BYOD - rechtlich äußerst riskant

CW: Inwieweit beschäftigen sich deutsche Unternehmen derzeit mit Fragen der IT-Compliance?

REINERS: Wir befinden uns in der Findungsphase. Im Enterprise-Bereich ist das Thema zwar durch, im großen deutschen Mittelstand aber nicht. Weil es dort kaum Compliance-Beauftragte gibt, schieben Vorstände das Thema den IT-Leitern zu, die rein rechtlich jedoch nicht verantwortlich sind und es entsprechend als lästig empfinden. Für die praktische Umsetzung tragen sie zwar eine Mitverantwortung, sämtliche Haftungspflichten kommen aber der Unternehmensspitze selbst zu.

CW: Sie sagen, Compliance sei ein recht einfach zu verstehendes Thema, sobald Unternehmen sich von dem amerikanischen Denkmodell lösen. Was genau meinen Sie damit?

REINERS: Ich beziehe mich auf die mittelständischen Unternehmen in Deutschland, die keinem Mutterkonzern in den USA unterstellt sind. Es gibt davon eine Vielzahl, für die Richtlinien wie BASEL II, SOX etc. vollkommen irrelevant sind. Trotzdem bauen sich diese Unternehmen geistige Hürden auf, die real gar nicht existieren. Erfreulicherweise fängt das Bundesministerium für Sicherheit in der Informationstechnik (BSI) langsam an, sich um den Mittelstand zu kümmern - eben weil es erkannt hat, dass die bislang gültigen Richtlinien für einen Mittelständler nicht zu erfüllen sind. Wir sind nun einmal ein Land mit einem großen Mittelstandsbauch, diskutieren aber fast ausschließlich über die Konzerne. Für den Mittelstand relevant werden diese Themen immer erst zwei bis drei Jahre später. Während die meisten Hersteller das Wort IT-Compliance schon gar nicht mehr hören können, ist es für einen Mittelständler noch ziemlich neu.

CW: Brauchen wir neue oder veränderte IT-Gesetze?

REINERS: Das Wichtigste ist, dass wir einen machbaren Datenschutz hinbekommen. In Zeiten von Facebook und anderen sozialen Netzen müssen wir weg von einem Verbotsgesetz hin zu einem Angebotsgesetz. Es muss möglich sein, dass ich als Anwender meine Daten problemlos weitergebe, sie aber jederzeit "zurückholen" kann. Der heutige Datenschutz ist einfach nicht mehr abbildbar. Datenschützer möchte man nicht sein, weil man zwischen Baum und Borke hängt und die rechtlichen Anforderungen nicht mehr erfüllen kann. Andere gesetzliche Vorgaben mit IT-Bezug haben sich weitestgehend eingeschliffen. Ein Beispiel dafür ist die digitale Buchprüfung, die in den meisten ERP-Systemen integriert ist. Kurzum: Einen Bedarf an neuen Gesetzen sehe ich nicht - lediglich nach einer Veränderung des Datenschutzgesetzes.

IT-Gesetze abschaffen?

CW: Ist die Abschaffung bestehender Vorgaben wünschenswert, um die Komplexität zu verringern?

REINERS: Ein guter Gedanke. Das Wichtigste für ein Unternehmen ist doch, zu erkennen, welche Gesetze überhaupt relevant sind. In der Regel reduziert sich die Zahl der möglicherweise zur Anwendung kommenden Regelungen um mehr als die Hälfte, weil sie für ein Unternehmen nicht greifen. Schauen wir uns beispielsweise §28 Röntgenverordnung an - eine Norm, die Krankenhäuser und Radiologien betrifft und die Aufbewahrungsdauer für Röntgenbilder regelt. Die Aufgabe, diese innerhalb der Behandlungszeit im Normalfall 30 Jahre lang aufbewahren zu müssen, ist eine Herausforderung, keine Frage. Wer kann Ihnen heute schon sagen, wie Sie digitalisierte Daten drei Jahrzehnte lang zuverlässig vorhalten? Es gibt zwar viele Lösungsanbieter, die das behaupten - ein Blick zurück auf die vergangenen 30 Jahre zeigt aber, welche technischen Veränderungen dieser Zeitraum mit sich gebracht hat. Derzeit bedeutet das für mich noch die "ewige Migration". Um auf die Frage zurückzukommen, ganz generell betrachtet sind wir nicht überfrachtet mit Gesetzen.

