header icetemplate

IT-Sicherheit

PCs, Netzwerke, Server und computergesteuerte Fertigungsmaschinen und natürlich auch das Internet sind aus der heutigen Arbeitswelt nicht mehr wegzudenken. In den letzten 20 Jahren sind sie zu einem immer wichtigeren Faktor für den Unternehmenserfolg mittelständischer Unternehmen geworden, die damit Ihre Geschäftsprozesse beschleunigen und optimieren.

Im Gegenzug hat sich aber auch deren Abhängigkeit von den eingesetzten IT-Systemen enorm erhöht. Trotz dieses Wandels wenden mittelständische Unternehmen im Regelfall für den althergebrachten Werksschutz wesentlich höhere Geldbeträge auf, als für die Sicherheit der verwendeten Computer und sonstigen IT-Systeme.

 

Insbesondere in mittelständischen Unternehmen scheint das Bewusstsein für die IT-Sicherheit noch nicht sehr ausgeprägt zu sein oder man sieht darin allein einen Kostenfaktor. Bedenkt man allerdings das Schadenspotential, das von Industriespionage, Datenverlusten und lange andauernden Systemausfällen ausgeht, lässt sich dies nicht rational erklären.

 

So lange alle Geschäftsprozesse ungestört laufen, kümmert sich kaum ein Geschäftsleiter um Fragen der IT-Sicherheit, tritt aber ein Schadensereignis ein, wird um so hektischer reagiert. Die Verantwortung für den Ausfall wird dann in der IT-Abteilung gesucht. Dabei verkennen aber viele, dass die tatsächliche Organisationsverantwortung  stets bei der Geschäftsleitung liegt.

 

Statt einem auf Reaktion aufbauenden Umgang mit dem Thema IT-Sicherheit ist eine voraussorgende Organisation zur Minimierung der Risiken notwendig. Die Mitglieder der Geschäftsleitung unterliegen hinsichtlich unternehmenskritischer Risiken grundlegenden Organisations- und Überwachungspflichten, deren Aufgaben sich nicht delegieren lassen (§ 43 Abs. 2 GmbHG bzw. aus § 91  Abs.2 AktG)! Ein reines Abschieben der Verantwortung auf den Systemadministrator bzw. die IT-Abteilung, kann also zu einer unmittelbaren persönlichen Haftung der Geschäftsleiter führen, wenn bereits strukturelle organisatorische Mängel vorliegen und keine Überwachung stattfindet.

 

In der Praxis ist es also keineswegs erforderlich, dass die Geschäftsleitung sich mit technischen Detailfragen beschäftigt. Allerdings muss die Geschäftsleitung grundlegende Weichen stellen und sich beispielsweise von der IT-Abteilung schildern lassen, ob und wieso die Geschäftsprozesse sicher sind und in welchen Bereichen noch Handlungsbedarf besteht. Es gilt nachzufragen und es ist zu dokumentieren.

 

Auch arbeitsrechtlich stößt eine Geschäftsleitung, die etwa aus Desinteresse keine Regelung über die private Nutzung von E-Mail und Internetbrowser am Arbeitsplatz getroffen hat, rasch an rechtliche Grenzen, wenn etwa eine Kündigung oder Abmahnung wegen übermäßigen privaten Surfens während der Arbeitszeit ausgesprochen werden soll.

 

Weitgehend unbekannt ist auch, dass die dienstlichen E-Mail-Konten der Mitarbeiter in Unternehmen, die die private Nutzung des dienstlichen E-Mail-Kontos ungeregelt dulden, dem Telekommunikationsgeheimnis gem. § 88 Telekommunikationsgesetz unterfallen. Das Unternehmen ist also nicht befugt, ohne Einwilligung des Mitarbeiters, auf das dienstliche E-Mail-Konto zuzugreifen. Zirkulieren nach einem rechtswidrigen Zugriff kompromittierende Fotos einer Kollegin, z.B. vom letzten Strandurlaub,  im Unternehmensnetz, ist der Datenschutz-GAU eingetreten und eine Strafbarkeit wegen Bruch des Fernmeldegeheimnisses steht im Raum. Die Geschäftsleitung gerät in Erklärungsnot und der Betriebsfrieden ist gestört.

 

Unabhängig von der drohenden persönlichen Haftung und arbeitsrechtlichen Aspekten sollte die Geschäftsleitung für das Thema IT-Sicherheit aber noch aus einem weiteren Grund sensibilisiert werden: Sichere IT-Systeme führen unmittelbar zur Stärkung der Sicherheit der eigenen Geschäftsprozesse. Die Minimierung der Eintrittswahrscheinlichkeit eines Schadens oder Nachteils für das Unternehmen, sichert die finanzielle Basis und damit die Kraft des Unternehmens. Unsichere IT-Systeme oder unsicheres Nutzungsverhalten stellen vermeidbare betriebswirtschaftliche Risiken dar.


Ein praxisgerechtes IT-Sicherheitskonzept setzt sich dabei aus Maßnahmen zusammen, die auf die Organisation der IT-Nutzung im Unternehmen abzielen, den Faktor Mensch berücksichtigen und auf technischer Ebene Schwachstellen beseitigen. Letztlich handelt es sich bei IT-Sicherheit also nicht um einen Zustand, der – wenn er einmal erreicht ist – eine weitere Beschäftigung mit dem Thema entbehrlich macht, vielmehr erfordern die schnellen technischen Entwicklungen und Veränderungen, dass das Thema turnusgemäß auf die Tagesordnung der Geschäftsleitung zu setzen ist.


Wichtig ist, dass IT-Sicherheit nicht durch die Anschaffung von neuer Technik, z.B. einer UTM-Appliance (Watchguard, Astaro, Checkpoint, etc.) herstellen lässt. Derartige Investitionen können immer nur einen Baustein einer Maßnahmenkette darstellen und eine solche Kette ist immer genauso stark, wie ihr schwächstes Glied. Betriebswirtschaftlich führen Maßnahmen zur Verbesserung der IT-Sicherheit zunächst zu Kosten für Schulungen und Technik. Bei jeder Einzelmaßnahme ist deswegen abzuwägen, wie groß das bestehende Risiko ist und ob das erkannte Sicherheitsdefizit hingenommen werden kann. Man muss sich also damit anfreunden, dass ein gewisses Restrisiko stets verbleiben wird.


Sollte der Sicherheitsbedarf erhöht sein, bieten spezialisierte IT-Dienstleister IT-Sicherheitszertifizierungen nach diversen Sicherheitstandards, wie ISO27001, ITIL oder dem IT-Grundschutzhandbuch des Bundesamtes für die Sicherheit in der Informationstechnik an.

 

Bei einzelnen rechtlichen Fragen können spezialisierte Anwälte praxisgerechte Handlungsalternativen aufzeigen und in Zusammenarbeit mit IT-Dienstleistern anhand von IT-Sicherheitsstandards wie etwa dem Standard: ISO27001 oder dem IT-Grundschutzhandbuch des Bundesamtes für die Sicherheit in der Informationstechnik Individuallösungen erarbeiten.

 


 

Bildnachweis: © Thorsten Freyer / PIXELIO

 

Autor: Rechtsanwalt Marcus Dury LL.M. (IT-Recht)
Über den Autor:

*Wichtiger Hinweis:

Alle Leistungen, außer der Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB, richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise.

© 2018 DURY Rechtsanwälte