nach oben

Erschienen in:

2021 | OriginalPaper | Buchkapitel

Die Bedeutung der Informations- und Cybersicherheit bei der Umsetzung des Onlinezugangsgesetzes – Digitalisierung ja, aber (rechts)sicher!

verfasst von : Lars Bostelmann

Erschienen in: Handbuch Onlinezugangsgesetz

Verlag: Springer Berlin Heidelberg

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Zusammenfassung

Gerade in der derzeitigen Corona-Krise zeigt sich, dass die IT von großer Bedeutung zu deren Bewältigung ist. Viele der im Zuge der OZG-Umsetzung in den Digitalisierungslaboren entwickelten Lösungen und Bausteine können nun z. B. im Online-Antragsmanagement zum Einsatz gelangen. In Hessen wird beispielsweise das Modul CIVENTO der ekom21 für die Auszahlung von Leistungs- und Fördermaßnahmen genutzt. Das Beispiel Corona-Soforthilfe für Selbständige und KMU zeigt aber auch die Angreifbarkeit von webbasierten Prozessen. So musste Nordrhein-Westfalen seine hierfür entwickelte Website kurzfristig für ein paar Tage vom Netz nehmen, da Cyberkriminelle die Website gehackt und auf eigene Seiten umgeleitet haben. In einem anderen Fall gehen nach SPIEGEL-Informationen Fahnder des Landeskriminalamts Berlin inzwischen 93 Fällen mutmaßlichen Subventionsbetrugs nach. Laut der dortigen Staatsanwaltschaft beläuft sich der ermittelte Gesamtschaden bislang auf rund 700.000 Euro. Die digitalen Angebote von Bund, Ländern und Kommunen erleben also derzeit einen Lackmus-Test. Eines ist schon sicher, Vorfälle wie in Nordrhein-Westfalen und Berlin unterminieren das Vertrauen von Bürgerinnen und Bürgern in die Sicherheit digitaler Lösungen. Durch Schärfung der Sicherheitsmaßnahmen muss hier nachgesteuert werden. Die folgenden Ausführungen gehen der Historie der gesetzlich geltenden Vorschriften zum Schutz von IT-Infrastrukturen nach und betrachten die Genese und die Umsetzung der europa-, bundes- und landesrechtlichen Vorschriften zur IT- und Cybersicherheit – insbesondere in Bezug auf Daseinsfürsorge-Infrastrukturen im Sinne von Forsthoff.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Vorheriges Kapitel Once-Only und Digital First als Gestaltungsprinzipien der vernetzten Verwaltung von morgen

Nächstes Kapitel Die Implementation der Europäischen Dienstleistungsrichtlinie – lessons learned im Hinblick auf das Wirksamwerden der Single Digital Gateway-Verordnung und des Onlinezugangsgesetzes

Gehrt 2020, S. 1.

Della Veccia FH NW 2018.

Der Versand und Empfang von Informationen soll nicht in Abrede gestellt werden können. Die Nichtabstreitbarkeit der Herkunft: Der Absender, soll das Absenden einer bestimmten Nachricht nachträglich nicht bestreiten können. Die Nichtabstreitbarkeit des Erhalts: Der Empfänger, soll den Erhalt einer gesendeten Nachricht nachträglich nicht bestreiten können. https://www.secupedia.info/wiki/Nichtabstreitbarkeit. Zugegriffen am 05.05.2020.

Kurzer aber instruktiver Überblick bei Beuckelmann 2017, S. 376.

Siehe das Beispiel Nordrhein-Westfalen, wo die Landesregierung die Seite für die Onlinebeantragung von Zuschüssen tagelang vom Netz nehmen musste, die Recherche von SZ, WDR und NDR hatte zuerst auf den Betrug hingewiesen, Willmroth (2020). Die Betrüger hinter der Fake-Seite wirtschaft-nrw.info haben offenbar großen Aufwand betrieben. Selbst für Fachleute der Behörden war die Fälschung nicht auf den ersten Blick erkennbar. Den Recherchen zufolge befindet sich der Server der gefälschten Webseite in den USA. Die Betreiber verstecken sich hinter einem Verschleierungsservice aus Panama.

Bundesamt für Sicherheit in der Informationstechnik (BSI) 2019.

Bundesministerium des Innern (BMI) 2016, S. 7.

Infora Case Study: Die OZG-Umsetzung, Whitepaper 2020.

Berger, 2018a, S. 441; Berger 2018b, S. 799; siehe allgemein zum OZG auch Hoffmann 2017, S. 05488; ausführliche Kommentierung des OZG bei Denkhaus, Richter und Bostelmann 2019, 2. Abschnitt, S. 315 ff.

