit besonders sensiblen Verarbeitungstätigkeiten müssen einen Datenschutzbeauftragten (DPO) bestellen. In Deutschland ist nach § 38 BDSG ein Datenschutzbeauftragter bereits ab 20 Personen erforderlich, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist bei Verarbeitungsvorgängen mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen zwingend vorgeschrieben.
Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), das am 28. Mai 2021 in Kraft trat, erweitert die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) erheblich und verschärft die Anforderungen an Betreiber kritischer Infrastrukturen. Es novelliert das BSI-Gesetz (BSIG) sowie weitere Gesetze und stellt eine wesentliche Weiterentwicklung des ersten IT-Sicherheitsgesetzes von 2015 dar. Zentrale Neuerung ist die Einbeziehung von Unternehmen im besonderen öffentlichen Interesse (UBI) in den Regulierungsbereich.
Betreiber Kritischer Infrastrukturen (KRITIS) — Unternehmen aus den Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr sowie Siedlungsabfallentsorgung — unterliegen strengen Meldepflichten gegenüber dem BSI. Erhebliche IT-Sicherheitsvorfälle müssen unverzüglich gemeldet werden. Darüber hinaus sind KRITIS-Betreiber verpflichtet, angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik zu treffen und den Einsatz von Systemen zur Angriffserkennung nachzuweisen.
Die BSI-Befugnisse wurden durch das IT-SiG 2.0 deutlich ausgeweitet. Das BSI kann nun als zentrale Meldestelle für IT-Sicherheit agieren, Portscans und Sinkholing durchführen, Bestandsdaten bei Telekommunikationsanbietern abfragen und Anordnungen gegenüber Telekommunikations- und Telemedienanbietern treffen. Die Kategorie der Unternehmen im besonderen öffentlichen Interesse (UBI) umfasst Rüstungshersteller, Unternehmen mit erheblicher volkswirtschaftlicher Bedeutung und Betreiber von Gefahrstoffanlagen, die ebenfalls Meldepflichten und Nachweispflichten erfüllen müssen.
Die europäische NIS2-Richtlinie (Network and Information Security Directive 2), die bis Oktober 2024 in nationales Recht umgesetzt werden muss, erweitert den Anwendungsbereich erheblich. Sie unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen und erfasst deutlich mehr Sektoren und Unternehmen als die bisherige Regulierung. Die NIS2-Richtlinie verlangt unter anderem Risikomanagementmaßnahmen, Meldepflichten mit einer 24-Stunden-Frist für Frühwarnungen, Maßnahmen zur Sicherheit der Lieferkette sowie die persönliche Haftung der Geschäftsleitung für die Einhaltung der Cybersicherheitsanforderungen.
Die NIS2-Richtlinie (EU 2022/2555, in Kraft seit Oktober 2024) ist die umfassendste Neuordnung der EU-Cybersicherheitsregulierung seit Jahren. Sie ersetzt die NIS1-Richtlinie und weitet den Anwendungsbereich drastisch aus: In Deutschland sind nun schätzungsweise 30.000 Einrichtungen betroffen — statt bislang ca. 2.000. Die Umsetzung in deutsches Recht erfolgt durch das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz).
Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities, EE) aus besonders kritischen Sektoren — Energie, Transport, Gesundheit, Trinkwasser, digitale Infrastruktur, Banken, Finanzmarktinfrastruktur — und wichtigen Einrichtungen (Important Entities, IE) aus weiteren Bereichen wie Post, Lebensmittel, Chemie, Forschung und verarbeitendes Gewerbe. Schwellenwert: mehr als 50 Mitarbeiter oder mehr als 10 Mio. € Jahresumsatz.
Die Kernpflichten nach Art. 21 NIS2: Risikomanagementmaßnahmen (Sicherheitsrichtlinien, Incident Response, Business Continuity, Supply-Chain-Sicherheit, Verschlüsselung, MFA), Meldepflichten mit 24-Stunden-Frist für Frühwarnungen ans BSI und 72 Stunden für vollständige Erstmeldungen. Herausragendes Merkmal: die persönliche Haftung der Geschäftsleitung bei grober Fahrlässigkeit — Leitungsorgane können nicht delegieren und nicht ausschließen.
Sanktionen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen; bis zu 7 Mio. Euro oder 1,4 % für wichtige Einrichtungen. Bei Gefahr für die öffentliche Sicherheit kann das BSI die Geschäftsführung vorübergehend von ihren Aufgaben entbinden.
