IT-Sicherheit ist eine von Haus aus technisch dominierte Disziplin, die jedoch in starkem Umfang organisatorische Maßnahmen erfordert und zwingend die rechtlichen Rahmenbedingungen einhalten muss. Es handelt sich um eine ganzheitliche Aufgabe, deren technische, organisatorische und rechtliche Komponenten in enger Wechselbeziehung miteinander verzahnt sind.
Foto: Fotolia, Alphaspirit
Die technische Sicherheit wird flankiert von organisatorischen Maßnahmen wie Policies, Nutzungsrichtlinien oder Zertifizierungen. Technik und Organisation wiederum werden in Verträgen oder Betriebsvereinbarungen rechtlich gestaltet und umgesetzt. Überdacht wird das System von einem verbindlichen Risikomanagement, dass durch die Leitungsebene des Unternehmens umzusetzen ist. Insgesamt ergibt sich eine vielschichtige Pflichtenstruktur, die sich aus einer breiten Palette von Maßnahmen zusammensetzt.
Daraus ergibt sich eine ausgeprägte Ganzheitlichkeit der Informationssicherheit. Zur Vermeidung von Haftung und Schadensersatz ist nicht allein der Einsatz von Technik, sondern sind insbesondere auch organisatorische Maßnahmen wie Nutzungsrichtlinien, Schulung und Mitarbeiterkontrolle sowie rechtliche Gestaltungen erforderlich.
Das Bundesdatenschutzgesetz ist in drei Novellierungen, die zum 01.09.2009, zum 01.04.2010 und 11.06.2010 in Kraft treten, grundlegend erneuert worden. Die Kernaussagen der komplexen Änderungen zeit- und praxisnah aufzuarbeiten, ist Aufgabe jedes IT-Verantwortlichen. Auch hier zeigt sich die enge Verzahnung von Technik, Organisation und Recht.
Ganzheitliche Informationssicherheit im Überblick
- Technische Sicherheit - Archivierung, Backup, Firewall, AV, URL- / Spam-Content-Filter, Verschlüsselung
- Wirtschaftliche Sicherheit - Restrisiko: Versicherung der IT-Risiken
- Juristische Sicherheit - Vertragsgestaltung, AGB, straf- und zivilrechtliche Haftung, Organisationsverschulden, Betriebsvereinbarung, Arbeitsvertrag
- Organisatorische Sicherheit - Policy, Audit, Risiko-Management, Nutzungsrichtlinien, Kontrolle, Schulung, Zertifizierung
Bedrohungsszenario - sechs Beispiele
Beispiel 1: Einer überörtlichen Tageszeitung wird eine DVD mit Zehntausenden von sensiblen Kundendaten zugespielt. Die anschließende Berichterstattung in den Medien zieht sich über Wochen hin. Der ohnehin große Vertrauensverlust durch die internationale Wirtschaftskrise sollte nicht durch den Missbrauch von sensiblen Daten verschärft werden.
Beispiel 2: Um künftig gegen undichte Stellen besser geschützt zu sein, entschließt sich das Unternehmen, alle E-Mail- und Internetverbindungen der Mitarbeiter heimlich zu überwachen. Nachdem die Angelegenheit durch investigativen Journalismus aufgedeckt wurde, muss der Vorstandsvorsitzende zurücktreten.
Beispiel 3: Ein langjähriger Abteilungsleiter ahnt, dass er wegen krisenbedingtem Auftragsrückgang die Kündigung erhalten wird. Seine Verärgerung hierüber ist verständlicherweise groß. Als "Abschiedsgeschenk" möchte er deshalb seinem treulosen Arbeitgeber einen Trojaner hinterlassen, welcher die Server lahm legen soll.
Beispiel 4: In einer Aktiengesellschaft mit 5.000 Mitarbeitern arbeitet seit langen Jahren ein qualifizierter Mitarbeiter an einer neuen Technologie zur Produktion von Sonnenkollektoren. Durch den Bau eines Eigenheims gerät der Mitarbeiter in finanzielle Schwierigkeiten, als ein Unbekannter an ihn herantritt und ihm größere Geldbeträge für die Herausgabe wichtiger Unterlagen betreffend die neue Technologie bietet.
