News
Pflicht zum Einsatz von Systemen zur Angriffserkennung für Betreiber kritischer Infrastruktur gilt seit dem 1. Mai 2023
Seit dem 1. Mai 2023 sind Betreiber von kritischer Infrastruktur und Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, gesetzlich gemäß § 8a Abs. 1a BSIG und § 11 Abs. 1e EnWG dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre Nachweise darüber zu liefern (vgl. § 8a Abs. 3 BSIG).
„Systeme zur Angriffserkennung“ sind nach der Definition in § 2 Abs. 9b BSIG durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die eingesetzten Systeme nutzen kontinuierlich geeignete Parameter und Merkmale aus dem laufenden Betrieb und erfassen die Auswertungen automatisch. Damit sollen Bedrohungen stets identifiziert und abgewendet werden können. Unter Angriffskennungssysteme fallen sowohl technische als auch organisatorische Maßnahmen, die zur Erkennung dienen.
Betreiber Kritischer Infrastrukturen sind verpflichtet, Systeme zur Angriffserkennung nach dem geltenden Stand der Technik einzusetzen. Betreibern von Energieversorgungsnetzen und Energieanlagen, die zur kritischen Infrastruktur zählen (§ 11 Abs. 1f EnWG) sind verpflichtet, ihre Anlagen zu registrieren und eine Kontaktstelle zu benennen. Zudem sind technische Störungen dem BSI zu melden.
Anforderungen an die Systeme zur Angriffserkennung
Das BSI hat eine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht (PDF). Dort beschreibt das BSI, welche Anforderungen an derartige Systeme gestellt werden. Im Wesentlichen basiere die technische Funktionalität eines solchen Systems auf Abläufen, die sich den Bereichen Protokollierung, Detektion und Reaktion zuordnen lassen. Das BSI empfiehlt hierbei den Unternehmen ganz grundsätzlich, ein (Informations-)Sicherheitsmanagementsystem (ISMS) zu etablieren.
Hinsichtlich der Protokollierung verlangt das BSI, dass der Betreiber alle zur wirksamen Angriffserkennung auf System- bzw. Netzebene notwendigen Protokoll- und Protokollierungsdaten erheben, speichern und für die Auswertung bereitstellen muss, um sicherheitsrelevante Ereignisse erkennen und bewerten zu können. Natürlich gibt es hierbei auch Überschneidungen zum Datenschutzrecht, etwa wenn in den protokollierten Daten IP-Adressen enthalten sind. Auch das BSI geht davon aus, dass die Protokollierung teilweise auch datenschutzrechtlich relevante Datensätze beinhalten kann. Eventuell ist in der Praxis auch eine (teilweise) Anonymisierung bzw. Pseudonymisierung der Protokoll- und Protokollierungsdaten möglich.
Nachweispflicht
Für verpflichtete Stellen besteht eine Nachweispflicht. Alle zwei Jahre müssen regulierte Bertreiber dem BSI ihre Nachweise vorlegen. Zusätzlich sind Erläuterungen zu den Umsetzungen, wie die Angriffserkennungssysteme eingesetzt werden, beizufügen. Auch Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, unterliegen der Nachweispflicht und haben zum 1. Mai 2023 erstmalig ihren Einsatz von Angriffserkennungssysteme darzustellen und ab dann alle zwei Jahre.
Den Nachweis hat der jeweilige Genehmigungsinhaber zu erbringen. Die Pflicht kann nicht auf die Betriebsführung übergeben werden, auch wenn die Betriebsführung ausgelagert wurde.
Formulare für den verpflichtenden Nachweis
In den Formularen zur Erbringung von Nachweisen für Betreiber von kritischer Infrastruktur können die Angaben über den Einsatz von Systemen zur Angriffserkennung in den neu eingefügten Abschnitten erbracht werden. Für Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die als Kritische Infrastruktur gelten, wurden eigene Formulare veröffentlicht. Bisher können die Nachweise über den Einsatz von Systemen zur Angriffserkennung per E-Mail versendet werden.
Fristverlängerung
Eine Fristverlängerung um wenige Woche kann mit Begründung beim BSI angefragt werden, wenn der Beweis geführt werden kann, dass es durch Änderungen der Prüfmodalitäten auf Seite des BSI zu einer Verzögerung gekommen ist.
Hilfreiche Informationen finden sich auch in den FAQ des BSI.
