Startseite
BeLogical
produkt-updates

IT-Sicherheit für B2B-SaaS: DSGVO, NIS2 und ISO 27001

Leitfaden zu Schutzmassnahmen, Nachweisen und Verantwortlichkeiten für SaaS Teams.

BeLogical Team
Autor
BeLogical Team - Team

BeLogical Team schreibt bei BeLogical über praxisnahe B2B-Themen.

Key Takeaways
Inhalt

Management Summary: ## Einführung: IT-Sicherheit im B2B-SaaS – Mehr als nur Technik IT-Sicherheit ist für B2B-SaaS-Anbieter nicht nur eine technische Herausforderung, sondern auch eine rechtliche Verpflichtung. Drei rechtliche Rahmenwerke sind dabei besonders relevant: die DSGVO (Art. 32), die NIS2-Richtlinie und ISO 27001. Dieser Artikel erklärt die Unterschiede zwischen gesetzlichen Pflichten und Best

Einführung: IT-Sicherheit im B2B-SaaS – Mehr als nur Technik

Was ist IT-Sicherheit für B2B-SaaS? Die Definition für B2B

IT-Sicherheit für B2B-SaaS ist ein wichtiger Aspekt für B2B-Unternehmen. Laut etablierten Standards und Best Practices ist IT-Sicherheit für B2B-SaaS essentiell für nachhaltigen Erfolg. Für C-Level-Entscheider bedeutet das: Investition in Qualität, nicht in Quantität.

IT-Sicherheit ist für B2B-SaaS-Anbieter nicht nur eine technische Herausforderung, sondern auch eine rechtliche Verpflichtung. Drei rechtliche Rahmenwerke sind dabei besonders relevant: die DSGVO (Art. 32), die NIS2-Richtlinie und ISO 27001. Dieser Artikel erklärt die Unterschiede zwischen gesetzlichen Pflichten und Best Practices, die Verantwortlichkeiten von Anbietern und Kunden sowie die praktische Umsetzung von IT-Sicherheitsmaßnahmen im B2B-SaaS-Kontext.

Dieser Artikel dient als Grundlagenartikel (PILLAR-Artikel) zum Thema IT-Sicherheit im B2B-SaaS-Kontext. Er behandelt die grundlegenden rechtlichen Rahmenbedingungen und technischen Anforderungen, auf die spezifischere Artikel zu einzelnen Aspekten verlinken können.

DSGVO Art. 32: Technische und organisatorische Maßnahmen

Art. 32 DSGVO verlangt, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) umsetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für B2B-SaaS-Anbieter ist dies eine gesetzliche Pflicht, keine optionale Best Practice.

Die vier Grundprinzipien (Art. 32 Abs. 1 DSGVO)

Die TOM müssen folgende Grundprinzipien berücksichtigen:

Vertraulichkeit: Zugriff nur für berechtigte Personen, die zur Vertraulichkeit verpflichtet sind

Verfügbarkeit: Schutz vor Verlust und Sicherstellung der Verfügbarkeit bei Bedarf

Risikobasierter Ansatz

Art. 32 Abs. 1 DSGVO verlangt einen risikobasierten Ansatz. Die Maßnahmen müssen dem Risiko angemessen sein, unter Berücksichtigung von:

Implementierungskosten

Eintrittswahrscheinlichkeit und Schwere der Risiken

Wichtig: “Stand der Technik” bedeutet nicht “neueste Technologie”, sondern etablierte, bewährte Technologien und Standards. ISO 27001 und BSI IT-Grundschutz werden häufig als Referenz für “Stand der Technik” herangezogen.

Typische TOM für B2B-SaaS-Anbieter

Für B2B-SaaS-Anbieter gelten folgende TOM als “Stand der Technik”:

Zugangskontrolle

Multi-Faktor-Authentifizierung (MFA) für alle Nutzerkonten

Passwortrichtlinien mit Komplexitätsanforderungen

Protokollierung aller Zugriffe

Verschlüsselung

AES-256-Verschlüsselung für ruhende Daten

Schlüsselrotation und Trennung von Schlüsseln pro Mandant (Tenant-Isolation)

Physische Sicherheit

24/7-Überwachung und Redundanz in mehreren Rechenzentren

Einhaltung von C5-Kriterien (Deutschland) oder vergleichbaren Standards

Betriebsicherheit

Automatisierte Vulnerability-Scans

Incident-Response-Pläne mit definierten SLAs (Erkennung < 1 Stunde, Meldung < 24 Stunden)

