Prophylaxe und Haftung sind Chefsache

IT-Risiken bewusst reduzieren

17.05.2007 | Autor / Redakteur: Norbert Funke / Stephan Augsten

Legen Viren und Würmer die Unternehmens-IT lahm, haftet in der Regel die Geschäftsleitung für den entstandenen Schaden. Wer ein solches Szenario vermeiden will, kommt um ein umfassendes IT-Sicherheitskonzept nicht herum. Dabei müssen die Verantwortlichen in den Betrieben mit immer häufigeren und komplexeren Attacken rechnen. Entsprechend gilt es nicht nur die technische Seite, sondern auch das Verhalten sämtlicher Mitarbeiter im Arbeitsalltag in entsprechende Konzepte mit einzubeziehen.

Nehmen wir einmal an, ein bösartiger Virus hat die IT eines Unternehmens zusammenbrechen lassen – ein Horrorszenario: Nichts geht mehr. Prozesse sind unterbrochen, Leistungen können nicht erbracht werden, Kunden stellen Schadenersatzforderungen, es drohen – abgesehen vom Reputations- und Vertrauensverlust – erhebliche finanzielle Einbußen. Der Urheber des Virus oder der Attacke, wenn er denn überhaupt ermittelt werden kann, ist vermutlich außerstande, den Schaden zu begleichen. Es stellt sich die Frage nach der Haftung.

Das KonTraG (Gesetz zur Kontrolle und Transparenz) verpflichtet Unternehmen zu einem weit reichenden Risikomanagement, auch das so genannte ARAG-Garmenbeck-Urteil des BGH aus dem Jahr 1997 ist in solchen Fällen richtungweisend. Im Schadensfall steht danach bei einer AG der Vorstand, bei einer GmbH der oder die Geschäftsführer in der Verantwortung.

Am meisten Grund zur Sorge sollte also das Topmanagement haben. Denn gemäß den Grundsätzen, dass derjenige persönlich haftet, der das Eigentum des Unternehmens nicht ausreichend sichert, und der „Chef“ nicht nur aufgrund des Aktien- und GmbH-Gesetzes, sondern auch laut Paragraph 14 des Strafrechts in der Verantwortung steht (das Unternehmen selbst ist im strafrechtlichen Sinn nicht handlungsfähig), ist der Schuldige immer in den oberen Etagen zu suchen. Das Management der zweiten Ebene wird dadurch allerdings nicht unbedingt entlastet – es kann im Schadenfall immer noch wegen Mittäterschaft belangt werden.

IT-Sicherheitspolicy auf „höchster Ebene“

Das Topmanagement beziehungweise der Geschäftsführer ist gesetzlich verpflichtet, Maßnahmen zum Schutz des Unternehmens vorzunehmen. Dass dies im Jahr 2007 auch den Schutz vor IT-Risiken einschließt, bedarf keiner besonderen Erwähnung – umso mehr, wenn die IT nahezu alle wichtigen Prozesse im Unternehmen unterstützt.

Um also potenziellen Haftungsrisiken vorzubeugen, muss die Geschäftsleitung ein vitales Interesse an einem wirksamen IT-Schutzkonzept haben. Dieses beginnt mit umfassenden IT-Sicherheitsregeln, die sich über die gesetzlichen Vorgaben hinaus auch an geltenden Standards wie ISO-Normen orientieren sollte.

Im Rahmen der Richtlinien wird festgelegt, wer welche Zugriffsbefugnisse besitzt, welche Sicherheitsanforderungen an die einzelnen Geräte gestellt, in welcher Frequenz LogFiles ausgewertet sowie welche Tests in welchen Intervallen durchgeführt werden. Unternehmen, die sich nicht sicher darüber sind, welche Richtlinien und Vorgaben für Sie relevant sind, sollten sich IT-spezifisch beraten lassen, wie es beispielsweise Symantec mit seinen Consulting Services anbietet.

Mitarbeiter kontrollieren und sensibilisieren

Selbstverständlich nützt das beste Regelwerk wenig, wenn seine Einhaltung keiner kontinuierlichen und zuverlässigen Kontrolle unterliegt. Hier empfiehlt sich eine geeignete Software, die den Prozess automatisiert und standardisierte Reports erstellt. Regelmäßige Analysen, die IT-Sicherheitsanspruch und -wirklichkeit abgleichen, zeigen mögliche Lücken und damit gegebenenfalls Handlungsbedarf auf.

