IT-Compliance

1. Was bedeu­tet IT-Com­pli­ance? #

IT-Com­pli­ance bezeich­net die Ein­hal­tung aller gesetz­li­chen, regu­la­to­ri­schen und orga­ni­sa­to­ri­schen Anfor­de­run­gen, die für den Betrieb von IT-Sys­te­men und die Ver­ar­bei­tung von Daten gel­ten. Der Begriff umfasst drei gleich­wer­ti­ge Dimensionen:

Dimen­si­on 1: Recht­li­che Com­pli­ance #

Die recht­li­che Dimen­si­on umfasst alle Anfor­de­run­gen, die aus Geset­zen, Ver­ord­nun­gen und behörd­li­chen Vor­ga­ben entstehen:

• Daten­schutz­recht: DSGVO und das Bun­des­da­ten­schutz­ge­setz (BDSG) regeln, wel­che per­so­nen­be­zo­ge­nen Daten wie ver­ar­bei­tet wer­den dür­fen, wie lan­ge sie gespei­chert wer­den und wel­che Betrof­fe­nen­rech­te gelten.
• Steu­er- und Han­dels­recht: HGB, AO und GoBD schrei­ben vor, wel­che Geschäfts­do­ku­men­te wie lan­ge und in wel­cher Form auf­zu­be­wah­ren sind.
• IT-Sicher­heits­recht: NIS2 (als BSIG-novel­le seit Dezem­ber 2025 in Kraft), KRI­TIS-Dach­ge­setz und das IT-Sicher­heits­ge­setz 2.0 defi­nie­ren Min­dest­stan­dards für die IT-Sicher­heit bestimm­ter Unternehmen.
• Sek­tor­spe­zi­fi­sches Recht: DORA für Finanz­un­ter­neh­men, Rönt­gen­ver­ord­nung für das Gesund­heits­we­sen, Anfor­de­run­gen aus dem KWG, dem GwG und ande­ren Fachgesetzen.

Dimen­si­on 2: Tech­ni­sche Com­pli­ance #

Die tech­ni­sche Dimen­si­on beschreibt kon­kre­te IT-Anfor­de­run­gen, die aus recht­li­chen Vor­ga­ben abge­lei­tet werden:

• Daten­spei­che­rung: Unver­än­der­li­che Archi­vie­rung, WORM-Schutz, defi­nier­te Auf­be­wah­rungs­fris­ten und siche­re Löschung nach Fristablauf
• Zugriffs­kon­trol­le: Rol­len­ba­sier­te Zugriffs­ver­wal­tung, Mul­ti-Fak­tor-Authen­ti­fi­zie­rung, Pro­to­kol­lie­rung aller Zugriffe
• Ver­schlüs­se­lung: Schutz von Daten in Über­tra­gung und Ruhe (AES-256 oder gleichwertig)
• Audit Trail: Lücken­lo­se, fäl­schungs­si­che­re Auf­zeich­nung aller sicher­heits­re­le­van­ten Ereignisse
• Inci­dent Respon­se: Tech­ni­sche Fähig­keit zur Erken­nung, Ana­ly­se und Mel­dung von Sicherheitsvorfällen

Dimen­si­on 3: Orga­ni­sa­to­ri­sche Com­pli­ance #

Die orga­ni­sa­to­ri­sche Dimen­si­on betrifft Pro­zes­se, Ver­ant­wort­lich­kei­ten und Dokumentation:

• Richt­li­ni­en und Ver­fah­rens­do­ku­men­ta­ti­on: Schrift­li­che Doku­men­ta­ti­on aller rele­van­ten Pro­zes­se — von der Daten­spei­che­rung über die Zugriffs­steue­rung bis zur Inci­dent Response
• Ver­ant­wort­lich­kei­ten: Benen­nung von Ver­ant­wort­li­chen (Daten­schutz­be­auf­trag­ter, CISO, IT-Sicherheitsbeauftragter)
• Schu­lun­gen: Regel­mä­ßi­ge Schu­lung aller Mit­ar­bei­ter zu daten­schutz- und sicher­heits­re­le­van­ten Themen
• Audits: Regel­mä­ßi­ge inter­ne und exter­ne Prü­fung der Compliance-Maßnahmen

IT-Com­pli­ance vs. Revi­si­ons­si­cher­heit: Der Unter­schied #

Com­pli­ance und Revi­si­ons­si­cher­heit wer­den häu­fig gleich­ge­setzt — sie sind es nicht. Revi­si­ons­si­cher­heit ist ein spe­zi­fi­sches Teil­ge­biet der IT-Com­pli­ance, das sich auf die rechts­si­che­re Archi­vie­rung von Geschäfts­do­ku­men­ten kon­zen­triert (GoBD, HGB, AO). IT-Com­pli­ance ist der umfas­sen­de­re Begriff: Er schließt Revi­si­ons­si­cher­heit ein, geht aber weit dar­über hin­aus — bis hin zu IT-Sicher­heits­an­for­de­run­gen, Daten­schutz, per­sön­li­cher Haf­tung und ope­ra­ti­ver Resilienz.

2. Die regu­la­to­ri­sche Land­schaft 2026 #

Das regu­la­to­ri­sche Umfeld für IT-Com­pli­ance in Deutsch­land ist in den letz­ten Jah­ren erheb­lich kom­ple­xer gewor­den. Die fol­gen­de Tabel­le gibt einen Über­blick über die zen­tra­len Regel­wer­ke, den betrof­fe­nen Per­so­nen­kreis und die Kernforderungen.

Über­blick: Regel­wer­ke, Betrof­fe­ne und Kern­for­de­run­gen #

NIS2: Die weit­rei­chends­te Neu­re­ge­lung seit Jah­ren #

Die NIS2-Richt­li­nie der EU wur­de durch die BSIG-Novel­le in deut­sches Recht umge­setzt (Dezem­ber 2025). Sie ist die weit­rei­chends­te Neu­re­ge­lung der IT-Sicher­heits­pflich­ten für Unter­neh­men seit Ein­füh­rung des IT-Sicherheitsgesetzes.

