Wichtige Gesetze

Risiko-Management ist eine juristische Pflicht

07.11.2013 von Dr. Kevin Max von Holleben und Fabian Winters
Das Eigeninteresse des Unternehmens ist die eine Sache. Aber es gibt noch andere Gründe, die für ein ordentliches Risiko-Management sprechen - beispielsweise juristische.
Vorsicht vor den Haftungsrisiken!
Foto: Wilm Ihlenfeld - Fotolia.com

Neben den vielen Vorteilen, die vernetzte IT-Systeme mit sich bringen, bergen sie auch erhebliche Gefahren. Existenzbedrohende Schäden entstehen insbesondere durch den Verlust von relevanten Daten oder durch betriebsbe- oder verhindernde Störungen der IT. Unternehmen haben deshalb ein großes Eigeninteresse an einer sicheren IT. Darüber hinaus sind die Betriebe aber auch gesetzlich verpflichtet, IT-Risiko-Management zu betreiben. Bei Verstößen drohen empfindliche Geldbußen und Schadensersatzforderungen sowie eine persönliche Haftung des Managements. Was ist zu tun?

Spektakuläre Pleiten

Schlechtes oder fehlendes Risiko-Management wird vor allem im Zusammenhang mit spektakulären Bankenpleiten oder gar drohenden Staatsinsolvenzen genannt. In der Wirtschaft wächst die Erkenntnis, dass ein effizientes und unternehmensbezogenes Risiko-Management unverzichtbar ist.

Wo sind die Risiken in der IT? Konkret droht den Unternehmen die Veränderung beziehungsweise der Verlust von Daten. Das geschieht beispielsweise durch technische Defizite, menschliches Fehlverhalten, interne Sabotage, Whistleblowing, Datenklau oder externe Angriffe (zum Beispiel Viren und Trojaner). Der Einsatz von Cloud-Computing-Lösungen, mobilen Endgeräten sowie drahtlosen Übertragungstechniken wie W-LAN, LTE, HSDPA und UMTS erhöhen die Gefahr.

Immer wieder gelangen Fälle an die Öffentlichkeit, in denen Unternehmen der mangelhafte IT-Schutz zum Verhängnis wurde. Beispielsweise gelang es Hackern jüngst, mittels Angriffen auf einen Kreditkarten-Dienstleister, die Kartennummern samt PIN-Codes von Kunden zweier Banken auszulesen und deren Limits für Bargeldabhebungen anzuheben. Anschließend wurden diese Daten in mehr als 20 Staaten für weltweite Abhebungen mit gefälschten Kreditkarten-Kopien verwendet.

Was ist gefordert?

Durch ein effizientes IT-Risiko-Management lassen sich die IT-Risiken naturgemäß nicht vollständig ausschließen, aber zumindest eindämmen. Das unterstreicht einmal mehr, warum Unternehmen ein eigenes Interesse am IT-Risiko-Management haben. Aber sie sind auch gesetzlich dazu verpflichtet.

Der Gesetzgeber definiert IT-Sicherheit als die Einhaltung bestimmter Sicherheitsstandards, welche die Schutzgüter Verfügbarkeit, Unversehrtheit beziehungsweise Vertraulichkeit von Informationen durch Sicherheitsvorkehrungen in oder bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen betreffen. So nachzulesen in Paragraf 2 Absatz 2 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).

Darüber hinaus schreibt der Gesetzgeber den Unternehmen vor, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Vergleiche Paragraf 9 des Bundesdatenschutzgesetzes (BGSG). Die Schutzmaßnahmen müssen nach Vorgabe des Gesetzgebers "erforderlich" sein. Das sind solche Maßnahmen nur dann, wenn der damit verbundene Aufwand in einem angemessenen Verhältnis zum Schutzzweck steht. Ob das so ist, muss im Einzelfall bestimmt werden.

Risiko für den Vorstand

Durch die Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurden unter anderem die Anforderungen an das Risiko-Management für Kapitalgesellschaften verschärft. So hat der Vorstand einer Aktiengesellschaft "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden", so Paragraf 91 Absatz 2 Aktiengesetz (AktG).

Der Vorstand muss also für ein umfassendes und wirksames Risiko-Management sorgen. Eine Verletzung dieser Pflicht kann die Mitglieder teuer zu stehen kommen. Sie sind der Gesellschaft nach Paragraf 93 Absatz 2 AktG persönlich zum Schadensersatz verpflichtet. Für andere Kapitalgesellschaften (zum Beispiel die GmbH) gelten ähnliche Regelungen (Paragraf 43 Absatz 1,2 GmbH-Gesetz). Die Verletzung der Pflicht zum Risiko-Management kann einem Urteil des Landgerichts Berlin zufolge ein Grund zur fristlosen außerordentlichen Kündigung eines Vorstandsmitgliedes sein.