Das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist das zentrale Standardwerk für die Absicherung von Informationstechnik in Deutschland. Es wird jährlich aktualisiert und bietet einen modularen, systematischen Ansatz für die Umsetzung von Informationssicherheit. Das Kompendium bildet die Grundlage für eine ISO-27001-Zertifizierung auf der Basis von IT-Grundschutz und wird von Behörden, Unternehmen und Institutionen gleichermaßen eingesetzt.
Das Vorgehensmodell des BSI-Grundschutzes gliedert sich in mehrere Phasen: die Definition des Informationsverbunds, die Strukturanalyse, die Schutzbedarfsfeststellung, die Modellierung mittels Grundschutz-Bausteinen, den IT-Grundschutz-Check (Soll-Ist-Vergleich) und schließlich die Risikoanalyse für Bereiche mit erhöhtem Schutzbedarf. Das BSI bietet drei Vorgehensweisen an: die Basis-Absicherung für den Einstieg, die Standard-Absicherung als vollständige Umsetzung und die Kern-Absicherung für besonders schützenswerte Geschäftsprozesse.
Die Bausteine des Kompendiums sind thematisch in Prozess- und System-Schichten gegliedert: ISMS (Sicherheitsmanagement), ORP (Organisation und Personal), CON (Konzepte und Vorgehensweisen), OPS (Betrieb), DER (Detektion und Reaktion), APP (Anwendungen), SYS (IT-Systeme), IND (Industrielle IT), NET (Netze und Kommunikation) und INF (Infrastruktur). Jeder Baustein enthält spezifische Anforderungen, die nach Basis-, Standard- und erhöhtem Schutzbedarf kategorisiert sind.
Die Schutzbedarfsfeststellung bewertet den Schutzbedarf der identifizierten Informationen und IT-Systeme anhand der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit in den Kategorien „normal", „hoch" und „sehr hoch". Die Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz wird durch vom BSI anerkannte Zertifizierungsstellen durchgeführt. Sie bestätigt, dass ein Informationssicherheitsmanagementsystem (ISMS) den Anforderungen des BSI-Grundschutzes entspricht und bietet insbesondere für den öffentlichen Sektor und KRITIS-Betreiber einen anerkannten Nachweis der IT-Sicherheit.
Eine Cyber-Versicherung deckt finanzielle Schäden ab, die durch Cyber-Angriffe, Datenschutzverletzungen oder IT-Ausfälle entstehen. Der Deckungsumfang umfasst typischerweise Eigen- und Drittschäden: Kosten für Incident Response und IT-Forensik, Benachrichtigung betroffener Personen, Betriebsunterbrechungsschäden, Erpressungszahlungen bei Ransomware-Angriffen, Krisenkommunikation und PR-Maßnahmen, Rechtsberatungs- und Verteidigungskosten sowie Schadenersatzansprüche Dritter wegen Datenschutzverletzungen.
Versicherungsnehmer müssen zahlreiche Obliegenheiten erfüllen, deren Verletzung zum Verlust des Versicherungsschutzes führen kann. Typische Anforderungen umfassen regelmäßige Datensicherungen nach dem 3-2-1-Prinzip, zeitnahes Patch-Management, Multi-Faktor-Authentifizierung für Remote-Zugänge und privilegierte Konten, Netzwerksegmentierung, aktuelle Endpoint-Protection sowie dokumentierte Sicherheitsrichtlinien und Mitarbeiterschulungen. Die Anforderungen der Versicherer sind in den letzten Jahren deutlich gestiegen.
Typische Schadenszenarien, die durch Cyber-Versicherungen abgedeckt werden, umfassen Ransomware-Angriffe mit Verschlüsselung und Datenexfiltration, Business Email Compromise (BEC) mit Überweisungsbetrug, DDoS-Angriffe mit Betriebsunterbrechung, Datenlecks durch Fehlkonfigurationen oder Insider-Threats sowie Angriffe auf die Lieferkette. Die durchschnittlichen Schadenssummen bei Cyber-Vorfällen sind erheblich und können insbesondere bei Ransomware-Angriffen schnell in den sechs- bis siebenstelligen Bereich steigen.
Die Marktentwicklung der Cyber-Versicherung ist von steigenden Prämien und verschärften Zeichnungskriterien geprägt. Versicherer führen vor Vertragsabschluss umfangreiche Risk Assessments durch, die technische Sicherheitsaudits, Vulnerability Scans und die Bewertung der organisatorischen Sicherheitsmaßnahmen umfassen. Unternehmen mit unzureichendem Sicherheitsniveau erhalten zunehmend keinen oder nur eingeschränkten Versicherungsschutz. Die enge Verzahnung von Risikomanagement und Versicherungsschutz gewinnt daher strategisch an Bedeutung.