Einen sehr guten hochaktuellen Überblick über die Diversität des Themas Cybersecurity liefert Kipker 2020, Kapitel 1, Rn. 34 ff.; siehe auch die Ausführungen zu den rechtlichen Rahmenbedingungen ebd., Rn. 17 ff.; kongenial ergänzend mit dem Schwerpunkt IT-Sicherheitsrecht und dessen Grundlagen und Querschnittsfragen Hornung und Schallbruch 2021, Rn. 107 ff.

Nachfolgendes nach Schmidl 2010, S. 476.

Zum Zusammenhang zwischen NIS-RL und DS-GVO am Beispiel der Anforderungen an das Cloud Computing siehe Hoffmann 2017, S. 05488.

BMI 2016, S 5.

Ebd.

BMI 2016, S. 9.

JOIN (2013) 1 final.

BMI 2016, S. 5.

Der IT-Planungsrat (IT-PLR) wurde im Zuge der Föderalismuskommission II als Ergebnis der Verhandlungen in der Arbeitsgruppe 3 gegründet. Flankierend zur Einführung der neuen Art. 91c und des Grundgesetzes schlossen Bund und Ländern einen IT-Staatsvertrag, der das Nähere regelte. Der IT-PLR nahm am 22. April 2010 seine Arbeit auf. Zur Rechtsnatur des IT-Staatsvertrages und seiner Beschlüsse ausführlich Schulz und Tallich 2010, S. 1338 sowie Steinmetz 2011, S. 467. Steinmetz sieht eine demokratische Legitimierung der Beschlüsse des IT-PLR nur dann als gegeben an, wenn die vom IT-PLR beschlossenen Standards nur sehr restriktiv ausgelegt würden. Schulz/Tallich sehen es als problematisch an, dass die Verbindlichkeit der Beschlüsse des IT-Planungsrates erstmals in größerem Umfang die Möglichkeit erschaffen, dass Landesverwaltungen zur Umsetzung von Entscheidungen verpflichtet sind, die sie inhaltlich nicht mittragen. Denn das Handeln des IT-PLR sei von einem Konsenual-Prinzip gekennzeichnet. Beschlüsse des IT-PLR zu Standards seien hingegen verbindlich und kämen mit einem Mehrheitsbeschluss zustande. Siehe auch Schulz 2010, S. 225, der aus der Einführung des Art. 91c GG die Notwendigkeit von E-Government-Gesetzen ableitet.

Kooperationsgruppe „Informationssicherheit“ in der öffentlichen Verwaltung, Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung, IT-Planungsratsbeschluss 2013/01.

Hierzu ausführlich cyber-peace.org Parlakom Hack (Netzwerk des Bundes); laut dem Redaktionsnetzwerk Deutschland kostete der Hackerangriff den Deutschen Bundestag 1,4 Millionen Euro, RND 2017.

Zur Genese und Bewertung der Fortschritte siehe Roth 2015, S. 17. Im Vergleich zu dem Vorentwurf des Gesetzes habe es – so Roth – einige inhaltliche Änderungen gegeben, die grundsätzlich nicht zu beanstanden seien. Allerdings sei auch nicht erkennbar, dass gewisse Kritikpunkte beseitigt worden sind. Manche ließen sich schon wegen Sinn und Zweck des Gesetzes nicht vollständig abschaffen, wie z. B. die Meldepflichten. Die Befürchtungen der Wirtschaft wären und sind wahrscheinlich diesbezüglich überzogen. Insgesamt sei das Gesetz an manchen Stellen nicht viel klarer geworden, wobei man gewisse Regelungsschwierigkeiten bei der Materie anerkennen müsse. Auch wegen der Dynamik der technischen Entwicklung müsse hier mit unbestimmten Rechtsbegriffen und weiten Beurteilungsspielräumen gearbeitet werden. Letztlich müssten die Erfahrungen auch in der Praxis abgewartet werden. Leider sei auch nach wie vor die fehlende Abstimmung mit der geplanten NIS-RL zu bemängeln. Auch wenn der deutsche Gesetzgeber beabsichtige über die europarechtlichen Anforderungen hinaus schärfere Bestimmungen zu schaffen, sei zumindest eine stärkere Orientierung an den Regelungen und Begrifflichkeiten mit Blick auf eventuelle Auslegungsschwierigkeiten sinnvoll gewesen. Hier werde sich zwangsläufig noch Nachbesserungsbedarf ergeben, so lautet Roths Fazit, S. 22. Im Ergebnis mit dem Entwurf grds. zufrieden Roos 2015.

Zum BSIG ausführlich Buchberger 2019b Abschnitt Q.

Zu den Änderungen des TMG und die Auswirkungen für die Webseitenbetreiber siehe Schütze 2015, S. 04755.

Ross 2015, S. 636.

Siehe hierzu die Ausführungen unter 1.6.

Deshalb müssen die Länder eigene IT-Sicherheitsgesetze verabschieden, in Bayern, im Saarland, in Sachsen und in Niedersachsen ist das schon erfolgt, andere Länder werden nachziehen müssen.