Betrof­fe­ne Unter­neh­men: NIS2 gilt für mitt­le­re Unter­neh­men (ab 50 Mit­ar­bei­ter oder 10 Mio. EUR Jah­res­um­satz) und gro­ße Unter­neh­men in 18 kri­ti­schen Sek­to­ren — von Ener­gie, Was­ser und Gesund­heit über Digi­ta­le Infra­struk­tur bis hin zu Ver­ar­bei­ten­dem Gewer­be und Post- und Kurier­diens­ten. Die NIS2-Betrof­fen­heit ist wei­ter gefasst als die bis­he­ri­ge KRITIS-Regelung.

Kern­pflich­ten:

• Imple­men­tie­rung eines Risi­ko­ma­nage­ment­sys­tems für IT-Sicherheit
• Mel­dung erheb­li­cher Sicher­heits­vor­fäl­le: Erst­mel­dung inner­halb 24 Stun­den, voll­stän­di­ge Mel­dung inner­halb 72 Stunden
• Sicher­heit der Lie­fer­ket­te: Bewer­tung von IT-Dienst­leis­tern und Lieferanten
• Per­sön­li­che Haf­tung der Geschäfts­füh­rung (§38 BSIG-neu)

Buß­gel­der: Bis zu 10 Mio. EUR oder 2 % des welt­wei­ten Jah­res­um­sat­zes (für wesent­li­che Ein­rich­tun­gen); bis zu 7 Mio. EUR oder 1,4 % (für wich­ti­ge Einrichtungen).

DORA: Die Finanz­sek­tor-Pflicht #

Der Digi­tal Ope­ra­tio­nal Resi­li­ence Act ist seit dem 17. Janu­ar 2025 ver­bind­lich. DORA gilt für Ban­ken, Ver­si­che­run­gen, Invest­ment­fir­men, Zah­lungs­dienst­leis­ter und kri­ti­sche IKT-Drittanbieter.

Kern­pflich­ten:

• IKT-Risi­ko­ma­nage­ment mit schrift­li­chem Rahmenwerk
• Klas­si­fi­zie­rung und Mel­dung von IKT-Sicherheitsvorfällen
• Tes­ten der digi­ta­len Resi­li­enz (TLPT für signi­fi­cant institutions)
• Manage­ment von IKT-Dritt­par­tei­en­ri­si­ken — Cloud-Pro­vi­der und Soft­ware-Anbie­ter eingeschlossen

GoBD: Die steu­er­li­che Grund­la­ge #

Die Grund­sät­ze zur ord­nungs­mä­ßi­gen Füh­rung und Auf­be­wah­rung von Büchern (BMF-Schrei­ben 28.11.2019) gel­ten für alle buch­füh­rungs­pflich­ti­gen Unter­neh­men in Deutsch­land. GoBD ist kein Gesetz, aber behörd­li­ches Regel­werk mit ver­bind­li­chem Cha­rak­ter für steu­er­li­che Prüfungen.

Kern­pflich­ten: Unver­än­der­li­che Archi­vie­rung steu­er­re­le­van­ter Doku­men­te, Ver­fah­rens­do­ku­men­ta­ti­on, Voll­stän­dig­keit, Nach­voll­zieh­bar­keit und GDPdU-kon­for­mer Prüfzugriff.

3. Bran­chen­spe­zi­fi­sche Com­pli­ance-Anfor­de­run­gen #

Auf die all­ge­mei­nen Anfor­de­run­gen aus DSGVO, GoBD und NIS2 kom­men bran­chen­spe­zi­fi­sche Regel­wer­ke hin­zu. Für Unter­neh­men in regu­lier­ten Sek­to­ren ergibt sich ein mehr­schich­ti­ges Pflichtenprogramm.

Über­blick: Com­pli­ance-Anfor­de­run­gen nach Bran­che #

Finanz­sek­tor: Das dich­tes­te Regel­werk #

Finanz­un­ter­neh­men sind die am stärks­ten regu­lier­te Bran­che. Das Pflich­ten­pro­gramm umfasst:

DORA (seit 17.01.2025): DORA ist für alle in der EU beauf­sich­tig­ten Finanz­un­ter­neh­men ver­bind­lich. Das IKT-Risi­ko­ma­nage­ment-Rah­men­werk muss schrift­lich vor­lie­gen, regel­mä­ßig getes­tet und von der Geschäfts­lei­tung ver­ab­schie­det wer­den. Alle kri­ti­schen IKT-Dritt­an­bie­ter — ein­schließ­lich Cloud-Pro­vi­der und Back­up-Soft­ware-Her­stel­ler — müs­sen regis­triert und bewer­tet wer­den. Bei schwer­wie­gen­den Vor­fäl­len: Mel­de­pflicht gegen­über BaFin — Erst­mel­dung inner­halb 4 Stun­den nach Klas­si­fi­zie­rung (spä­tes­tens 24 Stun­den nach Ent­de­ckung); Zwi­schen­mel­dung inner­halb 72 Stun­den nach der Erstmeldung.

BAIT (Bank­auf­sicht­li­che Anfor­de­run­gen an die IT): Die BAIT der BaFin kon­kre­ti­sie­ren §25a KWG für IT-Sys­te­me von Kre­dit­in­sti­tu­ten. Kern­the­men: IT-Stra­te­gie, IT-Gover­nan­ce, Infor­ma­ti­ons­ri­si­ko­ma­nage­ment, Aus­la­ge­run­gen (Cloud!), Notfallmanagement.