CW: Welche rechtliche Bedeutung hat der Trend "Bring your own device" für deutsche Unternehmen?

REINERS: Wenn der Mitarbeiter sein privates Gerät auch in der Firma nutzt, eine sehr große. Das betrifft die Bereiche Haftung, Eigentum an Daten, Datenschutz, Verschwiegenheit, Geheimnisverlust und auch Datenabfluss im Sinne von Know-how-Abfluss. Das Problem ist, dass es keinen "Täter" im eigentlichen Sinne gibt. Es gibt lediglich einen Mitarbeiter, der Unternehmensdaten auf seinem privaten Gerät abspeichert. Viele Unternehmen versuchen, den aufkommenden Problemen mit allerlei liberalen Policies Herr zu werden. Ich kenne aber keine einzige liberale Policy, die das BYOD-Thema in Gänze abdeckt. Die Frage, die sich Unternehmen stellen müssen, lautet: Ist ein Gerät mit einem Anschaffungspreis von unter 1000 Euro das Risiko wert? Ich sage: Nein, nie. Ich bin kein Freund von BYOD. Auch wenn Unternehmen die Vorteile betonen - höhere Sorgfalt seitens des Mitarbeiters im Umgang mit dem Gerät und dessen Sicherheitslevel - empfehle ich immer, die Geräte für die Mitarbeiter anzuschaffen und nicht umgekehrt. Alles andere ist in hohem Maße rechtlich riskant.

BYOD: Das Gemeinwohl steht immer über dem Einzelwohl

CW: Was entgegnen Sie den Unternehmen, die mit attraktiveren Arbeitsplätzen argumentieren, wenn Mitarbeiter ihre eigenen Geräte benutzen dürfen?

REINERS: Das ist eine Abwägungsfrage. Welche Vorteile stehen den Risiken gegenüber, die das Unternehmen zu tragen hat? Wer eine Balance hinbekommt, hat es gut. Ich sehe aber keine Balance. Ich sehe lediglich, dass das Unternehmen definitiv immer auf der Verliererseite ist. Die Frage nach dem attraktiven Arbeitsplatz für den Mitarbeiter und einem nicht mehr vorhandenen Arbeitsplatz, weil es Datenabflüsse über mitgebrachte Geräte gegeben hat, muss man einfach einmal anders gewichten. Kommt es auf den einzelnen Angestellten an und dessen Wohlgefühl oder auf die Gesamtheit der Mitarbeiter und die Stabilität des Arbeitsplatzes? Das mag jeder gewichten, wie er will - meiner Einschätzung nach kommt es auf die Gesamtheit an. Unternehmen, die das persönliche Wohlbefinden einzelner über das aller stellen, begehen einen Gewichtungsfehler.

CW: Gab es in Ihrer Beratungsarbeit einen Fall, indem ein BYOD -Verbot ein Unternehmen Fachkräfte gekostet hat?

REINERS: Nein. Ich habe häufig mit dem Problem zu tun. Viele jammern zwar, aber niemand springt gleich ab. Ein "High Potential" springt nicht ab wegen eines Geräts im Wert von 1000 Euro. Dann wäre er auch kein "High Potential".

CW: Inwieweit haben sich die Haftungsrisiken für IT-Entscheider durch die aktuellen Trends verschoben?