Zu den einzelnen betroffenen Sektoren siehe für den Gesundheitsbereich Tschammler 2019, S. 509; zur Bankwirtschaft Frisse 2018, S. 177; zur Energiewirtschaft von Bremen 2020, S. 29.

Bis zum Erlass des IT-SiG galt das vom ehemaligen Bundesinnenminister Thomas de Maizière formulierte Prinzip der „roten Linie“. Also Beobachtung der einschlägigen KRITIS-Unternehmen, ob IT-Sicherheitsfälle freiwillig gemeldet werden; als Organ für den Austausch zwischen Bund, Ländern und den Betreibern Kritischer Infrastrukturen wurde der UP KRITIS gegründet. Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen. Der UP KRITIS adressiert acht der neun Sektoren Kritischer Infrastrukturen. Der Sektor „Staat und Verwaltung“ wird durch den UP BUND abgedeckt. Zum UP-KRITIS siehe auch Möllers 2018 und Kipker 2017f. Bereits 2010 hat Hornung auf die Pflicht der Meldung von Datenpannen in Unternehmen auf Grundlage datenschutzrechtlichen Bestimmungen aufmerksam gemacht, Hornung 2010, S. 1841.

Siehe hierzu 1.5.

Roos 2015, S. 644.

Siehe hierzu die Ausführungen unter 1.7.

Übersicht bei Gitter, Meißner und Spauschuss 2015, S. 512.

Nachfolgendes nach Hornung 2015, S. 3334, 3340.

Hornung, a. a. O.

Gitter, Meißner und Spauschuss 2015, S. 512, 516.

Einige Länder haben bereits eigene Gesetze verabschiedet, Bayern, Sachsen, Saarland und Niedersachsen, andere planen diese (z. B. Bremen, Hessen).

Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union; siehe hierzu insbesondere Voigt und Gehrmann, 2016, S. 355 und den Vergleich zwischen NIS-RL und dem IT-Sicherheitsgesetz (IT-SiG) bei Kipker 2017e, S. 05261.

Anfangs stand der Bundesrat dieser RL sehr kritisch gegenüber, siehe hierzu Niederschrift der 637. Sitzung des Europa-Ausschusses. Der Richtlinienvorschlag genüge im Hinblick auf die Regelungen über die Verteilung der Verwaltungszuständigkeit nicht dem Grundsatz der Verhältnismäßigkeit gemäß Art. 5 Abs 4 EUV. Darüber hinaus sah der Bundesrat die Erforderlichkeit der in der RL vorgesehenen Einführung einer einheitlichen nationalen Behörde nicht gegeben. Der Bundesrat war weiter der Auffassung, dass Art. 14 des Richtlinienvorschlags nicht durch die gewählte allgemeine Binnenmarktkompetenz des Artikels 114 Abs 1 AEUV gedeckt sei, soweit Informationssysteme der öffentlichen Verwaltung generell in den Anwendungsbereich der Richtlinie einbezogen würden. Zu den Unterschieden zwischen Teil- und Vollharmonisierung Kipker 2020, S. 517 Die RL ist hinsichtlich der der durch sie verfolgten Ziele für die Mitgliedstaaten verbindlich. Den EU-Staaten ist aber die Wahl und Form der Mittel zu nationalen Umsetzung frei (sog. Teilharmonisierung). Die RL sieht aber auch IT-Sicherheitsanforderungen und Meldepflichten für Anbieter digitaler Dienste vor, über die die Mitgliedstaaten im nationalen Recht nicht hinausgehen dürfen (sog. Grundsatz der Vollharmonisierung).

Vgl. Ansip 2015, Pressemitteilung der Europäischen Union vom 8. Dezember 2015.

Zur NIS-Richtlinie ausführlich Kipker 2017e, S. 05261; vgl. hierzu Kipker 2017c, der das Chinesische Cyber Security Law von 2016 untersucht, dass ähnlich wie die NIS-Richtlinie Kritische Infrastrukturen sektoral bestimmt und gliedert.

Zur Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen ausführlich Freimuth 2018. Zu den rechtlichen Verpflichtungen und deren Durchsetzung ausführlich Riehm und Meier 2020, S. 571.

Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, BGBl 2017, S. 1885.

Zum Aufgabenzuwachs beim BSI siehe Buchberger 2019a, S. 183.

Folgendes nach dem Vortrag und dem Skript von Beucher und Nolte, November 2019.

Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU).

Siehe hierzu ausführlich Klindt 2019, S. 665; Kipker 2019a, S. 414986; vgl. auch Kipker und Scholz 2019a, S. 41498; Kipker und Mueller 2019, S. 414291; Kipker 2017a, S. 395945; Kipker 2017b, S. 394677 und Kipker 2017d, S. 143.