  • Regelmäßige Penetrationstests (jährlich)

Systemakquise und Wartung

Statische Analyse (SAST) und dynamische Tests (DAST)

Verschlüsselte Backups, getestet (jährlich)

  • Geografisch verteilte Backups mit RPO < 1 Stunde, RTO < 4 Stunden

Lieferantenbeziehungen

Regelmäßige Sicherheitsbescheinigungen (SOC 2 Type II, ISO 27001)

Jährliche Risikobewertung aller Drittanbieter

  • Exit-Strategien für den Fall eines Anbieterwechsels

Nachweispflicht (Art. 32 Abs. 1 lit. d DSGVO)

Art. 32 Abs. 1 lit. d DSGVO verlangt, dass die Wirksamkeit der TOM regelmäßig überprüft, bewertet und evaluiert wird. Dies bedeutet:

Penetrationstests (z.B. jährlich)

Dokumentation der Maßnahmen und ihrer Wirksamkeit

  • Anpassung der Maßnahmen bei Änderungen des Risikos

NIS2 verständlich erklärt

Die NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit) ist eine EU-Richtlinie, die 2022 verabschiedet wurde und bis Oktober 2024 in nationales Recht umgesetzt werden musste. Sie erweitert die ursprüngliche NIS-Richtlinie und stellt strengere Anforderungen an die Cybersicherheit.

Ziel der NIS2

Die NIS2-Richtlinie zielt darauf ab:

Die Resilienz kritischer Infrastrukturen zu stärken

Die Zusammenarbeit zwischen Mitgliedstaaten zu fördern

Anwendungsbereich der NIS2

Die NIS2-Richtlinie gilt für Unternehmen in bestimmten Sektoren, die als “wesentliche” oder “wichtige” Einrichtungen eingestuft werden. Für B2B-SaaS-Anbieter relevant sind insbesondere:

Digitale Dienste: Online-Marktplätze, Suchmaschinen, Social-Networking-Plattformen

  • IT-Dienstleistungen: Managed-Service-Provider, Managed-Security-Service-Provider

Wichtig: Die NIS2-Richtlinie gilt nicht für alle SaaS-Anbieter, sondern nur für solche, die bestimmte Größenkriterien erfüllen oder als “wesentliche” oder “wichtige” Einrichtungen eingestuft werden. Die genauen Kriterien werden von den Mitgliedstaaten festgelegt.

Pflichten nach NIS2

Unternehmen, die unter die NIS2-Richtlinie fallen, müssen folgende Pflichten erfüllen:

Risikomanagement

Bewertung der Risiken für die Sicherheit der Netz- und Informationssysteme

  • Kontinuierliches Risikomanagement

Cybersicherheitsmaßnahmen

Cybersicherheits-Schulungen für Mitarbeiter

Business-Continuity-Pläne

Monitoring und Logging

Meldepflichten

Meldung innerhalb von 24 Stunden nach Erkennung (frühe Warnung)

Meldung von Sicherheitslücken, die erhebliche Auswirkungen haben können

Zusammenarbeit mit Behörden

Bereitstellung von Informationen auf Anfrage

  • Teilnahme an Audits und Inspektionen

Unterschied zwischen NIS2 und DSGVO

NIS2 und DSGVO haben unterschiedliche Ziele und Anwendungsbereiche:

NIS2: Fokus auf Cybersicherheit und Resilienz kritischer Infrastrukturen

  • Überschneidung: Beide verlangen technische und organisatorische Maßnahmen, aber mit unterschiedlichen Schwerpunkten

Praktisch: Ein B2B-SaaS-Anbieter, der unter beide Regelwerke fällt, muss beide Anforderungen erfüllen. Die Maßnahmen können sich überschneiden, müssen aber beide Regelwerke vollständig abdecken.

ISO 27001: Pflicht oder Kür?

ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). Die Frage, ob ISO 27001 eine Pflicht oder eine Kür ist, hängt vom Kontext ab.

ISO 27001 ist keine gesetzliche Pflicht

ISO 27001 ist keine gesetzliche Pflicht im Sinne von DSGVO oder NIS2. Es handelt sich um einen freiwilligen Standard, der von Unternehmen umgesetzt werden kann, um ihre Informationssicherheit zu verbessern.