MaRisk (Min­dest­an­for­de­run­gen an das Risikomanagement): MaRisk gilt für Kre­dit- und Finanz­dienst­leis­tungs­in­sti­tu­te. Rele­vant für IT-Com­pli­ance: Anfor­de­run­gen an Daten­si­che­rung, Back­up-Reco­very und Busi­ness Continuity.

→ Bran­chen­lö­sung Finanzdienstleister

Gesund­heits­we­sen: Lan­ge Fris­ten, hohes Haf­tungs­ri­si­ko #

Das Gesund­heits­we­sen kom­bi­niert stren­ge Daten­schutz­an­for­de­run­gen mit teils extre­men Aufbewahrungsfristen:

Auf­be­wah­rungs­fris­ten im Überblick:

Straf­recht­li­ches Risi­ko: Pati­en­ten­da­ten unter­lie­gen dem §203 StGB (Ver­let­zung von Pri­vat­ge­heim­nis­sen). Die Wei­ter­ga­be an Cloud-Pro­vi­der ist nur unter engen Vor­aus­set­zun­gen zuläs­sig. On-Pre­mi­ses-Spei­che­rung ist für Pati­en­ten­da­ten der siche­re Weg.

→ Bran­chen­lö­sung Gesundheitswesen

Öffent­li­che Ver­wal­tung: BSI-Pflicht und KRI­TIS #

Behör­den unter­lie­gen dem BSI IT-Grund­schutz als Pflicht­stan­dard. Das bedeutet:

• Struk­tu­rier­te Sicher­heits­ana­ly­se nach IT-Grundschutz-Methodik
• Schutz­be­darfs­fest­stel­lung für alle IT-Sys­te­me und Daten
• Umset­zung der IT-Grund­schutz-Bau­stei­ne (CON.3 für Daten­si­che­rung beson­ders relevant)
• Für Bun­des­be­hör­den: Regis­trie­rung und Mel­de­pflich­ten nach NIS2

Digi­ta­le Akten­füh­rung: Die E‑Go­vern­ment-Geset­ze von Bund und Län­dern ver­pflich­ten Behör­den zur elek­tro­ni­schen Akten­füh­rung. Revi­si­ons­si­che­re Spei­che­rung ist dabei Vor­aus­set­zung, kei­ne Option.

→ Bran­chen­lö­sung Öffent­li­che Verwaltung

Indus­trie und KRI­TIS: OT-Sicher­heit trifft IT-Com­pli­ance #

Indus­trie­un­ter­neh­men, ins­be­son­de­re KRI­TIS-Betrei­ber aus den Sek­to­ren Ener­gie, Was­ser, Ernäh­rung und Pro­duk­ti­on, ste­hen vor einer beson­de­ren Her­aus­for­de­rung: Die Gren­ze zwi­schen IT (Infor­ma­ti­on Tech­no­lo­gy) und OT (Ope­ra­tio­nal Tech­no­lo­gy) ver­schwimmt. Cyber­an­grif­fe auf Pro­duk­ti­ons­sys­te­me sind Realität.

Beson­de­re Anforderungen:

• NIS2 gilt für Her­stel­ler in kri­ti­schen Lie­fer­ket­ten (Abschnitt II, Anhang II)
• Das KRI­TIS-Dach­ge­setz (in Kraft seit 17. März 2026) for­dert phy­si­sche und digi­ta­le Resi­li­enz für Betrei­ber kri­ti­scher Anlagen
• Bran­chen­spe­zi­fi­sche Sicher­heits­stan­dards (B3S) für KRI­TIS-Betrei­ber in Ener­gie, Was­ser, Lebens­mit­tel, Gesundheit

4. Daten­hal­tung als Com­pli­ance-Fun­da­ment #

Nahe­zu jedes Com­pli­ance-Regel­werk stellt Anfor­de­run­gen an die Daten­hal­tung. Auf­be­wah­rungs­fris­ten, Unver­än­der­lich­keit, Auf­find­bar­keit und siche­re Löschung sind kei­ne IT-Details — sie sind die tech­ni­sche Grund­la­ge recht­li­cher Compliance.

Auf­be­wah­rungs­fris­ten: Was wie lan­ge gespei­chert wer­den muss #

Die Fris­ten begin­nen jeweils mit dem Ende des Kalen­der­jah­res, in dem das Doku­ment ent­stan­den ist oder der Geschäfts­vor­fall abge­schlos­sen wur­de. Eine Rech­nung vom März 2026 muss also bis zum 31. Dezem­ber 2036 auf­be­wahrt werden.

Revi­si­ons­si­cher­heit: Die tech­ni­sche Grund­an­for­de­rung #

GoBD und HGB for­dern, dass auf­be­wah­rungs­pflich­ti­ge Doku­men­te unver­än­der­lich gespei­chert wer­den. Das bedeu­tet tech­nisch: Ein­mal archi­vier­te Daten dür­fen nicht nach­träg­lich geän­dert oder gelöscht wer­den — weder durch Admi­nis­tra­to­ren noch durch Angreifer.

Die­se Anfor­de­rung wird durch WORM-Spei­cher (Wri­te Once, Read Many) erfüllt. WORM ist nicht gleich WORM:

• Hard­ware-WORM (Silent Cubes): Unver­än­der­lich­keit auf Firm­ware-Ebe­ne — unab­hän­gig von Soft­ware, Betriebs­sys­tem und Benut­zer­be­rech­ti­gun­gen. Kei­ne Soft­ware-Kon­fi­gu­ra­ti­on kann geschrie­be­ne Daten ändern oder löschen.
• Soft­ware-WORM (Object Lock, Immu­ta­ble Sto­rage): Unver­än­der­lich­keit durch Soft­ware-Poli­ci­es — abhän­gig von kor­rek­ter Kon­fi­gu­ra­ti­on und Zugriffs­kon­trol­len. Mit aus­rei­chen­den Admi­nis­tra­tor-Rech­ten grund­sätz­lich umgehbar.