Im Bereich der forensischen Informatik erstellen Sachverständige gerichtsverwertbare Gutachten zu IT-sicherheitsrelevanten Sachverhalten. Gerichtsgutachten in Straf- und Zivilverfahren umfassen die forensische Analyse kompromittierter IT-Systeme, die Bewertung von Cyber-Angriffen und deren Auswirkungen, die Untersuchung von Datenmanipulationen, die Aufklärung von Wirtschaftskriminalität im digitalen Raum sowie die sachverständige Beurteilung technischer Beweismittel nach den Grundsätzen der digitalen Forensik.
Die Gutachtenmethodik in der IT-Forensik folgt anerkannten wissenschaftlichen Standards und dokumentierten Verfahren. Das Gutachten muss nachvollziehbar, reproduzierbar und nach dem Stand der Technik erstellt sein. Zentrale Elemente sind die lückenlose Dokumentation der Chain of Custody, die Verwendung validierter forensischer Werkzeuge, die Hashwert-Verifizierung gesicherter Datenträger, die systematische Analyse nach dem Vier-Augen-Prinzip sowie die verständliche Darstellung technischer Sachverhalte für juristische Laien.
Im deutschen Sachverständigenrecht wird zwischen öffentlich bestellten und vereidigten (öbuv) Sachverständigen und freien Sachverständigen unterschieden. Die öffentliche Bestellung durch eine Industrie- und Handelskammer (IHK) oder eine andere zuständige Stelle setzt besondere Sachkunde, persönliche Eignung und die Vereidigung voraus. Freie Sachverständige können ohne öffentliche Bestellung tätig werden, müssen jedoch ebenfalls über nachweisbare Fachkompetenz verfügen. Zertifizierungen wie die EU-Zertifizierung oder Mitgliedschaften in Fachverbänden können die Qualifikation belegen.
Die Befangenheit eines Sachverständigen ist ein kritischer Aspekt der Gutachtertätigkeit. Gemäß § 406 ZPO und § 74 StPO kann ein Sachverständiger aus denselben Gründen abgelehnt werden wie ein Richter. Eigene wirtschaftliche Interessen am Verfahrensausgang, persönliche Beziehungen zu Verfahrensbeteiligten oder eine vorherige Beratungstätigkeit für eine der Parteien begründen Befangenheit. Forensische Standards wie die ISO/IEC 27037 (Leitlinien für digitale Beweismittel) und die BSI-Richtlinien zur IT-Forensik definieren die Anforderungen an die sachverständige Arbeit und sichern die Qualität und Gerichtsverwertbarkeit der Ergebnisse.
Das deutsche Strafgesetzbuch enthält Tatbestände, die speziell auf Angriffe gegen IT-Systeme und Daten zugeschnitten sind und für forensische Gutachten von unmittelbarer Bedeutung sind. Als gerichtlich bestellter Sachverständiger muss der IT-Forensiker diese Normen kennen, da seine Befunde regelmäßig die tatbestandliche Subsumtion tragen.
§ 202a StGB — Ausspähen von Daten: Strafbar macht sich, wer unbefugt sich oder einem anderen Zugang zu Daten verschafft, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind. Die Sicherung muss technischer Natur sein (Passwortschutz, Verschlüsselung, Zugangsbeschränkung) — rein rechtliche Verbote reichen nicht. Strafrahmen: bis zu 3 Jahre Freiheitsstrafe oder Geldstrafe.
§ 202b StGB — Abfangen von Daten: Erfasst das unbefugte Abfangen nicht öffentlicher Datenübermittlungen mittels technischer Mittel. § 202c StGB — Vorbereitung: Bereits das Herstellen, Verschaffen oder Verbreiten von Programmen, deren Zweck das Ausspähen oder Abfangen von Daten ist, ist strafbar — relevant für die Bewertung von Dual-Use-Werkzeugen (Portscanner, Exploit-Frameworks) in Penetrationstest-Kontexten. § 202d StGB — Datenhehlerei: Das Verschaffen, Überlassen oder Verbreiten rechtswidrig erlangter Daten erfasst insbesondere den Handel mit gestohlenen Zugangsdaten.