Maßnahmenkatalog

Ein unternehmensbezogenes IT-Risiko-Management wird in der Praxis schrittweise implementiert: Zunächst erfolgt eine Risikoanalyse (Risk Assessment) zum Zweck der Ermittlung und Definition von Risikofeldern. Im Anschluss werden die Risikoquellen strukturiert und systematisiert. Dabei ist jeweils der Grad der Gefährdung in Relation zu den Kosten zu setzen, die durch die Gefahrenvermeidung entstünden.

Die Ergebnisse der Risikoanalyse dienen als Grundlage für eine Risikostrategie (Kontrolle und Steuerung) . Dafür müssen konzeptionelle und strategische Maßnahmen getroffen werden, zum Beispiel die Ernennung eines Chief Information Security Officer (CISO) oder der Erlass verbindlicher Unternehmensregelungen (Code of Conduct). Zudem empfiehlt es sich zumindest in größerem Unternehmen, eine unternehmensweite Sicherheitsrichtlinie (Security Policy) zu formulieren, zu erlassen und zu etablieren.

Anschließend müssen operative Schritte unternommen werden. Hierzu gehört die Einrichtung von Virenschutz, Firewalls, Content-Filtern, Verschlüsselungen sowie Einbruchs- und Brandschutzvorrichtungen in den eigenen Rechenzentren, weiter Zugangsregelungen zu Systemen und Räumen sowie Sicherheitsüberprüfungen bei der Personalauswahl. Ein wichtiger Bestandteil der Risikostrategie ist auch die vertragliche Absicherung der Verfügbarkeit durch Service Level Agreements (SLAs). Darüber hinaus ist eine wirksame Fall-Back-Strategie für Systemausfälle empfehlenswert.

Die Funktionsfähigkeit des Risiko-Management-Systems muss ständig überwacht werden, um auf eventuell entstehende Sicherheitslücken schnell und flexibel reagieren zu können. Dafür wird ein Risiko-Monitoring-System installiert. Darüber hinaus ist eine fortwährende Anpassung der Sicherheitsmaßnahmen an die veränderten Rahmenbedingungen erforderlich.

Die Cloud als Herausforderung

Angesichts der fortschreitenden technischen Entwicklung ist gerade der letzte Punkt unerlässlich. Das wird am Beispiel Cloud Computing deutlich: Der physische Standort der Rechenzentren, in denen die Daten gespeichert werden, muss ermittelbar sein - gerade bei der Verarbeitung personenbezogener Daten - da je nach Standort unterschiedliche gesetzliche Regelungen gelten. Es sollte geklärt sein, wer Zugriff auf die Daten erhält und wie die Rechenzentren gesichert sind. Zudem muss sichergestellt sein, dass die Daten in der Cloud nach Vertragsende gelöscht werden.

Im Zweifel muss eine Vereinbarung zur Auftragsdatenverarbeitung gemäß den Anforderungen nach Paragraf 11 BDSG geschlossen werden, in der insbesondere ein Katalog der einzuhaltenden technischen und organisatorischen Maßnahmen zum Datenschutz definiert ist.

OpenStack
Die auf Linux und Python basierende Lösung "OpenStack" ist eine Art Betriebssystem für die Cloud. Das quelloffene System gilt als ein wichtiger Meilenstein in Sachen Cloud Computing und hat, nicht zuletzt aufgrund der breiten Unterstützung seitens namhafter IT-Riesen, großes Zukunftspotenzial.
Otixo
"Otixo" stellt ein innovatives Datei-Management-Tool für das Cloud-Zeitalter dar, das in erster Linie für Anwender in Frage kommt, die mehrere Online-Dienste nutzen und diese besser miteinander integrieren möchten. Dank speziellen Sicherheits- und Sharing-Funktionen können davon nicht nur Privatanwender, sondern auch Unternehmen profitieren.
Cloudability
Bei "Cloudability" handelt es sich um einen vielversprechenden Dienst, der noch in den Kinderschuhen steckt, aber bis jetzt einen rundum guten Eindruck macht. Wer viel Geld in Cloud Computing investiert und die Ausgaben im Blick behalten möchten, für den könnte die Software genau das Richtige sein.
Scalr
IT-Administratoren, die auf der Suche nach einer professionellen Lösung sind, um ihre Cloud-Anwendungsplattformen besser entwerfen, entwickeln und betreiben zu können, sind bei "Scalr" genau an der richtigen Adresse.
RightScale
RightScale bietet eine umfangreiche und anspruchsvolle Lösung an, mit der sich beliebig komplexe Cloud-Infrastrukturen effizient verwalten lassen und die in direkter Konkurrenz zu Scalr steht.
Newvem
"Newvem" bietet sich als eine zentrale, ganzheitliche Cloud-Management-Lösung an, die speziell für Firmen konzipiert ist, die Windows Azure oder Amazon Web Services nutzen.