REINERS: In aller Regel haftet nicht der IT-Entscheider selbst, sondern die Unternehmensspitze. Nur wenn ein CIO Mitglied des Vorstands ist, trifft es ihn direkt. Die Gesetze im IT-Umfeld haben sich in der vergangenen Zeit nicht verändert. Verändert hat sich die Situation - gerade durch das Thema BYOD, das unser allgemeines Sicherheitsbewusstsein abgesenkt hat. Das merke ich beispielsweise in meiner Arbeit mit Studenten - sicherten sie ihre Diplomarbeit früher mehrfach auf USB-Sticks, speichern sie die Master Thesis heute in der Cloud. Entscheidend ist nunmehr, ob die Sicherheit aus technischer Sicht gleich geblieben ist. Erzählen uns die Techniker, dass die Daten in der Wolke genauso sicher sind wie auf einem physikalischen Speichermedium, haben wir kein Problem. Schlagworte wie "Data Leakage Prevention" und die gestiegene Nachfrage nach derartigen Produkten lassen mich daran aber zweifeln. Datenverluste nehmen augenscheinlich zu - meist gar nicht aus Vorsatz, sondern aus Unachtsamkeit oder Unwissenheit. Kurz zusammengefasst: Die Gesetzeslage ist gleich geblieben - die gefühlte Haftungslage aber hat sich aus Sicht der Unternehmen verschlechtert.

Wie hoch ist Ihr Haftungsrisiko?
Viele GmbH Geschäftsführer unterschätzen das Haftungsrisiko des Unternehmens. Eine der Hauptursachen für die nach wie vor hohe Insolvenzquote in Deutschland ist das mangelhafte oder überhaupt nicht vorhandene Frühwarn- und Risikomanagement in den Unternehmen. Beantworten Sie sich in einer ruhigen Minute doch einmal die folgenden Fragen:

Beobachten Sie als Unternehmer und Geschäftsführer eines Systemhauses selbst oder durch beauftragte Mitarbeiter z.B. im Detail die Entwicklung des Themas Software als Service?

Wo sehen Sie Chancen?

Wo sind Risiken sichtbar?

Wie erneuern Sie in diesem Zusammenhang Ihr Geschäftsmodell?

Haben Sie die Ressourcen (Menschen, Zeit, Kapital), um diesen Trend mitzumachen?

Passen Ihre Geschäftsprozesse (zum Beispiel den Verkaufsprozess) zu diesem Trend oder können Sie diese regulieren?

Haben Sie die Gewinnformel in Ihrem Geschäftsmodell diesem Trend schon angepasst?

Gerät Ihr Unternehmen durch Trends, die nicht genau genug, nicht sorgfältig genug und bewusst beachtet werden, in die Krise?

Wenn Sie GmbH Geschäftsführer sind, sind Sie sich der Haftungsrisiken in der Krise bewusst?

Wissen Sie, dass Ihr privates Haftungsrisiko umso höher ist, je weiter der Überschuldungszeitpunkt in der Vergangenheit liegt?

Datenverluste - vertuschen oder nicht?

CW: Datenverlust ist ein gutes Stichwort. Die Zahl der publik gewordenen Fälle - besonders bei großen US-Unternehmen - ist doch erheblich gestiegen. Was muss ein Unternehmen tun, wenn es einen Datenverlust erleidet?

REINERS: Eine gesetzliche Vorgabe für solch einen Fall findet sich in § 42a BDSG (Bundesdatenschutzgesetz, Anm. d. Red.), der vorschreibt, Abflüsse bestimmter personenbezogener Daten an die Aufsichtsbehörden melden zu müssen. Was das weitere Vorgehen danach angeht, empfehle ich folgendes: Wenn ein Unternehmen damit rechnen kann, dass Daten abhandenkommen, benötigt es in erster Linie eine gute und vorausschauende Krisenkommunikation und dazu professionelle PR-Berater. Es muss sich mit dem Krisenfall befassen, bevor er eintritt. Wie für andere Notfälle auch, braucht es ein Handbuch, das die Fragen, die im Eventualfall auftauchen könnten, beantwortet. Wichtig ist die offensive Kommunikation gegenüber Aufsichtsbehörden und Betroffenen.

Statements wie "Es ist etwas passiert - wir wissen zwar noch nicht, warum, aber es ist passiert" sind allemal besser als gar keine Statements. Es kommt auf die richtige Wortfindung an, warum etwas geschehen ist - schon allein wegen der Betroffenen. Reden Sie nicht um den heißen Brei herum, wenn Sie die Ursache kennen. Suchen Sie wie im Fall des § 42a BDSG sofort die Kommunikation mit der zuständigen Datenaufsichtsbehörde und machen die vorgeschriebene Meldung.

