Um die Zukunft des Unternehmens nicht durch den eigenen Fachbereich in Gefahr zu bringen, sollten sich IT-Administratoren als den verlängerten Arm ihres Chefs sehen und auf mögliche Schwachstellen in der IT-Sicherheit hinweisen. Manfred Anduleit, Syndikusanwalt der Utimaco Safeware AG, stellt nachfolgend die wichtigsten rechtlichen Aspekte der IT-Sicherheit vor.
IT-Sicherheit gewinnt zunehmend an Bedeutung für Unternehmen. Dennoch lässt das Bewusstsein des Managements für dieses Thema immer noch zu wünschen übrig. Laut einer Emnid-Umfrage, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat durchführen lassen, erkennen 91 Prozent der befragten Unternehmen zwar eine allgemeine Gefährdung durch mangelhafte Sicherheitsmaßstäbe. Aber gerade einmal 21 Prozent von ihnen sind sich der Tatsache bewusst, dass auch sie selbst konkret gefährdet sind.
Dieses Ergebnis bestätigt die Erfahrungen von IT-Experten, dass die technische und organisatorische Komplexität der IT-Sicherheit oft unterschätzt wird und die Budgets für Sicherheitsmaßnahmen meist zu knapp ausfallen.
Externe und interne Bedrohungen
Wurde die Frage von IT-Sicherheit lange Zeit lediglich in Gefahren durch externe Einflüsse (beispielsweise durch Computerviren, Würmer, Trojanische Pferde und Hacker) gesehen, so kann ein Unternehmen auch von innen heraus geschädigt werden. Mitarbeiter, deren Zugriffsrechte auf die Daten des Unternehmens nicht beschränkt wurden, können - sei es in Schädigungsabsicht oder aus Versehen - große Schäden bewirken.
So wie das Gefahrenpotenzial für die IT-Sicherheit in den letzten Jahren gestiegen ist, erhöhte sich auch national und international die Zahl der diesbezüglichen Rechtsnormen. Beides bewirkte eine gestiegene Verantwortung des Unternehmensmanagements für eine angemessene IT-Sicherheit. Diese hat zum Schutz vor operativen Risiken zu sorgen, die den Bestand der Gesellschaft gefährden können.
Steigende Haftungsrisiken
Die Folge dieser gesetzlich normierten organisatorischen und technischen Pflichten der Unternehmen zur Gewährleistung der IT-Sicherheit sind erweiterte Haftungsrisiken für Unternehmen und Organe der Unternehmen. Dazu zählen insbesondere Vorstand und Geschäftsführer, Aufsichtsrat, aber auch IT-Leiter und IT-Administratoren, Fachbereichsleiter, Sicherheitsbeauftragte und Datenschutzbeauftragte. Diesen drohen mit höherer Wahrscheinlichkeit Schadensersatzforderungen, Geldbußen oder Geldstrafen, der mögliche Verlust von Versicherungsschutz, das Risiko der Bonitätsherabstufung oder die Verweigerung des Wirtschaftsprüfer-Testats.
Handlungsbedarf für das Management
Es besteht also akuter Handlungsbedarf für das Management, um ausreichende Maßnahmen zur Absicherung elektronischer Werte ("e-assets") zu ergreifen und die Verbindlichkeit und Vertrauenswürdigkeit von Geschäftsprozessen und Verwaltungsabläufen nicht nur in der digitalen Welt zu sichern.
In diesem Zusammenhang ist auch auf das Anlegerschutzverbesserungsgesetz hinzuweisen, das seit dem 30. Oktober 2004 in Kraft ist und neue Regelungen zum Umgang mit Insiderinformationen normiert. Gemäß dem durch das Anlegerschutzverbesserungsgesetz neu eingeführten Paragrafen 15b des Wertpapierhandelsgesetzes (WpHG) sind Unternehmen zur Führung von Verzeichnissen über solche Personen verpflichtet, die für sie tätig sind und bestimmungsgemäß Zugang zu Insiderinformationen haben.
