(Artikel 6 von 6)

 

Datenklau, Hackerangriffe, Betriebsspionage oder Malware sind nur einige der gefürchteten Super-GAUs, die durch Schwachstellen in der IT entstehen können. Dabei ist vielen Unternehmern nicht einmal bewusst, welche rechtlichen Konsequenzen sie über die unmittelbaren wirtschaftlichen Schäden hinaus erwarten: Auch für die IT regelt das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) den Umgang mit potenziellen Risikobereichen – und droht bei Verstößen mit empfindlichen Strafen.

 

Gerade mittelständische Unternehmen schützen sich erfahrungsgemäß oft unzureichend und gehen zu sorglos mit dem Thema Sicherheit um. Dabei ist IT-Security Chefsache: Geschäftsführer und CIOs haben für den lückenlosen Schutz der Unternehmensdaten Sorge zu tragen. In einem mangelhaft gesicherten Unternehmen riskiert der Geschäftsführer eine persönliche Haftung, die sich auch auf sein persönliches Vermögen erstrecken kann.

Das rechtliche Risiko reicht von der Haftung aus Regressansprüchen von geschädigten Kunden über mögliche Buß- und Schmerzensgelder bis hin zu Haft- und Geldstrafen oder sogar dem Verlust der Gewerbeerlaubnis. Außerdem kann sich, seit Basel II, eine unzureichende ITK-Infrastruktur negativ auf das Unternehmens-Rating und damit auch auf Kreditvergaben auswirken.

Wie teuer eine Vernachlässigung der Sorgfaltspflichten seitens der Geschäftsführung werden kann, zeigt auch die Rechtsprechung: So verurteilte der Bundesgerichtshof (BGH) den Geschäftsführer eines EDV-Dienstleisters zu Schadenersatz wegen unzureichender Backup-Kontrolle (Aktenzeichen X ZR 64/94). Der Dienstleister, eine GmbH, hatte an seinen Kunden EDV-Systeme inklusive Bandsicherung (Streamer) und Anwendungssoftware geliefert.

Aufgrund einer fehlerhaften Implementierung der Sicherungsroutine blieben die Backup-Bänder unbeschrieben, sodass bei einem Systemabsturz alle gespeicherten Daten verloren gingen. Der BGH gab dem geschädigten Kunden Recht: Der Geschäftsführer des EDV-Dienstleisters haftet persönlich und hätte sich durch geeignete Prozesse oder Maßnahmen davon überzeugen müssen, dass die Sicherungsmechanismen des Backups voll funktionsfähig sind.

 

Zusammenfassung: Das Risiko abschätzen

 

Die Szenarien für mangelnde IT-Sicherheit und potenzielle Risiken sind vielfältig. Die Spannweite reicht beispielsweise von unzureichenden und ungeprüften Backups über mangelnde Archivierung bis hin zu lückenhaftem Viren- und Spamschutz. Es kommt auch immer wieder vor, dass ein Administrator unerwartet ausfällt, beispielsweise durch einen Verkehrsunfall, und die gesamten Konfigurationen und Passwörter nicht hinterlegt sind.

Doch um Risiken zu begegnen, müssen diese zunächst einmal bekannt sein: Eine Risikoanalyse hilft, Risikofelder zu definieren und deren Gefahrenpotenziale im Detail abzuschätzen. Basierend auf den Ergebnissen der Analyse lassen sich Risikoquellen strukturieren und systematisieren. Management-Systeme wie die ISO 27001 (Informationssicherheit) geben hier Strukturen, Verfahren und Prozesse vor. So ist es möglich, den Grad der Gefährdung zu bewerten und in Relation zu den Kosten zu setzen, die durch etwaige Gegenmaßnahmen entstehen.

 

Dynamisches Sicherheitskonzept als Teil der Risikostrategie

 

Um seine ITK-Landschaft nachhaltig abzusichern, ist ein umfassendes, dynamisches IT-Sicherheitskonzept notwendig, dessen Grundsätze in einer unternehmensweiten Security Policy festgeschrieben sind. Darin spielen organisatorische, personelle und baulich-infrastrukturelle Fragen eine gleichwertige Rolle wie Hard- und Software. Zusätzlich zum gesetzlich vorgeschriebenen Datenschutzbeauftragten sollten Unternehmen einen regelmäßig zu schulenden IT-Sicherheitsbeauftragten benennen.

Die Unternehmensleitung ist verpflichtet, auf eine kontinuierliche schriftliche Dokumentation des Sicherheitskonzepts und aller Maßnahmen zu achten. Denn im Falle einer Unternehmenskrise obliegt es dem Geschäftsführer, die Einhaltung seiner Sorgfaltspflichten nachzuweisen.

Daneben sollte die Verantwortung für IT-Sicherheitsaufgaben eindeutig delegiert sein, beispielsweise an verschiedene Administratoren. Wie wichtig es ist, diese Personen sorgfältig auszuwählen und regelmäßig zu kontrollieren zeigt ein aktuelles Beispiel: In San Francisco manipulierte ein städtischer Netzwerk-Administrator vor einiger Zeit alle Router und Switche des gesamten Verwaltungsnetzes so, dass der Zugriff nur noch über ein einziges Masterpasswort möglich war. Und dieses gab der zwischenzeitlich wegen Computersabotage inhaftierte Administrator über eine Woche lang nicht preis.

Doch auch technische Rahmenbedingungen wie Firewall, Viren- und Spam-Schutz gehören zu den Maßnahmen, die Geschäftsführer und CIOs nicht vergessen sollten. Das Nutzen moderner Technologien hilft vor allem Angriffe von außen zu vermeiden. Dienstleistungen von Dritten, wie Provider-Services, sind zuverlässig über Pönalen oder Service Level Agreements (SLA) vertraglich abzusichern. Damit sichern sich Unternehmen eindeutige Verfügbarkeiten und im Störfall garantierte Servicezeiten.

Die Liste möglicher Risiko-Management-Maßnahmen lässt sich beliebig erweitern, doch letztlich ist vor allem ein Aspekt von Bedeutung. Die einmal getroffenen Sicherheitsmaßnahmen müssen sich fortwährend an veränderte Rahmenbedingungen anpassen. Diese dazu notwendige Steuerung und Kontrolle leistet jedoch nur ein intaktes, aussagekräftiges Risiko-Management-System, das flexibel auf neue Anforderungen reagiert.

 

Was ist das KonTraG?

 

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich trat am 01.05.1998 in Kraft. Ziel dieses Artikelgesetzes ist es, die Corporate Governance – den rechtlichen und praktischen Rahmen der Leitung und Überwachung eines Unternehmens – zu verbessern. So erweitert es die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen und verpflichtet Unternehmensführungen, ein Risikofrühwarnsystem zu betreiben sowie Aussagen zu Risiko und Risikostruktur im Jahresabschlussbericht zu veröffentlichen.



Das KonTraG bezieht sich hauptsächlich auf Aktiengesellschaften, erfasst aber auch andere Unternehmensformen wie die OHG oder GmbH.

Newsletter

You did IT!