Für steu­er­li­che Zwe­cke akzep­tiert die Finanz­ver­wal­tung bei­de Wege — aber Hard­ware-WORM bie­tet die belast­ba­re­re Posi­ti­on bei einer Betriebs­prü­fung oder einem Compliance-Audit.

→ Silent Cubes: Hard­ware-WORM für revi­si­ons­si­che­re Archivierung

DSGVO-Span­nungs­feld: Auf­be­wah­rungs­pflicht vs. Lösch­pflicht #

Ein häu­fi­ges Miss­ver­ständ­nis: Auf­be­wah­rungs­pflich­ten (GoBD, HGB) und Lösch­pflich­ten (DSGVO Art. 17) ste­hen in einem schein­ba­ren Wider­spruch. Die Auf­lö­sung ist klar: Solan­ge eine gesetz­li­che Auf­be­wah­rungs­pflicht besteht, über­wiegt die­se gegen­über dem DSGVO-Lösch­an­spruch. Nach Ablauf der Auf­be­wah­rungs­frist greift die DSGVO-Löschpflicht.

Das erfor­dert ein Archi­vie­rungs­sys­tem, das Auf­be­wah­rungs­fris­ten ver­wal­tet und nach Frist­ab­lauf gezielt löschen kann — auch auf WORM-Spei­cher. Silent Cubes unter­stützt frist­ba­sier­tes Reten­ti­on Manage­ment: Auf­be­wah­rungs­fris­ten wer­den je Doku­ment­ka­te­go­rie defi­niert; nach Ablauf wird das Doku­ment für die Löschung freigegeben.

5. Tech­ni­sche Com­pli­ance-Anfor­de­run­gen #

Com­pli­ance ist kein rei­nes Rechts­pro­blem — sie muss tech­nisch umge­setzt wer­den. Die fol­gen­den tech­ni­schen Anfor­de­run­gen ent­stam­men ver­schie­de­nen Regel­wer­ken, sind aber in der Pra­xis als ein­heit­li­ches Paket umzusetzen.

Ver­schlüs­se­lung #

Was gefor­dert wird: DSGVO Art. 32 for­dert ange­mes­se­ne Ver­schlüs­se­lung als tech­ni­sche Schutz­maß­nah­me. NIS2 (§30 BSIG-neu) ver­langt Ver­schlüs­se­lung als Teil des IT-Risi­ko­ma­nage­ments. ISO 27001 (Con­trol A.8.24) for­dert den Ein­satz von Kryptographie.

Was das kon­kret bedeutet:

• Daten in Über­tra­gung: TLS 1.2 oder höher für alle Netzwerkverbindungen
• Daten in Ruhe (at rest): AES-256 für Spei­cher­sys­te­me, Back­ups und Archive
• Schlüs­sel­ver­wal­tung: Eige­ne Kon­trol­le über Ver­schlüs­se­lungs­schlüs­sel — kein Anbieter-Managed-Key-Only

Silent Cubes und Silent Brick Sys­tem unter­stüt­zen AES-256-Ver­schlüs­se­lung at rest. Die Schlüs­sel blei­ben unter Kon­trol­le des Betreibers.

Zugriffs­pro­to­kol­lie­rung und Audit Trail #

Was gefor­dert wird: GoBD Tz. 74 for­dert einen voll­stän­di­gen Audit Trail für alle archi­vier­ten Doku­men­te. NIS2 (§30 BSIG-neu) for­dert Pro­to­kol­lie­rung sicher­heits­re­le­van­ter Ereig­nis­se. DSGVO Art. 5(2) ver­langt Nach­weis­bar­keit der Ein­hal­tung (Accoun­ta­bi­li­ty-Prin­zip). ISO 27001 (Con­trol A.8.15) for­dert Protokollierung.

Was das kon­kret bedeutet:

• Lücken­lo­se Auf­zeich­nung aller Zugrif­fe auf geschäfts­kri­ti­sche Daten: Wer hat wann auf wel­ches Doku­ment zugegriffen?
• Pro­to­kol­lie­rung aller admi­nis­tra­ti­ven Aktio­nen: Kon­fi­gu­ra­ti­ons­än­de­run­gen, Zugriffs­rechts­ver­ga­ben, Exportvorgänge
• Pro­to­kol­le selbst müs­sen unver­än­der­lich sein — ein Log, das nach­träg­lich geän­dert wer­den kann, ist kein Compliance-Log
• Auf­be­wah­rung der Pro­to­kol­le: Min­des­tens 1 Jahr (Emp­feh­lung BSI für NIS2-rele­van­te Logs)

Zugriffs­kon­trol­le und Iden­ti­täts­ma­nage­ment #

Was gefor­dert wird: NIS2 (§30 BSIG-neu) for­dert Zugriffs­ver­wal­tung als Teil des Risi­ko­ma­nage­ment­sys­tems. DORA (Art. 9) ver­langt Iden­ti­ty Access Manage­ment. DSGVO Art. 32 nennt Zugriffs­kon­trol­le als tech­ni­sche Schutz­maß­nah­me. BSI IT-Grund­schutz ORP.4.

Was das kon­kret bedeutet:

• Rol­len­ba­sier­te Zugriffs­kon­trol­le (RBAC): Jeder Benut­zer erhält nur die Rech­te, die er für sei­ne Auf­ga­be benötigt
• Mehr­stu­fi­ge Authen­ti­fi­zie­rung (MFA) für alle pri­vi­le­gier­ten Zugänge
• Regel­mä­ßi­ge Über­prü­fung und Ent­zug nicht mehr benö­tig­ter Zugriffsrechte
• Getrenn­te Admi­nis­tra­tor-Kon­ten: Pro­duk­ti­ons­zu­gang und Admi­nis­tra­tor­zu­gang müs­sen getrennt sein
• Kei­ne geteil­ten Accounts: Jede Per­son hat eine eige­ne, iden­ti­fi­zier­ba­re Kennung

Air Gap für kri­ti­sche Daten #

Was gefor­dert wird: NIS2 (§30 BSIG-neu) for­dert die Fähig­keit zur Wie­der­her­stel­lung nach einem Sicher­heits­vor­fall. Das BSI emp­fiehlt in sei­nen Ran­som­wa­re-Schutz­emp­feh­lun­gen expli­zit off­line oder air-gap­ped Back­ups. ISO 27001 (Con­trol A.8.13) for­dert Daten­si­che­rung und Wiederherstellbarkeit.

