Foto: Photodisc

Es ist schlecht bestellt um die IT-Sicherheit in deutschen Unternehmen. Zu diesem Ergebnis kam schon im November 2001 der „Arbeitskreis Schutz von Infrastrukturen“, als er mit Beteiligung von Mitarbeitern wichtiger Behörden und Wirtschaftsunternehmen ein Planspiel vornahm. In diesem wurde ein groß angelegter terroristischer Angriff auf die IT-Infrastruktur im Großraum Berlin simuliert. Das ernüchternde Fazit: Selbst den „Big Players“ fiel es schwer, ihre Gegenmaßnahmen bei einem gezielten und massiven Einsatz von Denial-of-Service-(DoS-)Angriffen, interner Sabotage, Infiltrationen durch Viren und elektronischen Zeitbomben rechtzeitig zu koordinieren.

Aber diese terroristische Drohkulisse, die insbesondere seit dem 11. September 2001 stärker in das öffentliche Interesse gerückt ist, ist bei weitem nicht die einzige Gefahrenquelle für den Anwender. Die Palette der potenziellen Störenfriede reicht von Script-Kiddies und Hackern, die oftmals Firmennetze aus sportlichem Interesse knacken, um die dortigen Rechner zu Distributed-DoS-Attacken zu nutzen oder auf dem Webspace des Unternehmens eigene Daten bereitzustellen, bis zu Nachrichtendiensten, die im Bereich der Industriespionage eine einträgliche Nebenbeschäftigung gefunden haben.

Um diesen Gefahren eine funktionierende IT-Sicherheitsstrategie entgegensetzen zu können, bieten zahlreiche Dienstleister an, für das Firmennetz tragfähige Lösungen zu erarbeiten. Für den Anwender stellt sich dabei zunehmend die Frage, auf welche Details beim Vertragsabschluss und dem Auftreten späterer Mängel aus rechtlicher Sicht zu achten ist.

Pacta sunt servanda

Die Voraussetzungen für eine spätere Haftung der Anbieter hängen im Einzelfall vom geschlossenen Vertrag ab. Je nachdem, ob er als Werkvertrag (nach Paragraf 631 ff. BGB) oder Dienstvertrag (nach Paragraf 611 ff. BGB) zu qualifizieren ist, ist die Haftung des Dienstleisters unterschiedlich ausgestaltet. Vereinfacht lässt sich sagen, dass bei einem Werkvertrag der Dienstleister einen bestimmten Erfolg schuldet, beim Dienstvertrag jedoch nur seine Arbeitsleistung als solche („Bemühen“). Ist aber das Bemühen des Anbieters für den erstrebten Erfolg nicht ausreichend, hat der Auftraggeber grundsätzlich das Nachsehen.

Bei einem Werkvertrag hat der Auftraggeber (der so genannte Besteller) bis zur Abnahme das Recht, ein mangelhaftes Werk zurückzuweisen und sogar dessen völlige Neuerstellung zu fordern. Nach Abnahme kann er umfangreiche Gewährleistungsansprüche geltend machen, also beispielsweise das Entgelt mindern, Nacherfüllung fordern oder Schadensersatz verlangen.

Bei einem Dienstvertrag haftet der Dienstleister nur unter sehr engen Voraussetzungen. Er muss dazu in jedem Fall den entstandenen Schaden verschuldet, ihn also entweder fahrlässig oder vorsätzlich herbeigeführt haben. Der Auftraggeber kann von ihm dagegen keine (kostenlose) Nacherfüllung verlangen oder ohne weiteres bei einer mangelhaften Leistung vom Vertrag zurücktreten, um so sein Geld zurückzubekommen.

Um entscheiden zu können, welche Vertragsform im Einzelfall vorliegt, ist der Inhalt des Vertrages, insbesondere die Frage, welche Leistungen vereinbart wurden, von entscheidender Bedeutung. Es kommt nämlich auf den Willen der Vertragsparteien an, welche Art von Vertragstypus sie schließen wollten. Da sich die meisten juristisch nicht geschulten Interessenten über diese Zuordnung keine expliziten Gedanken machen, muss im Regelfall der Vertragsinhalt herangezogen werden. Dann wird durch Auslegung der von beiden Seiten gewollte Vertragstyp ermittelt.

Der Inhalt ist entscheidend

Im Folgenden sollen zunächst die typischen Leistungen in IT-Security-Verträgen aufgeführt und einem der beiden Vertragstypen zugeordnet werden, um im Anschluss die rechtlichen Folgen dieser Zuordnung genauer darzustellen. Grob lassen sich derartige Leistungen in solche zur vorherigen Analyse des bestehenden Systems, zur Ausarbeitung und Implementierung einer Sicherheitsstrategie und zur späteren Diagnose nach einem kritischen Ausfall aufteilen.

