IT-Security ist ein wichtiges, zugleich aber ein anhaltend unbeliebtes Thema im Unternehmen: Sicherheit kostet Geld, bringt aber keine Umsätze. Dabei boten die vergangenen Wochen für jeden CIO und Unternehmensverantwortlichen reichlich Gesprächsstoff, sich ernsthaft mit den Folgen von Sicherheitslecks auseinanderzusetzen.
-
Weit über 100.000 Kreditkartenbesitzer - so der jüngste Fall - müssen in diesen Tagen ihre Plastikkarte umtauschen, weil bei einem spanischen Zahlungsabwickler Datendiebstähle in großem Ausmaß bekannt geworden waren. Für die deutschen Banken wird die Rückrufaktion teuer: Mehr als eine Million Euro dürfte der Kartenumtausch kosten.
-
Beim Internet-Anbieter Alice landeten aufgrund einer Datenpanne hochsensible Kundeninformationen bei einem Kunden, der die E-Mail-Adresse alice@alice.de registrieren konnte. Anschließend landeten alle Neukundendaten mit sensiblen Informationen bei seinem Mail-Account, darunter Kontoinformationen, Bankverbindungen und Adressen.
Zuständigkeit in Sicherheitsfragen ist oft unklar
Das sind nur zwei Beispiele aus einer wachsenden Zahl aktueller Meldungen über Datenpannen und -skandale. Dabei ist die Sorglosigkeit, mit der Unternehmen an das Thema Datensicherheit herangehen, nach wie vor groß. So haben viele (IT-) Mitarbeiter noch immer unkontrollierten Zugriff auf firmenkritische Daten. Im Falle von Mitarbeiterentlassungen führt das nicht selten dazu, dass Daten entwendet und auf dem Markt angeboten werden.
Gekürzte Budgets in wirtschaftlich unsicheren Folgen wirken sich zudem negativ auf die Ausgaben für die IT-Sicherheit aus. Damit verschärfen sich mögliche Sicherheitsprobleme sowie die Gefahr von Datenlecks zusätzlich.
Schließlich ist die Zuständigkeit für die Sicherheitsfragen unklar: Die einen machen den CIO dafür verantwortlich, die anderen sehen das als unternehmensweite Aufgabe unter Führung der CEOs.
"IT-Sicherheit ist eine von Haus aus technisch dominierte Disziplin", beschreibt der Stuttgarter Rechtsanwalt Horst Speichert die eine Seite der Diskussion. Allerdings, so der Rechtsexperte, " handelt es sich um eine ganzheitliche Aufgabe, deren technische, organisatorische und rechtliche Komponenten in enger Wechselbeziehung miteinander verzahnt sind". Die technische Sicherheit werde flankiert von organisatorischen Maßnahmen wie Policies, Nutzungsrichtlinien oder Zertifizierungen. Aber: "Überdacht wird das System von einem verbindlichen Risikomanagement, das durch die Leitungsebene des Unternehmens umzusetzen ist."
Unzureichende Identitätsverwaltung kann zu falschen Verdächtigungen führen
Über "Die rechtlichen Aspekte der IT-Sicherheit" hat Speichert mit dem Netzwerkspezialisten Blue Coat eine Informationsbroschüre mit praktischen Tipps "im Spannungsfeld zwischen Datenschutz und Systemschutz im Unternehmen" veröffentlicht. Damit ziehen die Autoren einen weiten Bogen über die verschiedenen Aspekte des Datenschutzes und der rechtlichen Anforderungen an Unternehmen.
Dabei geht es zum Beispiel um die mögliche Haftung von Firmen, wenn sich ihre Mitarbeiter über Firmennetze Daten auf ungesetzlichem Wege beschaffen, etwa raubkopierte Inhalte oder illegale Pornografie. Der Paragraf 113 des Telekommunikationsgesetzes (TKG) regelt beispielsweise, dass Provider Zugangsdaten wie IP-Adressen solcher Raubkopierer herausgeben müssen, um eine Strafverfolgung zu ermöglichen. Auch Arbeitgeber können dazu gezwungen werden, anhand der IP-Adresse eine persönliche Zuordnung zu einzelnen Mitarbeitern zuzulassen.
"Solche Ermittlungen", heißt es in der Broschüre, "bringen die Verantwortlichen in den Unternehmen nicht selten in schwierige Situationen, insbesondere wenn die Identitätsverwaltung beim Arbeitgeber so unzureichend ist, dass die persönliche Zuordnung der IP-Adresse auch den Falschen treffen kann." Das betreffe vor allem Mitarbeiter, die unter solchen Umständen zu Unrecht verdächtigt würden, und könne bei diesen zu empfindlichen Reaktionen führen.
Einer der umstrittensten Diskussionspunkte des im September 2009 novellierten Bundesdatenschutzgesetzes ist die so genannte Vorratsdatenspeicherung. Demnach sind "öffentlich zugängliche TK-Anbieter" verpflichtet, Verbindungs- und Standortdaten sechs Monate vorzuhalten, um eine effektive Strafverfolgung und Terrorismusbekämpfung zu ermöglichen.