Was das kon­kret bedeu­tet: Ein Back­up, das stän­dig mit dem Netz­werk ver­bun­den ist, ist kein Schutz gegen Ran­som­wa­re. Angrei­fer, die sich im Netz­werk bewe­gen, errei­chen und ver­schlüs­seln auch Online-Back­ups. Com­pli­ance erfor­dert ein Back­up, das im Angriffs­fall nicht erreich­bar ist.

Das Silent Brick Sys­tem bie­tet zwei Vari­an­ten des Air Gap:

• Silent Brick Pro: Phy­si­sche Ent­nah­me aus dem Slot des Con­trol­ler X. Das Spei­cher­mo­dul wird nach dem Back­up aus dem Con­trol­ler ent­fernt — voll­stän­di­ger phy­si­scher Air Gap, Reak­ti­vie­rung immer manu­ell. Kein Angrei­fer, kein Ran­som­wa­re-Pro­zess kann auf ein ent­nom­me­nes Modul zugreifen.
• Silent Brick Max Air: Gal­va­ni­sche Tren­nung der ein­ge­bau­ten Daten­trä­ger — kei­ne phy­si­sche Ent­nah­me nötig. Die Tren­nung erfolgt ent­we­der manu­ell per Tas­ter am Gerät oder auto­ma­tisch im Air-Gap-Modus (auto­ma­ti­sches Auf­he­ben nach einer fest­ge­leg­ten Zeit, z. B. für Medi­en­ro­ta­ti­on bei regel­mä­ßi­gen Backup-Fenstern).

→ Silent Brick Sys­tem: Air-Gap-Back­up erklärt

Inci­dent Report­ing und Mel­de­pflich­ten #

Was gefor­dert wird: NIS2 (§30 BSIG-neu) for­dert die Mel­dung erheb­li­cher Sicher­heits­vor­fäl­le: Erst­mel­dung inner­halb von 24 Stun­den an das BSI, voll­stän­di­ge Mel­dung inner­halb von 72 Stun­den. DSGVO Art. 33 ver­langt die Mel­dung von Daten­pan­nen inner­halb von 72 Stun­den an die zustän­di­ge Daten­schutz­be­hör­de. DORA (Art. 19) ver­langt die Mel­dung schwer­wie­gen­der IKT-Vor­fäl­le inner­halb von 4 Stun­den (Erst­mel­dung).

Was das kon­kret bedeu­tet: Ohne tech­ni­sche Detek­ti­ons­fä­hig­keit ist eine frist­ge­rech­te Mel­dung nicht mög­lich. Die 24-Stun­den-Frist der NIS2 setzt vor­aus, dass ein Sicher­heits­vor­fall inner­halb von Stun­den erkannt, klas­si­fi­ziert und bewer­tet wer­den kann. Das erfordert:

• SIEM oder zumin­dest zen­tra­les Log-Management
• Defi­nier­te Klas­si­fi­zie­rungs­kri­te­ri­en (Was ist ein ​„erheb­li­cher” Vorfall?)
• Einen schrift­li­chen Inci­dent-Respon­se-Plan mit kla­ren Ver­ant­wort­lich­kei­ten und Eskalationswegen

6. Com­pli­ance und per­sön­li­che Haf­tung #

Die Zei­ten, in denen IT-Com­pli­ance ein rei­nes IT-The­ma war, sind vor­bei. NIS2, DORA und die DSGVO-Buß­geld­pra­xis machen Geschäfts­füh­rer und Vor­stän­de per­sön­lich haft­bar. Das ist kei­ne Droh­ku­lis­se — es sind gel­ten­de Normen.

NIS2: Per­sön­li­che Haf­tung der Geschäfts­lei­tung #

§38 BSIG-neu (NIS2-Umset­zungs­ge­setz) ist ein­deu­tig: Die Geschäfts­lei­tung von wesent­li­chen und wich­ti­gen Ein­rich­tun­gen ist per­sön­lich ver­ant­wort­lich für die Umset­zung der Risi­ko­ma­nage­ments­maß­nah­men. Kon­kret bedeu­tet das:

• Bil­li­gung: Die Geschäfts­lei­tung muss die Cyber­si­cher­heits­maß­nah­men des Unter­neh­mens geneh­mi­gen und aktiv überwachen
• Schu­lung: Geschäfts­füh­rer und Vor­stän­de sind ver­pflich­tet, an Schu­lun­gen zu Cyber­si­cher­heits­ri­si­ken teilzunehmen
• Per­sön­li­che Haf­tung: Bei schuld­haf­ter Ver­let­zung der Auf­sichts­pflicht haf­tet die Geschäfts­lei­tung per­sön­lich — nicht nur das Unternehmen
• Kein Dele­gie­ren: Die Über­tra­gung an die IT-Abtei­lung oder einen exter­nen Dienst­leis­ter ent­bin­det die Geschäfts­lei­tung nicht von der Haftung

Buß­gel­der für das Unter­neh­men: Bis zu 10 Mio. EUR oder 2 % des welt­wei­ten Jah­res­um­sat­zes (wesent­li­che Ein­rich­tun­gen); bis zu 7 Mio. EUR oder 1,4 % (wich­ti­ge Einrichtungen).

