Haftung in der IT: Alltag des IT – Administrators und warum sich etwas ändern muss.

(Artikel 1 von 6)

Das Leben des IT-Administrators ist ja vermeintlich toll und einfach. Der Chef verlässt sich blind auf uns, die gesamte Verantwortung liegt auf unseren Schultern.

Aber was passiert, wenn etwas passiert?

Wir von i-doit haben uns in aktuelles deutsches Recht eingelesen und wollen die Ergebnisse unserer Recherche mit der i-doit Community teilen. Nicht als Rechtsberater, sondern in der Rolle des interessierten Administrators. Schließlich geht es auch um IT-Dokumentation, das ist schon klar. Gefunden haben wir Rechte und Pflichten sowie aktuelle Beispiele der Rechtsprechung, die wir in dieser sechsteiligen Serie zusammengefasst haben.

Zuerst die Entwarnung: Deutsches Recht ist nach wie vor Angestellten freundlich. Der Gesetzgeber hat erkannt, dass grundsätzlich alles, was heutzutage im Bürobetrieb passiert, ein beträchtliches Risiko darstellt. Nicht wahrgenommene Verantwortung wird jedoch stärker eingemahnt und mittlerweile auch mit empfindlichen Strafen belegt. Doch dazu später. Sehen wir uns einmal in einem üblichen IT-Betrieb um. Worum geht’s? Was macht den Administrator-Job so prickelnd oder auch – so gut bezahlt? Was tun wir Administratoren so den ganzen Tag?

  • Die gewünschte Software dem Abteilungsleiter einfach mal so kopieren?
  • Eine Festplatte im Mülleimer entsorgen?
  • Ein Script zur Automatisierung erstellen, das versehentlich Daten löscht?
  • Ein Backup regelmäßig durchführen, aber keinen Recovery-Test?
  • Die Sicherheitslücke, die in der Fachzeitschrift beschrieben wird, im eigenen Unternehmen suchen und nachhaltig verhindern?
  • Die Last am Verteilerschrank berechnen? Die USV unterdimensioniert bestellen?
  • Versehentlich am Not-Aus-Schalter angekommen und der Wiederanlauf der Systeme will nicht so recht glücken?
  • Verträge mit dem Lieferanten, Lieferscheine und Rechnungen unterschrieben, aber nicht gelesen?
  • Die exportierten Daten des CRM-Systems per e-Mail versandt?

Arbeiten als IT – Administrators: Ideale Umstände und die Realität

Viele IT-Administratoren sind ja an sich recht risikobewusst, oft aus erlebter Not. Aber man muss auch etwas weiter bringen. Und man kann vor allem nicht der Einzige im Unternehmen sein, der wegen Sicherheitsbedenken alle anderen ausbremst. Als Verhinderer macht man sich keine Freunde. Auch wenn man Recht hätte. Man muss also die Zügel in dem Maß anziehen, wie es zum Unternehmen passt. Aber ganz locker lassen?

 

Skizzieren wir einmal den optimalen Zustand, der uns Administratoren ruhig schlafen ließe und stellen wir ihn der oftmals erlebten Realität (und manchem Grund für körperliches Unwohlsein) gegenüber:

 

