Riskmanagement bei der Einführung einer VoIP-Lösung

12.01.2007
Von Dirk From
Wer ohne ICT-Strategiekonzept VoIP in ein Unternehmen einführt, riskiert hohe Folgekosten und geht hohe Haftungsrisiken ein.

Nahezu alle Unternehmen befassen sich derzeit mit dem Thema VoIP. Kostensenkungsargumente sind meist der Treiber für eine eventuelle Einführung. Doch wer unbedacht, nur um die Kosten zu senken, eine nicht durchdachte Lösung einführt, kann böse Überraschungen erleben. Im Extremfall kann eine solche Lösung zur Entlassung der für die Einführung Verantwortlichen oder sogar zu einer privatrechtlichen Haftung der Geschäftsleitung führen.

Derzeit bestehen im VoIP-Umfeld viele Risiken und Angriffspotenziale. Mit einer gut durchdachten und strategisch geplanten VoIP Einführung kann das Risiko auf ein zu vertretendes Maß gesenkt werden. So können VoIP-basierte Telefongespräche mit einfachen Tools abgehört werden. Eine Vielzahl solcher Anwendungen ist über Suchmaschinen im Internet zu finden. Meist kann man sie kostenlos herunterladen. Erschreckend ist dabei, wie einfach es funktioniert und wie wenig kriminelle Energie benötigt wird, um Gespräche abzuhören und aufzuzeichnen. Die Gefahr des Missbrauchs durch Mitarbeiter ist hier besonders groß.

ICT-Verantwortlichen droht Abmahnung oder sogar die Kündigung

Die Vorstellung eines Szenarios, in dem unternehmensinterne Gespräche von Mitarbeitern abgehört und aufgezeichnet werden, müsste bei jedem Verantwortlichen wesentlich mehr als nur Unbehagen hervorrufen. Dass diese Aufzeichnungen als MP3-Files weitergegeben oder sogar veröffentlicht werden könnten, lässt ganz neue Dimensionen in Bezug auf Mobbing im Unternehmen entstehen. Noch schlimmer kann es kommen, wenn auf Geschäftsleitungsebene unternehmensrelevante Gespräche abgehört werden. Mitarbeiterabbau, mögliche Unternehmenszukäufe, Informationen zu Quartalszahlen und viele börsenrelevante Informationen werden intern kommuniziert. Dass eine Veröffentlichung solcher Informationen katastrophale Folgen nach sich zieht, liegt auf der Hand.

Der Übeltäter macht sich strafbar und setzt sich der fristlosen Kündigung aus. Aus Unternehmersicht würde sich zudem sofort die Frage stellen "wie konnte so etwas überhaupt passieren, wer ist dafür verantwortlich"? Wurden hier leichtfertig Lösungen eingesetzt und an eine Verschlüsselung der Gespräche nicht gedacht? Den ICT-Verantwortlichen droht die Abmahnung und im schlimmsten Fall sogar die Kündigung.

Anders verhält es sich, wenn die Verantwortlichen die Gefahr erkennen, die Geschäftsleitung aber aus Kostengründen geeignete Maßnahmen verwirft oder, noch schlimmer, technisch getriebene Themen für irrelevant hält. Tritt für das Unternehmen ein Schaden ein, zum Beispiel Kundenverluste oder Aktieneinbruch, haftet jede Geschäftsführung oder Vorstand unter Umständen sogar privatrechtlich für den entstandenen Schaden. Wird nach dem Prinzip "es wird schon alles gut gehen" gehandelt, zeigen Gerichte heute wenig Nachsicht. Vor allem dadurch, dass der BGH Sammelklagen deutlich erleichtert hat, wird sich der Zorn der Anleger zunehmend in Richtung einer privatrechtlichen Haftung der Vorstände bewegen. Gab es bisher noch eine Hemmschwelle, neben dem Unternehmen direkt die Geschäftsleitung privatrechtlich mit zu verklagen, so wird dies zunehmend zur Regel.

Die wesentlichen Grundlagen für eine Haftung finden sich im KonTraG, dem KapCoRiLiG und für GmbH-Geschäftsführer in § 43 GmbHG.

Das KonTraG ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich. In § 91 Abs. 2 AktG heißt es: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Nach bisheriger Rechtsprechung des BGH muss das Überwachungssystem nicht nur eingerichtet, sondern vor allem auch zur Gefahrenabwehr "geeignet" sein. Ist es das nicht, droht den Vorständen und bei Aufsichtspflichtverletzung auch den Mitgliedern des Aufsichtsrates die Gefahr einer privatrechtlichen Haftung (BGH Urteil vom 21.04.1997 - II ZR 175/95).