DORA: Ver­ant­wor­tung auf Lei­tungs­ebe­ne #

DORA (Art. 5) stellt kla­re Anfor­de­run­gen an die Ver­ant­wor­tung des Lei­tungs­or­gans von Finanz­un­ter­neh­men. Das Lei­tungs­or­gan muss:

• Die IKT-Risi­ko­stra­te­gie geneh­mi­gen und regel­mä­ßig überprüfen
• Ver­ant­wor­tung für die Imple­men­tie­rung des IKT-Risi­ko­rah­mens tragen
• Aus­rei­chen­de Res­sour­cen für die digi­ta­le Resi­li­enz bereitstellen
• Regel­mä­ßi­ge Berich­te über IKT-Risi­ken erhalten

Sank­tio­nen: Die zustän­di­ge Auf­sichts­be­hör­de (BaFin in Deutsch­land) kann neben Buß­gel­dern gegen das Unter­neh­men auch Maß­nah­men gegen Ein­zel­per­so­nen ergreifen.

DSGVO: Buß­gel­der und per­sön­li­che Ver­ant­wor­tung #

Die DSGVO sieht Buß­gel­der von bis zu 20 Mio. EUR oder 4 % des welt­wei­ten Jah­res­um­sat­zes vor (Art. 83 Abs. 5 DSGVO). Die Pra­xis zeigt: Buß­gel­der wer­den ver­hängt, und zwar nicht nur gegen Konzerne.

Prak­tisch rele­van­te Szenarien:

• Daten­pan­ne, die nicht bin­nen 72 Stun­den gemel­det wird: Buß­geld nach Art. 83 DSGVO
• Daten­spei­che­rung ohne aus­rei­chen­de Rechts­grund­la­ge: Buß­geld + Anord­nung zur Löschung
• Ver­ar­bei­tung sen­si­bler Daten ohne aus­rei­chen­de TOMs: Buß­geld + Verarbeitungsverbot

Für Geschäfts­füh­rer gilt: Die DSGVO rich­tet sich an den Ver­ant­wort­li­chen — also das Unter­neh­men. Aber Geschäfts­füh­rer kön­nen bei vor­sätz­li­cher oder grob fahr­läs­si­ger Ver­let­zung ihrer Auf­sichts­pflicht nach §130 OWiG in Regress genom­men werden.

Straf­recht­li­che Risi­ken #

Neben zivil­recht­li­cher und ord­nungs­recht­li­cher Haf­tung gibt es straf­recht­li­che Risiken:

• §202a StGB (Aus­spä­hen von Daten): Wer Sicher­heits­maß­nah­men vor­sätz­lich über­win­det oder dies duldet
• §203 StGB (Ver­let­zung von Pri­vat­ge­heim­nis­sen): Unbe­fug­te Wei­ter­ga­be von Berufs­ge­heim­nis­sen — beson­ders rele­vant im Gesund­heits­we­sen und bei Rechtsanwälten
• §266 StGB (Untreue): Geschäfts­füh­rer, die IT-Com­pli­ance-Pflich­ten grob ver­nach­läs­si­gen und dem Unter­neh­men dadurch Scha­den zufügen
• §370 AO (Steu­er­hin­ter­zie­hung): Bei vor­sätz­lich feh­ler­haf­ter oder mani­pu­lier­ter Buchführung

7. Com­pli­ance-Archi­tek­tur: Refe­renz­mo­dell #

Eine com­pli­ance-fähi­ge IT-Archi­tek­tur ist kei­ne Samm­lung von Ein­zel­maß­nah­men — sie ist ein struk­tu­rier­tes Sys­tem aus vier auf­ein­an­der auf­bau­en­den Schichten.

Die vier Schich­ten der Com­pli­ance-Archi­tek­tur #

┌────────────────────────────────────────────────────────────────────┐
│  Schicht 1: Datenhaltung und Archivierung                          │
│  ├── Revisionssichere Langzeitarchivierung (Silent Cubes)          │
│  │    Hardware-WORM auf Firmware-Ebene, 10+ Jahre Betrieb          │
│  │    GoBD-konform: unveränderlich, auffindbar, prüfbar            │
│  ├── WORM-Schutz für steuerrelevante Dokumente                     │
│  ├── Retention Management: automatische Fristenverwaltung          │
│  └── GDPdU-konformer Prüfzugriff für Finanzamt und Wirtschaftspr.  │
├────────────────────────────────────────────────────────────────────┤
│  Schicht 2: Backup und Wiederherstellung                           │
│  ├── Primäres On-Premises-Backup (Silent Brick System)             │
│  │    Schnelle Wiederherstellung (RTO < 1h), volle Kontrolle       │
│  ├── Air-Gap-Layer für Ransomware-Resilienz                        │
│  │    Silent Brick Pro: physische Entnahme → physischer Air Gap    │
│  │    Silent Brick Max Air: galvanische Trennung, automatisierbar  │
│  ├── 3-2-1-1-Strategie: 3 Kopien, 2 Medientypen, 1 offline        │
│  └── Unveränderliche Backup-Kopien (Immutability)                  │
├────────────────────────────────────────────────────────────────────┤
│  Schicht 3: Zugangssicherung und Protokollierung                   │
│  ├── Rollenbasierte Zugriffskontrolle (RBAC)                       │
│  ├── Multi-Faktor-Authentifizierung für privilegierte Zugänge      │
│  ├── AES-256-Verschlüsselung at rest und in transit (TLS 1.2+)     │
│  ├── Unveränderlicher Audit Trail (Zugriffe, Admin-Aktionen)       │
│  └── Log-Aufbewahrung mindestens 1 Jahr                            │
├────────────────────────────────────────────────────────────────────┤
│  Schicht 4: Governance, Dokumentation und Incident Response        │
│  ├── Schriftliche Verfahrensdokumentation (GoBD Tz. 151–155)       │
│  ├── IT-Sicherheits-Policy und ISMS (ISO 27001 / BSI IT-Grundsch.) │
│  ├── Incident-Response-Plan mit definierten Eskalationswegen       │
│  ├── Meldeprozess für NIS2 (24h BSI) und DSGVO (72h DSB)          │
│  └── Regelmäßige Audits, Schulungen, Managementreviews             │
└────────────────────────────────────────────────────────────────────┘