Durch das Führen von Insiderverzeichnissen kann aber noch nicht sichergestellt werden, dass nur die in diesem Verzeichnis aufgeführten Personen Kenntnis von Insiderinformationen haben. Vielmehr müssen auch Sicherheitstechnologien wie zum Beispiel Datenverschlüsselung im eigenen Netzwerk durch gruppenorientierte Dateiverschlüsselung eingesetzt werden. Nur so kann gewährleistet werden, dass auch in tatsächlicher Hinsicht nur die Personen, die im Insiderverzeichnis aufgeführt sind, Zugang und damit Kenntnis von Insiderinformationen haben.
Schutz des Betriebs- und Geschäftsgeheimnisses
In der deutschen Rechtsordnung wird seit langem der Wahrung der Betriebs- und Geschäftsgeheimnisse im Unternehmensbereich große Bedeutung beigemessen.
Das unbefugte Verwerten und der Verrat von Betriebs- oder Geschäftsgeheimnissen bei einer bestehenden Geheimhaltungsverpflichtung (etwa im Arbeitsvertrag oder einer Vertraulichkeitsvereinbarung) kann strafrechtlich verfolgt werden (siehe auch Paragraf 204 Absatz 1 Strafgesetzbuch und Paragraf 17 des Gesetzes gegen unlauteren Wettbewerb).
Auch wenn ein Unternehmen gegen Mitarbeiter, die Betriebs- oder Geschäftsgeheimnisse unbefugt verwerten oder weitergeben, strafrechtlich vorgehen kann: Das Management sollte diese (theoretische) Möglichkeit eines strafrechtlichen Vorgehens nicht als Ausrede dafür nutzen, nicht in IT-Sicherheitsmaßnahmen zu investieren. Denn in der Praxis kann es sich durchaus als schwierig erweisen, im Einzelfall konkrete Verstöße von Mitarbeitern auch in dem nach den Strafvorschriften erforderlichen Maße zu beweisen. Außerdem greift die Strafverfolgung erst im Nachhinein und kann einen aus der Straftat resultierenden (massiven) Schaden für das Unternehmen nicht mehr abwenden.
Datenschutzrecht
Weitere rechtliche Anknüpfungspunkte der IT-Sicherheit finden sich im Datenschutzrecht. Entsprechendes enthält vor allem das Bundesdatenschutzgesetz (BDSG), aber auch branchenspezifische Datenschutzsonderregelungen wie im Telekommunikationsbereich das Teledienste-Datenschutzgesetz.
Gemäß Paragraf 7 des BDSG haftet ein Unternehmen verschuldensunabhängig für die Schäden, die Dritten durch unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten zugefügt werden. Diese Ersatzpflicht entfällt nur, wenn das Unternehmen die nach den Umständen des Einzelfalls gebotene Sorgfalt beachtet hat.
Dabei ist Paragraf 9 BDSG als Maßstab heranzuziehen. Dieser Abschnitt regelt die zum Schutz persönlicher Daten erforderlichen technischen und organisatorischen Maßnahmen bei Unternehmen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen.
Die "8 goldenen Regeln zur IT-Datensicherheit", die in der Anlage zum Paragraf 9 BDSG aufgeführt sind, sehen unter anderem zum Schutz von Daten vor: Kontrollmaßnahmen bei Zutritt, Zugang, Zugriff, Weitergabe, Eingabe und Verfügbarkeit der Daten. Dass hierfür ein einfacher Passwortschutz, der leicht umgangen werden kann, nicht ausreicht, sollte hinlänglich bekannt sein.
Somit können mangelhafte IT-Sicherheitsmaßnahmen insbesondere für Unternehmen, die personenbezogene Daten speichern und verarbeiten, aus datenschutzrechtlichen Gründen zu einem unmittelbaren Haftungsrisiko führen.
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
Das bereits 1998 verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) enthält Novellierungen zu verschiedenen Einzelgesetzen (AktG, HGB, WpHG und andere). Unternehmen werden damit unter anderem verpflichtet, ein effizientes Risikomanagement konzernweit einzuführen.
