Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.29 — Verstoß gegen Gesetze oder Regelungen

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.3A.5.4A.5.5A.5.6A.5.7A.5.9A.5.10A.5.11A.5.14A.5.15A.5.16A.5.17A.5.18A.5.19A.5.20A.5.21A.5.22A.5.23A.5.24A.5.25A.5.26A.5.27A.5.28A.5.29A.5.30A.5.31A.5.32A.5.34A.5.35A.5.36A.5.37A.6.1A.6.2A.6.3A.6.4A.6.5A.6.6A.6.7A.6.8A.7.1A.7.2A.7.3A.7.4A.7.5A.7.6A.7.7A.7.9A.7.10A.7.11A.7.12A.7.13A.7.14A.8.1A.8.3A.8.4A.8.5A.8.6A.8.7A.8.8A.8.10A.8.13A.8.14A.8.15A.8.16A.8.17A.8.18A.8.19A.8.20A.8.21A.8.22A.8.23A.8.24A.8.25A.8.26A.8.27A.8.28A.8.30A.8.31A.8.34 BSI IT-GrundschutzISO 27001ISO 27002

Bei der Jahresabschlussprüfung eines mittelständischen Unternehmens stellt der Wirtschaftsprüfer gravierende Sicherheitsmängel in der IT-gestützten Buchhaltung fest. Zugriffsrechte sind nicht nachvollziehbar vergeben, Änderungen an buchungsrelevanten Daten nicht protokolliert. Der Prüfer kann kein positives Testat erteilen — mit unmittelbaren Folgen für die Kreditwürdigkeit des Unternehmens.

Verstöße gegen Gesetze oder Regelungen (G 0.29) entstehen oft dort, wo die Informationssicherheit nicht mit den rechtlichen Anforderungen Schritt hält. Das BSI listet diese Gefährdung als eine der breitesten im Grundschutzkatalog.

Was steckt dahinter?

Die Rechtslandschaft rund um Informationssicherheit ist komplex und entwickelt sich ständig weiter. Organisationen müssen eine Vielzahl von Gesetzen, Verordnungen und vertraglichen Pflichten gleichzeitig einhalten — und deren Relevanz für ihre spezifische Situation korrekt einschätzen.

Regulatorische Bereiche

  • Datenschutz — DSGVO, BDSG und Landesdatenschutzgesetze regeln den Umgang mit personenbezogenen Daten. Verstöße können zu Bußgeldern von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes führen.
  • Handels- und Steuerrecht — HGB und AO fordern die ordnungsgemäße Verarbeitung buchungsrelevanter Daten, einschließlich Nachvollziehbarkeit und Revisionssicherheit.
  • Gesellschaftsrecht — KonTraG, GmbHG und AktG begründen Sorgfaltspflichten der Geschäftsführung im Bereich Risikomanagement und Informationssicherheit.
  • Branchenspezifische RegulierungKRITIS-Betreiber unterliegen dem IT-Sicherheitsgesetz, Finanzdienstleister den BAIT/VAIT, Gesundheitseinrichtungen dem SGB V.
  • Vertragliche Verpflichtungen — In der Automobilbranche beispielsweise verpflichten Hersteller ihre Zulieferer zur Einhaltung bestimmter Sicherheitsstandards (TISAX). Verstöße können Vertragsstrafen oder den Verlust der Geschäftsbeziehung nach sich ziehen.

Schadensausmass

Gesetzesverstöße verursachen mehrdimensionale Schäden: Bußgelder, Vertragsstrafen, zivilrechtliche Schadensersatzansprüche, strafrechtliche Konsequenzen für verantwortliche Personen und Reputationsverlust. Der Reputationsschaden kann den finanziellen Schaden langfristig übersteigen — besonders bei Datenschutzverletzungen, die öffentlich werden.

Praxisbeispiele

Datenschutzverstoß durch fehlende Löschroutinen. Ein Unternehmen speichert Kundendaten aus Vertragsbeziehungen, die vor über zehn Jahren endeten. Die Daten wurden nie gelöscht, ein Löschkonzept existiert nicht. Bei einer Aufsichtsprüfung wird der Verstoß gegen die Speicherbegrenzung (DSGVO Art. 5) festgestellt. Es folgt ein sechsstelliges Bußgeld.

Zulieferer verliert TISAX-Freigabe. Ein Automobilzulieferer versäumt es, die vom Auftraggeber geforderten Sicherheitsmaßnahmen umzusetzen. Beim TISAX-Assessment fällt das Unternehmen durch. Der Auftraggeber setzt eine Nachbesserungsfrist von drei Monaten. Werden die Anforderungen nicht erfüllt, droht die Beendigung der Geschäftsbeziehung — ein existenzgefährdendes Risiko für den Zulieferer.