FAST LTA Pro­duk­te in der Com­pli­ance-Archi­tek­tur #

Silent Cubes — Schicht 1: Revi­si­ons­si­che­re Archivierung

Silent Cubes ist das Hard­ware-WORM-Sys­tem von FAST LTA für Lang­zeit­ar­chi­vie­rung. Kern­merk­ma­le für Compliance:

• Hard­ware-WORM auf Firm­ware-Ebe­ne: Ein­mal geschrie­be­ne Daten sind phy­sisch unver­än­der­lich. Kein Admi­nis­tra­tor, kein Root-Zugriff und kein Soft­ware-Update kön­nen beschrie­be­ne Daten ändern. Das ist der ent­schei­den­de Unter­schied zu Software-WORM.
• Lang­zeit­be­trieb: Ener­gie­ef­fi­zi­en­ter Ruhe­mo­dus (3 Watt im Leer­lauf). Kon­zi­piert für Auf­be­wah­rungs­fris­ten von 10 bis 30 Jah­ren ohne Hard­ware-Wech­sel — rele­vant für Strah­len­the­ra­pie-Auf­zeich­nun­gen (30 Jah­re, §85 StrlSchG), Blut­pro­duk­te-Doku­men­ta­ti­on (30 Jah­re, §14 TFG) und steu­er­li­che Doku­men­te (10 Jah­re, §257 HGB).
• Inte­gra­ti­on: Stan­dard-Schnitt­stel­len (CIFS/SMB, NFS) für alle gän­gi­gen DMS/ECM-Sys­te­me.
• Daten­in­te­gri­tät: Auto­ma­ti­sche Inte­gri­täts­prü­fung (Self-Heal­ing) — beschä­dig­te Daten­blö­cke wer­den aus der Spie­gel­ko­pie repariert.

→ Silent Cubes: Tech­ni­sche Details

Silent Brick Sys­tem — Schicht 2: Air-Gap-Backup

Das Silent Brick Sys­tem kom­bi­niert schnel­len Back­up-Zugriff mit phy­sisch gesi­cher­tem Air Gap:

• Silent Brick Pro: Sitzt im Slot des Con­trol­ler X und ist phy­sisch ent­nehm­bar. Nach dem Back­up wird das Modul aus dem Con­trol­ler ent­nom­men — kein Netz­werk­zu­griff, kein Ran­som­wa­re-Angriff kann ein ent­nom­me­nes Modul errei­chen. Reak­ti­vie­rung immer manuell.
• Silent Brick Max Air: Exter­nes Gerät mit gal­va­ni­scher Tren­nung der ein­ge­bau­ten Daten­trä­ger. Die Tren­nung wird ent­we­der manu­ell per Tas­ter am Gerät auf­ge­ho­ben oder auto­ma­tisch im Air-Gap-Modus nach einer defi­nier­ten Zeit (z. B. täg­lich für 2 Stun­den Back­up-Fens­ter, danach wie­der gal­va­nisch getrennt).
• Immu­ta­bi­li­ty: Das Silent Brick Sys­tem bie­tet zusätz­lich soft­ware-unab­hän­gi­ge Immu­ta­bi­li­ty — auch ohne phy­si­schen Air Gap kön­nen Back­ups als unver­än­der­lich gesetzt werden.

→ Silent Brick Sys­tem: Tech­ni­sche Details

War­um On-Pre­mi­ses für Com­pli­ance-kri­ti­sche Daten #

Cloud-Lösun­gen kön­nen ein­zel­ne tech­ni­sche Com­pli­ance-Anfor­de­run­gen erfül­len — aber sie schaf­fen neue Compliance-Risiken:

• CLOUD Act: US-Cloud-Pro­vi­der kön­nen zur Her­aus­ga­be von Daten ver­pflich­tet wer­den, auch wenn die Ser­ver in der EU ste­hen. Das kann mit DSGVO-Anfor­de­run­gen kollidieren.
• Schrems-II-Fol­gen: Die recht­li­che Unsi­cher­heit bei EU-US-Daten­trans­fers ist nicht abschlie­ßend gelöst.
• Zugriffs­kon­trol­le: Bei Cloud-WORM ist Soft­ware-WORM abhän­gig von IAM-Kon­fi­gu­ra­ti­on — ein pri­vi­le­gier­ter Angrei­fer kann Poli­ci­es ändern.
• Off­line-Ver­füg­bar­keit: Im Kri­sen­fall (Netz­werk­aus­fall, DDoS gegen Cloud-Pro­vi­der) ist ein Cloud-Back­up nicht erreichbar.

On-Pre­mi­ses-Archi­vie­rung und ‑Back­up unter eige­nem Dach eli­mi­nie­ren die­se Risi­ken: kein Dritt­staa­ten-Rechts­rah­men, phy­si­sche Kon­trol­le, Off­line-Ver­füg­bar­keit im Krisenfall.

8. Häufige Fehler #

Fehler 1: „Compliance ist eine IT-Aufgabe” #

Der häufigste und folgenreichste Fehler: Compliance wird an die IT-Abteilung delegiert und von der Geschäftsleitung nicht aktiv begleitet. NIS2 §38 BSIG-neu macht Geschäftsführer persönlich haftbar — das Delegieren an die IT ändert daran nichts. Compliance ist eine Führungsaufgabe, die IT-Kompetenz erfordert. Nicht umgekehrt.

