Die Beachtung von IT-Sicherheitsrichtlinien schützt vor drastischen Strafen.
Der Gesetzgeber gibt der Unternehmens-IT mittlerweile zahlreiche Richtlinien zur Sicherheit und dem Risiko Management vor. Diese Regulierungen werden in den meisten Firmen vernachlässigt. Nur in jedem zweiten Unternehmen kennen Mitarbeiter überhaupt die bestehenden Sicherheitsvorschriften. Das geht aus einer Studie des IT-Beraters Timekontor hervor. Diese Lücken führen zu teilweise fatalen Folgen. Fast jede zweite Firma erlebte bereits einen Systemausfall aufgrund technischer Probleme.
Rechtliche Grundlagen
Dabei gibt es eine ganze Reihe rechtlicher Grundlagen, die zur Einhaltung der IT-Sicherheit verpflichten. Dazu zählen an erste Stelle gewerbeordnungsrechtlichte Vorschriften. Diese regeln, welche Pflichten Unternehmen in der IT über die notwendigen Sicherheitsmaßnahmen hinaus haben. Besondere Maßstäbe gelten dabei, wenn etwa das Bank-, Mandanten- Telekommunikations- oder Patientengeheimnis tangiert ist.
Auch das Datenschutzrecht hat immense Auswirkungen auf die Ausgestaltung der IT-Sicherheit. EU-, Bundes- und Landesgesetze , aber auch so genannte bereichspezifische Datenschutzgesetze, wie etwa das Sozialgesetzbuch oder das Telekommunikationsgesetz, finden hier Anwendung.
Von herausragender Bedeutung für Aktiengesellschaften ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTRaG). Die darin vorgeschriebene Pflicht zu Einrichtung eines Risikofrüherkennungssystems gilt nicht nur für den Finanzbereich des Unternehmens, sondern auch für die IT.
Nicht zuletzt berührt Basel II unmittelbar die IT. Denn eine Voraussetzung für ein entsprechendes Banken-Rating ist eine sichere IT-Struktur.
Konsequenzen
Ist diese nicht gewährleistet, sind die Folgen dramatisch. Nicht nur Schadensersatzforderungen, Bußgelder, aber auch Haft- und Geldstrafen drohen beispielsweise schon bei Verletzung des Urheberrechts oder des Jugendschutzes. Gewerbeämter können bei ständiger Verletzung der IT-Sicherheit die Gewerbeerlaubnis entziehen. Datenschutz-Aufsichtsbehörden können einschreiten. Betriebshaftpflichtversicherungen können Leistungen kürzen oder ganz verweigern.
Werden Daten unter Verstoß gegen rechtliche Vorgaben erhoben, können sie vor Gericht nicht als Beweismittel eingesetzt werden. Das gilt auch bei Arbeitsgerichtsprozessen. Ebenso schädlich ist der Verlust der Reputation. Denn wer durch Nachlässigkeit im Bereich IT-Sicherheit auffällt, wird in seiner Branche immer mehr zum "Risikofaktor".
Regressansprüche
Vor straf- und zivilrechtlichen Folgen ist auch der CIO nicht sicher, auch wenn zunächst einmal das Unternehmen für strategische Aufgaben im Bereich der IT zuständig ist. Er kann nämlich durchaus in Regress genommen werden, wenn sein Verhalten dem Unternehmen geschadet hat.
Rechtsanwalt Joachim Schrey, spezialisiert auf IT-Recht, geht davon aus, dass Schadensersatzansprüche gegen Mitarbeiter wegen Verletzung ihrer vertraglichen Pflichten zwar nicht allzu häufig vor Gericht geltend gemacht werden. Ihre Androhung werde jedoch häufig als Druckmittel eingesetzt, um sich schnell und kostengünstig vom betreffenden Mitarbeiter zu trennen.
Schadensersatzsprüche des Arbeitgebers gegen den Arbeitnehmer wegen so genannter Schlechterfüllung arbeitsvertraglicher Pflichten ergeben sich aus §280 Absatz 1 BGB. Immer dann, wenn der Arbeitnehmer, in diesem Fall der CIO, "seine Pflichten aus dem Arbeitsverhältnis verletzt, indem er schuldhaft seine Arbeit nicht ordnungsgemäß erbringt und den Arbeitgeber hierdurch schädigt" greift dieser Paragraph. Der CIO muss also Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten besonders aufmerksam wahrnehmen.
Bevor er jedoch die Zahnbürste für den Gang ins Untersuchungsgefängnis packt, sollte er sich darüber im Klaren sein, dass die Rechtsprechung sehr wohl zwischen grob fahrlässigem und schuldhaftem Verhalten und leicht fahrlässigem Verhalten differenziert. Schließlich trägt im Normalfall nicht der CIO, sondern der Arbeitgeber das Betriebs- und Unternehmensrisiko.
In Schadensfällen, die durch leichte Fahrlässigkeit entstanden sind, gehen Gerichte davon aus, dass der Arbeitnehmer überhaupt nicht haften muss. Allerdings entfällt die Haftung nur gegenüber dem Arbeitgeber, nicht gegenüber Dritten. Hier haftet der CIO persönlich und in voller Höhe. Jedoch gibt es auch in diesen Fällen einen so genannten Freistellungsanspruch. Danach ist der Arbeitgeber gegenüber dem Arbeitnehmer verpflichtet, dessen Gläubiger zu befriedigen, wenn der Arbeitnehmer im Innenverhältnis nicht schadensersatzpflichtig gewesen wäre.
Was das im Einzelnen bedeutet, macht Rechtsanwalt Schrey an einigen Beispielen deutlich.