Wichtig: Die DSGVO verlangt nicht explizit ISO 27001, sondern “Stand der Technik”. ISO 27001 wird jedoch häufig als Referenz für “Stand der Technik” herangezogen, insbesondere von Aufsichtsbehörden und Kunden.

ISO 27001 als Nachweis für “Stand der Technik”

Obwohl ISO 27001 keine gesetzliche Pflicht ist, kann es als Nachweis für “Stand der Technik” nach Art. 32 DSGVO dienen:

Für Kunden: ISO 27001-Zertifizierung kann als Nachweis für Sicherheit dienen und Vertrauen schaffen

  • Für Compliance: ISO 27001 kann helfen, die Anforderungen der DSGVO und NIS2 zu erfüllen

ISO 27001 als Best Practice

ISO 27001 gilt als Best Practice für Informationssicherheit:

Kontinuierliche Verbesserung: ISO 27001 verlangt kontinuierliche Verbesserung (PDCA-Zyklus)

Internationale Anerkennung: ISO 27001 ist international anerkannt und kann als Nachweis für Sicherheit dienen

Wann ist ISO 27001 sinnvoll?

ISO 27001 ist besonders sinnvoll für:

Regulierte Branchen: Unternehmen in regulierten Branchen (z.B. Finanzdienstleistungen, Gesundheitswesen) verlangen häufig ISO 27001

Wettbewerbsvorteil: ISO 27001-Zertifizierung kann als Wettbewerbsvorteil dienen

ISO 27001 vs. DSGVO: Unterschiede und Gemeinsamkeiten

ISO 27001 und DSGVO haben unterschiedliche Ziele, aber viele Gemeinsamkeiten:

Ansatz: Beide basieren auf einem risikobasierten Ansatz

Dokumentation: Beide verlangen umfassende Dokumentation

  • Kontinuierliche Verbesserung: Beide verlangen kontinuierliche Verbesserung

Praktisch: Eine ISO 27001-Zertifizierung kann helfen, die Anforderungen der DSGVO zu erfüllen, erfordert aber zusätzliche Maßnahmen speziell für den Datenschutz.

Unterschied Pflicht vs. Best Practice

Es ist wichtig, zwischen gesetzlichen Pflichten und Best Practices zu unterscheiden. Diese Unterscheidung ist entscheidend für Compliance und Risikomanagement.

Gesetzliche Pflichten (Muss)

Gesetzliche Pflichten sind zwingend und müssen erfüllt werden:

NIS2: Für betroffene Unternehmen sind Cybersicherheitsmaßnahmen gesetzlich zwingend vorgeschrieben. Verstöße können zu Bußgeldern führen (bis zu 10 Mio. Euro oder 2% des Jahresumsatzes).

  • Meldepflichten: Meldung von Datenpannen (DSGVO) oder Cybersicherheitsvorfällen (NIS2) ist gesetzlich zwingend vorgeschrieben.

Konsequenz: Die Nichteinhaltung gesetzlicher Pflichten kann zu Bußgeldern, Schadensersatzansprüchen und Reputationsschäden führen.

Best Practices (Sollte)

Best Practices sind empfohlen, aber nicht gesetzlich zwingend:

SOC 2 Type II: Zertifizierung ist freiwillig, wird aber häufig von Enterprise-Kunden verlangt

Bug-Bounty-Programme: Freiwillige Programme zur Erkennung von Sicherheitslücken

Konsequenz: Die Nichteinhaltung von Best Practices kann zu Wettbewerbsnachteilen, Vertrauensverlust und höheren Compliance-Kosten führen, ist aber nicht direkt rechtlich sanktioniert.

Grauzone: “Stand der Technik”

Eine Grauzone ist der Begriff “Stand der Technik” in Art. 32 DSGVO:

Referenzstandards: ISO 27001 und BSI IT-Grundschutz werden häufig als Referenz herangezogen

Risiko: Wenn ein Unternehmen deutlich unter “Stand der Technik” liegt, kann dies als Verstoß gegen Art. 32 DSGVO gewertet werden

Praktisch: Unternehmen sollten sich an etablierten Standards wie ISO 27001 orientieren, um sicherzustellen, dass sie “Stand der Technik” erfüllen.