Beispiel 5: Aus einem Medien-Bericht: "Staatsanwaltschaft Köln ermittelt gegen ca. 3.500 P2P-Nutzer. Rund 130 Durchsuchungen wurden im Rahmen einer koordinierten Aktion heute zeitgleich im gesamten Bundesgebiet durchgeführt. Zahlreiche PCs und andere Beweismittel wurden beschlagnahmt."
Beispiel 6: Der Mittelstand zeichnet sich durch ein hohes Maß an Innovationskraft aus und ist deshalb der größte Know-how-Träger der deutschen Wirtschaft. "Keine Kleinstadt ohne Weltmarktführer." Der enorme Leistungsdruck führt oftmals zur Vernachlässigung notwendiger Sicherheitsbedürfnisse. Gerade der deutsche Mittelstand mit seinen Sicherheitslücken gehört deshalb zu den leichten Zielen weltweiter Wirtschaftsspionage.
Haftungsfragen
Die IT-Verantwortlichen in Unternehmen und Behörden fragen sich, inwieweit illegale Vorgänge und Inhalte zur Mitverantwortung des Arbeitgebers bzw. der Mitarbeiter und Geschäftsleitung führen.
1.) Ermittlungsverfahren und Auskunftspflichten
In den vergangenen Jahren wurden z. B. Zehntausende von Strafverfahren wegen illegaler Downloads (Musik-Files) aus P2P-Netzwerken eingeleitet. Es stellt sich die Frage nach einer möglichen Mitverantwortlichkeit
- des Unternehmens,
- der Geschäftsleitung,
- und der IT-Verantwortlichen
für solch illegale und strafbare Inhalte und Vorgänge.
Bei strafbarem Verhalten (z.B. illegale Pornografie, raubkopierte Inhalte) erstatten die Geschädigten verstärkt Strafanzeige. Die Behörden versuchen daraufhin die zur Strafverfolgung notwendigen Daten zu ermitteln. Nach der Rechtsprechung werden Auskunftsansprüche der TK-Anbieter (Provider) z. B. nach § 113 TKG anerkannt. Demnach müssen öffentliche Provider die IP-Adresse herausgeben bzw. die Arbeitgeber anhand der IP-Adresse die persönliche Zuordnung zum konkreten Mitarbeiter vornehmen.
Solche Ermittlungen der Behörden bringen die Verantwortlichen in den Unternehmen nicht selten in schwierige Situationen, insbesondere wenn die Identitätsverwaltung beim Arbeitgeber so unzureichend ist, dass die persönliche Zuordnung der IP-Adresse auch den Falschen treffen kann. Je sensibler der verfolgte Straftatbestand ist, desto empfindlicher wird ein zu Unrecht beschuldigter Mitarbeiter reagieren. Denn die persönliche Zuordnung der IP-Adresse und Herausgabe der Daten führt zu unmittelbaren Ermittlungsmaßnahmen gegen den Mitarbeiter.
2.) Vorratsdatenspeicherung
Seit 01.01.2008 ist ein neues Gesetz zur Regelung der TK-Überwachung und anderer verdeckter Ermittlungsmaßnahmen und zur Umsetzung der EU-Richtlinie 2006/24/EG zur Vorratsdatenspeicherung in Kraft. Zweck ist eine effektive Strafverfolgung und Terrorismusbekämpfung. Betroffen ist die gesamte Telekommunikation: E-Mail, Internet, Mobiltelefonie, SMS, Telefonie, VoIP. Öffentlich zugängliche TK-Anbieter sind nach dem neuen § 113a TKG verpflichtet, Verbindungs- und Standortdaten 6 Monate lang vorzuhalten.
2.a) Verfassungsrechtliche Bedenken
Gegen die Neuregelung bestehen verfassungsrechtliche Bedenken, die jedoch laut Bundesregierung und BVerfG nicht zur Aussetzung des Gesetzesvollzugs führen. Nach einer Entscheidung des BVerfG zur Vorratsdatenspeicherung (Beschluss v. 19. März 2008 - Az.: 1 BvR 256/08) dürfen erhobene Vorratsdaten nur verwendet werden, wenn Gegenstand des Ermittlungsverfahrens eine schwere Straftat i. S. d. § 100 a Abs. 2 StPO ist. Urheberrechtsverletzungen in P2P-Tauschbörsen z. B. sind keine solchen schweren Straftaten. Hier besteht also die Notwendigkeit eines richterlichen Beschlusses nach § 100 a, g StPO.