Wichtig: Teilen Sie Ihr Bemühen, den Fall aufzuklären, unmissverständlich mit. Wer sich an dieses Vorgehen hält, findet Verständnis und kommt schnell wieder aus der Schusslinie. Wer stattdessen versucht, den Datenabfluss zu verschweigen, wird bestraft und bleibt ewig in der öffentlichen Diskussion - das hat die Vergangenheit gezeigt. Die Herausforderung ist, aus einem unangenehmen Vorfall einen positiven Nutzen zu ziehen. Wer sagt: "Ja, uns ist etwas passiert, aber wir kümmern uns", wirkt souverän. Wer stattdessen unsicher kommuniziert a la "Ich weiß nicht, ob etwas passiert ist", bleibt in der Diskussion.

CW: Wird trotzdem mehr vertuscht als veröffentlicht?

REINERS: Ja. In den meisten Fällen, mit denen ich zu tun hatte, wurde ein Datenverlust zunächst zu verschleiern versucht. So ein Vorfall ist den betroffenen Unternehmen peinlich - und öffentlich gemachte Peinlichkeit scheint Unternehmen nicht der richtige Weg zu sein. Es ist aber folgendes zu beachten: Wer direkt selbst an die Öffentlichkeit geht, hat noch jede Chance auf Verständnis. In den meisten Fällen kommt jedoch die Aufsichtsbehörde zuerst hinter einen Vorfall - und dann wird es für die Unternehmen äußerst lästig, wenn sie erklären müssen, warum sie sich bisher nicht ernsthaft mit dem Thema auseinander gesetzt haben. Ich kann nur jedem raten, sich rechtzeitig eine Krisenkommunikation zurechtzulegen und sich auch klar zu machen, wen man damit adressieren möchte - seien es Betroffene oder Behörden.

Platz 10: Schlechtes Image ohne Bilder
Eine Schauspielerin wollte mit dem MAC Disk Utility Programm Daten von einer externen USB-Festplatte löschen. Dabei wählte sie versehentlich die falsche Festplatte aus – und löschte ihr gesamtes Portfolio. Model-Mappe, aktuelle Aufnahmen: alles weg. Die Schauspielerin kam jedoch mit dem Schrecken davon, denn Kroll Ontrack konnte im Labor die Daten komplett wiederherstellen.

Platz 9: Virtuelle Systeme treffen die Realität
Mehr Performance für das virtuelle Server-System, das war das Ziel eines IT-Administrators. Er teilte deshalb die Partitionen C und D des virtuellen Servers auf zwei unterschiedliche Systeme auf. Da ihm der Speicherplatz ausging, musste er jedoch in großer Eile die beiden Partitionen C und D auf dem gleichen System konsolidieren. Was er nicht wusste und in der Hektik auch nicht nachkontrollierte: Auf dem Zielsystem war diese Benennung bereits vergeben. So überschrieb er einen ganzen Satz wichtiger Daten.

Platz 8: Die Kraft der Magnete
Ein Notebook wurde auf einem Tisch abgelegt – soweit nichts Besonderes, hätte der Tisch nicht in der Nähe einiger Seltenerd-Magneten gestanden. Die Magneten kamen in Kontakt mit dem Notebook. Als der Besitzer seinen Rechner anschalten wollte, bootete er nicht komplett und gab klickende Geräusche von sich. Im Labor stellte Kroll Ontrack fest, dass die Festplatten beschädigt waren. Mit Hilfe proprietärer Technologien konnten die Ingenieure den Schaden jedoch überwinden und die Daten retten.

