Das Thema IT-Sicherheit hat längst nicht mehr nur technische Aspekte. Die gesetzlichen Vorschriften sollten besonders bei geschäftsverantwortlichen Firmenlenkern ganz oben auf der Agenda stehen. Für eventuelle Folgeschäden von Sicherheitslücken könnten sie persönlich in die Pflicht genommen werden.
Schadensersatz, Bußgeld & Co.
Horst Speichert, Experte für neue Medien, DV-Recht und IT-Vertragsgestaltung (horst@speichert.de), hat zusammengetragen, welche rechtlichen Konsequenzen IT-Sicherheitslücken nach sich ziehen können. Hier ein Auszug:
• Schadensersatz: Gibt ein Unternehmen (oder der Verantwortliche) personenbezogene Daten weiter, ohne die rechtlichen Vorgaben zu beachten, haftet es für eventuell eintretende Nachteile und kann auf Zahlung von Schadensersatz und Schmerzensgeld verklagt werden.
• Bußgeld: Verantwortliche, die personenbezogene Daten weitergeben, ohne dafür eine Einwilligung des Betroffenen zu haben, oder dies ohne Berufung auf eine gesetzliche Ermächtigungsgrundlage tun, riskieren ein Bußgeld in Höhe von bis zu 250000 Euro.
• Haft- oder Geldstrafe: Verantwortliche, die Daten weitergeben und dabei gegen das Fernmeldegeheimnis oder Vorschriften des Bundesdatenschutzgesetzes verstoßen, riskieren eine Geldstrafe.
• Verlust der Gewerbeerlaubnis: Fällt ein Unternehmen im Geschäftsbetrieb immer wieder wegen Lücken in der IT-Sicherheit auf und wird beispielsweise von Wettbewerbern beim Gewerbeamt angezeigt, so kann es wegen fehlender Zuverlässigkeit die Gewerbeerlaubnis verlieren.
• Behördliche Überprüfung: Unternehmen und Verantwortliche, die wegen illegaler Weitergabe personenbezogener Daten auffallen, riskieren eine Überprüfung durch die Datenschutzaufsichtsbehörde.
• Probleme mit Versicherungen: Tritt ein Schaden ein, der mit Defiziten in der IT-Sicherheit zusammenhängt, so kürzen Versicherer die vereinbarte Leistung unter dem Vorbehalt des Mitverschuldens, und es droht eine Erhöhung der Versicherungsprämie.
Schadensersatz: Das sagt das Gesetz
Rechtsanwalt Jacques Wolhändler von der Münchner Kanzlei Duge, Tischer und Wolhändler (jw@ra-wolhaendler.de) fasst den Buchstaben des Gesetzes wie folgt zusammen:
• Bei schuldhaft verursachten Schäden, wobei leichte Fahrlässigkeit ausreicht, macht sich das Unternehmen gegenüber Dritten (Unternehmen und/oder Privatpersonen) für die durch die mangelnde Sicherheit verursachten Schäden schadensersatzpflichtig.
• Besteht zu diesen Dritten eine vertragliche Beziehung, so ist die Haftung vertraglich begründet.
• Auch ohne Vertrag kann eine Haftung gegenüber Dritten eintreten, insbesondere unter dem Gesichtspunkt der unerlaubten Handlung (Paragraph 823 BGB).
• Zu ersetzen ist beispielsweise der Schaden, der dem Dritten durch Datenverlust oder durch sonstige Störungen des Geschäftsbetriebs, insbesondere der IT-Struktur, entsteht.
• Prinzipiell kann die Haftung sehr weitgehend sein, zum Beispiel auch den einem Dritten entgangenen Gewinn umfassen.
Acht Schritte in die richtige Richtung
Technische Rahmenbedingungen auf Basis eines dynamischen Sicherheitskonzeptes schaffen (IT-Security-Lösungen wie Firewall, Viren- und Spamschutz etc.), moderne Techniken nutzen und von geschulten Experten implementieren lassen.
Risikofrüherkennungs-System implementieren (für Aktiengesellschaften zwingend erforderlich!).
Einen Datenschutzbeauftragten bestellen (unter den Voraussetzungen des Datenschutzrechts zwingend!), im Idealfall auch einen IT- Sicherheitsbeauftragten bestimmen (nicht gesetzlich vorgeschrieben).
Die Verantwortung für IT- Sicherheitsaufgaben eindeutig delegieren (beispielsweise an Administratoren), dabei die Personen sorgfältig auswählen und regelmäßig kontrollieren.