Bring your own Device

Ein weiteres Beispiel für den ständigen Anpassungsbedarf des Risiko-Managements bietet das Thema "Bring your own Device" (ByoD). Die Unternehmen müssen sich darüber im Klaren sein, dass auf den privaten Geräten relevante Unternehmensdaten verarbeitet werden. Vor dem Einsatz von ByoD sind daher unter anderem Regelungen zu folgenden Themen zu treffen: Der Einsatz muss datenschutzrechtlichen Anforderungen gerecht werden. Hierbei empfiehlt sich eine strikte Trennung von privaten und Unternehmensdaten, da Unternehmen grundsätzlich für dienstliche Daten, insbesondere personenbezogene Daten, die volle Verantwortung tragen. Unbedingt sollten Regelungen für den Fall des Ausscheidens aus dem Unternehmen getroffen werden. Der Einsatz muss lizenzrechtlichen Erfordernissen entsprechen. Oft ist auf den Geräten Software vorinstalliert, die ausschließlich für private Zwecke genutzt werden darf. In solchen Fällen ist eine gesonderte Lizenzvereinbarung mit dem Softwareanbieter zu schließen.

Das Arbeitsrecht ist ausreichend zu berücksichtigen. In der Regel geht es um das Mitbestimmungsrecht des Betriebsrats nach Paragraf 87 Absatz 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG).

Die 5 größten BYOD-Fallen
Bring your own Device ohne Stress gibt es nicht, dazu existieren zu viele Sollbruchstellen. Möglich ist aber - und zwar für Arbeitgeber und Arbeitnehmer - die gängigsten Fallen in diesem Zusammenhang zu entschärfen beziehungsweise ihnen auszuweichen.
Falle 1: Offene Türen für jede Art von App
Wer immer Angry Bird auf seinem iPhone gespielt hat, will nicht plötzlich damit aufhören, nur weil er das Gerät jetzt auch im Job einsetzt. Nun stiehlt der wütende Vogel lediglich Zeit, andere Apps sind dagegen gefährlich, Dropbox zum Beispiel. Wer sein iPhone beruflich nutzen will, muss Einschränkungen hinnehmen. Um dessen Akzeptanz zu erhöhen, sollte die Policy nicht rigider sein als nötig, aber ohne Blacklists und Whitelists für Apps geht es nicht.
Falle 2: Big Brother is watching you
Das sogenannte Geofencing, also die Möglichkeit, einem iPad bestimmte Zugriffe in Abhängigkeit von seinem Standort zu erlauben oder zu verbieten, ist praktisch, aber unbeliebt. Weil der Chef dadurch auch weiß, wo sich der Besitzer des Geräts gerade aufhält. Allerdings gibt es die Möglichkeit, das Monitoring nur während der Arbeitszeit einzuschalten.
Falle 3: Hohe Kosten durch mangelnde Kontrolle
Mitarbeiter, die auf irgendwelche Download-Fallen hereinfallen oder oder ohne betriebliche Erfordernis kostenpflichtige Nummern anrufen, müssen diese Kosten auch dann selbst tragen, wenn das ganze unabsichtlich geschah. Generell gibt es in den meisten Unternehmen kaum sinnvolle Anlässe, um mit mobilen Endgeräten große Datenmengen woher auch immer downzuloaden.
Falle 4: Jeden Mist ins Netzwerk einbinden
Natürlich liegt der Charme von BOYD in der Wahlmöglichkeit; jeder kann sich aussuchen, welches Gerät (zu) ihm am besten passt. Und der Chef erreicht den Abteilungsleiter vielleicht auch mal am Wochenende. In jedem Fall muss der CIO die Möglichkeit haben, sämtliche Geräte, die im Unternehmensnetzwerk angemeldet werden sollen, vorher zu checken.
Falle 5: Schlechte oder gar keine Kommunikation
Angestellte müssen wissen, was genau überwacht wird und was nicht, welche Apps potenziell gefährlich sind für ein Firmennetzwerk und welche unbedenktlich, welche Geräte und Betriebssysteme akzeptiert werden und welche nicht. Was passiert bei Verlust? Wie sie die Regeln beim Ausscheiden aus der Firma und welche Sanktionen drohen dem, der sich nicht an die Regeln hält.