IT-Sicherheit: Neue Pflichten für das Management

Externe und interne Bedrohungen

Wurde die Frage von IT-Sicherheit lange Zeit lediglich in Gefahren durch externe Einflüsse (beispielsweise durch Computerviren, Würmer, Trojanische Pferde und Hacker) gesehen, so kann ein Unternehmen auch von innen heraus geschädigt werden. Mitarbeiter, deren Zugriffsrechte auf die Daten des Unternehmens nicht beschränkt wurden, können - sei es in Schädigungsabsicht oder aus Versehen - große Schäden bewirken.

So wie das Gefahrenpotenzial für die IT-Sicherheit in den letzten Jahren gestiegen ist, erhöhte sich auch national und international die Zahl der diesbezüglichen Rechtsnormen. Beides bewirkte eine gestiegene Verantwortung des Unternehmensmanagements für eine angemessene IT-Sicherheit. Diese hat zum Schutz vor operativen Risiken zu sorgen, die den Bestand der Gesellschaft gefährden können.

Steigende Haftungsrisiken

Die Folge dieser gesetzlich normierten organisatorischen und technischen Pflichten der Unternehmen zur Gewährleistung der IT-Sicherheit sind erweiterte Haftungsrisiken für Unternehmen und Organe der Unternehmen. Dazu zählen insbesondere Vorstand und Geschäftsführer, Aufsichtsrat, aber auch IT-Leiter und IT-Administratoren, Fachbereichsleiter, Sicherheitsbeauftragte und Datenschutzbeauftragte. Diesen drohen mit höherer Wahrscheinlichkeit Schadensersatzforderungen, Geldbußen oder Geldstrafen, der mögliche Verlust von Versicherungsschutz, das Risiko der Bonitätsherabstufung oder die Verweigerung des Wirtschaftsprüfer-Testats.