Die Vorratsdatenspeicherung ist nicht nur aus verfassungsrechtlicher Sicht höchst umstritten. Unklar ist auch, inwieweit Unternehmen sich an dieser Speicherung beteiligen müssen.
Vorratsdatenspeicherung: Auch Unternehmen können betroffen sein
Zwar sind laut Gesetz geschlossene Benutzergruppen - dazu zählen auch Firmennetze - von der Datenspeicherung befreit. Sobald es öffentliche Außenkontakte gibt - etwa über Hotspots oder Kundenportale - kann eine Haftung des Unternehmens für Missbrauch aber nicht ausgeschlossen werden. Immerhin, heißt es in der Broschüre, bestehe darüber "ein erhebliches Maß an Rechtsunsicherheit".
Um strafrechtliche Verfolgungen zu vermeiden, empfehlen die Autoren Vorsicht im Umgang mit Kundendaten: "Keine beliebige Neuakquisition von Kunden, sondern nur im Rahmen einer geschlossenen Benutzergruppe mit gemeinsamem Definitionsmerkmal", heißt es dort verbunden mit dem Ratschlag, "Dienstleistungsverträge um eine Klausel zu ergänzen, welche die Zweckbindung betont, um den Charakter einer geschlossenen Benutzergruppe zu festigen.
Wer eine Gefahrenquelle eröffnet oder sich an ihr beteiligt", zitiert die Broschüre eine Entscheidung des Bundesgerichtshofes (BGH) in schönstem Juristendeutsch, "muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen." Dazu gehören organisatorische Pflichten für Netzwerke und Arbeitsplätze ebenso wie Aufsichtspflichten gegenüber den Mitarbeitern.
Im schlimmsten Falle können CIOs und Unternehmensleitungen dafür haftbar gemacht werden, wenn Mitarbeiter etwa illegale Downloads vornehmen oder rechtswidrige E-Mail-Anhänge versenden. Diese Haftung gilt prinzipiell auch für Eintragungen von außen, zum Beispiel Beleidigungen und Obszönitäten in Blogs, Gästebüchern oder Foren. Durch Viren oder Trojaner verursachte Datenverluste können ebenfalls unter diese Haftungsbestimmungen fallen.
Der Gesetzgeber erwartet keinen hundertprozentigen Schutz
Eine Haftung droht immer dann, wenn "mit Verschulden" oder "mit Vorsatz" gegen entsprechende Vorschriften verstoßen, oder wenn keine ausreichende Vorsorge gegen solche Bestimmungen getroffen wird. Dabei erwarten Gesetzgeber und Rechtssprechung gar keinen hundertprozentigen Schutz, sondern lediglich Maßnahmen, "die wirtschaftlich zumutbar sind".
Fakt ist: CIO und Unternehmensleitung stehen in der Pflicht, für solche angemessenen Maßnahmen zu sorgen. Andernfalls begeben sie sich in die Gefahr, für Schäden persönlich haften zu müssen. Die Haftung kann sich dabei auf zivilrechtliche Ansprüche ebenso erstrecken, wie auf arbeits- und strafrechtliche Folgen.
"Für eine mögliche Strafbarkeit gilt der Grundsatz der vollständigen Eigenverantwortung", heißt es in der Broschüre. Ein Arbeitnehmer, der fahrlässig oder vorsätzlich gegen rechtliche Bestimmungen verstößt, macht sich also persönlich strafbar.
Wer sich als IT-Verantwortlicher vor eventuellen Haftungsansprüchen schützen möchte, muss versuchen, sich buchstäblich schadlos zu halten. So zählt die Broschüre eine "gewissenhafte Aufgabenerfüllung" ebenso auf, wie eine "regelmäßige Information der Geschäftsleitung über mögliche Risiken" und die Erarbeitung von "Lösungsvorschlägen für Sicherheitsmängel". Ebenfalls auf sicherem Terrain bewegt sich, wer Projekte vorschlägt oder um ein angemessenes Budget für Sicherheitsfragen ringt.
Risiken unermüdlich aufzeigen
"Lehnt die Geschäftsleitung vorgeschlagene Maßnahmen ab, empfehlen die Autoren, die Risiken erneut aufzuzeigen, Diskussionen und Ablehnungsbeschlüsse zu protokollieren und zu dokumentieren, "Mitwisser zu schaffen" (etwa durch E-Mails mit CC oder BCC) sowie schriftliche Bestätigungen einzufordern.
Auf der sicheren Seite ist, so das Fazit, wer die Verantwortung für die Sicherheitsfragen auf die vorgesetzte Ebene verlagere. Denn letztendlich verantwortlich für die IT-Compliance ist die Unternehmensführung. Sie hat Sorge zu tragen, dass im Unternehmen ein wirksames Risiko-Management-System arbeitet.
"Im KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) schreibt der Gesetzgeber Sicherungsmaßnahmen vor, nach denen ein Überwachungssystem einzurichten ist, das bestandsgefährdende Entwicklungen frühzeitig erkennt". Allein die mit dieser Verantwortung verbundene Haftung macht deutlich: Unternehmenssicherheit ist keine Aufgabe alleine für die IT, sondern eine unternehmensweite Pflicht.