IT-Sicherheit: Im Zweifelsfall haftet das Management

Die diesjährige Security-Studie von silicon.de brachte es an den Tag: Etwa 15 Prozent der befragten Unternehmen waren in den vergangenen 18 Monaten durch DoS-Angriffe (Denial of Service) beeinträchtigt, 29 Prozent hatten mit Datenverlusten zu kämpfen, und 10 Prozent beklagten sogar den vorübergehenden Verlust ihrer Systemintegrität. Jedes zwanzigste Unternehmen war mit Betrug und Datendiebstahl konfrontiert.
Gleichwohl sind die IT-Sicherheitsvorkehrungen in vielen Unternehmen immer noch unzureichend. Bei rund einem Drittel der befragten mittelständischen Unternehmen gibt es nicht einmal schriftlich festgehaltene Regeln oder Verbote.

Die Gründe sind vielfältig: Neben Geld- und Zeitmangel ist es vor allem die zunehmende Komplexität der Sicherheitsbedrohungen, die den Unternehmen zu schaffen macht. Diese Aussagen decken sich auch mit den Erfahrungen des Innsbrucker Sicherheitsspezialisten Phion: “Sie glauben gar nicht, wie viele Unternehmen ihr Sicherheits-Niveau herunterfahren, weil sie den eigentlich notwenigen Level nicht administrieren können”, sagt Phion-Prokurist Dr. Wieland Alge gegenüber silicon.de.

Mangelnde Sicherheitsvorkehrungen werden indes häufig nur unter dem Aspekt des unmittelbaren finanziellen Schadens oder der Image-Einbuße diskutiert, die ein Unternehmen durch das Ausspähen oder Verfälschen von Geschäftsdaten erleidet. Dabei hat mangelnde IT-Sicherheit aber auch noch eine juristische Seite, wie Rechtsanwalt Ulrich Emmert von der Kanzlei ‘esb Rechtsanwälte’ in Stuttgart im Gespräch mit silicon.de erläutert.

Gesetze mit empfindlichen Sanktionen

Um dieses zu untermauern, braucht gar nicht das neue Regelwerk der internationalen Bankenaufsicht, besser bekannt unter dem Begriff ‘Basel II’, herangezogen werden. Die einschlägigen Bestimmungen der verschiedenen Gesetze genügen auch jetzt schon für empfindliche Sanktionen. Das Spektrum reicht dabei vom Bundesdatenschutzgesetz (BDSG) und dem Teledienste-Datenschutzgesetz (TDDSG) bis zu den entsprechenden Haftungsregelungen im Handelsgesetzbuch und im Aktiengesetz. Bei den letzteren wurde in den vergangenen Jahren nicht zuletzt die private Haftung von Geschäftsführern und Vorständen verschärft.

Bei allen Unternehmen, ganz gleich welcher Größe, muss die Einhaltung der vielfältigen Datenschutzbestimmungen ganz oben im Pflichtenheft stehen, sagt IT-Spezialist und Jurist Emmert, der unter anderem auch Lehrbeauftragter für Internet-Recht an der FH Nürtingen und Datenschutzbeauftragter verschiedener mittelständischer Firmen ist: “Alle Unternehmen haben personenbezogene Daten im Blick auf ihre Verfügbarkeit, ihre Weitergabe und entsprechende Zugriffsmöglichkeit sowie bezüglich der verwendeten Eingabegeräte und Datenträger unter Kontrolle zu halten”, fasst er wesentliche Bestimmungen aus dem BDSG in Deutschland beziehungsweise dem DSG in Österreich zusammen.

Das Datenschutzgesetz in Deutschland sieht dabei im Streitfall sogar eine “Beweislastumkehr” vor. Das heißt, dass nicht der Kläger die Schuld beweisen muss, sondern der Beschuldigte seine Unschuld. Beim Ausspähen von Daten sind laut Emmert die gesetzlichen Maschen, in diesem Fall des Strafrechts, in Österreich enger geknüpft als in Deutschland: So sei beispielsweise der Netzzugriff auf leichtsinnigerweise freigegebene Windows-Dateien in Deutschland nicht strafbar, weil kein besonderer Zugriffsschutz überwunden wurde.