Kipker und Scholz 2019a, S 41498.

Forsthoff 1938; zu der Geschichte des Begriffs und seiner Fortentwicklung siehe auch Doerfert 2006, S. 316 und grundsätzlich Lange 2014, S. 61.

Forsthoff begründete die Notwendigkeit der Daseinsfürsorge in „Die Verwaltung als Leistungsträger“ wie folgt: „Mit der Zusammenbringung großer Bevölkerungsmassen auf engsten Raum in den Großstädten, wie sie die industrielle Emanzipation im 19. und 20. Jahrhundert mit sich brachte, ergaben sich für die individuelle Daseinsführung neue Bedingungen und Erfordernis. Sie lassen sich in der Weise verdeutlichen, dass man den beherrschten und den effektiven Lebensraum des einzelnen unterscheidet. […] Die durch die Industrialisierung ausgelöste räumliche Verschichtung der Bevölkerung hat dazu geführt, dass sich der beherrschte Lebensraum des Einzelnen mehr und mehr verringerte (von Haus, Hof und Werkstatt zur Mietwohnung und dem Arbeitsplatz in der Fabrik), während die Technik den effektiven Lebensraum außerordentlich erweiterte. Mit dem beherrschten Lebensraum gingen dem Einzelnen die Sicherungen verloren, die seinem Dasein eine gewisse Eigenständigkeit verliehen. Nun war er auf Vorkehrungen angewiesen, die seiner sozialen Bedürftigkeit zur Hilfe kommen und die Daseinsführung ohne beherrschten Lebensraum erst möglich machen: Gas, Wasser, elektrische Energie, Abwasserableitung, Verkehrsmittel usw. Die soziale Bedürftigkeit ist also unabhängig vom Vermögen. […] Dieser Bedürftigkeit zu Hilfe zu kommen, ist staatliche Aufgabe geworden, wobei Staat im weiteren, auch die Gemeinden umfassenden Sinne verstanden sein soll. Was in Erfüllung dieser Aufgabe geschieht, ist Daseinsfürsorge [Hervorhebung LB].“

Siehe hierzu auch Komorowski 2015, S. 4, der den allgemeinen Daseinsvorsorgevorbehalt des Art. 196 Abs. 2 AEUV untersucht und zu dem Schluss kommt, dass sein Vorschlag, Art. 106 Abs. 2 AEUV als allgemeinen Daseinsvorsorgevorbehalt zu rekonstruieren, sich im Kern gegen die Kolonisierung der demokratischen und sozialstaatlichen Verfassungssubstanz Europas durch den ökonomischen Imperativ richte.

Stolleis 2013, S. 247 ff., zitiert nach Meinel 2017, S. 129.

Siehe hierzu den Abschnitt III (Die staatliche Daseinsvorsorge als Destruktion des liberalen Verwaltungsrechts) bei Meinel, S. 134.

Zur historischen Entwicklung und Genese des Begriffs „Infrastruktur“ ausführlich Jellinghaus 2006.

Nachfolgendes nach Schäfer 2020a.

Schliesky 2019, S. 693, 701.

Schäfer 2020b.

Kment 2015, S. 927.

Zum Risikomanagement unter BSIG, BSI-KritisV, NIS-RL i.V.m. DS-GVO ausführlich Forgó 2019, Kapitel 4; Schmidt-Versteyl 2019, S. 1637.

Handreichung Deutscher Landkreistag 2017, S. 4 ff.; siehe auch Ruge 2019, S. 151 ff.

Zur Bedeutung der IT-Sicherheit in den Kommunen siehe auch Martini 2017, S. 443 und Schliesky, 2019, S. 693, zum kommunalen Mischkonzern Wilbert 2015, S. 213 und speziell zum Wasserrecht Leuck 2016, S. 830.

Handreichung Deutscher Landkreistag 2017, S. 5.

Handreichung Deutscher Landkreistag 2017,, S. 29.

Dasselbe gilt auch für KMU, siehe hierzu ausführlich Greveler und Reinermann 2015, S. 274; generell zum Einsatz von Angriffserkennungssystemen in Unternehmen Krügel 2017, S. 795.