Verantwortung & Haftung

Die Verantwortung für IT-Sicherheit im B2B-SaaS-Kontext ist zwischen Anbieter und Kunde aufgeteilt. Die genaue Aufteilung hängt von der Rolle (Verantwortlicher vs. Auftragsverarbeiter) und den spezifischen Umständen ab.

Verantwortung des SaaS-Anbieters (Auftragsverarbeiter)

Als Auftragsverarbeiter ist der SaaS-Anbieter verantwortlich für:

Sicherheitsarchitektur: Die Sicherheitsarchitektur des SaaS-Systems (Verschlüsselung, Zugriffskontrolle, etc.)

Anwendungssicherheit: Die Sicherheit der Anwendung (Secure-SDLC, Code-Reviews, Vulnerability-Management)

Meldung von Datenpannen: Die Meldung von Datenpannen an den Kunden (Art. 33, 34 DSGVO)

NIS2-Compliance: Die Einhaltung der NIS2-Anforderungen (falls anwendbar)

Wichtig: Der SaaS-Anbieter ist nicht verantwortlich für die Rechtmäßigkeit der Datenverarbeitung (das ist Aufgabe des Kunden als Verantwortlichen). Der SaaS-Anbieter muss jedoch sicherstellen, dass die technische Umsetzung den rechtlichen Anforderungen entspricht.

Verantwortung des Kunden (Verantwortlicher)

Als Verantwortlicher ist der Kunde verantwortlich für:

Auswahl des Anbieters: Die sorgfältige Auswahl eines geeigneten SaaS-Anbieters mit angemessenen Sicherheitsmaßnahmen (Art. 28 Abs. 1 DSGVO)

AVV: Der Abschluss eines AVV mit dem SaaS-Anbieter (Art. 28 Abs. 3 DSGVO)

Benachrichtigung betroffener Personen: Die Benachrichtigung betroffener Personen bei Datenpannen (Art. 34 DSGVO)

  • Eigenes Risikomanagement: Die Durchführung einer Risikoanalyse und gegebenenfalls einer DSFA (Art. 35 DSGVO)

Wichtig: Der Kunde trägt die Hauptverantwortung für die Rechtmäßigkeit der Datenverarbeitung. Auch wenn der SaaS-Anbieter die technische Umsetzung übernimmt, bleibt der Kunde für die rechtliche Einordnung und Compliance verantwortlich.

Haftung bei Sicherheitsvorfällen

Bei Sicherheitsvorfällen kann die Haftung zwischen Anbieter und Kunde aufgeteilt sein:

Haftung des SaaS-Anbieters

Verstoß gegen AVV: Haftung für Verstöße gegen den AVV (z.B. unzureichende TOM)

Bußgelder: Bußgelder nach Art. 83 DSGVO (bis zu 20 Mio. Euro oder 4% des Jahresumsatzes)

  • Schadensersatz: Schadensersatzansprüche nach Art. 82 DSGVO

Haftung des Kunden

Fehlende Kontrolle: Haftung für fehlende Kontrolle des SaaS-Anbieters

Meldepflichten: Haftung für verspätete oder fehlende Meldung von Datenpannen

Schadensersatz: Schadensersatzansprüche nach Art. 82 DSGVO

Gemeinsame Verantwortung

Einige Aspekte erfordern die Zusammenarbeit beider Parteien:

Audits: Beide Parteien müssen bei Audits zusammenarbeiten

Risikomanagement: Beide Parteien müssen bei der Risikobewertung und -minderung zusammenarbeiten

Praktische Umsetzung: IT-Sicherheit im B2B-SaaS

Für die praktische Umsetzung von IT-Sicherheit im B2B-SaaS-Kontext sollten folgende Schritte beachtet werden:

Schritt 1: Risikobewertung

Bewerten Sie die Risiken für Ihre IT-Sicherheit:

Welche Risiken bestehen für Vertraulichkeit, Integrität und Verfügbarkeit?

Welche Schwachstellen bestehen? (Technisch, organisatorisch, menschlich)

  • Welche Auswirkungen hätte ein Sicherheitsvorfall?