Die Vorschriften des KonTraG gelten unter bestimmten Voraussetzungen auch für die GmbH, OHG oder KG. So wird von einem Unternehmen, wenn die Bilanzsumme über 3,44 Millionen Euro, der Umsatz über 6,87 Millionen Euro liegt und es mehr als 50 Mitarbeiter beschäftigt ebenfalls die Einrichtung eines Überwachungssystems, wie im Aktienrecht, gefordert. Lediglich zwei der drei im KapCoRiLiG aufgeführten Voraussetzungen müssen dafür vorliegen. Ein sich hieraus ergebendes Haftungsrisiko für die Geschäftsleitung ist vielen mittelständischen Unternehmen nicht bekannt.

Auch dem Geschäftsführer einer GmbH droht die privatrechtliche Haftung, wenn er "in Kenntnis" und "grob fahrlässig" handelt (§ 43 GmbHG). Dabei bedeutet das Wort "Kenntnis" eine Umkehr der Beweislast, das heißt, der Geschäftsführer muss beweisen, dass er sich in Kenntnis versetzt hat. Sobald einem Geschäftsführer Gefahren für das Unternehmen bekannt sind, hat er "Kenntnis". Die Situation muss er nach eigenem Fachwissen beurteilen und wenn notwendig Maßnahmen ergreifen. Reicht sein Fachwissen nicht aus, muss er sich fachlichen Rat einholen. Glaubt er über Fachwissen zu verfügen und handelt er falsch, droht ihm privatrechtliche Haftung, wenn dem Unternehmen auf Grund seiner Entscheidung ein Schaden entsteht. Jeder kann sich hier ausmalen, was es für den Geschäftsführer bedeutet, wenn der IT-Leiter ihn per Mail über Gefahrenpotenziale einer VoIP-Lösung informiert und er dies ignoriert.

Dabei ist das Abhören nur einer von vielen Risikofaktoren bei einer VoIP-Einführung.

SPIT macht Telefonieren zum Horror

SPIT (Spamming over Internet) kann Telefonieren im Unternehmen zum Horror werden lassen. Jeder, der über das Internet telefoniert, hinterlässt Spuren. Diese werden von Spammern ausgewertet, die Absenderadresse ermittelt und der Telefonterror nimmt seinen Lauf. Denn Spamming-Anrufe erfolgen direkt über automatisierte Sprachserver über das Internet und sind für den Anrufer kostenlos, wenn die Gegenstelle per Internet über VoIP erreichbar ist. Als Folge werden im Extremfall die Mitarbeiter eines Unternehmens mehrmals pro Stunde angerufen: "Sie haben 1.000 Euro gewonnen, rufen Sie 0900 xxx an", "wollen Sie last Minute in Urlaub fahren?"... . Zwar wird solchen Anbietern zunehmend durch die Rechtsprechung das Leben schwer gemacht, doch hilft dies wenig, wenn ein Serverbetreiber beispielsweise in Asien oder Osteuropa sitzt. Spätestens bei mehreren Anrufen pro Stunde wird die VoIP-Lösung im gesamten Unternehmen in Frage gestellt.

Das direkte Telefonieren über das Internet ohne einen durch einen VPN geschützten Internetzugang ist und muss für Unternehmen ein Tabu sein!

Des Weiteren gibt es bereits eine Reihe von Möglichkeiten, VoIP-Endgeräte direkt über das Internet anzugreifen. So genannte Denial-of-VoIP-Attacks (DoVoIP) sind derzeit am beliebtesten. Mit einem Angriff wie "RingAll" kann man alle im Unternehmen vorhandenen VoIP-Telefone beliebig oft läuten lassen, ohne dass jemand am anderen Ende der Leitung ist. Sobald Sie wieder auflegen, beginnt das Telefon erneut zu schellen. Dies wiederholt sich, bis Sie Ihren Endgeräten entnervt den Strom entziehen. Patches, die solche Angriffe unterbinden, müssen oft mit viel Aufwand und Mühe gesucht werden. Die Entwicklung von VoIP-basierten Antiviren- oder Spammingtools steckt derzeit noch in den Kinderschuhen.