Ideal Real
Gängige IT-Risiken sind im Unternehmen, vor allem den Verantwortlichen, bekannt, werden laufend behandelt, besprochen und entsprechend abgesichert. Nicht mal annähernd. Je weiter man in der Hierarchie des Unternehmens nach oben geht um so blauäugiger wird mit den Risiken aus dem IT-Betrieb umgegangen. Ein aktuelles Risikoverzeichnis gibt es nicht.
Die Geschäftsführung hat ein gutes Maß an Delegation, Kontrolle und Eigenverantwortung gefunden und damit eine Balance aus unternehmerischem Risiko und leistbarer Risikovermeidung hergestellt. In der Realität muss man als IT Verantwortlicher um Security Budget betteln  und stößt in der Chefetage auf Unverständnis. Das Budget wird auch noch jedes Jahr gekürzt. Nur durch Aufzeigen vergleichbarer Worst Case Fälle in der Presse bekommt man einige Prozentpunkte mehr Budget als im Vorjahr.
Bei besonderen Vorkommnissen wird Ursachenforschung betrieben, der Sache auf den Grund gegangen und diese nachhaltig gelöst. Wenn etwas passiert wird ein Schuldiger gesucht und in schweren Fällen ein Bericht geschrieben.
Welche Gesetze und Vorschriften gelten, ist für das Unternehmen analysiert und jedem, der Verantwortung inne hat, mitgeteilt worden. Nicht mal der hauseigene Rechtsberater hat den Überblick über die geltenden nationalen, internationalen und Branchennormen. Wie soll ich das als Techniker haben?
Eingespielte Prozesse berücksichtigen riskante Situationen und geben dem Administrator klare Handlungsanweisungen und Eskalationsmöglichkeiten. IT-Prozesse werden von uns Administratoren geschaffen, um die tägliche Arbeitslast möglichst zu automatisieren. Das Thema Risiko wird ausgespart, sonst reden zu viele mit und man darf nichts mehr selbst entscheiden. Wehe, die Sicherheitsabteilung kriegt Wind von einem Missstand: Dann hagelt es Nachtschichten und der Urlaub ist gestrichen!
Der Kenntnisstand der verantwortlichen Angestellten wird laufend auf aktuellen Stand gebracht. Schulungen gibt es selten und wenn, dann nur für neue Technologie oder Software. Wissensaufbau geschieht zumeist auf Eigeninitiative der Administratoren und da steht trockener Security-Stoff nicht als erstes auf der Liste.
Die IT-Systeme sind am Stand der Technik, daher sind auch die technischen Risiken reduziert. Alle Systeme werden mindestens so lange betrieben bis sie buchhalterisch abgeschrieben sind. Firmware wird nur updated, wenn man einen schweren Bug findet. Patchdays werden zwar verfolgt, aber lieber warten wir noch ein paar Wochen.
Jede/r hat nur die Berechtigungen die sie/er benötigt. Jede/r hat Administratorrechte.
Beim Teil-Outsourcing kann man auf zusätzliche externe Kompetenz zurückgreifen. Externe und interne Prozesse greifen ineinander und erzeugen so ein höheres Maß an Sicherheit, als das intern möglich wäre. Der Sourcingpartner hat weniger Ahnung als wir selbst. Wir müssen uns um alle Sicherheitsthemen selbst kümmern, diese in endlosen Meetings besprechen.
Regelmäßige Audits verifizieren SOLL und IST und geben Hinweise auf Verbesserungsmaßnahmen. Entweder gab es noch nie ein Audit, oder wir nehmen uns am Tag eines Audits frei.

Vergleichen wir die IT mit der Bau- oder Automobilbranche, stehen wir im Jahr 1930. Nur der Umstand, dass bei befreundeten Administratoren ähnliche oder schlimmere Zustände herrschen, macht die Sache weder gut noch sicher.

IT Sicherheit? Risiken? Haftung? Alle sind verwirrt. Und alle hoffen, dass sie nie betroffen sein werden. Doch zumindest einer von unseren Administratoren ist heute, ja gerade jetzt, betroffen. Von einem Fehler, einer unterschätzten Situation, von einer Verletzung der Sorgfaltspflicht. Und es wird auffallen!

Ziel der IT – Sicherheit?

 

Das Wichtigste ist wohl, eine Balance zwischen dem täglichen Umgang mit der IT und Sicherheitsmechanismen zu finden und diese verständlich zu kommunizieren. Das ist Chefsache, wie sich noch zeigen wird.

Der Gesetzgeber und andere Regelungsgeber gehen dazu über, die Sorgfaltsanforderungen zu normieren. Für die Einhaltung dieser Vorgaben ist in erster Linie die Geschäftsleitung verantwortlich und kann diese Verantwortlichkeit auch nicht vollständig wegdelegieren. Es besteht daher zunehmend das Risiko, für die Konsequenzen aus einer Ignoranz der gebotenen IT-Sicherheit persönlich in Regress genommen zu werden und in speziellen Fällen auch mit Privatvermögen zu haften.

Hinzu kommen verschärfte europäische und internationale Vorgaben (z.B. aus der EU-Richtlinie über den Datenschutz in der elektronischen Kommunikation oder den allgemein gestiegenen Haftungsanforderungen bei Banken und Versicherungen). IT-Sicherheit muss als Prozess verstanden werden, der permanent neu zu definieren und an geänderte technische und wirtschaftliche Rahmenbedingungen anzupassen ist.

Das trägt nicht nur zu kontrollierbaren rechtlichen Risiken, sondern auch zu einem sicheren und damit besseren IT-Umfeld für uns alle bei.