Das Thema IT-Sicherheit wird in vielen Unternehmen nach wie vor stiefmütterlich behandelt. Dabei kann das Firmen-Management gesetzlich für Schäden etwa durch Hacker, Viren oder Datendiebstahl direkt zur Verantwortung gezogen werden - teilweise sogar mit dem Privatvermögen. Das ist den Führungskräften jedoch offenbar noch wenig bewusst: Nach einer aktuellen Emnid-Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist sich das Gros (91 Prozent) der Unternehmen zwar über die grundsätzliche Gefährdung durch mangelhafte Sicherheitsmaßnahmen im Klaren. Nur 21 Prozent der Befragten kannten aber die möglichen Konsequenzen für ihre Person.

Lange wurde IT-Security ausschließlich mit Blick auf externe Bedrohungen wie Computerviren, Würmer, Trojanische Pferde und Hacker betrachtet. Doch auch von innen droht Gefahr: So können Mitarbeiter mit unbeschränkten Zugriffsrechten auf die Firmendaten - aus Versehen oder absichtlich - großen Schaden anrichten.

Mit den Gefahren ist die Zahl der diesbezüglichen nationalen und internationalen Rechtsnormen gestiegen. In diesem Zusammenhang ist beispielsweise auf das Anlegerschutzverbesserungsgesetz hinzuweisen, das seit dem 30. Oktober 2004 greift und den Umgang mit Insider-Informationen neu regelt: So verpflichtet der neu eingeführte Paragraf 15b des Wertpapierhandelsgesetzes (WpHG) Unternehmen dazu, ein Verzeichnis der für sie tätigen Personen mit Zugriff auf Insider-Informationen zu führen. Um sicherzustellen, dass tatsächlich nur die gelisteten Mitarbeiter Kenntnis von diesen Daten haben, ist jedoch der Einsatz von Sicherheitstechniken - etwa eine gruppenorientierte Dateiverschlüsselung im eigenen Netzwerk - erforderlich.

Die Folgen der zunehmenden gesetzlich vorgeschriebenen organisatorischen und technischen Pflichten sind:

- erweiterte Haftungsrisiken für Unternehmen und deren Organe (insbesondere Vorstand, Geschäftsführer und Aufsichtsrat, aber auch IT-Leiter und -Administratoren, Fachbereichsleiter sowie Sicherheits- und Datenschutzbeauftragte),

- eine höhere Wahrscheinlichkeit für Schadensersatzforderungen,

- mögliche Geldbußen oder Geldstrafen,

- der potenzielle Verlust des Versicherungsschutzes,

- das Risiko, in Sachen Bonität herabgestuft zu werden,

- die Verweigerung des Wirtschaftsprüfer-Testats,

- Imageschaden nach Verlust von personenbezogenen Daten aufgrund von Sicherheitslücken.

Für das Management ist es demnach dringend erforderlich, Maßnahmen zur Absicherung elektronischer Werte (E-Assets) zu ergreifen und die Verbindlichkeit und Vertrauenswürdigkeit von Geschäfts- und Verwaltungsprozessen nicht nur in der digitalen Welt zu gewährleisten. Folgende Punkte sind dabei zu beachten.

Schutz des Betriebs- und Geschäftsgeheimnisses: In der deutschen Rechtsordnung wird der Wahrung der Betriebs- und Geschäftsgeheimnisse im Unternehmen große Bedeutung beigemessen. So kann deren unbefugtes Verwerten oder ihre Preisgabe bei einer bestehenden Geheimhaltungsverpflichtung (etwa im Arbeitsvertrag oder einer Vertraulichkeitsvereinbarung) strafrechtlich verfolgt werden (siehe Paragraf 204, Absatz 1 Strafgesetzbuch - StGB; Paragraf 17 Gesetz gegen den unlauterem Wettbewerb - UWG). Allerdings ist es nicht ratsam, das als Ausrede für die Vernachlässigung notwendiger IT-Sicherheitsmaßnahmen heranzuziehen: In der Praxis kann es durchaus schwierig sein, konkrete Verstöße im erforderlichen Maße zu beweisen. Zudem greift selbst die Strafverfolgung erst im Nachhinein und kann einen aus einer Straftat resultierenden Schaden nicht mehr abwenden.

Datenschutz: Weitere rechtliche Anknüpfungspunkte für die IT-Sicherheit finden sich insbesondere im Bundesdatenschutzgesetz (BDSG), aber auch in branchenspezifischen Datenschutzsonderregelungen wie im Telekommunikationsbereich (etwa Teledienste-Datenschutzgesetz). Gemäß Paragraf 7, Satz 1 BDSG haften Unternehmen unabhängig vom Verschulden für Schäden, die Dritten durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zugefügt werden. Die Ersatzpflicht entfällt nur, wenn das Unternehmen die nach den Umständen des Einzelfalls gebotene Sorgfalt beachtet hat. Dabei ist Paragraf 9 BDSG als Maßstab heranzuziehen. Er regelt die zum Schutz persönlicher Daten erforderlichen technischen und organisatorischen Maßnahmen in Unternehmen, die - selbst oder im Auftrag - personenbezogene Daten erheben, verarbeiten oder nutzen. Die in der Anlage zu Paragraf 9 BDSG aufgeführten "Acht goldenen Regeln zur IT-Datensicherheit" sehen unter anderem Kontrollmaßnahmen beim Zutritt, Zugang und Zugriff, aber auch bei der Weitergabe, Eingabe und Verfügbarkeit der Daten vor. Ein einfacher Passwortschutz reicht hier nicht aus. Somit können mangelhafte IT-Sicherheitmaßnahmen zum unmittelbaren Haftungsrisiko werden.