Unter diesem Begriff werden allgemein Angriffstechniken zusammengefasst, die sich auf die gezielte Manipulation von Menschen beziehen, um Zugang zu Computersystemen zu erlangen. Ein Beispiel bildet die Vortäuschung bestimmter Identitäten, um angriffsrelevante Informationen von Mitarbeitern zu erhalten. Das Opfer dazu wird dabei dazu gebracht, Daten von sich aus einer ihm unbekannten Person mitzuteilen, mit denen dann missbräuchliche Zahlungen veranlasst werden. Eine Manipulation des Rechners des Opfers findet dabei nicht statt. Lange Zeit war die dazu wohl gängigste Methode der Täter der massenhafte Versand „gefälschter“ E-Mails. Diese stammten vermeintlich von der Bank des jeweiligen Opfers und baten dieses, seine Zugangsdaten und eine TAN zur Freischaltung seines angeblich gesperrten Online-Zugangs auf einer fremden Website einzugeben. Diese Website war mit der Banken-Website optisch identisch oder dieser zumindest ähnlich und besaß eine ähnliche Internetadresse, meist unter einer fremden Top-Level-Domain. Gab der Kunde seine Zugangsdaten auf einer solchen Website preis, verwendeten die Täter diese Daten, um sich bei der tatsächlichen Banken-Website anzumelden und Geld auf ein in der Regel EU-ausländisches Konto zu überweisen, siehe hierzu Kociok 2019 zu § 27 E-Payment und E-Invoicing Rn. 14, 15. Der Begriff wurde ursprünglich 1945 vom Sozialphilosophen Karl Popper in seinem Buch The Open Society and Its Enemies eingeführt. Dabei kritisierte Popper die Vorstellung, man könne sich eine ideale Gesellschaft vorstellen und dann darangehen, dieses Ideal zu verwirklichen; im Gegensatz dazu besteht von Popper befürwortetes Social Engineering darin, durch die Schaffung geeigneter Institutionen jeweils nur in Teilbereiche der Gesellschaft einzugreifen, um konkrete Probleme zu lösen. Populär wurde der Begriff in den frühen 1970er Jahren als Ausdruck des Optimismus, mit dem man damals glaubte, die menschliche Gesellschaft mit rationalen bzw. ingenieurmäßigen Methoden zum Besseren umgestalten zu können. Von Popper stammt auch der Begriff piecemeal social engineering: „Work for the elimination of concrete evils rather than for the realization of abstract goods“ auf deutsch „Arbeite eher für die Abschaffung der konkreten Übel als für die Verwirklichung abstrakter Güter“, Popper 1963, S. 361. Damit meinte er eine politische Strategie, der zufolge eine soziale Reformpolitik der kleinen Schritte abrupten Änderungen bzw. Revolutionen von sozialen Systemen vorzuziehen ist. Letzere radikale Politik definierte er als „Utopian social engineering“, Siehe hierzu ausführlich Popper 1992, S. 187.

Das vom Deutschen Landkreistag mit Unterstützung der Stadt Kassel betriebene IT-SiBe-Forum dient seit 2013 als nichtöffentliches Netzwerk dem Informations- und Erfahrungsaustausch für die mit Informationssicherheit befassten Beschäftigten der öffentlichen Verwaltung von Kommunen und Ländern.

Wilbert 2015, S. 213.

Die Business Judgment Rule gemäß § 93 Satz 2 AktG gehört zu den wichtigsten Bestimmungen des Haftungsrechts für Vorstände. Über die Verweisung in § 116 AktG gilt sie auch für Mitglieder des Aufsichtsrats. Liegen ihre Voraussetzungen vor, handelt das Verwaltungsmitglied schon objektiv nicht pflichtwidrig; der Vorstand kann daher auch nicht nach § 84 Abs. 3 aus wichtigem Grund abberufen werden, siehe hierzu ausführlich Kocher 2009, S. 215.

Stoklas 2016, S. 05146.

Einem Unterarbeitskreis des AK IT und eGovernment der kommunalen Spitzenverbände Hessen unter Federführung der Hessischen Ministerin für Digitale Strategie und Entwicklung, eingeladen sind die Landkreise, die kreisfreien Städte und die Sonderstatusstädte, die ekom21 und die hessischen kommunalen Spitzenverbände.

Ausführlich zum Thema lessons learned Vivien Voss im Kapitel „Die Implementation der europäischen Dienstleistungsrichtlinie. Lessons learned im Hinblick auf das Wirksamwerden der Single Digital Gateway-Verordnung und des Onlinezugangsgesetzes“ in diesem Buch.

So bereits in Ansätzen bei Djeffal 2019, S. 289; siehe auch Kipker und Scholz 2019b, S. 431, die den bei netzpolitik.org im April 2019 geleakten (siehe hierzu Meister und Biselli 2020), aber laut Bundesregierung überholten, Referentenentwurf, kommentiert haben. Das Bundeskabinett hat am 16. Dezember 2020 den Entwurf für ein IT-SiG 2.0 beschlossen, Bundesinnenminister Seehofer bezeichnete den Entwurf als „Durchbruch für Deutschlands Cybersicherheit“, siehe Pressemitteilung des BMI vom 16.12.2020. Der Gesetzentwurf soll nach erfolgter Anhörung im Innenausschuss am 23. April 2021 vom Bundestag verabschiedet werden.