News
Neue Zweifel an der Wirksamkeit des EU-U.S. Data Privacy Framework
Der LIBE-Ausschuss vom Europäischen Parlament hat am 6. Februar 2025 die Kommission darauf hingewiesen, dass das unter dem EU-U.S. Data Privacy Framework („DPF“) geschaffene Privacy and Civil Liberties Board nur noch mit einer Person besetzt ist (siehe dazu auch den Artikel bei Bloomberg). Die anderen Board-Mitglieder wurden von der Exekutive in den USA abberufen. Der Ausschuss bittet die Kommission eine dokumentierte Prüfung zur Verfügung zu stellen, die sich mit den Auswirkungen dieser Änderung befasst. Das ist nachvollziehbar, weil eigentlich ein wirksamer und Art. 47 der Charta der Grundrechte der EU entsprechender Rechtsbehelf notwendig ist, um von einer Angemessenheit des Schutzniveaus auszugehen. Im folgenden Abschnitt beantworten wir Fragen, die sich Unternehmen aus der EU jetzt vermehrt stellen werden.
Neue Vorgaben zur Barrierefreiheit auf Websites und in Apps: Ein Überblick zu den Vorschriften des BFSG
Philip Schweers hat in der aktuellen Ausgabe 09/2025 des "Betriebs-Beraters" die nach dem 28. Juni 2025 geltenden Anforderungen des Barrierefreiheitsstärkungsgesetz für Websites und Apps zusammengefasst.
Der Beitrag beschreibt ausführlich für welche Websites und Apps das BFSG gilt, welche Anforderungen bei dessen Umsetzung beachtet werden müssen und welche Konsequenzen bei Verstößen drohen.
Barrierefreiheitsstärkungsgesetz (Teil 4) – Folgen von Verstößen gegen das BFSG
Ab dem 29. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Um Sie rechtzeitig auf das BFSG vorzubereiten, befassen wir uns in unserer Beitragsreihe mit dessen Anforderungen. In Teil 1 haben wir uns einen kurzen Gesamtüberblick zum BFSG verschafft. In Teil 2 und Teil 3 haben wir uns angesehen, ob und welche Anforderungen aus dem BFSG für ihre Websites und Apps gelten. In Teil 4 befassen wir uns damit, was passiert, wenn ein Dienstleister, (z.B. der Anbieter eines Onlineshops) gegen die Vorgaben des BFSG verstößt und wie dieser sich gegen mögliche Rechtsfolgen wehren kann.
Barrierefreiheitsstärkungsgesetz (Teil 3) – Was bedeutet Barrierefreiheit für meine Website oder App?
Nachdem wir uns in Teil 2 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) damit befasst haben für welche Apps und Websites das BFSG gilt, stellen wir Ihnen in Teil 3 vor, welche konkreten Anforderungen an die Barrierefreiheit gelten.
LG Nürnberg-Fürth: Zugangsdaten, Passwörter und Datenbank mit öffentlich verfügbaren Informationen als Geschäftsgeheimnisse
Im Bereich Geschäftsgeheimnisschutz ist es besonders relevant, dass Inhaber eines Geschäftsgeheimnisses diese mit angemessenen Maßnahmen geheim halten. Damit eine Information überhaupt ein Geschäftsgeheimnis i.S.v. § 2 Nr. 1 GeschGehG sein kann, dürfen die relevanten Informationen u.a. weder allgemein bekannt noch ohne Weiteres zugänglich sein. Das LG Nürnberg-Fürth hat am 27.12.2024 (Az. 19 O 556/24) entschieden, dass sowohl eine Datenbank mit öffentlich verfügbaren Daten als auch die Zugangsdaten und Passwörter für den Zugriff auf diese Datenbank als Geschäftsgeheimnisse gelten. Es wurde außerdem entschieden, dass dem Kläger ein Auskunftsanspruch aus § 8 Abs. 1 GeschGehG zustand und die dabei zur Mitteilung von Namen und Anschriften der an der Verletzung des Geschäftsgeheimnisses beteiligten Personen erforderliche Rechtsgrundlage aus der DSGVO vorlag.
Fachbeitrag: Berechtigte Interessen als Rechtsgrundlage für das Training von KI-Modellen
Alexander Weiss & Dr. Carlo Piltz haben im aktuellen Heft 12/2024 der Zeitschrift DATENSCHUTZ-BERATER die praxisrelevante Frage untersucht, ob und wann die Rechtsgrundlage des Art. 6 Abs. 1 f) DSGVO (Interessenabwägung) für die Verwendung personenbezogener Daten zum Zweck des Trainings von KI-Modellen genutzt werden kann.