Schritt 2: Maßnahmenauswahl

Wählen Sie angemessene Maßnahmen basierend auf der Risikobewertung:

Organisatorische Maßnahmen: Sicherheitsrichtlinien, Schulungen, Incident-Response-Pläne

Personelle Maßnahmen: Hintergrundprüfungen, Vertraulichkeitsverpflichtungen, Schulungen

Schritt 3: Implementierung

Implementieren Sie die ausgewählten Maßnahmen:

Dokumentation: Dokumentieren Sie alle Maßnahmen und ihre Wirksamkeit

Testing: Testen Sie die Wirksamkeit der Maßnahmen (Penetrationstests, Vulnerability-Scans)

Schritt 4: Monitoring und Wartung

Überwachen und warten Sie die IT-Sicherheit kontinuierlich:

Regelmäßige Audits: Führen Sie regelmäßige Sicherheitsaudits durch (z.B. jährlich)

Incident-Response: Reagieren Sie schnell auf Sicherheitsvorfälle

  • Kontinuierliche Verbesserung: Verbessern Sie die IT-Sicherheit kontinuierlich basierend auf neuen Bedrohungen und Erkenntnissen

Beispiele aus der Praxis

Die folgenden Beispiele verdeutlichen die Anwendung der IT-Sicherheitsanforderungen im B2B-SaaS-Kontext:

Beispiel 1: Security-Monitoring-System

Ein SaaS-Anbieter bietet ein Security-Monitoring-System wie SecureLogical an, das Sicherheitsereignisse überwacht und analysiert. In diesem Fall:

Verschlüsselung: Log-Daten müssen verschlüsselt übertragen und gespeichert werden

Monitoring: Das System selbst muss überwacht werden, um Sicherheitsvorfälle zu erkennen

ISO 27001: ISO 27001-Zertifizierung kann als Nachweis für “Stand der Technik” dienen

Beispiel 2: Smart-Security-System

Ein SaaS-Anbieter bietet ein Smart-Security-System wie SmartLogical an, das KI-basierte Bedrohungserkennung verwendet. In diesem Fall:

KI-spezifische Anforderungen: Zusätzlich zu den allgemeinen TOM gelten spezifische Anforderungen für KI-Systeme (Transparenz, Erklärbarkeit, Bias-Prüfung)

Monitoring: Das KI-System muss überwacht werden, um Fehler und Bias zu erkennen

  • ISO 27001: ISO 27001-Zertifizierung kann als Nachweis für “Stand der Technik” dienen

Beispiel 3: Datenpanne

Ein SaaS-Anbieter entdeckt einen Sicherheitsvorfall, bei dem unbefugte Personen auf Kundendaten zugegriffen haben könnten. In diesem Fall:

Kunde: Muss die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden informieren (Art. 33 DSGVO)

Beide: Müssen den Vorfall dokumentieren und Maßnahmen zur Schadensbegrenzung ergreifen

  • NIS2: Falls NIS2 anwendbar ist, müssen zusätzliche Meldepflichten erfüllt werden

Fazit

IT-Sicherheit im B2B-SaaS-Kontext ist sowohl eine technische Herausforderung als auch eine rechtliche Verpflichtung. Die wichtigsten Erkenntnisse:

NIS2 ergänzt DSGVO: NIS2 stellt zusätzliche Anforderungen an Cybersicherheit für betroffene Unternehmen

Unterscheidung ist wichtig: Die Unterscheidung zwischen gesetzlichen Pflichten und Best Practices ist entscheidend für Compliance und Risikomanagement

Haftung ist real: Verstöße gegen IT-Sicherheitsanforderungen können zu Bußgeldern, Schadensersatzansprüchen und Reputationsschäden führen

Für B2B-SaaS-Anbieter bedeutet das: IT-Sicherheit muss von Anfang an in die Architektur und Entwicklung integriert werden, mit umfassender Dokumentation, kontinuierlichem Monitoring und regelmäßiger Überprüfung. Nur so können die rechtlichen Anforderungen erfüllt und rechtliche Risiken minimiert werden.

Bei BeLogical setzen wir auf eine security-first Architektur, die den Anforderungen der DSGVO, NIS2 und ISO 27001 entspricht. Unsere Produkte wie SecureLogical und SmartLogical wurden von Anfang an mit Fokus auf IT-Sicherheit entwickelt und bieten umfassende Sicherheitsfunktionen und Compliance-Unterstützung.

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Bei spezifischen rechtlichen Fragen sollten Sie einen qualifizierten Datenschutzberater oder Rechtsanwalt konsultieren.

Produkt Updates

Integrierte Compliance-Lösung

Bündeln Sie ISMS-Strukturen und NIS-2-Governance in einer zentralen Plattform.

Mehr erfahren