Ansip A (2015) Kommission begrüßt Einigung über ein sicheres Online-Umfeld in der EU Pressemitteilung der Europäischen Kommission vom 08.12.2015. https://ec.europa.eu/commission/presscorner/detail/de/IP_15_6270. Zugegriffen am 23.04.2020

Beuckelmann S (2017) Cyber-Attacken − Erscheinungsformen Strafbarkeit und Prävention. NJW Spezial, S 376

Berger A (2018a) Onlinezugangsgesetz und Digitalisierungsprogramm – Auf die Kommunen kommt es an! KommJur, S 441

Berger A (2018b) Die Digitalisierung des Föderalismus. DÖV S 799

Beucher K, Nolte N (2019) Datensicherheit: Cybersecurity und Datenschutz Rechtliche Anforderungen in der IT-Compliance. Skript zu einer Schulung des Beck-Verlags in Düsseldorf im November

von Bremen A (2020) IT-Sicherheitsrecht in der Energiewirtschaft EWeRK S 29

Buchberger E. (2019a) Die Aufgaben des Bundesamtes für die Sicherheit in der Informationstechnik nach den Änderungen des BSIG 2015 bis 2017 – ein Überblick GSZ S 183

Buchberger E (2019b) Sicherheitsrecht des Bundes Abschnitt Q BSIG (Schenke W-R, Graulich K, Ruthig J (Hrsg)), 2. Aufl. C.H.Beck, München

Bundesamt für Sicherheit in der Informationstechnik (BSI) (2019) Die Lage der IT-Sicherheit. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf?__blob=publicationFile&v=7. Zugegriffen am 05.01.2021

Bundesministerium des Innern (BMI) (2016) Cyber-Sicherheitsstrategie für Deutschland. https://www.bmi.bund.de/cybersicherheitsstrategie/BMI_CyberSicherheitsStrategie.pdf. Zugegriffen am 05.01.2021

Bundesministerium des Innern, für Bau und Heimat (2020) Pressemitteilung zum Kabinettsbeschluss über ein IT-SiG 2.0. https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2020/12/it-sig-2-kabinett.html. Zugegriffen am 05.01.2021

cyber-peace.org Parlakom-Hack (2020). https://cyber-peace.org/cyberpeace-cyberwar/relevante-cybervorfalle/parlakom-hack-netzwerk-bundestages/. Zugegriffen am 30.04.2020

Della Veccia (2018) Glossar: IT-Sicherheit, Informationssicherheit und Cyber-Sicherheit Fachhochschule Nordwestschweiz. https://www.fhnw.ch/plattformen/iwi/2018/01/15/glossar-it-sicherheit-informationssicherheit-und-cyber-sicherheit/. Zugegriffen am 29.04.2020

Denkhaus W, Richter E, Bostelmann (2019) EGovG/ OZG Kommentar, C.H.Beck, München

Deutscher Landkreistag (Hrsg) (2017) Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen. https://www.landkreistag.de/publikationen/2056-band-129

Djeffal C (2019) IT-Sicherheit 3.0: Der neue IT-Grundschutz MMR S 289

Doerfert C (2006) Daseinsvorsorge – eine juristische Entdeckung und ihre heutige Bedeutung JA S 316

Forgó N (2019) In: Schneider J /Forgó N/ Helfrich M (Hrsg) Betrieblicher Datenschutz Rechtshandbuch Kapitel 4 Überblick zu Risikomanagement unter BSIG, BSI-KritisV, NIS-RL i. V. m. DS-GVO 3. Aufl. C.H.Beck, München

Forsthoff E (1938) Die Verwaltung als Leistungsträger zitiert aus Forsthoff E (1971) Der Staat der Industriegesellschaft. C. H. Beck, München, S 75 f

Freimuth C (2018) Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen. Am Beispiel der Pflichten des IT-Sicherheitsgesetzes und der RL (EU) 2016/1148. Duncker & Humblot, Berlin

Frisse F (2018) Unternehmenssicherheit bei Banken – IT-Sicherheit Know-how Schutz Datensicherheit und Datenschutz BKR S 177

Gehrt G (2020) Kommentar Zeitenwende in der Administration 2.0 Behördenspiegel Nr. 4 S 1

Gitter R, Meißner A, Spauschus P (2015) Das neue IT-Sicherheitsgesetz IT-Sicherheit zwischen Digitalisierung und digitaler Abhängigkeit ZD S 512

Greveler U, Reinermann R (2015) Schutzstandards für Informationssicherheit in KMU – Ein Vergleich CCZ S 274

Herrmann M, Stöber K (2017) Das Onlinezugangsgesetz des Bundes NVwZ S 1401

Hoffmann J (2017) Anforderungen aus DS-GVO und NIS-RL an das Cloud Computing ZD-Aktuell S 05488

Hornung G (2015) Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes NJW S 3334

Hornung G (2010) Informationen über „Datenpannen“ – Neue Pflichten für datenverarbeitende Unternehmen NJW S 1841

