(Artikel 6 von 6)

 

Datenklau, Hackerangriffe, Betriebsspionage oder Malware sind nur einige der gefürchteten Super-GAUs, die durch Schwachstellen in der IT entstehen können. Dabei ist vielen Unternehmern nicht einmal bewusst, welche rechtlichen Konsequenzen sie über die unmittelbaren wirtschaftlichen Schäden hinaus erwarten: Auch für die IT regelt das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) den Umgang mit potenziellen Risikobereichen – und droht bei Verstößen mit empfindlichen Strafen.

 

Gerade mittelständische Unternehmen schützen sich erfahrungsgemäß oft unzureichend und gehen zu sorglos mit dem Thema Sicherheit um. Dabei ist IT-Security Chefsache: Geschäftsführer und CIOs haben für den lückenlosen Schutz der Unternehmensdaten Sorge zu tragen. In einem mangelhaft gesicherten Unternehmen riskiert der Geschäftsführer eine persönliche Haftung, die sich auch auf sein persönliches Vermögen erstrecken kann.

Das rechtliche Risiko reicht von der Haftung aus Regressansprüchen von geschädigten Kunden über mögliche Buß- und Schmerzensgelder bis hin zu Haft- und Geldstrafen oder sogar dem Verlust der Gewerbeerlaubnis. Außerdem kann sich, seit Basel II, eine unzureichende ITK-Infrastruktur negativ auf das Unternehmens-Rating und damit auch auf Kreditvergaben auswirken.

Wie teuer eine Vernachlässigung der Sorgfaltspflichten seitens der Geschäftsführung werden kann, zeigt auch die Rechtsprechung: So verurteilte der Bundesgerichtshof (BGH) den Geschäftsführer eines EDV-Dienstleisters zu Schadenersatz wegen unzureichender Backup-Kontrolle (Aktenzeichen X ZR 64/94). Der Dienstleister, eine GmbH, hatte an seinen Kunden EDV-Systeme inklusive Bandsicherung (Streamer) und Anwendungssoftware geliefert.

Aufgrund einer fehlerhaften Implementierung der Sicherungsroutine blieben die Backup-Bänder unbeschrieben, sodass bei einem Systemabsturz alle gespeicherten Daten verloren gingen. Der BGH gab dem geschädigten Kunden Recht: Der Geschäftsführer des EDV-Dienstleisters haftet persönlich und hätte sich durch geeignete Prozesse oder Maßnahmen davon überzeugen müssen, dass die Sicherungsmechanismen des Backups voll funktionsfähig sind.

 

Zusammenfassung: Das Risiko abschätzen

 

Die Szenarien für mangelnde IT-Sicherheit und potenzielle Risiken sind vielfältig. Die Spannweite reicht beispielsweise von unzureichenden und ungeprüften Backups über mangelnde Archivierung bis hin zu lückenhaftem Viren- und Spamschutz. Es kommt auch immer wieder vor, dass ein Administrator unerwartet ausfällt, beispielsweise durch einen Verkehrsunfall, und die gesamten Konfigurationen und Passwörter nicht hinterlegt sind.

Doch um Risiken zu begegnen, müssen diese zunächst einmal bekannt sein: Eine Risikoanalyse hilft, Risikofelder zu definieren und deren Gefahrenpotenziale im Detail abzuschätzen. Basierend auf den Ergebnissen der Analyse lassen sich Risikoquellen strukturieren und sys