Besondere Aufmerksamkeit sollte dem Mitarbeiter an Desktop-PC oder Laptop gewidmet werden. Einer Studie der Analysten Enterprise Strategy Group von 2005 zufolge sind diese Endgeräte der Gefahrenherd Nummer eins für die Unternehmens-IT. Gerade bei Mitarbeitern, die mit mobilen Rechnern arbeiten, besteht immer wieder die Möglichkeit, dass ihr Notebook unterwegs bei der Benutzung andere IT-Netzwerke infiziert wird und Schädlinge bei der Rückkehr in das Unternehmensnetzwerk eindringen.

Um das zu verhindern, sollte zunächst bei allen Unternehmensangehörigen ein entsprechendes Sicherheitsbewusstsein geschaffen und aufrechterhalten werden. Wie sichere ich meine Infrastruktur gegen Risiken ab, worauf muss ich achten, wenn ich unterwegs bin und welche Dateien dürfen nicht aus dem Internet geladen werden – das sind nur einige Beispiele.

Dazu trägt einerseits die Fixierung der Richtlinien in den jeweiligen Arbeitsverträgen, andererseits aber auch ihre kontinuierliche Umsetzung im Unternehmen bei. Wichtig ist zudem, dass sämtliche Zuständigkeiten und Verantwortungsbereiche klar definiert sind – beispielsweise welche Aufgaben von der IT-Abteilung und welche vom einzelnen Mitarbeiter übernommen werden müssen.

Ganzheitliche technische Lösung

Doch auch auf der technischen Seite gibt es eine Reihe von Maßnahmen, die das IT-Risiko minimieren. Dazu gehören Lösungen, mit deren Hilfe abstrakte IT-Sicherheitsrichtlinien in ein technisches Kontrollsystem überführt, welches beispielsweise Revisionsrichtlinien berücksichtigt. Die eingeführten Kontrollen können so automatisch überwacht und ausgewertet werden, was als Nachweis für die Einhaltung der unternehmerischen Sorgfaltspflicht entscheidend sein kann.

Damit tragen solche Lösungen entscheidend zur Umsetzung und Einhaltung der Sicherheitsrichtlinien im Unternehmen bei. Eine zunehmende Herausforderung in diesem Zusammenhang ist auch die fortschreitende Vernetzung von Unternehmen mit Partnern wie Kunden und Lieferanten. Auch hier sollten klare Richtlinien für die ‚IT- Zusammenarbeit’ vorliegen.

Zur Entschärfung der daraus entstehenden Gefahrenpotenziale tragen am effizientesten ganzheitliche und unternehmensübergreifende technische Lösungsansätze für die Richtlinienkonformität und deren Nachweisbarkeit bei. Ein weiteres Sicherheitsplus bieten externe Dienstleister, wie beispielsweise Symantec Managed Security Services, bei denen Experten rund um die Uhr das Unternehmensnetzwerk im Auge behalten und so Gefahren rechtzeitig erkennen und abwenden können.

Privat bleibt privat

Aber auch wenn die IT-Infrastruktur optimal aufgestellt ist, gibt es noch immer Punkte, die aus rechtlicher Sicht zu beachten sind. Ein Beispiel dafür sind E-Mail-Filter, mit denen die ein- und ausgehende elektronische Post gescannt wird. Sind private Mails nicht ausdrücklich verboten, befinden sich natürlich auch solche Nachrichten in der Korrespondenz.

Das Filtern erfüllt einem Gerichtsurteil zufolge den Tatbestand der Verletzung des Post-/ Fernmeldegeheimnisses, wenn der Arbeitgeber oder die IT-Abteilung die private Mail nicht weiterleitet. Gerade in diesem Bereich kommt es folglich auf eine präzise Abstimmung von Regelwerk und technischen Maßnahmen an, wenn Komplikationen vermieden werden sollen.

Fazit

Alles in allem sind es zwei Schritte, die ein Unternehmen vor größeren IT-Schäden und damit den Vorstand vor entsprechenden Haftungsansprüchen bewahren können. Der erste Schritt ist die Integration der IT-Sicherheit in den Aufgabenbereich des Managements – faktisch, aber auch mental. Schritt zwei besteht in der Erarbeitung einer umfassenden und verbindlichen IT-Sicherheitsrichtlinie durch die Verantwortlichen im Unternehmen und deren kontrollierte Umsetzung im gesamten Unternehmen.

Greift man alle Aspekte auf, ergibt sich folgende To-Do-Liste zur Steigerung der IT-Security:

  • IT-Sicherheit zur Chefsache machen
  • Einen eindeutigen Verantwortlichen für diesen Bereich benennen
  • Umgang mit E-Mails und Internet-Nutzung im Unternehmen regeln
  • Firmeninterne IT-Sicherheitsrichtlinie erstellen
  • Mitarbeiter schulen und sensibilisieren
  • Notfallplan für den Ausfall von Komponenten

Norbert Funke ist Industry and Business Solutions Marketing Manager bei Symantec.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2004823 / Services)