Hornung G, Schallbruch M (2021) IT-Sicherheitsrecht Praxishandbuch 1. Aufl. Nomos, Baden-Baden

Infora Case Study (2020) Die OZG-Umsetzung. Whitepaper

Jellinghaus L (2006) Zwischen Daseinsvorsorge und Infrastruktur: zum Funktionswandel von Verwaltungswissenschaften und Verwaltungsrecht in der zweiten Hälfte des 19. Jahrhunderts Klostermann, Frankfurt am Main

Kipker D (2017a) Weitgehende Befugnisse für die ENISA und ein europaweiter Rahmen für die Zertifizierung von Cybersicherheit – Neuer Verordnungsentwurf für ein einheitliches europäisches IT-Sicherheitsnetzwerk MMR-Aktuell S 395945

Kipker D (2017b) Massiver Ausbau der EU-Cyber-Sicherheitskapazitäten – Jahresansprache 2017 des EU-Kommissionspräsidenten Juncker und Veröffentlichung der neuen europäischen Cyber-Sicherheitsstrategie MMR-Aktuell S 394677

Kipker D (2017c) Das neue chinesische Cybersecurity Law MMR S 455

Kipker D (2017d) Der BMI-Referentenentwurf zur Umsetzung der NIS-RL MMR S 143

Kipker D (2017e) Die NIS-RL der EU im Vergleich zum deutschen IT-Sicherheitsgesetz ZD-Aktuell S 05261

Kipker D (2017f) Umsetzungsgesetz zur NIS-RL mit nur geringen Anpassungen gegenüber der bisherigen Rechtslage beschlossen MMR S 389121

Kipker D (2019a) EU-Parlament verabschiedet EU Cybersecurity Act MMR S 414986

Kipker D (2019b) Rezension. Freimuth, Die Gewährleistung der IT-Sicherheit Kritischer Informationen, MMR-Aktuell S 417650

Kipker D (2020) Cybersecurity Rechtshandbuch C.H.Beck, München

Kipker D, Mueller S (2019) International Regulation of Cybersecurity – Legal and Technical Requirements MMR-Aktuell S 414291

Kipker D, Scholz D (2019a) EU-Parlament verabschiedet EU Cybersecurity Act, MMR-Aktuell S 414986

Kipker D, Scholz D (2019b) Das IT-Sicherheitsgesetz 2.0 MMR S 431

Klindt T (2019) Ein neuer New Approach für EU-weite Cyber-Security? EuZW S 665

Kment M (2015) Die öffentlich-rechtliche Gefährdungshaftung des Staates als Anlagenbetreiber NVwZ S 927

Kocher D (2009) Zur Reichweite der Business Judgement Rule CCZ, S 215

Kociok (2019) § 27 E-Payment und E-Invoicing. In: Auer-Reinsdorff A/ Conrad,I Handbuch IT- und Datenschutzrecht, 3. Aufl. C.H.Beck, München

Komorowski A (2015) Der allgemeine Daseinsvorsorgevorbehalt des Art. 106 Abs. 2 AEUV EuR S 310

Kooperationsgruppe „Informationssicherheit in der öffentlichen Verwaltung“ (2013) Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung IT-Planungsratsbeschluss 2013/01

Krügel T (2017) Der Einsatz von Angriffserkennungssystemen im Unternehmen – Geeignete Maßnahmen zur Erhöhung der Informationssicherheit 2017 S 795

Lange K (2014) Öffentlicher Zweck, öffentliches Interesse und Daseinsvorsorge als Schlüsselbegriffe des kommunalen Wirtschaftsrechts NVwZ S 616

Leuck S (2016) Das Wasserrecht im Informationszeitalter NVwZ S 830

Martini M (2017) Transformation der Verwaltung durch Digitalisierung DÖV S 443

Mehrbrey K, Schreibauer M (2016) Haftungsverhältnisse bei Cyber-Angriffen Ansprüche und Haftungsrisiken von Unternehmen und Organen MMR S 75

Meinel F (2017) Die andere Seite des Rechtsstaats. Ernst Forsthoff in der Verwaltungsrechtswissenschaft der frühen Bundesrepublik. In: Kremer C (Hrsg) Die Verwaltungsrechtswissenschaft in der frühen Bundesrepublik (1949–1977). Mohr Siebeck, Tübingen

Meister A, Biselli A (2020) IT-Sicherheitsgesetz 2.0: Wir veröffentlichen den Entwurf der das BSI zur Hackerbehörde machen soll. netzpolitik.org; https://netzpolitik.org/2019/it-sicherheitsgesetz-2-0-wir-veroeffentlichen-den-entwurf-der-das-bsi-zur-hackerbehoerde-machen-soll/. Zugegriffen am 24.04.2020