IT-Sicherheitsverantwortliche technisch gut ausstatten und regelmäßig schulen.
Schriftliche, fortlaufende Dokumentation des Konzepts und aller Maßnahmen einfordern und nachverfolgen.
Private E-Mail-Nutzung untersagen beziehungsweise eine IT-Nutzungsordnung im Betrieb einführen.
Vertragliche Regelungen mit dem Arbeitgeber treffen und möglichst von rechtlicher Seite überprüfen lassen.
www.computerwoche.de/
1208429: Sicherheit: Irgendwer muss haften;
1051633: IT-Sicherheit ist Chefsache;
572622: Security muss Vertrauen schaffen.
Hier lesen Sie …
• was Sicherheitsverantwortliche tun müssen, um gegen Klagen geschützt zu sein;
• welche Pflichten Sache des Vorstands sind;
• für welche Schäden Versicherungen nicht aufkommen.
Ein Szenario, vor dem jedem Unternehmer graut: Das Kundendatensystem seiner Organisation wird gehackt, die geheimen Informationen geklaut. Was der Firmenchef eher ahnt, als dass es ihm wirklich bewusst ist: Der Kunde wird Recht bekommen, wenn er vor Gericht zieht. Und er wird nicht nur das unzureichend gesicherte Unternehmen, sondern auch den Geschäftsführer persönlich in Regress nehmen.
"Umso verblüffender ist es", so Stefan Gehrke, Geschäftsführer der Mcert Deutsche Gesellschaft für IT-Sicherheit in Berlin, "wie sorglos viele Unternehmen mit IT-Security umgehen und wie wenig besonders mittelständische Unternehmen gegen Datenklau, Viren und Würmer unternehmen." Hier gebe es anscheinend noch "immensen" Aufklärungsbedarf - vor allem über die rechtlichen Konsequenzen.
Versicherungen zahlen nicht für Sicherheitslücken
Dabei sind schon die potenziellen wirtschaftlichen Schäden schlimm genug: Viren und Würmer können im eigenen System und den Informationsbeständen von Geschäftspartnern Betriebsstörungen bis hin zu Umsatzeinbrüchen verursachen. Werden Geschäfts- und Betriebsgeheimnisse von Außenstehenden gelüftet, ist der Wettbewerbsvorteil dahin. Versicherungen treten für Schäden, die aus offenkundigen Sicherheitslücken - beispielsweise dem unverschlüsselten Versand via E-Mail - resultieren, ungern ein: Die meisten Policen enthalten längst einen ganzen Katalog von Regelungen, die sich auf die IT-Sicherheit beim Kunden beziehen.
Wer dann, zum Beispiel für neue IT-Security-Investitionen, Geld von seiner Hausbank benötigt, hat die Rechnung ohne Basel II gemacht. Seit Juli dieses Jahres ist nun auch im deutschen Recht verankert, dass sich eine unzureichende IT-Infrastruktur negativ auf das Unternehmens-Rating und damit auf die Kreditvergabe auswirken kann.
Umso härter trifft es das Unternehmen, wenn es von geschädigten Kunden zur Verantwortung gezogen wird. Wer genau mit welchen Konsequenzen rechnen muss, hängt nicht allein vom Gesetzgeber, sondern auch von unternehmensinternen Regelungen ab. Grundsätzlich tritt gegenüber Dritten in der Regel das Unternehmen in Haftung, das den Schaden verursacht hat. Für die IT-Sicherheit ist die Unternehmensleitung verantwortlich.
Das KonTraG nimmt den Vorstand in die Pflicht
Seit dem 1998 verabschiedeten Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) enthält auch das Aktiengesetz (Paragraf 91 II AktG) eine Regelung, nach der der Vorstand geeignete Maßnahmen zu treffen und ein Überwachungssystem einzurichten hat, so dass er "den Fortbestand der Gesellschaft gefährdende Entwicklungen" frühzeitig erkennen kann. Das setzt ein effizientes Risiko-Management voraus. Im IT-Bereich sind ein ausreichender Schutz der IT-Infrastruktur - durch Datensicherung - sowie Präventivmaßnahmen gegen Angriffe von außen und missbräuchliche Nutzung durch Mitarbeiter notwendig.
"Gemäß Paragraf 93 II des Aktiengesetzes haften Vorstandsmitglieder, die ihre Pflichten verletzen, der Gesellschaft zum Ersatz des daraus entstehenden Schadens", weiß Jacques Wolhändler, Rechtsanwalt und Sicherheitsexperte in der Münchner Kanzlei Duge, Tischer und Wolhändler. "Die Bestimmungen des KonTraG gelten zwar unmittelbar nur für Aktiengesellschaften, doch die dort enthaltenen Grundsätze beanspruchen auch für die GmbH oder GmbH & Co. KG Geltung."