2.b) Persönlicher Anwendungsbereich, Adressatenkreis
Entscheidende Frage ist, wer zur Vorratsdatenspeicherung gemäß §§ 113a, 113b TKG verpflichtet ist:
- Nach § 113a TKG sind nur öffentlich zugängliche TK-Dienste zur Vorratsdatenspeicherung verpflichtet,
denn in der Begründung zum Gesetzentwurf steht: "für den nicht-öffentlichen Bereich (z. B. unternehmensinterne Netze, Nebenstellenanlagen oder E-Mail-Server von Universitäten) besteht keine Speicherungspflicht".
Demnach sind geschlossene Benutzergruppen (z. B. Arbeitsplatz, Hotel, Krankenhaus etc.) von der Vorratsdatenspeicherpflicht ausgeschlossen. Nach der Literatur sind aber auch geschlossene Benutzergruppen mit Außenkontakt (break in - break out) als öffentliche Telekommunikation anzusehen, so dass nur die interne Kommunikation ausgenommen wäre. Es besteht also ein erhebliches Maß an Rechtsunsicherheit.
2.c) Gastzugang
Unternehmen sind zur Vorratsspeicherung verpflichtet, wenn sie einen öffentlichen Hotspot z. B. als W-LAN-Zugang anbieten. Es müssen also auch für den Gastzugang Passwörter vergeben und Richtlinien gestaltet werden, um die Vorratsdatenspeicherpflicht zu vermeiden.
2.d) Maßnahmenkatalog zur Vermeidung
- Keine beliebige Neuakquisition von Kunden, sondern nur im Rahmen einer geschlossenen Benutzergruppe mit gemeinsamem Definitionsmerkmal
-- z. B. nur konzernangehörige Unternehmen
-- oder nur Eigenbetriebe und Eigengesellschaften im öffentlichen Bereich
- Ergänzung der Dienstleistungsverträge um eine Klausel, welche die Zweckbindung betont, um den Charakter einer geschlossenen Benutzergruppe zu festigen
- Betrieb von Gast- und Besucherzugängen
-- ebenfalls Wahrung des Charakters einer geschlossenen Benutzergruppe
-- nur für authentifizierte und registrierte Nutzer, keine Nutzung für jedermann / beliebige Passanten
-- zusätzliche Beschränkung über zeitlich limitierte Kennungen, etwa durch die Ausgabe von Vouchern an der Empfangstheke o. ä.
-- Wahrung der Gebäudegrenzen bei W-LAN
- Fortlaufende Beobachtung der einschlägigen Rechtsprechung
und Stellungnahmen des Gesetzgebers, um frühzeitig zu erkennen, ob sich die Situation ändert.
3.) Verkehrssicherungspflichten
Zum besseren Verständnis der Haftungssystematik ist die obergerichtliche Rechtsprechung des Bundesgerichtshofes (BGH) zu den Verkehrssicherungspflichten sowie die Vorgaben des KonTraG für ein verbindliches Risikomanagement zu betrachten. Der BGH spricht im Rahmen der Haftungssystematik von Verkehrssicherungspflichten:
"Wer eine Gefahrenquelle eröffnet oder sich an ihr beteiligt, muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen."
Die Kommunikationsvorgänge in Intranet und Internet eröffnen vielfältige Gefahren, sind also Gefahrenquellen im Sinne der Verkehrssicherungspflichten. Diese Verkehrssicherungspflichten bestehen im Wesentlichen aus:
- Organisationspflichten bezüglich betrieblicher (technischer) Abläufe und
- Aufsichtspflichten des Arbeitgebers gegenüber seinen Mitarbeitern.
Eine 100%ige Sicherheit kann im Rahmen der Verkehrssicherungspflichten nicht verlangt werden, aber Maßnahmen nach der Verkehrserwartung, die wirtschaftlich zumutbar sind. Auch die vertraglichen Schutzpflichten orientieren sich an den Verkehrssicherungspflichten.