Im Normalfall geht der Erarbeitung einer Sicherheitsstrategie eine genaue Analyse des betreffenden Systems voraus. Dies kann sowohl auf konventionellem Wege (Inventur, Analyse von Hard-, Software und Arbeitsweisen der Mitarbeiter) geschehen wie auch durch Penetrationstests, in denen die Berater selbst versuchen, in das jeweilige System einzudringen.

Ist diese Phase nur die Vorstufe auf dem Weg zu einer Sicherheitsstrategie, so ist sie gemeinsam mit dem zugrunde liegenden Beratungsvertrag zu beurteilen. Die Rechtsprechung wendet, wenn für die Behandlung eines solchen gemischten Vertrages zwei verschiedene Vertragsformen in Betracht kommen, die Vorschriften an, bei denen der rechtliche und wirtschaftliche Schwerpunkt der Leistungen liegt. In diesen Fällen ist also die Vertragsform, die auf die Erstellung der Sicherheitsstrategie angewendet wird, auch für die Analyse zu benutzen.

Pflicht zur Verschwiegenheit

Dieser Fall liegt aber dann nicht vor, wenn der Anbieter lediglich mit seiner Analyse einzelne Sicherheitslücken aufdecken soll. Hierbei ist von einem Dienstvertrag auszugehen, da der Erfolg solcher Maßnahmen erst nach ihrer Ausführung sichtbar wird.

Ein bestimmter Erfolg kann im Voraus gar nicht vereinbart werden. In dieser Phase ist weitergehend darauf zu achten, den Dienstleister mit Verschwiegenheitsvereinbarungen zu verpflichten, möglicherweise erlangte Betriebsgeheimnisse, Kundeninformationen und Passwörter nicht weiterzugeben. Bei Penetrationsversuchen muss der Auftraggeber außerdem in diese Versuche des Dienstleisters einwilligen, da er sich sonst gemäß Paragraf 202a Strafgesetzbuch (StGB) strafbar macht.

Anders verhält es sich, wenn eine Sicherheitsstrategie erstellt und eingeführt werden soll. Die Gefahrenquellen umfassen höhere Gewalt, organisatorische Mängel (etwa ein nicht hinreichend oft vorgenommener Wechsel von Passwörtern), menschliche (fahrlässige) Fehlhandlungen, technisches Versagen und vorsätzliche Handlungen von innen wie von außen.

Als Maßnahmen kommen insbesondere die Einrichtung von Firewalls und die Überwachung der anfallenden Skripte, die Einführung von Backup- und Verschlüsselungssystemen, die Schulung des eigenen Personals und die Einführung von Überwachungssystemen für die Mitarbeiter in Betracht. Für die Erfolgsbezogenheit solcher Maßnahmen (und damit den Werkvertrag) spricht es, wenn dazu vom Dienstleister selbst neue Hard- und Software installiert wird. Dagegen ist bei reinen Schulungsmaßnahmen und der bloßen Beratungstätigkeit von einem Dienstvertrag auszugehen.

Generell ist zu betonen, dass derartig komplexe Verträge sorgfältig erstellt werden und eine vollständige Leistungsbeschreibung enthalten müssen. Sonst ist in einem Schadensfall der Streit programmiert, weil nicht sicher ist, welche Leistungen im Einzelnen überhaupt geschuldet waren. Geht es um große Summen von Geld, sollte schon im Vorfeld ein in der Erstellung derartiger Verträge erfahrener Jurist zu den Verhandlungen hinzugezogen werden.

Post-mortem-Analyse

Ist das System beschädigt worden und sind wichtige Daten verloren gegangen, muss das System wiederhergestellt werden, um die Daten zu restaurieren. Dazu ist zunächst eine Post-mortem-Analyse nötig, bei der die Fehlerquelle isoliert und - wenn möglich - beseitigt wird. Ähnliches gilt für die Restaurierung der Daten. Da derartige Leistungen äußerst komplex sind, wird der Dienstleister in aller Regel nicht für den Erfolg schulden wollen. Damit liegt lediglich ein Dienstvertrag vor. Etwas anderes kommt nur dann in Betracht, wenn die Ursache der Störung bekannt ist und die Lösung leicht zu realisieren erscheint. Dies ist etwa dann der Fall, wenn bei einer Festplatte nur der Master Boot Record gelöscht wurde und der Datenbestand durch Standardmaßnahmen wieder hergestellt werden kann.

Es bleibt daher festzuhalten, dass für die spätere Rechtsposition bei einem Haftungsfall entscheidend ist, auf welche Leistungen sich der Vertrag bezieht. Bei Vertragsschluss sollte eine ausführliche Leistungsbeschreibung schriftlich niedergelegt werden, um im Zweifelsfall den erforderlichen Beweis führen zu können. Nur auf diese Weise kann man sichergehen, neben der technischen Sicherheit auch rechtlich auf der sicheren Seite zu stehen.