Möllers M (2018) Wörterbuch der Polizei, Eintrag UP KRITIS. In: Möllers M (Hrsg), 3. Aufl. C.H.Beck, München

Popper K (1992) Die offene Gesellschaft und ihre Feinde, Bd I. Der Zauber Platons, 7. Aufl. J.C.B. Mohr (Paul Siebeck), Tübingen

Popper K (1963) Conjectures and Refutations. Springer, London

Europäische Union (2020) Pressemitteilung vom 8. Dezember 2015, Kommission begrüßt Einigung über ein sichereres Online-Umfeld in der EU. https://ec.europa.eu/commission/presscorner/detail/de/IP_15_6270. Zugegriffen am 01.05.2020

Redaktionsnetzwerk Deutschland (2017) Hackerangriff kostetet den Bundestag 1,4 Millionen Euro. https://cyber-peace.org/wp-content/uploads/2015/06/RedaktionsNetzwerk-Deutschland-•-RND-•-Exklusive-Meldung.pdf. Zugegriffen am 30.04.2020

Riehm T, Meier S (2020) Rechtliche Durchsetzung von Anforderungen an die IT-Sicherheit MMR, S 571

Roth H (2015) Neuer Referentenentwurf zum IT-Sicherheitsgesetz – Dringende Neuregelung der Netz- und Informationssicherheit ZD S 17

Roos P (2015) Das IT-Sicherheitsgesetz – Wegbereiter oder Tropfen auf den heißen Stein? MMR S 636

Roos P (2014) Der neue Entwurf eines IT-Sicherheitsgesetzes – Bewegung oder Stillstand? MMR S 723

Ruge K (2019) Sicherheitsgewährleistung aus kommunaler Perspektive GSZ S 151

Schäfer M (2020a) In: Gabler Wirtschaftslexikon Daseinsvorsorge-Infrastrukturen. https://wirtschaftslexikon.gabler.de/definition/daseinsvorsorge-infrastrukturen-54540/version-371465. Zugegriffen am 21.04.2020

Schäfer M (2020b) In: Gabler Kritische Daseinsvorsorge-Infrastrukturen. https://wirtschaftslexikon.gabler.de/definition/kritische-daseinsvorsorge-infrastrukturen-121727/version-372202. Zugegriffen am 21.04.2020

Schliesky U (2019) Digitalisierung – Herausforderung für den demokratischen Verfassungsstaat NVwZ S 693

Schmidl M (2010) Aspekte des Rechts der IT-Sicherheit NJW S 476

Schmidt-Versteyl S (2019) Cyber Risks – neuer Brennpunkt Managerhaftung? NJW S 1637

Schulz S (2010) Macht Art. 91 c GG E-Government-Gesetze der Länder erforderlich? DÖV S 225

Schulz S, Tallich M (2010) Rechtsnatur des IT-Staatsvertrages und seiner Beschlüsse NVwZ S 1338

Schütze B (2015) Bundestag beschließt IT-Sicherheitsgesetz: Änderung des TMG betrifft Webseitenbetreiber, S 04755

SecuPedia Plattform für Sicherheitsinformationen, Eintrag Nichtabstreitbarkeit https://www.secupedia.info/wiki/Nichtabstreitbarkeit. Zugegriffen am 05.01.2021

Steinmetz W (2011) Erforderlichkeit demokratischer Legitimierung der Beschlüsse des IT-Planungsrates NVwZ S 467

Stoklas J (2016) IT-Sicherheit in den Kommunen: Alle Wege führen nach Rom? ZD-Aktuell S 05146

Tschammler D (2019) IT-Sicherheit im Gesundheitswesen – Schutz kritischer Infrastrukturen und Verifikation von Arzneimitteln PharmR S 509

Voigt P, Gehrmann M (2016) Die europäische NIS-Richtlinie Neue Vorgaben zur Netz- und IT-Sicherheit ZD S 355

Wilbert S (2015) Compliance-Risikoanalyse im kommunalen Mischkonzern CCZ S 213

Willmroth J (2020) Kriminelle kopieren Webseite des NRW-Wirtschaftsministeriums. https://www.sueddeutsche.de/politik/nrw-corona-soforthilfe-webseite-betrug-1.4874750. Zugegriffen am 01.05.2020

Titel: Die Bedeutung der Informations- und Cybersicherheit bei der Umsetzung des Onlinezugangsgesetzes – Digitalisierung ja, aber (rechts)sicher!
verfasst von: Lars Bostelmann
Verlag: Springer Berlin Heidelberg
Buch: Handbuch Onlinezugangsgesetz
Print ISBN: 978-3-662-62394-7

Electronic ISBN: 978-3-662-62395-4

Copyright-Jahr: 2021
DOI: https://doi.org/10.1007/978-3-662-62395-4_8

Springer Professional

Zusammenfassung

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Wirtschaft"

Premium Partner