§ 303b StGB — Computersabotage: Die erhebliche Störung einer Datenverarbeitungsanlage durch Löschen, Unterdrücken oder Verändern von Daten sowie durch Eingabe oder Übermittlung von Daten ist mit bis zu 3 Jahren Freiheitsstrafe, in schweren Fällen (KRITIS, bedeutende wirtschaftliche Schäden) mit bis zu 5 Jahren bedroht. § 303b StGB ist die zentrale Norm für Ransomware-Angriffe, DDoS-Attacken und Malware-Deployments. Bei der Begutachtung ist die Kausalität zwischen Angriff und Störung forensisch zu belegen.
Der EU AI Act (Verordnung EU 2024/1689, in Kraft seit August 2024) ist das weltweit erste umfassende gesetzliche Rahmenwerk zur Regulierung Künstlicher Intelligenz. Er verfolgt einen risikobasierten Ansatz und kategorisiert KI-Systeme nach ihrer potenziellen Gefahr für Grundrechte, Sicherheit und Demokratie. Für IT-Sicherheit und Forensik ergeben sich Anforderungen, insbesondere beim Einsatz von KI in Strafverfolgung, Biometrie und kritischen Infrastrukturen.
| Risikostufe | Beispiele | Rechtsfolge |
|---|---|---|
| Verboten | Social Scoring, Echtzeit-Biometrie öffentlich (Ausnahmen), Manipulation des Unterbewusstseins | Verboten ab Feb. 2025 |
| Hohes Risiko | Biometrische Identifizierung, KRITIS, Strafverfolgung, forensische KI-Tools | Konformitätsbewertung, CE, EUDB-Eintrag |
| Begrenztes Risiko | Chatbots, Deepfakes | Transparenzpflicht |
| Minimales Risiko | KI-Spamfilter, KI-Suche | Keine Pflichten |
Für IT-Forensik und Sachverständige: KI-Systeme zur biometrischen Identifizierung und zur Analyse digitaler Beweismittel fallen unter die Hochrisiko-Kategorie (Anhang III Nr. 6 — Strafverfolgung). Ihr Einsatz im Gutachtenbetrieb erfordert Konformitätsbewertung, technische Dokumentation, automatische Protokollierung und menschliche Aufsicht. Bußgelder: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes bei Verstößen gegen die Verbote.
Die ISO/IEC 27001 ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS). Sie definiert Anforderungen für die Einführung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS im Kontext der Organisation. Die zugehörige ISO/IEC 27002 enthält einen umfassenden Maßnahmenkatalog mit Leitlinien zur Implementierung der in Anhang A der ISO 27001 referenzierten Sicherheitsmaßnahmen. Die aktuelle Version von 2022 strukturiert die Maßnahmen in vier Themenbereiche: organisatorisch, personenbezogen, physisch und technologisch.
Das NIST Cybersecurity Framework (CSF) des National Institute of Standards and Technology wurde ursprünglich für den Schutz kritischer Infrastrukturen in den USA entwickelt, hat sich jedoch als globaler De-facto-Standard etabliert. Das Framework gliedert sich in die fünf Kernfunktionen Identify, Protect, Detect, Respond und Recover. Es bietet einen risikobasierten Ansatz und ist bewusst technologieneutral sowie branchenübergreifend einsetzbar. Die Version 2.0 erweitert das Framework um die Funktion „Govern" und stärkt die Governance-Aspekte der Cybersicherheit.
SOC 2 (System and Organization Controls 2) ist ein Prüfungsstandard des American Institute of Certified Public Accountants (AICPA), der die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und den Datenschutz von Cloud-Diensten bewertet. SOC-2-Berichte sind insbesondere für SaaS-Anbieter und Cloud-Dienstleister von großer Bedeutung, da sie Kunden einen unabhängigen Nachweis über die Wirksamkeit interner Kontrollen liefern. PCI DSS (Payment Card Industry Data Security Standard) ist für alle Organisationen verpflichtend, die Kreditkartendaten verarbeiten, speichern oder übertragen, und definiert zwölf grundlegende Sicherheitsanforderungen.
TISAX (Trusted Information Security Assessment Exchange) ist ein branchenspezifischer Standard der Automobilindustrie, der von der ENX Association verwaltet wird und auf ISO 27001 basiert. Er berücksichtigt zusätzliche Anforderungen an den Prototypenschutz und die Anbindung Dritter und ist für Zulieferer der deutschen Automobilindustrie praktisch obligatorisch. Neben diesen Standards gewinnen auch Frameworks wie das MITRE ATT&CK für die strukturierte Beschreibung von Angriffstechniken, CIS Controls als priorisierte Sicherheitsmaßnahmen und COBIT für die IT-Governance zunehmend an Bedeutung für ein ganzheitliches Compliance-Management.