Mangelnde Katastrophenvorsorge:
Die Tochter einer ausländischen Großbank hat zur Abwicklung ihrer Geschäfte in Deutschland eine eigenes Rechenzentrum. Diese wird durch ein Feuer innerhalb des Gebäudes zerstört. Es gibt weder eine eigene Ausweichanlage noch einen entsprechenden Vertrag mit einem externen Dienstleister zur Sicherung der sensiblen Daten. Erst nach mehreren Wochen kommt die IT wieder in Gang. Hier hätte der IT-Verantwortliche wissen müssen, dass eine solche Katastrophe zu immensen Schäden bis hin zum Konkurs führen kann und entsprechend vorsorgen müssen. Der Geschäftsführer, der dieser Gefahr nicht vorgebeugt hat, handelt nach Schreys Auffassung "zumindest grob fahrlässig".
Eingeschleppte Viren
In einer Steuerkanzlei verseucht ein Steuerberater das Netz mit einem Bootvirus. Er hat eine Viren-befallene Disketten seines Mandanten aufgespielt. Der Virus zerstört einen erheblichen Teil der Daten in der Kanzlei. Der Betrieb bricht zusammen. Hier differenziert Schrey. Einerseits hat der IT-Verantwortliche die Verantwortung für tagesaktuelle Anti-Virenprogramme. Zudem muss er regelmäßig alle Kanzleimitarbeiter über die Gefahr von Computerviren aufklären und sie zu entsprechenden Vorsorgemaßnahmen anhalten. Kommt er diesen Pflichten nicht nach, handelt er wegen der besonderen Bedeutung der IT für die Kanzlei grob fahrlässig und haftet dem Arbeitgeber für den entstandenen Schaden. Hat er IT-Verantwortliche seine Aufgaben aber erfüllt und der Steuerberater die Disketten ohne Nutzung eines Anti-Virenprogramms überspielt, so handelt dieser grob fahrlässig.
Fehlerhaftes Backup
Beim regelmäßigen Backup in einer Firma werden nur 95 Bänder kopiert, obwohl eigentlich 100 notwendig wären. Der zuständige Mitarbeiter merkt davon nichts. Erst bei einem Ausfall der Anlage stellt sich heraus, dass ein Teil der Daten nicht überspielt wurde. Das Landesarbeitsgericht Bremen sah in einem ähnlichen Fall keinen Anhaltspunkt für ein Verschulden des Mitarbeiters. "Auch wenn man die Einschätzung des Gerichts nicht teilen wollte, so wäre doch regelmäßig von einer leichten Fahrlässigkeit des zuständigen Mitarbeiters auszugehen, so dass ein Schadensersatzanspruch des Unternehmens gegen den Arbeitnehmer nicht besteht", so Schrey.
Restrukturierung der IT im Rahmen eines Outsourcings
Ein Automobilzulieferer hat seine gesamte IT ausgelagert. Der Dienstleister hat sich unter anderem zu einer 98,5-prozentigen Mindestverfügbarkeit der IT während der Geschäftszeiten des Auftraggebers verpflichtet. Dafür hat er zwei Mitarbeiter für Pflege und Wartung der IT im Betrieb des Auftraggebers abgestellt.
Bei Umstellung des Netzwerks wegen veränderter Produktionsabläufe unterläuft einem dieser Mitarbeiter "leicht fahrlässig" ein Missgeschick. Das führt aber zum totalen System-Crash. Die Produktion steht für drei Tage still. Trotz dieses Stillstands wird die Mindestverfügbarkeitsquote nicht unterschritten.
Im Outsourcing-Vertrag hatte sich der zuständige CIO des Automobilzulieferers jedoch mit der bloßen Vereinbarung dieser Quote zufrieden gegeben. "Zu einer effektiven Verfügbarkeitsquote gehören allerdings noch weitere Eckdaten, wie beispielsweise die maximal zulässige Dauer des Systemausfalls", meint Schrey.
Hätte der CIO sich qualifiziert beraten lassen, wäre ihm dieser Fehler nicht unterlaufen. Der CIO verzichtete aber auf eine solche Beratung. Wegen der Bedeutung des Outsourcing-Vertrags für das Unternehmen "und der darin notwendigen Bereitstellung effektiver Service-Level-Kriterien", geht Schrey von mittlerer, "wenn nicht sogar grober Fahrlässigkeit" mit den entsprechenden Haftungsfolgen aus.
Schutzmaßnahmen
Zur Vermeidung von Haftungfällen sollten CIOs ihre Geschäftsleitung regelmäßig über mögliche Risiken informieren, Lösungsvorschläge für Sicherheitsmängel erarbeiten und "ein angemessenes Budget beantragen", rät Schrey. Er schlägt zudem die Einschaltung eines qualifizierten Beraters vor. Auf dessen Expertise könne sich der CIO verlassen "und im Zweifel auch darauf verweisen".
Finden die Vorschläge bei der Unternehmensleitung kein Gehör, sollte der CIO
1. die Risiken erneut aufzeigen und das eigene Vorgehen protokollieren
2. eine schriftliche Ablehnung seiner Vorschläge von der Unternehmensleitung verlangen
3. eine weitere Verantwortung ablehnen
4. in Form eines "ceterum censeo" auf die Gefahren hinweisen.
Damit ist der CIO aus dem Schneider, und der Schwarze Peter liegt bei der Unternehmensleitung.
Weitere Meldungen
IT-Sicherheitsrichtlinien im Abseits
Anschluss verpasst – Deutsche CIOs und Basel II
Unternehmen mit immer mehr Sicherheitslücken
Bücher zu diesem Thema