Web Application Security - der blinde Fleck der Internetsicherheit

In Deutschland verlangen das Datenschutzgesetz, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie Basel II in vielen Fällen eine persönliche Haftung des Managements. So wurde mit dem 1998 in Kraft getretenen KonTraG die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern im Unternehmen erweitert.

Kern des KonTraG ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und zu betreiben sowie Aussagen zu Risiken des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen. Das Bundesdatenschutzgesetz schreibt vor, dass jedes Unternehmen mit zehn oder mehr Mitarbeitern, die mit der Bearbeitung personenbezogener Daten zu tun haben, einen Datenschutzbeauftragten benötigt. Die Pflichten der verantwortlichen Stelle fallen immer der Geschäftsführung zu. Trotzdem ist die Zuständigkeit oft ungeklärt.

Während die Verantwortung für die Sicherheit des Netzwerks meist klar an den IT-Security-Spezialisten delegiert ist, liegt bei der Sicherheit von Web-Anwendungen oft keine eindeutige Regelung vor – und dann haftet die Geschäftsleitung. Gut zu wissen: Der Betreiber einer Web-Anwendung trägt nicht nur die Verantwortung für eigene Systeme, sondern auch für alle an der Nutzung der Web-Anwendung Beteiligten. Wenn Mitte 2008 der Payment Card Industry Standard (PCI) verbindlich wird, könnte die Luft für E-Business-Unternehmen noch dünner werden. Denn PCI gibt Richtlinien vor, wie Firmen die vertraulichen Daten bei Online-Geschäften mit Kreditkartenzahlung zukünftig sichern müssen.