Zivilrechtliche Verpflichtungen: Das 1998 verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Novellierungen zu verschiedenen Einzelgesetzen - etwa Aktiengesetz (AktG) oder Handelsgesetzbuch (HGB) - enthält, verpflichtet Firmen unter anderem dazu, ein effizientes konzernweites Risiko-Management einzuführen. Danach müssen Aufsichtsrat und Vorstand einer Aktiengesellschaft nicht nur Entwicklungen, die die Existenz des Unternehmens gefährden, frühzeitig erkennen, sondern auch geeignete Gegenmaßnahmen ergreifen und diese überwachen. Die Risiken, die sich für ein Unternehmen aus der Nutzung der Informationstechnik ergeben - vom Datenverlust oder Datenklau durch externe Attacken über interne Angriffe bis hin zur Datenzerstörung durch fahrlässigen Umgang mit Informationen am Arbeitsplatz - , sind nicht von der Hand zu weisen. Demnach ist das Thema IT-Sicherheit auch im Rahmen des obligatorischen Risiko-Managements zu berücksichtigen.

Allgemeine Sorgfaltspflichten der Geschäftsführung: Jeder Firmenchef wird nicht zuletzt an seiner Sorgfalt und Gewissenhaftigkeit gemessen. Demnach gehörte es auch bereits vor dem KonTraG zu den Aufgaben des Vorstands, Geschäftsführers oder Gesellschafters, existenzgefährdende Entwicklungen rechtzeitig zu erkennen, um ihnen entgegenwirken zu können. Daher müssen sich Geschäftsleiter aller Gesellschaftsformen grundsätzlich mit der Einführung eines Risiko-Früherkennungssystems und der Sicherheit ihrer Systeme befassen.

Eine wesentliche Neuerung des KonTraG ist, dass Vorstände gemäß Paragraf 93, Absatz 2 AktG im Fall einer Pflichtverletzung gegenüber der Aktiengesellschaft persönlich zum Schadensersatz verpflichtet sind. Verschärft wird diese Regelung noch, indem die Vorstandsmitglieder im Streitfall belegen müssen, dass sie die notwendige Sorgfalt aufgebracht haben. Der Beweis kann dann gelingen, wenn die Geschäftsleitung im Rahmen des Risiko-Managements die Gefahren für die IT-Sicherheit sowohl anhand organisatorischer Vorgaben (etwa durch Bereithalten einer betrieblichen Datenschutzrichtlinie, Dokumentation der Administratorenrechte, geeignete Systemeinstellungen sowie eine restriktive Zugriffsrechtsvergabe) als auch mit Hilfe technischer Vorkehrungen (Einsatz von Verschlüsselungstechniken, Antivirensoftware, Firewalls, Datensicherung, Sabotage- und Ausfallschutz) verringert hat.

Persönliche Haftung der Geschäftsführung gegenüber den Aktionären: Aktionäre haben die Möglichkeit, gegen gegen den Vorstand einen Anspruch auf Schadensersatz aus unerlaubter Handlung wegen Verletzung einer Vermögensbetreuungspflicht im Sinne der strafrechtlichen Untreue (Paragraf 823, Absatz 2 BGB, Paragraf 266 StGB) gerichtlich geltend zu machen. Die Unternehmensführung ist gegenüber den einzelnen Aktionären verpflichtet, alle erforderlichen Maßnahmen zur Abwehr von Schäden zu ergreifen, da sich diese negativ auf den Aktienkurs auswirken.

Externe Abschlussprüfung: Bei börsennotierten Aktiengesellschaften gewinnt die mit KonTraG eingeführte Vorschrift des Paragraf 91, Absatz 2 AktG noch eine zusätzliche Bedeutung: Der Abschlussprüfer muss sich im Rahmen der Jahresabschlussprüfung vom Vorhandensein eines Risiko-Früherkennungssystems überzeugen und auch Inhalt und Aussagekraft dieses Systems bei der Lageberichterstattung beurteilen. Fehlen IT-Sicherheitsmaßnahmen in erheblichem Umfang, kann der Abschlussprüfer das Testat einschränken oder sogar ganz verweigern.

Mögliche Verschärfung der Organhaftung: Das geplante Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts (UMAG) hat zum Ziel, die Haftungspflichten der Organe von Aktiengesellschaften deutlich zu verschärfen, indem es die Durchsetzung von Haftungsansprüchen erleichtert. Nach dem derzeitigen Gesetzentwurf kann eine Minderheit von Anteilseignern (ein Prozent der Aktien oder 100000 Euro Börsenwert) eine Haftungsklage gegen den Vorstand wegen grober Pflichtverletzung bei Gericht einreichen. Zudem wird der haftungsfreie Ermessensspielraum bei unternehmerischen Entscheidungen konkretisiert.

Gesonderte Haftungsrisiken ergeben sich auch aus den Basel-II- und Sarbanes-Oxly-Regelungen. Angesichts der aufgeführten rechtlichen Haftungsrisiken und betriebswirtschaftlichen Entwicklungen wird sich die Geschäftsleitung künftig intensiver mit dem Themenkomplex IT-Sicherheit befassen müssen. Ihre Aufgabe wird es sein, Sicherheitskonzepte zu implementieren, die aktuelle Bedrohungsszenarien berücksichtigen. Wichtig ist es, die daraus resultierenden Risiken realistisch einzuschätzen und Maßnahmen zu ergreifen, die dem Stand der Technik entsprechen. (kf)