Intern kann selbstverständlich jede Organisation Entscheidungsbefugnisse an einzelne Mitarbeiter delegieren, insbesondere an leitende Angestellte wie Prokuristen oder Chief Information Officers. Der CIO haftet nach dem KonTraG zwar nicht unmittelbar, doch in der Regel hat ihm sein Arbeitgeber im Rahmen seines Arbeitsvertrages bestimmte Pflichten zugewiesen. Aus einer Verletzung dieser Pflichten lässt sich eine persönliche Haftung des CIO ableiten.
Bei "leichtester Fahrlässigkeit" tritt der CIO nach der Rechtsprechung des Bundesarbeitsgerichtes nicht in Haftung. Handelt es sich um "normale" Fahrlässigkeit, so ist der Schaden nach den Kriterien "Schadenverursachung", "Schadenfolgen" sowie Billigkeits- und Zumutbarkeitsgesichtspunkten zwischen Arbeitgeber und Arbeitnehmer zu teilen. Kann dem CIO dagegen grobe Fahrlässigkeit nachgewiesen werden, so hat er gegenüber seinem Arbeitgeber grundsätzlich den gesamten Schaden zu ersetzen. Konkret droht ihm eine Schadensersatzhaftung mit der Folge, dass er schlimmstenfalls auch mit seinem Privatvermögen für die Schäden aufzukommen hat. Darüber hinaus ist arbeitsrechtlich eine Abmahnung, in besonders schweren Fällen eine Kündigung wahrscheinlich.
Schlampigen IT-Chefs droht strafrechtliche Verfolgung
Auch vor einer strafrechtlichen Verfolgung des IT-Chefs macht das Gesetz nicht halt. Das gilt zum Beispiel, wenn ihm Verstöße gegen das Bundesdatenschutzgesetz oder das Fernmeldegeheimnis anzulasten sind, wie sie auch im Zuge von Sicherheitsvorkehrungen vorkommen können, wenn also beispielsweise personenbezogene Daten der Mitarbeiter gespeichert oder private E-Mails kontrolliert werden, obwohl der private E-Mail-Verkehr ausdrücklich von der Unternehmensleitung erlaubt wurde.
"Schon den Einsatz einer Überwachungssoftware sollte der CIO mit der Rechtsabteilung seines Unternehmens oder einem externen Berater abstimmen", rät Anwalt Wolhändler, "denn auch hier kann er unwissentlich mit dem Gesetz in Konflikt geraten." Vordergründig sinnvolle, in Wahrheit aber unerlaubte Überwachungsmaßnamen greifen möglicherweise in das Telekommunikationsgeheimnis ein. Ähnliche Reibereien erwachsen eventuell aus unbefugtem Löschen von Daten, etwa einer nicht zulässigen E-Mail-Filterung.
Viele IT-Verantwortliche kennen ihre Pflichten nicht
Dass den IT-Verantwortlichen in Sachen Security trotz drohender Sanktionen Fehler unterlaufen und sich die Absicherung der Unternehmenssysteme oft als lückenhaft erweist, resultiert vielfach aus Unwissenheit. Dazu Horst Speichert, Buchautor ("IT-Recht in der Praxis", Vieweg Verlag, 2004) und Anwalt in der Stuttgarter Kanzlei ESB: "Den IT-Sicherheitsverantwortlichen ist oft nicht bewusst, dass sie gesetzlich dazu verpflichtet sind, geeignete Maßnahmen zu ergreifen, damit die IT-Infrastruktur im Unternehmen sicher betrieben werden kann."
Unkenntnis herrsche bisweilen auch darüber, welche rechtlichen Gesichtspunkte neben Basel II und Arbeitsvertragsregelungen eine Rolle spielen, so der auf neue Medien, DV-Recht und IT-Vertragsgestaltung spezialisierte Anwalt. Beispielsweise verpflichte schon das Wirtschaftsverwaltungsrecht die Unternehmen - aus gewerbeordnungsrechtlichen Gründen - dazu, ihre IT-Infrastruktur sicherheitstechnisch und organisatorisch so zu gestalten, wie es für eine "ordentliche Durchführung des Geschäfts" erforderlich sei.
