Rechtliche Vorgaben lassen Haftungsrisiken steigen
Im Zweifel gegen den CIO
Im Outsourcing-Vertrag hatte sich der zuständige CIO des Automobilzulieferers jedoch mit der bloßen Vereinbarung dieser Quote zufrieden gegeben. "Zu einer effektiven Verfügbarkeitsquote gehören allerdings noch weitere Eckdaten, wie beispielsweise die maximal zulässige Dauer des Systemausfalls", meint Schrey.
Hätte der CIO sich qualifiziert beraten lassen, wäre ihm dieser Fehler nicht unterlaufen. Der CIO verzichtete aber auf eine solche Beratung. Wegen der Bedeutung des Outsourcing-Vertrags für das Unternehmen "und der darin notwendigen Bereitstellung effektiver Service-Level-Kriterien", geht Schrey von mittlerer, "wenn nicht sogar grober Fahrlässigkeit" mit den entsprechenden Haftungsfolgen aus.
Schutzmaßnahmen
Zur Vermeidung von Haftungfällen sollten CIOs ihre Geschäftsleitung regelmäßig über mögliche Risiken informieren, Lösungsvorschläge für Sicherheitsmängel erarbeiten und "ein angemessenes Budget beantragen", rät Schrey. Er schlägt zudem die Einschaltung eines qualifizierten Beraters vor. Auf dessen Expertise könne sich der CIO verlassen "und im Zweifel auch darauf verweisen".
Finden die Vorschläge bei der Unternehmensleitung kein Gehör, sollte der CIO
1. die Risiken erneut aufzeigen und das eigene Vorgehen protokollieren
2. eine schriftliche Ablehnung seiner Vorschläge von der Unternehmensleitung verlangen
3. eine weitere Verantwortung ablehnen
4. in Form eines "ceterum censeo" auf die Gefahren hinweisen.
Damit ist der CIO aus dem Schneider, und der Schwarze Peter liegt bei der Unternehmensleitung.
Weitere Meldungen
IT-Sicherheitsrichtlinien im Abseits
Anschluss verpasst – Deutsche CIOs und Basel II
Unternehmen mit immer mehr Sicherheitslücken
Bücher zu diesem Thema