Auch in Bezug auf die Notrufnummern entsprechen die meisten VoIP-Lösungen nicht den gesetzlichen Anforderungen. Insbesondere der so genannte "Röchelruf" stellt ein Problem dar. ISDN oder analoge Telefone sind auch dann lokalisierbar, wenn der Hilferufende selbst nicht mehr sprechen kann. Eine solche genaue Lokalisierung über VoIP kann derzeit nur von sehr wenigen Anbietern realisiert werden. Oft wird lediglich die Rechnungsadresse als Notrufadresse zugrunde gelegt und bei der Installation muss der Nutzer diese bestätigen. Ein leichtfertiges Bestätigen kann fatale Folgen haben. Sendet ein Hilfesuchender den Notruf nicht von der angegebenen Rechnungsadresse, bekommt er keine Hilfe. Dafür wird aber unter Umständen von den Hilfskräften seine Wohnung aufgebrochen und nach ihm gesucht. Die Notrufnummer hat auch im Rahmen der Sicherheitsanforderungen der Berufsgenossenschaften primäre Bedeutung. Dies ist bei einer VoIP-Lösung zu berücksichtigen.

Sind Servicerufnummern Bestandteil des Geschäftsmodells, sollte im Rahmen einer VoIP-Einführung besonders sorgfältig vorgegangen werden. Bei Servicerufnummern (0180 xxx, 0900 xxx, 0137 xxx ...) sind oft die Verwaltung und Abrechnung problematisch. Bei Bedarf ist es angeraten, deren einwandfreie Funktion in den Vertrag einzubeziehen.

Anwender sollten sich bezüglich der mit einer VoIP-Lösung einhergehenden Gefahren keinesfalls nur auf die Leistungsbeschreibungen und AGBs des Anbieters verlassen. Eine vertragliche Beratung durch einen Rechtsanwalt ist empfehlenswert. Sie verhindert, dass der Anbieter sie vertröstet oder versucht, mit Pönalen zu beruhigen. Ein fachlich korrekt aufgesetzter Vertrag erleichtert bei Nichteinhaltung von Zusagen eine Auflösung und ist die Basis für Schadensersatzansprüche. Entsprechende Vertragsbedingungen sollten Bestandteil der Ausschreibungen sein. Es reduziert die Zahl der Bieter und erleichtert die Vergabeentscheidung.

Auch wenn die VoIP-Lösung als Outsourcing vollständig in die Hände eines Anbieters gegeben wird, müssen Sorgfaltspflichten beachtet werden. Der Vertragspartner muss im Schadensfall im Verhältnis zur Unternehmensgröße des Kunden über ausreichend Haftungskapital verfügen. Es muss von Seiten des Auftraggebers verlangt werden, dass er seine fachlichen Fähigkeiten nachweist. Referenzen müssen gefordert und bei den genannten Referenzkunden detaillierte Erkundigungen eingeholt werden. Es sollte festgehalten werden, mit wem gesprochen und was gesagt wurde (Aktennotiz). Nur so kann ein haftungsbewusstes Handeln später nachgewiesen werden.

Was macht und plant die Bundesnetzagentur in Bezug auf das Thema VoIP und die aufgezeigten Sicherheitslücken? So ist zwar geregelt, dass die VoIP-Carrier für ihre Kunden eigene Rufnummern beantragen können. Eine grundsätzliche Regelung jedoch, die vor allem die Sicherheitslücken schließt, fehlt. Die Zurückhaltung der Bundesnetzagentur ist wahrscheinlich auch darauf zurückzuführen, dass man auf Anzeichen bezüglich einer Regelung durch die EU wartet. Spannungen zwischen der Bundesnetzagentur und der EU sind derzeit bereits genug vorhanden, so dass eine Zurückhaltung in Bezug auf VoIP nachvollziehbar ist.

Auf Grund der permanent steigenden Zahl der VoIP-Nutzer ist jedoch in 2007 mit entsprechenden Reaktionen der EU als auch der Bundesnetzagentur zu rechnen.

Fazit:

Eine VoIP-Einführung aufzuschieben oder abzulehnen hilft nicht weiter. Es ist der gesetzte Standard der Zukunft. Setzen Sie daher frühzeitig ein Team ein, das sich mit den Schwachstellen befasst, Risiken schon im Vorfeld ausräumt und individuelle Vorteile für Ihr Unternehmen herausarbeitet (ICT-Strategie). Eine strategische Platzierung von VoIP kann Ihrem Unternehmen deutliche Wettbewerbsvorteile bringen.

Langfristiges und vorsorgliches Denken ist kostengünstiger, als schnell und im Schwerpunkt kostenorientiert zu kaufen.