IT-Sicherheit ist Chefsache
Brennpunkt Managerhaftung
Von Dipl.-Ing. Holger Kämmerer, Braunschweig
Bevor wir das klären, werfen wir einen Blick auf die aktuelle Situation: Die IT-Technik spielt in vielen Organisationen inzwischen eine zentrale Rolle. Informationsprozesse, Produktions- und Lieferketten – kaum etwas läuft mehr ohne IT. Dies verdeutlicht zum Beispiel das Medium E-Mail. Dieses hat die textliche Kommunikation in Geschäftsprozessen derart beschleunigt, dass inzwischen Antworten eher im Minutenabstand erwartet werden als am nächsten Tag. Digitalisierung ist an dieser Stelle Businesstreiber und ein kritischer Faktor für eine positive Unternehmensentwicklung, sorgt aber auch für immer größere Abhängigkeiten.
Die IT-Systeme werden zudem immer komplexer und durch ihre Vernetzung auch immer anfälliger für Störungen und Angriffe. Analysiert man die Log Files von Firewall-Systemen, so ist immer wieder beeindruckend, wie gezielt und massiv Angriffe auf bestimmte Schwachstellen im System ausfallen können. Tendenz steigend!
Was kann also passieren?
In das IT-System eingedrungene Malware verschlüsselt Daten oder lässt diese vollständig abfließen, der Weg zurück zur Datenhoheit ist häufig mit einer Lösegeldzahlung verbunden, doch wer mag dem trauen? Phishingkampagnen (also zum Beispiel das „Abfischen“ von Zugangsdaten durch gefälschte Webseiten) richten sich gezielt an bestimme Personengruppen per Mail oder Website und die Angreifer können so neben vertraulichen Unternehmensinformationen – z. B. auch Konto- und Zugangsdaten – erlangen. Selbst ein Indentitätsdiebstahl über Fake-Accounts kann erheblichen Schaden anrichten. Neben den wirtschaftlichen Schäden, zu denen nicht nur die Wiederherstellung der Systeme und Daten zählen, sondern auch Ausfallzeiten und Betriebsstörungen gehören, kann zusätzlich noch ein Imageverlust kommen.
Laut Bitkom sind mittlerweile bereits 69 % der deutschen Industrieunternehmen Opfer von Cyberangriffen geworden. Hierdurch entstehende Schäden werden auf über 50 Milliarden Euro jährlich geschätzt. Risiken gibt es also genug und die Cyber-Crime-Industrie arbeitet noch dazu hochgradig vernetzt und sogar automatisiert, sodass die Risiken weiter steigen. Für eine angemessene IT-Sicherheit und den Betrieb einer IT nach dem „aktuellen Stand der Technik“, die den Anforderungen der DSGVO und auch den betrieblichen Belangen der jeweiligen Organisation gerecht wird, zeichnet sich der Geschäftsführer verantwortlich. Das ergibt sich sowohl für Gesellschaften, auf die das Aktiengesetz Anwendung findet (aus § 93 Abs. 2 S. 1 AktG), als auch für solche, für die das GmbH-Gesetz gilt (aus § 43 Abs. 2 GmbHG) und zusätzlich aus Art. 24 Abs. 1 u. 2 DSGVO. Im Rahmen der DSGVO ist hier von technisch-organisatorischen Maßnahmen, sogenannten TOMs, die Rede. Daraus erwächst die Verpflichtung, den Nachweis für die durchgeführten Maßnahmen erbringen zu können (s. auch ErwGrd 74). Daher bedarf es also nicht nur der Umsetzung, sondern auch einer nachvollziehbaren Dokumentation.
Die Frage ist, wie man es als Geschäftsführer insbesondere kleiner und mittlerer Unternehmen schaffen kann, diesen Anforderungen gerecht zu werden und seine persönlichen Haftungsrisken zu minimieren. Eine Lösung kann in vier Schritten erfolgen:
- Analyse des Ist-Zustandes der IT-Struktur
- Risikoanalyse der IT-gestützten Geschäftsprozesse
- Entwicklung eines Maßnahmen-Plans
- regelmäßige Überprüfung der getroffenen Maßnahmen und deren Aktualität.
Die Ist-Analyse erfolgt über einen IT-Sicherheits-Check, der sinnvollerweise von einem externen Experten auditiert werden sollte und mindestens folgende Prüfpunkte beinhaltet:
- die Dokumentation Ihrer IT-Systeme und der verwendeten Software
- eine Regelung der Zuständigkeiten für Vorfälle mit IT-Bezug
- die ständige Aktualität der verwendeten Betriebssysteme und Software
- die Leistungsfähigkeit der eingesetzten Firewall und der Virenschutzsoftware
- Ihr Backup-System inklusive einer Backup-Policy und einem protokolliertem Rücksicherungstest
- die Dokumentation und Umsetzung eines Passwort- und Informationsmanagements
- die Regelung von Datenzugriffen und Internetnutzung
- die Zugangsmöglichkeiten via WLan für Mitarbeiter und Gäste
- und nicht zuletzt der Wissenstand und die Kenntnisse der Mitarbeiter zum Thema IT-Sicherheit.
Dies kann geschehen, indem Sie von ihrem IT-Verantwortlichen eine aktuelle Dokumentation anfordern und mit ihm die beschriebenen Prüfpunkte besprechen. Sollte schon die Dokumentation nicht vorhanden sein, herrscht direkt höchste Alarmstufe und sofortiges Handeln ist geboten.
Eine Risikoanalyse beschreibt ihre kritischen, IT-gestützten Prozesse und die Sensibilität ihrer Daten, dazu die potenziellen Gefahren, denen ihre IT und damit ihr Geschäft ausgesetzt sind. Hier empfiehlt sich ein möglichst einfaches System für den ersten Überblick, das dann Schritt für Schritt vertieft und detailliert werden kann. Diese Risikoanalyse ist zusätzlich der Ausgangspunkt und wichtiger Bestandteil eines Business-Continuity-Managements, das Sie auch in kritischen Situationen in die Lage versetzt, ihr Geschäft unter dem Einsatz von Notfallplänen am Laufen zu halten.
Dokumentieren Sie diese Prozesse und die sich aus der Analyse ergebenden Maßnahmen in einem Zeit- und Budgetplan für die Entwicklung ihrer IT. Neben der monatlichen oder quartalsweisen Überprüfung der Umsetzungsfortschritte ist es angeraten, einmal pro Jahr, idealerweise begleitet durch einen externen Experten, einen Review über den Status ihrer IT-Sicherheit durchzuführen.
Fazit
Es ist ratsam, dass Sie sich kurzfristig einen Überblick verschaffen und für klare Zuständigkeiten und geeignete Maßnahmen zum Schutz und zur Sicherheit Ihres Geschäfts sorgen.
Bild:Adobe Stock/peshkov