Platz 7: Unglück zum Monatsende
Wenn der Monatsabschluss fertig werden muss, schiebt in vielen Unternehmen die Buchhaltung Überstunden und hält sich dabei mit Kaffee wach. Dass das jedoch zum Problem für die Daten werden könnte, hätte bislang niemand gedacht. In einem Unternehmen saßen die Buchhalter wie üblich noch spät abends am Monatsabschluss. Als sie die Arbeit kurz für eine Kaffeepause unterbrachen, fiel der Strom aus, was auch den Finanz-Server betraf. Glücklicherweise waren die Computer der Finanzabteilung per UPS weiter mit Strom versorgt. Die Kaffeemaschine, die auf Hochbetrieb lief, verbrauchte jedoch so viel Strom von der UPS-Batterie, dass der Server zusammenbrach. Die Daten des Monatsabschlusses waren damit weg.

Platz 6: Deal unter Wasser gesetzt
Zwei Geschäftsleute trafen sich auf ein Bier in einer Kneipe, um einen geplanten Abschluss zu besprechen. Als die Bedienung die Gläser brachte, kippte eines davon versehentlich um und setzte das Notebook mit den Business-Plänen unter Wasser. Ein Küchentuch war schnell zur Hand, aber zur Rettung des Notebooks und der wichtigen Daten war die Rettungstechnik von Kroll Ontrack nötig.

Platz 5: Rauchen kann tödlich sein - für Daten
Ein neu eingestellter Wachmann tat seinen ersten Abenddienst in einem Lager für chemische Inhaltsstoffe. Sein Vorgesetzter hatte ihm zwar gesagt, dass Rauchen verboten sei, aber wer würde jetzt nach Arbeitsschluss schon mitbekommen, wenn er sich eine Zigarette gönnte? Kurz nach dem Anzünden der Zigarette ertönte der Feueralarm und das Sprinkler-System löste aus. Die gesamte elektronische Ausstattung des Lagers, darunter 44 Desktop-Computer und zwei Server, wurden unter Wasser gesetzt.

Platz 4: Nicht ganz sicher auf dem Safe
Der IT-Mitarbeiter eines Unternehmens war spät dran für ein wichtiges Meeting. Statt ein Tape-Medium im wasserdichten Safe zu verstauen, legte er es deshalb oben auf dem Safe ab und wollte es nach dem Meeting aufräumen. Nach weniger als einer Stunde jedoch wurde die Stadt von einem Erdbeben erschüttert. Das Tape fiel auf den Boden und wurde unter eindringendem Schlamm, Wasser und Sand begraben. Das Band sah danach fast hoffnungslos aus, mit Hilfe einer speziellen Tape-Recovery-Technologie konnten die Daten jedoch zu 100 Prozent gerettet werden. Der Inhalt stand dem Unternehmen innerhalb kurzer Zeit wieder zur Verfügung.

Platz 3: Zeitgeschichte, live dokumentiert
Mitten in den Unruhen dieses Frühjahrs in London dokumentierte ein freier Fotograf die Vorkommnisse mit seiner Kamera. Als die Menge auf ihn aufmerksam wurde und sah, dass er sie filmte, zerstörten sie die Kamera, damit es kein Beweismaterial gab. Nachdem die Kamera ihren Weg zu Kroll Ontrack gefunden hatte, konnten die Daten zu 100 Prozent gerettet werden. Das Filmmaterial wurde direkt der Polizei ausgehändigt.

Platz 2: Auf den Hund gekommen
Dass ein Backup wichtig ist, davon überzeugte ein Mann seine Freundin, die ihre gesamte Foto-Bibliothek bislang nur auf dem Notebook gespeichert hatte. Sie kopierte deshalb tausende Fotos aus ihrem Fotostudio auf eine externe Festplatte. Unglücklicherweise war diese Festplatte nach kurzer Zeit die einzige Kopie der Foto-Bibliothek. Nun kam ein weiterer unglücklicher Zufall ins Spiel: Das Paar bekam Besuch von einer Freundin und ging zur Tür, um sie in Empfang zu nehmen. Der Hund der Familie, erfreut über den Besuch, stürzte ebenfalls zur Tür. Da er jedoch unter dem Tisch gelegen hatte, auf dem die Festplatte lag, fiel diese vom Tisch. Die einzige Kopie der wertvollen Daten war damit ebenfalls beschädigt.

Quelle Teaserfoto Homepage: Fotolia, M. Damkier