Die Verkehrssicherungspflichten ergeben sich aus einer Vielzahl gesetzlicher und vertraglicher Bestimmungen sowie der Rechtsprechung. Hier einige Beispiele:
- Besondere Verschwiegenheitsverpflichtung und eine strafbewehrte Garantenstellung für besonders sensible Daten
-- bei Amts-, Berufs- und Privatgeheimnissen, § 203 StGB
-- bei Geschäfts- und Betriebsgeheimnissen, § 17 UWG
-- Garantenstellung nach § 13 StGB: Straftaten können auch durch Unterlassen von Sicherungsmaßnahmen, Verletzung von Sorgfaltspflichten begangen werden (Garantenstellung des Compliance-Officers nach BGH-Entscheidung vom 17.07.09)
- § 9 BDSG plus Anlage - Die Vorschrift enthält die Grundsätze ordnungsgemäßer Datenverarbeitung, also Vorgaben für die technisch-organisatorische Datensicherheit. Es ist ein technisches Sicherheitskonzept zu entwickeln, das Unbefugten Zugriff auf personenbezogene Daten verhindert. Im Einzelnen bedeutet dies:
-- Zutrittskontrolle - räumliche, physische Sicherung
-- Authentifizierung
-- Zugangskontrolle - Passwort, Firewall
-- Festplattenverschlüsselung
-- Zugriffskontrolle - effektive, rollenbasierte Rechteverwaltung
-- Weitergabekontrolle - Datensicherung, Verschlüsselung
-- Verfügbarkeitskontrolle - Virenschutz, Backup, sichere Archivierung
Normen als Maßstab
Die konkretisierenden Normen werden von der Rechtsprechung als Maßstab für die angemessenen Sicherungserwartungen herangezogen. Der Umfang der Verkehrssicherungspflichten bestimmt sich insbesondere nach…
- den Sicherheitserwartungen der beteiligten Verkehrskreise
- der Marktüblichkeit der Sicherheits-Hardware und -Software, z. B. hinsichtlich der notwendigen Update-Intervalle eines Virenscanners
- der Quantität der Datenverarbeitung
- der Gefährlichkeit des Tuns
- dem Prinzip der Verhältnismäßigkeit, also der Erforderlichkeit und Angemessenheit von Maßnahmen
- der wirtschaftlichen Zumutbarkeit, also der Größe und Leistungsfähigkeit eines Unternehmens
Nach der Rechtsprechung ist im gewerblichen Bereich eine zuverlässige, zeitnahe und umfassende Sicherung der IT-Systeme erforderlich. Ansonsten können IT-spezifische Brandherde zu Mitverantwortlichkeit in Unternehmen und Behörden führen. Umgesetzt werden die Pfl ichten zur Haftungsprävention durch ein Bündel von Maßnahmen, bestehend aus Technik, Nutzungsrichtlinien und rechtlicher Gestaltung.
4.) Störerhaftung im Netzwerk, offene W-LAN
Nach der Rechtsprechung sind Betreiber eines offenen W-LAN für urheberrechtswidrige, strafbare Down- bzw. Uploads aus P2P zumindest im Rahmen der Störerhaftung mitverantwortlich. Bei einem offenen W-LAN ohne Passwortschutz ist das System nicht gesichert. So können z. B. strafbare mp3-Files missbräuchlich über das offene W-LAN durch externe Dritte heruntergeladen werden. Im Rechtssinne handelt es sich dabei um ein öffentliches Zugänglichmachen von Musik-Files über P2P. Dem Betreiber eines W-LAN obliegen umfangreiche Verkehrssicherungspflichten. Wer seine Internetverbindung drahtlos betreibt, muss für die Sicherung des Netzwerkes sorgen, andernfalls verstößt er gegen zumutbare
Prüfungspflichten.
Es gibt mittlerweile eine Vielzahl von Entscheidungen, welche die Störerhaftung für unsichere Netzwerke oder Plattformen bejahen. So wurde bereits mehrfach obergerichtlich entschieden, dass für Markenpiraterie auf Internetverkaufsplattformen das Auktionshaus mithaftet.
- Es besteht eine Vorsorgepflicht gegen bekannte Missstände.
- Der Einsatz von präventiver Filtersoftware ist laut BGH zumutbare Prüfungspflicht.
