IT-Risiko-Management aus juristischer Sicht

05.10.2007
Von 
Dr. Kevin Max von Holleben ist Fachanwalt für Informationstechnologierecht bei Lexton Rechtsanwälte in Berlin.
Neben den wirtschaftlichen Interessen sprechen auch gesetzliche Anforderungen für ein präventives IT-Risiko-Mangement.

Der flächendeckende Einsatz vernetzter IT-Systeme macht es immer wichtiger, möglichen Schäden durch ein präventives IT-Risiko-Management vorzubeugen. Für eine sichere IT sollten die Unternehmen schon aus ihrem eigenen wirtschaftlichen Interesse heraus sorgen. Abgesehen davon sind sie aber auch von Gesetzes wegen dazu verpflichtet.

Hier lesen Sie ...

  • welche Security-Maßnahmen das Gesetz verlangt;

  • warum es keine absolute Sicherheit geben kann;

  • wie die Unternehmen das jeweils erforderliche Maß an Sicherheit feststellen können;

  • welche Pflichten die Geschäftsleitung erfüllen muss, um die unternehmensspezifischen Risiken einzugrenzen.

Die Folgen von Versäumnissen

Risiko-Management wurde in den vergangenen Jahren vor allem im Zusammenhang mit spektakulären Unternehmenspleiten, beispielsweise von Enron diskutiert. In der Wirtschaft hat sich inzwischen die Erkenntnis durchgesetzt, dass ein effizientes und unternehmensbezogenes Risiko-Management unverzichtbar ist. Das Risiko ist erheblich: In nahezu allen Branchen wird die IT genutzt, um unternehmenskritische Geschäftsprozesse zu unterstützten. Das reicht von der Steuerung der Produktionsstraßen bis zur Finanzbuchhaltung, von der Fakturierung bis zu Einkauf sowie Vertrieb und Logistik. Das Versagen der IT-Systeme kann folglich verheerende Schäden anrichten. Die Folgen sind Produktionsausfälle, Verlust von Datenbeständen ? bis zur völligen Handlungsunfähigkeit des betroffenen Unternehmens.

Die daraus folgenden Haftungsrisiken gefährden möglicherweise den Bestand des gesamten Unternehmens, vor allem wenn es selbst als IT-Service-Provider tätig ist. Eindämmen lassen sich diese Gefahren durch ein effizientes Risiko-Management.

Juristische Definition der IT-Sicherheit

Welche Anforderungen stellt der Gesetzgeber an ein solches IT-Risiko-Management? Er definiert IT-Sicherheit als "Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen durch Sicherheitsvorkehrungen in beziehungsweise bei der Anwendung von informationstechnischen Systemen oder Komponenten betreffen" (Paragraf 2 Absatz 2 des Gesetzes über das Bundesamt für die Sicherheit in der Informationstechnik).

Schutzgüter sind also die Sicherung der Verfügbarkeit, die Vertraulichkeit und die Integrität der eingesetzten Systeme. Integrität bedeutet in diesem Zusammenhang, dass die Daten vollständig und korrekt sind.

Die drohenden Gefahren

Diese Schutzgüter sind vor allem durch die umfassende Nutzung von vernetzten IT-Systemen gefährdet. Die Risiken entstehen zum einen durch technische Defizite. Diese kommen in der Praxis jedoch seltener vor als menschliches Fehlverhalten, interne Sabotage und externe Angriffe. Zu den nicht technischen Risiken gehören das bewusste oder unbewusste Verändern oder Löschen von Daten, die Infizierung mit Viren und Trojanern durch Download aus dem Internet oder Nutzung von Home-Office-Lösungen. Derartige Gefahren steigen mit dem Gebrauch mobiler Endgeräte (Laptops oder PDAs) sowie drahtloser Übertragungstechnik (W-LAN, GPRS/Edge/UMTS etc.) deutlich an.

Bekanntlich können auch Angriffe durch Hacker oder Spam-Mails die Sicherheit des Unternehmens gefährden. So gelang es Hackern jüngst, mittels eines Trojaners die Lebensläufe von 1,3 Millionen registrierten Kunden des Job-Portals Monster.com auszulesen und sie anschließend für personalisierte Pishing-Attacken zu verwenden (COMPUTERWOCHE berichtete).

Technischer Datenschutz

Der Paragraf 9 des Bundesdatenschutzgesetzes (BGSG) verpflichtet die Wirtschaft, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Solche Maßnahmen können vielfältiger Natur sein (Zur Anbieterseite siehe auch: "Schützen, was wichtig ist"). Sie bestehen beispielsweise in:

  • Einbruchs- und Brandschutzeinrichtungen eines Rechenzentrums,

  • Verfahren bei der Personalauswahl (sdieh auch: "Die Bedrohung kommt von innen"),

  • Einhaltung des Vier-Augen-Prinzips und

  • Vorhalten einer Unterbrechungsfreien Stromversorgung (USV).

Erforderlich sind solche Maßnahmen aber nur, wenn der damit verbundene Aufwand jeweils in einem angemessenen Verhältnis zum Zweck des Schutzes steht. Ob das der Fall ist, muss im Einzelfall bestimmt werden. Es sind also Schutzkriterien zu wählen, die sich nach der Schutzbedürftigkeit der gespeicherten Daten richten. Die Planung von Datensicherungsmaßnahmen orientiert sich zweckmäßigerweise an den Ergebnissen einer Risikoanalyse.