Unternehmen, die dem Telekommunikationsgesetz unterstellt sind, zum Beispiel die Betreiber von Telekommunikationsanlagen, müssen mittels angemessener technischer Vorkehrungen den Schutz des Telekommunikationsgeheimnisses und der personenbezogenen Daten gewährleisten. Deshalb sind ihre Systeme gegen unerlaubte Zugriffe, äußere Angriffe und Störungen zu schützen.
Das deutsche Datenschutzrecht schreibt im Rahmen der Weitergabekontrolle zum Beispiel vor, dass eine unbefugte Übertragung personenbezogener Daten durch eine Verschlüsselungs- und Überwachungssoftware verhindert und dass diese Daten gegen zufällige Zerstörung oder Verlust geschützt werden müssen. Ähnliche Richtlinien gelten auf europäischer Ebene.
Notwendige Schutzmaßnahmen
Um diese Sicherheitslücken so zu schließen, dass neben den Geschäftsdaten auch der Unternehmer und seine IT-Verantwortlichen auf der sicheren Seite stehen, empfiehlt sich im ersten Schritt die Implementierung bedarfsgerechter Security-Software. Sie muss - innerhalb des rechtlichen Rahmens - den Datenverkehr scannen, Log- Files speichern, den Zugriff auf bestimmte Websites blocken und Angriffe von außen abwehren. Zudem sollten die Unternehmen auf der Grundlage klar definierter Richtlinien ein IT-Sicherheitskonzept entwickeln und implementieren. Zur Vorbereitung darauf ist ein "Audit" sinnvoll, sprich: ein Security-Check, der Aufschluss über die aktuelle Sicherheitslage und die erforderlichen Maßnahmen gibt. "Überraschend viele Organisationen wissen schlicht und einfach nicht, ob ihre Sicherheitsvorkehrungen genügen, also ihre IT-Umgebung wirklich sicher und damit regelkonform ist", sagt Petra Jenner, Geschäftsführerin der Check Point Software Technologies GmbH in Hallbergmoos. Das Unternehmen hat eine Online-Plattform geschaffen (www.sicherheitsindex.de), mit deren Hilfe sich besonders kleinere Unternehmen und Mittelständler einen Überblick über ihren derzeitigen Security-Status verschaffen sollen.
Das auf dieser Basis oder auf der Grundlage eines neutralen Audits erstellte Sicherheitskonzept dokumentiert den Aufbau der IT-Infrastruktur und zeigt, wie sie überwacht wird. "Nur mit einem derartigen, schriftlich hinterlegten Konzept ist im Zweifelsfall nachzuwei-sen, dass die gesetzlichen Anforderungen an die IT-Sicherheit tatsächlich erfüllt wurden", mahnt Jenner. Die Implementierung der erforderlichen Technik bringe das Unternehmen und seine Daten nur dann auf die sichere Seite, wenn das Thema Security als übergreifendes Konzept verstanden, fortlaufend gepflegt und dokumentiert werde.
Das Sicherheitskonzept sollte dynamisch angelegt und regelmäßig fortgeschrieben werden. Will der Arbeitgeber die Nutzung von E-Mail und Internet durch seine Arbeitnehmer kontrollieren, muss er zudem eine IT-Nutzungsordnung einführen, die beispielsweise den privaten Gebrauch des Internets untersagt. "Zu den organisatorischen Maßnahmen gehört auch, die Sicherung von elektronischen Beweisen zu ermöglichen", schlägt IT-Sicherheitsrechtsexperte Speichert vor, "denn ohne verwertbare Beweise ist eine spätere Rechtsverfolgung in der Regel aussichtslos."
Schriftliche Vorgaben für den Krisenfall
Auf Speicherts Empfehlungsliste stehen zudem strukturelle, investigative Maßnahmen, mit denen der Datenverkehr nach verdächtigen Mustern untersucht wird. Besonders sinnvoll seien darüber hinaus "Krisenpapiere", die beispielsweise vorschreiben, was zu tun ist, wenn eine Untersuchung durch den Staatsanwalt droht oder auf einem PC strafbare Inhalte entdeckt wurden.
IT-Sicherheit ist Chefsache. Es liegt in Händen und im Interesse von Geschäftsführern und CIOs, für einen möglichst lückenlosen Schutz der Unternehmensdaten Sorge zu tragen. Wenn sie das erkannt haben und die richtigen Maßnahmen ergreifen (siehe Kasten "Acht Schritte in die rechtlich richtige Richtung"), rückt die Gefahr von Schadensersatzforderungen oder gar härteren Strafen in immer weitere Ferne. (qua)