- Bei eindeutigen Hinweisen (bedingter Vorsatz) besteht Schadensersatzpflicht.
Die dargestellte Rechtsprechung ist auf unsichere Netzwerke, Systeme oder Plattformen gleichermaßen anzuwenden.
5.) Szenario und Rechtsfolgen
Überträgt man die dargestellten Haftungssysteme auf die spezielle Situation in der IT, so ergibt sich das nachfolgende Haftungsszenario:
- Rechtswidrige E-Mail-Anhänge oder Downloads von Mitarbeitern, z. B. Raubkopien oder illegale mp3-Files, führen zu Strafverfolgungsmaßnahmen im Unternehmen (Durchsuchung der Geschäftsräume, Beschlagnahmung von Firmenrechnern etc.)
- Eintragungen von außen im eigenen System, z. B. in Blogs, Gästebücher oder Foren - Gefahr illegaler Inhalte wie Beleidigungen, Obszönitäten, Persönlichkeits-, Marken- oder Urheberrechtsverletzungen etc.
- Fremdinhalte von Dritten (z. B. Kundendaten oder Webspace für Dritte) - ebenfalls Gefahr, dass die gehosteten Inhalte illegal sind
- Jugendschutz bei Minderjährigen, z. B. Azubis oder Praktikanten - Verstoß gegen Jugendschutz, der Arbeitgeber hat hier eine Garantenstellung
- Schutz des Persönlichkeitsrechts am Arbeitsplatz vor Belästigung, Beleidigung etwa durch Spam oder E-Mail-Anhänge, konkretisiert z. B. im Beschäftigtenschutzgesetz (BeschSG)
- Viren, Spam, Trojaner in Kombination mit Hackerangriffen: Verletzung von…
-- Eigentum und Gewerbebetrieb durch Datenbeschädigung oder -verlust
-- Persönlichkeitsrecht, etwa wenn ein Virus personenbezogene Daten ausspioniert und versendet
-- Verlust von Arbeitszeit, Performance, Bandbreite, Verfügbarkeit
- Bei Verstoß gegen die Pflichten:
-- mit Verschulden - Schadensersatz und möglicherweise Strafbarkeit des Unternehmens, der Geschäftsleitung und der Mitarbeiter
-- ohne Verschulden - Störerhaftung, Unterlassung, Abmahnung, Vertragsstrafe
- Bei Erfüllung der dargestellten Pflichten: präventive Haftungsfreizeichnung, denn für Schäden, die trotz Pflichterfüllung eintreten (= Restrisiko), wird nicht gehaftet.
6.) Eigenhaftung der IT-Verantwortlichen
Die Vermeidung persönlicher Eigenhaftung ist für die handelnden Mitarbeiter, wie etwa IT-Leiter, Sicherheitsbeauftragte, Administratoren, sonstige IT-Verantwortliche, ein entscheidender Faktor. Hierbei ist zwischen der
- zivilrechtlichen (- Schadensersatz),
- arbeitsrechtlichen (- Abmahnung, Kündigung) und
- strafrechtlichen (- Geld- oder Freiheitsstrafe)
Haftung zu unterscheiden.
Aus dem Arbeitsverhältnis treffen grundsätzlich jeden Mitarbeiter sog. arbeitsvertragliche Nebenpflichten:
- Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten.
- Als Sorgfaltsmaßstab gilt ein besonnener Mensch mit durchschnittlichen Fähigkeiten in der Situation des Arbeitnehmers.
- also individuell unterschiedlich: höhere Sorgfaltsanforderungen an leitende Mitarbeiter
- Beweislast des Arbeitgebers, § 619a BGB.
Schadensersatzansprüche des Arbeitgebers wegen Verletzung der arbeitsvertraglichen Nebenpflichten sind in der Praxis nicht häufig, aber möglich. Aufgrund der Fremdbestimmtheit der Arbeitsleistung trägt der Arbeitgeber das Unternehmensrisiko. Für Tätigkeiten mit erhöhtem Risiko gelten deshalb nach der Rechtsprechung des BAG die Grundsätze zur schadensgeneigten Tätigkeit:
- Für vorsätzliches / grobfahrlässiges Verhalten - volle Haftung des Mitarbeiters,
- mittlere Fahrlässigkeit - Schadensteilung zwischen Arbeitgeber und Mitarbeiter,
- leichte Fahrlässigkeit - keine Haftung des Mitarbeiters.