Verabschiedet wurde das KonTraG vor dem Hintergrund spektakulärer Unternehmenskrisen und Insolvenzen. Diese wurden begleitet von Strafverfahren und Vorwürfen gegen Vorstände, Aufsichtsräte und Wirtschaftsprüfer wegen Verletzungen der ihnen obliegenden Pflichten. Als Beispiele seien hier die Fälle Schneider, Holzmann, Metallgesellschaft, genannt. KonTraG dient nun dazu, den unternehmerischen Risikovorsorgegedanken hervorzuheben.
Danach haben die Organe einer Aktiengesellschaft (Aufsichtsrat und Vorstand) im Rahmen des einzuführenden Risikomanagements beziehungsweise des Überwachungssystems die Pflicht, Entwicklungen früh zu erkennen, die den Fortbestand der Gesellschaft gefährden. Zudem müssen sie entsprechende Gegenmaßnahmen ergreifen und anschließend überwachen.
Die Risiken für ein Unternehmen, die sich aus der Nutzung der Informationstechnologie (inklusive Verarbeitung von Daten) ergeben, sind nicht von der Hand zu weisen: Daten können durch externe Angriffe (Viren, Würmer, Hackerprogramme) oder durch interne Attacken unwiederbringlich verloren gehen. Auch fahrlässiger Umgang mit Daten am Arbeitsplatz kann zum Totalverlust dieser Daten führen.
Deshalb sind diese Themen auch im Rahmen des Risikomanagements zu berücksichtigen. Kann ein mangelhaftes IT-Sicherheitssystem massive wirtschaftliche Schäden verursachen und mittelfristig sogar den Bestand des Unternehmens in Frage stellen, ist die Unternehmensführung verpflichtet, ein angemessenes IT-Sicherheitsniveau zu gewährleisten.
Allgemeine Sorgfaltspflichten der Geschäftsführung
Selbstverständlich gehörte es auch bereits vor dem KonTraG zu den Aufgaben des Vorstands einer Aktiengesellschaft (siehe auch die Paragrafen 76 ff, 93 AktG), Entwicklungen früh zu erkennen, die sich existenzgefährdend auswirken können. Aber auch der GmbH-Geschäftsführer (Paragraf 43, GmHG) oder die Gesellschafter einer Personengesellschaft (lesen Sie auch das Kapitalgesellschaften- und Co-Richtliniengesetz) hatten die Pflicht, dafür Sorge zu tragen, dass keine Daten in unbefugte Hände gelangen. Dies bedeutet, dass sich die Geschäftsleiter aller Gesellschaftsformen grundsätzlich mit der Einführung eines Risikofrüherkennungssystems und mit der Sicherheit ihrer Systeme befassen müssen.
Persönliche Haftung von Vorstandsmitgliedern
Zur wesentlichen Neuerung des KonTraG gehört, dass Vorstände nun gemäß Paragraf 93 Absatz 2 AktG im Falle der Verletzung ihrer Pflichten gegenüber der Aktiengesellschaft persönlich zum Schadensersatz verpflichtet sind. Diese Regelung wird noch dadurch verschärft, dass die Vorstandsmitglieder im Zweifelsfall beweisen müssen, dass sie die notwendige Sorgfalt angewandt haben. Dies bedeutet, dass sie im Streitfall die Beweislast trifft. Sie müssen im Rahmen eines Schadensersatzprozesses nachweisen, dass sie alle Maßnahmen ergriffen haben, um entsprechende Schäden zu vermeiden.
Ein solcher Beweis kann dann gelingen, wenn die Unternehmensleitung die Risiken im Zusammenhang mit der IT-Sicherheit so weit wie möglich minimiert hat. Dazu dienen organisatorische Vorgaben wie Bereithalten einer betrieblichen Datenschutzrichtlinie, Dokumentation der Administratorrechte, Systemeinstellungen sowie die praktische Handhabe einer restriktiven Unternehmenspolitik der Vergabe von Zugriffsrechten. Aber auch technischer Aufwand wie der Einsatz von Verschlüsselungstechniken, Antiviren-Software und einer Firewall minimiert die Risiken.