Gleiches gilt für Mailserver-Dateien. Auch hier ist in Deutschland der Zugriff auf den elektronischen Postverkehr solange nicht strafbar, als keine verschlüsselten Daten geknackt werden. In Österreich dagegen ist schon das Ausspähen der Daten unter Strafe gestellt. Völlig unterschiedlich ist in Deutschland und Österreich im Übrigen laut Emmert die Verantwortlichkeit bei Outsourcing-Geschäften geregelt – zum Nachteil des Besitzers der Daten: Während in Deutschland hauptsächlich der Auftraggeber für die Einhaltung der diversen Datenschutzbestimmungen die Verantwortung trage, sei es in Österreich vor allem der beauftragte IT-Dienstleister.

Jenseits der Haftungsfragen gilt in beiden Rechtssystemen der Grundsatz, dass es bei Versäumnissen im Bereich der IT-Sicherheit keinen strafrechtlichen Schutz für die Geschädigten gebe: “Wenn Unternehmen ihre elektronische Post nicht verschlüsseln oder auf die Installation einer Firewall beziehungsweise eines Virtuellen Privaten Netzes [VPN] verzichten, können sie im Falle eines Einbruchs nicht auf die Hilfe des Staatsanwalts zählen”, erläutert Ulrich Emmert.

Verschärftes Risikomanagement für größere Unternehmen
 
Sind Versäumnisse bei den IT-Sicherheitsvorkehrungen für Unternehmen jeglicher Größe gravierend, so können solche Versäumnisse bei größeren Firmen geradezu dramatische Folgen haben, die zu schlimmen Folgen für das Unternehmen selbst beziehungsweise zu einschneidenden privaten Konsequenzen für Geschäftsführer und Vorstände führen. Ab einer bestimmten Größe müssen Firmen nämlich nicht nur die Bestimmungen des Datenschutzgesetzes berücksichtigen, sondern auch die Risikomanagement- und Lageberichtsabschnitte im Aktiengesetz (AktG) und im Handelsgesetzbuch (HGB), die durch das Gesetz zu Kontrolle und Transparenz im Unternehmensbereich (KonTraG) eingeführt wurden.

Beide Regelungen sind in Deutschland und Österreich in etwa gleichwertig. In allen diesen Gesetzestexten finden sich rigide Bestimmungen hinsichtlich der zu installierenden sicherheitstechnischen Abwehr- und Kontrollsysteme, für deren Erfüllung das Unternehmen und in bestimmten Punkten auch die Vorstände oder Geschäftsführer persönlich haften. Ein Bestandteil der Risikobewertung, die im Lagebericht vorgenommen werden muss, sind auch IT-Sicherheitsvorkehrungen, die im Unternehmen installiert sind.

Ein derartiges verschärftes Risikomanagement ist für alle Unternehmen vorgeschrieben, die zwei Mal die Umsatz-Untergrenze von 6,875 Millionen Euro oder die Bilanzsumme von 3,438 Millionen Euro überschreiten. Wer dann kein Firewall-System nach dem letzten Stand der Technik hat oder wer seine E-Mails nicht verschlüsselt, der riskiert viel. Das gilt im Übrigen auch für Unternehmen, die private MP3-Tauschbörsen einzelner Mitarbeiter nicht wirksam unterbinden. Generell gilt, dass die entsprechende Risikovorsorge inklusive der IT-Sicherheitsvorkehrungen umso rigider durchgeführt werden muss, je größer das Unternehmen ist. Die oben genannten Grenzwerte zeigen aber, dass im Prinzip auch kleinere Mittelständler gut daran tun, in Sachen IT-Sicherheit keine Vogel-Strauß-Politik zu betreiben.