Was es bedeutet: Geschäftsführer müssen die Risikomanagementsmaßnahmen genehmigen, ihre Umsetzung überwachen und an Schulungen teilnehmen. Wer das nicht tut, handelt fahrlässig im Sinne des Gesetzes.

Fehler 2: Keine Verfahrensdokumentation #

Die GoBD verlangen eine schriftliche Verfahrensdokumentation des gesamten Archivierungsprozesses (Tz. 151–155). Ohne sie ist keine elektronische Archivierung revisionssicher — unabhängig von der eingesetzten Technologie. In der Praxis fehlt die Verfahrensdokumentation bei der Mehrzahl der Unternehmen, die einer Betriebsprüfung unterliegen. Das Finanzamt kann in diesem Fall die Ordnungsmäßigkeit der Buchführung verwerfen.

Was es bedeutet: Die Verfahrensdokumentation muss beschreiben, welche Dokumente archiviert werden, wie sie erfasst und indexiert werden, auf welchem System sie gespeichert sind, wie die Unveränderbarkeit sichergestellt wird und wer verantwortlich ist. Ein sachverständiger Dritter muss den Prozess nachvollziehen können.

Fehler 3: Cloud-Daten ohne DSGVO-Check #

Viele Unternehmen nutzen US-Cloud-Dienste für die Ablage von Geschäftsdokumenten, ohne die DSGVO-Konformität geprüft zu haben. Der US CLOUD Act ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — auch wenn die Server in Deutschland stehen. Für personenbezogene Daten ist das ein DSGVO-Risiko, das dokumentiert und bewertet sein muss.

Was es bedeutet: Für jeden Cloud-Provider, bei dem personenbezogene oder geschäftskritische Daten liegen, muss eine Risikoabwägung dokumentiert sein. Wenn das Risiko nicht akzeptabel ist: Daten auf eigene, souveräne Infrastruktur migrieren.

Fehler 4: Backup ohne Air Gap #

Ein Backup, das permanent mit dem Netzwerk verbunden ist, bietet keinen Schutz gegen Ransomware. Angreifer, die sich lateral im Netzwerk bewegen, erreichen und verschlüsseln auch Online-Backups — in vielen Fällen innerhalb von Minuten. NIS2 fordert die Wiederherstellungsfähigkeit nach einem Sicherheitsvorfall. Ohne Air Gap ist diese Fähigkeit bei einem erfolgreichen Ransomware-Angriff nicht gegeben.

Was es bedeutet: Mindestens eine Backup-Kopie muss physisch vom Netzwerk getrennt oder offline sein. Silent Brick Pro (physische Entnahme) und Silent Brick Max Air (galvanische Trennung) liefern diese Fähigkeit — ohne komplizierte Zusatzsysteme.

Fehler 5: GoBD-Unkenntnis im Mittelstand #

Die GoBD gelten für alle buchführungspflichtigen Unternehmen in Deutschland — das sind mehrere Millionen. Dennoch ist die GoBD-Konformität im Mittelstand häufig lückenhaft: Emails werden nicht archiviert, Scanner-Workflows sind nicht dokumentiert, der Steuerberater speichert Daten auf seinem eigenen System und die Verfahrensdokumentation existiert nicht. Bei einer Betriebsprüfung werden solche Lücken sichtbar.

Was es bedeutet: GoBD-Compliance beginnt mit einem einfachen Check: Werden alle steuerrelevanten Dokumente unveränderlich archiviert? Gibt es eine Verfahrensdokumentation? Kann ein Prüfer GDPdU-Zugriff erhalten? Wenn nicht, ist Handlungsbedarf.

Fehler 6: Kein schriftlicher Incident-Response-Plan #

NIS2 fordert die Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden. Diese Frist ist nur einzuhalten, wenn der Meldeprozess vor dem Vorfall definiert und geübt wurde. In der Praxis fehlt in vielen Unternehmen ein schriftlicher Incident-Response-Plan — oder er existiert, ist aber seit Jahren nicht aktualisiert worden und der Mehrzahl der Mitarbeiter unbekannt.

Was es bedeutet: Ein Incident-Response-Plan muss schriftlich vorliegen, Verantwortlichkeiten benennen, Eskalationswege definieren und den Meldeprozess an BSI und ggf. Datenschutzbehörde beschreiben. Er muss regelmäßig geübt und nach Vorfällen aktualisiert werden.

9. Schritt-für-Schritt zur Com­pli­ance #

Der fol­gen­de Plan führt IT-Ver­ant­wort­li­che und Geschäfts­füh­rer struk­tu­riert durch die Umset­zung. Alle Schrit­te sind prüf­bar — mit jedem abge­schlos­se­nen Schritt steigt die Compliance-Reife.

Prio­ri­täts­set­zung: Was zuerst? #

Wenn Res­sour­cen begrenzt sind, gilt fol­gen­de Reihenfolge:

1. Back­up mit Air Gap: Schutz vor Daten­ver­lust durch Ran­som­wa­re ist der unmit­tel­bar höchs­te Schutzwert.
2. Ver­fah­rens­do­ku­men­ta­ti­on GoBD: Fehlt bei fast jedem Betrieb; bei der nächs­ten Betriebs­prü­fung sofort sichtbar.
3. MFA für pri­vi­le­gier­te Zugän­ge: Einer der effek­tivs­ten Schutz­maß­nah­men gegen Angrei­fer mit gestoh­le­nen Cre­den­ti­als — schnell umsetzbar.
4. Inci­dent-Respon­se-Plan: NIS2 for­dert ihn; die 24-Stun­den-Frist ist ohne Plan nicht einhaltbar.
5. WORM-Archi­vie­rung: Für Unter­neh­men mit 10-jäh­ri­gen Auf­be­wah­rungs­pflich­ten oder län­ge­ren Fristen.

→ Kos­ten­lo­ses Bera­tungs­ge­spräch anfragen → Silent Cubes und Silent Brick Sys­tem kennenlernen