CIO-Online-Kolumne

"Executive Protection"-Strategien für IT-Entscheider

16.11.2005 von Jyn Schultze-Melling
Pro Tag werden weltweit rund 72.000 Rechner von Crackern übernommen. Die Computer mutieren damit zu Zombie-Rechnern, die Viren-, Spam- und Phishing-E-Mails versenden. Handelt es sich um Unternehmensrechner, stehen nicht nur die Firmen selbst sondern auch Vorstände und Geschäftsführer in der Haftung. Ganzheitliche "Executive Protection“-Strategien, die rechtliche, technische und wirtschaftliche Aspekte verbinden, können ein wirksames Schutzschild für CIOs und CEOs bilden.

Der Bericht des BSI zur Lage der IT-Sicherheit in Deutschland besagt: Computerkriminalität hat mittlerweile organisierte Strukturen. Bezahlte Hacker oder böswillige Ex-Mitarbieter spionieren Geschäftsgeheimnisse. Groß angelegte Phishing-Attacken zwingen Banken und Versicherungen dazu, ihre Online-Portale vorübergehend vom Netz zu nehmen, um ihre Kunden zu schützen.

Chefsache IT-Sicherheit

Angesichts dieser Entwicklung haben viele Unternehmen IT-Sicherheit zur Chefsache erklärt – auch im persönlichen Interesse der Chefs. Denn CIOs und CEOs haften persönlich sowohl zivilrechtlich als auch strafrechtlich, wenn Mängel in der IT-Sicherheit zu Schäden bei Geschäftspartnern oder beim eigenen Betrieb führen. Unternehmen sollten daher IT-Sicherheit zukünftig nicht nur als Technik- sondern auch als Prozessproblem angehen.

Executive Protection für CEOs und CIOs

So genannte "Executive Protection“-Strategien bestehen daher aus zwei Elementen: Sowohl die Verteilung von Risiken in Arbeits-, Service- und Kundenverträgen muss überprüft werden als auch das Haftungsrisiko für das Unternehmen als Ganzes. Letzteres ist ein wichtiger Aspekt, der sich auch auf wirtschaftliche Entscheidungen auswirkt. Nicht jede Maßnahme, die technisch Sinn macht, führt auch tatsächlich zu einer Haftungsreduzierung. Speziell beim Aufbau von IT-Sicherheitsinfrastrukturen sollte daher Wert darauf gelegt werden, dass haftungsrelevante Maßnahmen bevorzugt umgesetzt werden und dadurch Risiken so schnell wie möglich reduziert werden.

IT-Sicherheitsbeauftragte und CIOs sollten überdies darauf achten, dass ihre Arbeitsverträge klare Aufgabenzuweisungen und angemessene Freizeichnungen enthalten. Sonst wird ihr Job zum unüberschaubaren Haftungsrisiko. Die Verantwortlichen sollten mit regelmäßig erstellten und archivierten Berichten beweisen können, dass sie das Thema IT-Sicherheit ernst nehmen.

Dabei geht es nicht nur um Würmer, Viren und Cracker. Sichere IT-Systeme sind auch eine wichtige Voraussetzung, um die hohen Anforderungen an die Corporate Compliance durch KonTraG, TransPuG, Sarbanes Oxley Act (SOX), Basel II und GDPdU zu erfüllen. Allen Vorschriften ist eins gemeinsam: sie verlangen vom Unternehmen die transparente Gewinnung und vor allem die sichere Aufbewahrung wichtiger Informationen und Geschäftsdaten. Sonst drohen teurer Mehraufwand beim Jahresabschlussbericht, Schadensersatzklagen von Anteilseignern und Probleme mit Betriebsprüfern - im Fall von SOX sogar Haftstrafen, wenn das Management in Berichten falsche Zahlen verwendet.

IT-Sicherheit auf allen Ebenen

Auch in scheinbar harmloseren Bereichen sollten Unternehmen Sorgfalt walten lassen. Dürfen Mitarbeiter das Internet am Arbeitplatz privat nutzen und private E-Mails unter der Firmenadresse empfangen? Dann läuft der Betrieb Gefahr, von den zuständigen Behörden als Telekommunikationsanbieter eingestuft zu werden. Als Konsequenz besteht dann die Verpflichtung, das Fernmeldegeheimnis zu wahren. Das Unternehmen darf E-Mails nicht mehr ohne weiteres filtern. Und besteht erst einmal eine betriebliche Übung, kann das Unternehmen seinen Mitarbeitern zukünftig das Internet am Arbeitsplatz nicht einfach wieder versagen.

Auch Outsourcing schützt vor Haftung nicht. IT-Sicherheits-Management lässt sich nicht delegieren. Kommt es zu Datenklau oder anderen Vorfällen, kann sich das Unternehmen nur mit dem Hinweis auf Kontroll- und Überwachungsmechanismen gegen den Vorwurf eines Organisationsverschuldens verteidigen. Ein einfaches Reporting des Dienstleisters, wie es die meisten Verträge vorsehen, ist hierfür nicht zwingend ausreichend. Wichtig ist vielmehr, dass das Unternehmen auf gemeldete Sicherheitsvorfälle und zukünftig absehbare Bedrohungen konsequent reagiert und entsprechende Vorbeugung betreibt. Dies sicherzustellen, ist Sache der Vertragsgestaltung. Bestehende Verträge müssen überprüft und gegebenenfalls in einzelnen Teilbereichen nach verhandelt werden.

"Executive Protection“-Strategien gehen das Thema IT-Sicherheit daher auf allen Ebenen an. Angesichts der Haftungsgefahren lohnt sich diese Investition aber in jedem Fall. Schließlich darf nicht vergessen werden: Sicherheit schafft Vertrauen und stärkt damit die Kundenbindung – im Gegensatz zu Phishing-E-Mails unter dem Firmenbriefkopf, Virenschäden beim Geschäftskunden oder Berichte über Hacker-Parties auf den lokalen Netzwerkservern.

Jyn Schultze-Melling ist IT-Rechtsexperte im Münchner Büro der Sozietät Nörr Stiefenhofer Lutz.