Zusätzlich können Aktionäre gegen den Vorstand einen Anspruch auf Schadensersatz aus unerlaubter Handlung wegen Verletzung einer Vermögensbetreuungspflicht im Sinne der strafrechtlichen Untreue (Paragraf 823 Absatz 2 BGB und Paragraf 266 StGB) gerichtlich geltend machen. Denn die Unternehmensführung hat gegenüber den einzelnen Aktionären die Verpflichtung, alle erforderlichen Maßnahmen zur Abwehr von drohenden Schäden für das Unternehmen zu ergreifen, die unmittelbar auch zu negativen Auswirkungen auf den Aktienkurs führen.
Abschlussprüfung bei börsennotierten Aktiengesellschaften
Bei börsennotierten Aktiengesellschaften gewinnt die durch das KonTraG eingeführte Vorschrift des Paragraf 91 Absatz 2 AktG eine zusätzliche Bedeutung. Der Abschlussprüfer muss sich im Rahmen der Jahresabschlussprüfung vom Vorhandensein eines Risikofrüherkennungssystems überzeugen und bei der Lageberichterstattung auch den Inhalt dieses Systems und seine Aussagekraft beurteilen.
Fehlen IT-Sicherheitsmaßnahmen in erheblichem Umfang oder haben fehlende IT-Sicherheitsmaßnahmen für ein Unternehmen schwer wiegende Auswirkungen, kann der Abschlussprüfer das Testat teilweise einschränken oder sogar ganz verweigern.
Zukünftige Entwicklungen
Durch das geplante Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts (UMAG) ist eine deutliche Verschärfung der Haftung der Organe von Aktiengesellschaften dadurch beabsichtigt, dass die Durchsetzung von Haftungsansprüchen gegenüber den Organen von Aktiengesellschaften erleichtert wird.
Nach dem derzeitigen Gesetzesentwurf kann eine Minderheit von Anteilseignern (ein Prozent der Aktien oder 100.000 Euro Börsenwert) eine Haftungsklage gegen den Vorstand wegen grober Pflichtverletzungen bei Gericht einreichen. Zudem wird der haftungsfreie Ermessensspielraum bei unternehmerischen Entscheidungen konkretisiert, wodurch das Haftungsrisiko ebenfalls steigen wird.
Basel II - Informationssicherheit als Rating-Kriterium
Zunehmend an Bedeutung gewinnt auch die EU-Eigenkapitalrichtlinie des Baseler Ausschusses für Bankenaufsicht (Basel II) zur Eigenkapitalanforderung, die ab 2007 Bestandteil deutschen Rechts wird. Basel II wird von Banken ein strengeres Risikomanagement bei der Vergabe von Krediten verlangen. Dies hat zur Folge, dass Kredit anfragende Unternehmen zukünftig ihrer Bank gegenüber belegen müssen, dass ihre Finanzkraft und ihre wirtschaftliche Zukunft auf einem soliden Fundament stehen.
Insbesondere werden die Kreditinstitute bei der Kreditvergabe das Unternehmen nach den jeweils geschäftsspezifischen Kriterien bewerten. Das dabei von den Banken angewendete Rating-System wird die im Unternehmen vorhandenen Risiken erfassen und diese abschließend unter dem Gesichtspunkt des sich daraus ergebenden Schuldnerausfallrisikos bewerten. Unternehmen mit einem vorbildlichen Risikomanagement, zu dem auch explizit die IT-Sicherheit als operatives Risiko zählt, können dann von den Kreditinstituten Fremdkapitalmittel zu weit günstigeren Konditionen erhalten als bisher.
Umgekehrt bedeutet dies aber auch, dass ein nachlässiges Risikomanagement die Banken veranlassen wird, im Vergleich zur heutigen Handhabe strengere Kreditkonditionen gegenüber dem Unternehmen festzuschreiben.