Diese Haftungserleichterung für den Mitarbeiter gilt grundsätzlich nur im Verhältnis zum Arbeitgeber. Im Verhältnis zu geschädigten Dritten besteht ein Freistellungsanspruch des Arbeitnehmers gegen den Arbeitgeber.
Für eine mögliche Strafbarkeit gilt dagegen der Grundsatz der vollständigen Eigenverantwortung. Ein Arbeitnehmer macht sich also selbst strafbar, die arbeitsvertragliche Haftungserleichterung ist nicht anwendbar. Auch gilt kein Befehlsnotstand, so dass ein Mitarbeiter, der z. B. auf Anweisung seines Vorgesetzten private E-Mails liest, nicht allein wegen der Anweisung straflos ist.
Mögliche Strafbarkeit - Ordnungswidrigkeit:
- fahrlässige Verletzung: Ordnungswidrigkeit, bis 300.000 Euro Bußgeld, der wirtschaftliche Vorteil des Verstoßes soll durch das Bußgeld überstiegen werden.
- Strafbarkeit nach § 206 StGB bei Verstößen gegen das Fernmeldegeheimnis.
- Bei Übermitteln / Abrufen gegen Entgelt oder Bereicherungs-/Schädigungsabsicht liegt eine Straftat nach § 44 BDSG vor.
Nicht von der Haftungserleichterung erfasst sind auch die arbeitsrechtlichen Sanktionen der Abmahnung oder Kündigung, welche bei Pflichtverstößen des Mitarbeiters stets eintreten können.
Zur Vermeidung von Eigenhaftung kann ein verantwortlicher Mitarbeiter nachfolgende Eigenschutzmaßnahmen ergreifen:
- Gewissenhafte Aufgabenerfüllung,
- Regelmäßige Information der Geschäftsleitung über mögliche Risiken,
- Lösungsvorschläge für Sicherheitsmängel erarbeiten, Projekte vorschlagen, angemessenes Budget beantragen,
- Hinzuziehung externer Berater.
Reaktion der IT-Verantwortlichen bei Ablehnung der vorgeschlagenen Maßnahmen durch die Geschäftleitung:
- Risiken erneut aufzeigen,
- Ablehnung und eigenes Verhalten protokollieren und dokumentieren, etwa durch Besprechungsprotokolle oder schriftliche Fixierung in Briefen,
- Mitwisser schaffen, z. B. durch E-Mail mit Cc,
- schriftliche Bestätigung einfordern.
Konsequenz: Verlagerung der Verantwortlichkeit auf die vorgesetzte Ebene
Lesen Sie zum Thema "IT-Sicherheit" bitte auch den Beitrag "Wer ist für die Sicherheit der Firmen-IT-verantwortlich?"
Ebenfalls spannend:
Die rechtlichen Aspekte der IT-Sicherheit, Teil 2: Risiko-Management und IT-Compliance - das sollten Sie wissen
Die rechtlichen Aspekte der IT-Sicherheit, Teil 3: So archivieren Sie E-Mails revisionssicher
Der Autor Horst Speichert ist Rechtsanwalt in der Kanzlei esb in Stuttgart mit Spezialgebiet Neue Medien, EDV-Recht, IT-Vertragsgestaltung, IT-Security und Datenschutz, Fachbuchautor, Ausbilder für Datenschutzbeauftragte und Lehrbeauftragter für Informationsrecht an der Universität Stuttgart.
Kontakt:
E-Mail: horst@speichert.de, Internet: www. speichert.de
Hinweis:
Der IT-Rechtsleitfaden wurde 2009 von Rechtsanwalt Horst Speichert in Zusammenarbeit mit der Blue Coat Systems GmbH erstellt. Eine Kopie des Dokuments kann über folgenden Link bestellt werden: www.bluecoat.de/resources/leitfaeden.php. Das Werk einschließlich aller Texte ist urheberrechtlich geschützt. Veröffentlichung und Vervielfältigung nur mit schriftlicher Genehmigung von Blue Coat Systems.