Fehlende Protokollierung bei Wirtschaftsprüfung. Die Buchhaltung eines Unternehmens nutzt ein ERP-System, in dem Änderungen an Buchungssätzen nicht revisionssicher protokolliert werden. Der Wirtschaftsprüfer kann die Integrität der Finanzdaten nicht bestätigen und verweigert das uneingeschränkte Testat. Banken und Investoren werten dies als Alarmsignal.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 79 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.29 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • ORP.5 (Compliance-Management) — Anforderungen an die systematische Einhaltung rechtlicher und vertraglicher Vorgaben.
  • ORP.2 (Personal) — Arbeitsrechtliche Aspekte und Pflichten der Mitarbeitenden.
  • CON.1 (Kryptokonzept) — Einhaltung regulatorischer Vorgaben zur Kryptographie.
  • DER.3.1 (Audits und Revisionen) — Interne und externe Überprüfung der Compliance.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.3 Aufgabentrennung A.5.4 Verantwortlichkeiten der Leitung A.5.5 Kontakt mit Behörden A.5.6 Kontakt mit Interessengruppen A.5.7 Bedrohungsintelligenz A.5.9 Inventar der Informationswerte A.5.10 Akzeptable Nutzung von Informationswerten A.5.11 Rückgabe von Werten A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.16 Identitätsmanagement A.5.17 Authentifizierungsinformationen A.5.18 Zugriffsrechte A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Informationssicherheit in Lieferantenvereinbarungen A.5.21 Management der IKT-Lieferkette A.5.22 Überwachung und Überprüfung von Lieferanten A.5.23 Informationssicherheit bei Cloud-Diensten A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.27 Erkenntnisse aus Sicherheitsvorfällen A.5.28 Sammlung von Beweismitteln A.5.29 Informationssicherheit bei Störungen A.5.30 IKT-Bereitschaft für Geschäftskontinuität A.5.31 Rechtliche und vertragliche Anforderungen A.5.32 Geistige Eigentumsrechte A.5.34 Datenschutz und PII A.5.35 Unabhängige Überprüfung der Informationssicherheit A.5.36 Einhaltung von Richtlinien und Standards A.5.37 Dokumentierte Betriebsverfahren A.6.1 Sicherheitsüberprüfung A.6.2 Beschäftigungsbedingungen A.6.3 Sensibilisierung und Schulung A.6.4 Disziplinarverfahren A.6.5 Verantwortlichkeiten bei Beendigung A.6.6 Vertraulichkeitsvereinbarungen A.6.7 Telearbeit A.6.8 Meldung von Sicherheitsereignissen A.7.1 Physische Sicherheitsbereiche A.7.2 Physischer Zutritt A.7.3 Sicherung von Büros und Räumen A.7.4 Physische Sicherheitsüberwachung A.7.5 Schutz gegen Umweltbedrohungen A.7.6 Arbeiten in Sicherheitsbereichen A.7.7 Aufgeräumter Schreibtisch und Bildschirm A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.10 Speichermedien A.7.11 Unterstützende Versorgungseinrichtungen A.7.12 Sicherheit der Verkabelung A.7.13 Instandhaltung von Geräten A.7.14 Sichere Entsorgung oder Wiederverwendung A.8.1 Benutzerendgeräte A.8.3 Einschränkung des Informationszugangs A.8.4 Zugang zu Quellcode A.8.5 Sichere Authentifizierung A.8.6 Kapazitätsmanagement A.8.7 Schutz gegen Schadsoftware A.8.8 Management technischer Schwachstellen A.8.10 Löschung von Informationen A.8.13 Informationssicherung (Backup) A.8.14 Redundanz von informationsverarbeitenden Einrichtungen A.8.15 Protokollierung A.8.16 Überwachung von Aktivitäten A.8.17 Uhrensynchronisation A.8.18 Nutzung privilegierter Hilfsprogramme A.8.19 Installation von Software auf Betriebssystemen A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken A.8.23 Webfilterung A.8.24 Einsatz von Kryptographie A.8.25 Sicherer Entwicklungslebenszyklus A.8.26 Anforderungen an die Anwendungssicherheit A.8.27 Sichere Systemarchitektur A.8.28 Sicheres Programmieren A.8.30 Ausgelagerte Entwicklung A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen A.8.34 Schutz bei Audit-Tests

Häufig gestellte Fragen

Welche Gesetze sind für die Informationssicherheit relevant?

Das hängt von der Branche und dem Standort ab. In Deutschland sind typischerweise die DSGVO, das BDSG, das IT-Sicherheitsgesetz (für KRITIS-Betreiber), das HGB, die AO und branchenspezifische Regelungen (z. B. BAIT für Finanzdienstleister) relevant. Unternehmen mit internationalen Standorten müssen zusätzlich die jeweiligen nationalen Vorschriften beachten.

Haftet die Geschäftsführung persönlich für mangelnde Informationssicherheit?

Ja, unter bestimmten Umständen. KonTraG, GmbHG und AktG verpflichten die Geschäftsführung zu angemessener Sorgfalt, die auch die Informationssicherheit umfasst. Bei grober Fahrlässigkeit kann eine persönliche Haftung eintreten. Eine dokumentierte, angemessene Sicherheitsorganisation ist daher auch aus Haftungsgründen unverzichtbar.

Wie hängen ISO 27001 und gesetzliche Anforderungen zusammen?

ISO 27001 ist ein internationaler Standard, kein Gesetz. Die Umsetzung eines ISMS nach ISO 27001 hilft aber, gesetzliche Anforderungen systematisch zu identifizieren und zu erfüllen. In vielen Branchen wird eine ISO-27001-Zertifizierung von Kunden oder Aufsichtsbehörden als Nachweis angemessener Sicherheitsmaßnahmen akzeptiert.