Auswirkungen des Sarbanes-Oxley Act
Mit dem amerikanischen Sarbanes-Oxley Act aus dem Jahr 2002 beabsichtigt der amerikanische Gesetzgeber, die Anleger zu schützen. Erhöhte Anforderungen an die Überwachung von Finanzdaten sollen das Vertrauen der Anleger wieder herstellen, nachdem Fälle wie Enron oder Worldcom den Markt tief erschüttert haben.
Obwohl der Sarbanes-Oxley Act vor allem den Bereich rund um die Finanzprüfung regelt und den Unternehmen ein Kontrollsystem für Finanzdaten vorgibt, werden damit auch Anforderungen an die interne IT getroffen. Denn da heute praktisch alle Finanzdaten elektronisch erfasst und verarbeitet werden, muss auch die IT in dieses Kontrollsystem durch entsprechende IT-Sicherheitsmaßnahmen miteinbezogen werden.
Die Regelungen des Sarbanes-Oxley Act gelten seit Ende 2004 in den USA und sind damit auch für alle Unternehmen, die an amerikanischen Börsen notiert sind, rechtsverbindlich. Ausländische Unternehmen hatten mehr Zeit, die Handlungs- und Sorgfaltspflichten (auch im Zusammenhang mit IT-Sicherheit) umzusetzen. Sie müssen die Pflichten erst für jene Geschäftsjahre erfüllen, die nach dem 15. Juli 2006 enden. Die Europäische Union erwägt, ein ähnliches Gesetz zu verabschieden.
Manager müssen sich mit IT-Sicherheit befassen
Die beschriebenen rechtlichen Haftungsrisiken und betriebswirtschaftlichen Entwicklungen fordern von der Geschäftsleitung in Zukunft eine verstärkte Beschäftigung mit der IT-Sicherheit. Die Aufgabe des Unternehmensmanagements wird es sein, Sicherheitskonzepte zu implementieren, welche die aktuellen Bedrohungsszenarien berücksichtigen. Sie müssen die daraus resultierenden Risiken realistisch einschätzen und Maßnahmen vorsehen, die dem Stand der Technik entsprechen. Neben der Erstellung interner Sicherheitsregeln (Security-Policy) sollten Unternehmen dabei auch verstärkt die Notwendigkeit des Einsatzes professioneller Sicherheitslösungen für den Schutz ihrer (digitalen) elektronischen Werte prüfen.
Das technische Know-how ist bereits vorhanden und entsprechende Sicherheitstechnologien und -lösungen werden von den in der IT-Sicherheit tätigen Unternehmen angeboten. Zu berücksichtigen ist hier, dass rund 60 Prozent der sensiblen Unternehmensdaten auf PCs und Notebooks gespeichert sind. Die traditionellen Sicherheitsmaßnahmen, die das Unternehmensnetz gegen Angriffe von außen abschirmen (z.B. Firewalls, Intrusion Detection, oder Antivirenprogramme), bieten hierbei keinen ausreichenden Schutz.
Um elektronische Werte auch auf diesen Systemen vor Missbrauch durch Dritte oder durch Insider zu schützen, bietet sich Verschlüsselungs-Software an. Denkbar sind Festplattenverschlüsselung, Verschlüsselung von mobilen Datenträgern, Datenverschlüsselung im eigenen Netzwerk durch gruppenorientierte Dateiverschlüsselung und E-Mail-Verschlüsselung.
Mit einer Investition in IT-Sicherheitsstrukturen erhalten Unternehmen zukünftig nicht nur mehr Sicherheit und gleichzeitig ein Minimum an Haftungsrisiken, sondern auch bessere Konditionen bei der Kreditvergabe, da für die Banken sichere technische Verhältnisse deutlich geringere Kreditrisiken bedeuten. (ala)
Diesen Beitrag haben wir von unserer Schwesterpublikation Computerpartner, der Fachzeitschrift für den IT-Handel, übernommen. Der Autor Dr. Manfred Anduleit ist Syndikusanwalt und Justiziar der Utimaco Safeware AG.