Das KonTraG legt die Latte höher

Mit der Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) stiegen die Anforderungen an das Risiko-Management für Kapitalgesellschaften. Der Vorstand einer Aktiengesellschaft muss nun geeignete Sicherheitsmaßnahmen treffen, "insbesondere ein Überwachungssystem einrichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden", so Paragraf 91 Absatz 2 des Aktiengesetzes. Mit anderen Worten: Der Vorstand selbst muss für ein umfassendes und wirksames Risiko-Management sorgen. Diese Vorschrift gilt nicht nur für Aktien-, sondern auch für andere Kapitalgesellschaften, also auch und insbesondere für die GmbH.

Eine Verletzung dieser Pflicht kann namentlich die AG-Vorsände teuer zu stehen kommen. Sie sind der Gesellschaft persönlich zum Schadensersatz verpflichtet (93 Absatz 2 Aktiengesetz). Zudem stellt die Verletzung der Pflicht zum Risiko-Management nach einem ? noch nicht rechtskräftigen ? Urteil des Landgerichts Berlin einen Grund zur fristlosen, außerordentlichen Kündigung des verantwortlichen Vorstandsmitglieds (siehe auch: "Lücken in der Sicherheit kosten eventuell den Kopf").

Maßnahmen des Risiko-Managements

Die Einführung eines unternehmensbezogenen IT-Risiko-Managements erfolgt schrittweise:

  • Zunächst müssen die Risiken analysiert werden (Risk Assessment). Dabei lassen sich die Risikofelder definieren.

  • Anschließend werden die Risikoquellen strukturiert und systematisiert. Dabei ist jeweils der Grad der Gefährdung in Relation zu den Kosten zu setzen, die durch die Gefahrenvermeidung entstehen.

  • Basierend auf den Ergebnissen der Risikoanalyse wird dann eine Risikostrategie (Kontrolle und Steuerung) erstellt. Dafür müssen konzeptionelle und strategische Maßnahmen getroffen werden, zum Beispiel die Ernennung eines Chief Information Security Officer (CISO) oder der Erlass verbindlicher Unternehmensregeln (Code of Conduct).

  • In größeren Unternehmen empfiehlt es sich, eine unternehmensweite Sicherheitsrichtlinie (Security Policy) zu vereinbaren.

  • Das Unternehmen muss aber auch operative Schritte vornehmen. Dazu gehört die Einrichtung von Virenschutz, Firewalls, Content-Filtern, Verschlüsselungen und Zugangsregelungen zu Systemen und Räumen.

  • Ein wichtiger Bestandteil der Risikostrategie von IT-Anwendern ist die vertragliche Absicherung der Verfügbarkeit durch Service Level Agreements (SLA).

  • Darüber hinaus muss es eine wirksame Fall-Back-Strategie für Systemausfälle geben, beispielsweise die redundante Vorhaltung von Servern.

  • Die Funktionen des Risiko-Management-Systems müssen ständig überwacht werden, um schnell und flexibel auf eventuell entstehende Sicherheitslücken reagieren zu können. Dafür ist ein Risiko-Monitoring-System zu installieren, das die IT- Sicherheit sowie die getroffenen Maßnahmen überwacht.

  • Last, but not least ist eine fortwährende Anpassung der Sicherheitsmaßnahmen an veränderte Rahmenbedingungen erforderlich.

Basel II bewertet operationelle Risiken

Anfang des laufenden Jahres wurde die europäische Banken- und Kapitaladäquanzrichtlinie, besser bekannt als "Basel II", in Deutschland umgesetzt. Das neue Gesetz sieht vor, dass die Banken vor einer Entscheidung über die Kreditvergabe an ein Unternehmen eine umfassende Bonitätsbewertung vornehmen müssen.

Beim diesem "Rating" bewertet die Bank unter anderen die operationellen Risiken. Dazu gehören auch die IT-Risiken. Deshalb kann sich ein gut dokumentiertes IT-Risiko-Management im Falle einer solchen Bewertung positiv auf die Kreditkonditionen auswirken. Schon aus diesem Grund dürfte sich das IT-Risko-Management über kurz oder lang auszahlen (siehe auch: "Weniger Kreditkosten für die Guten").

Das Wichtigste in Kürze

Die unternehmensbezogenen IT-Prozesse müssen ein größtmögliches Maß an Sicherheit bieten. Aber eine absolute Sicherheit kann und wird es angesichts der vielfältigen Gefahrenpotenziale nicht geben ? zumindest nicht im Rahmen einer ausgewogenen Kosten-Nutzen-Relation. Ziel des IT-Risiko-Managements kann es deshalb auch nicht sein, alle möglichen Gefahren zu vermeiden. Vielmehr muss die Geschäftsleitung die für das Unternehmen relevanten Risiken identifizieren und effiziente Maßnahmen zu deren Begrenzung treffen. Weitergehende Informationen zum Thema IT-Sicherheit finden Sie im Security-Expertenrat (qua)