Mangelnde IT-Sicherheit als Haftungsrisiko im Unternehmen
Handlungsbedarf aufgrund gesetzlicher Neuregelungen
Von Tobias Karrenbrock, Düsseldorf
Kein IT-System ist zu 100 % sicher – das ist eine Binsenweisheit. Bislang unbekannte Sicherheitslücken in Hard- und Software können jederzeit von einem Angreifer entdeckt und ausgenutzt werden. Aber auch bereits bekannte und durch Updates behebbare Sicherheitsprobleme werden regelmäßig (aus Kostenerwägungen oder schlicht Unwissenheit) nicht angegangen.
Nutzt ein Angreifer eine identifizierte Schwachstelle zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit der Unternehmensdaten bedroht. Das allein ist eigentlich ausreichend Grund zur Besorgnis. Ein Angreifer kann ein von ihm gekapertes System aber auch zur Durchführung weiterer Angriffe nutzen und so auch zur Gefahr für weitere IT-Nutzer werden.
Der deutsche Gesetzgeber hat Handlungsbedarf erkannt und durch Erlass des IT-Sicherheitsgesetzes Regelungen zur IT-Sicherheit u. a. im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und im Bundesdatenschutzgesetz (BDSG) geschaffen. Für die EU ergeben sich spätestens ab Mai 2018 ähnliche Regelungen aus der Datenschutz-Grundverordnung (DSGVO).
Erhöhte Anforderungen durch BSIG, BDSG & DSGVO
Das BSIG richtet sich vor allem an die Betreiber „Kritischer Infrastrukturen“ (KRITIS). Während dieser Begriff ursprünglich nur Unternehmen der Bereiche Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung umfasste, werden seit 2017 auch die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr erfasst. Es sollen weitere Sektoren hinzukommen, sodass die Regelungen des BSIG künftig wohl von den meisten Unternehmen zu berücksichtigen sein werden.
KRITIS-Unternehmen müssen bereits heute angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen. Die für die Erbringung ihrer wichtigen Dienste erforderliche IT ist nach dem Stand der Technik angemessen abzusichern.
Doch auch für „Nicht-KRITIS-Unternehmen“ bestehen schon heute hohe Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz der Kundendaten und der genutzten IT-Systeme.
Auch das derzeit noch geltende BDSG sieht vor, dass Unternehmen solche technischen und organisatorischen Maßnahmen treffen müssen, die erforderlich sind, um eine sichere Datenerhebung zu ermöglichen (§ 9 BDSG). Auch Art. 25 DSGVO bestimmt zukünftig, dass die Datenerhebung durch entsprechende technische Maßnahmen des Unternehmens geschützt wird. Ähnliche Regelungen finden sich auch im Entwurf der E-Privacy-Verordnung und dem derzeit noch anwendbaren Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG). Einzuhalten ist nach allen Vorschriften zumindest der branchenübliche Stand der Technik.
Empfindliche Bußgelder
Die Einhaltung dieser Gesetze sollte ohnehin im eigenen Interesse eines jeden Unternehmens liegen. Finanzielle Erwägungen dürften in Zukunft jedenfalls nicht mehr gegen eine ernsthafte Beschäftigung mit der IT-Sicherheit sprechen: So sind z. B. nach Art. 83 DSGVO hohe Bußgelder von bis zu 20 Mio. Euro oder bis zu 4 % des Jahresumsatzes des Unternehmens für Verstöße gegen die Vorschriften der DSGVO vorgesehen. Ein solcher Verstoß kann eben auch in einer mangelhaften Absicherung der IT-Systeme liegen.
Betroffenes Unternehmen in der Verantwortung
Neben Bußgeldern drohen vertragliche und gesetzliche Ansprüche der durch einen IT-Sicherheitsvorfall betroffenen Dritten gegen das betroffene Unternehmen. Besondere Relevanz dürften ausdrücklich im Gesetz geregelte Schadensersatzansprüche der Betroffenen entfalten. Nach Art. 82 Abs. 1 DSGVO hat jede natürliche Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den für den Verstoß Verantwortlichen.
Zudem ist jede Verletzung datenschutzrechtlicher Vorschriften, jede Verletzung im Sinne der DSGVO, nun auch wettbewerbsrechtlich relevant, sodass ein hohes Abmahnrisiko für Unternehmen besteht, die es mit Datenschutz und IT-Sicherheit nicht so genau nehmen.
Verantwortung der Geschäftsführung
Doch was heißt das für die Unternehmen und insbesondere für die Geschäftsleitung? Vorstandsmitglieder und Geschäftsführer haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. § 91 Abs. 2 AktG verpflichtet z. B. den Vorstand einer AG allgemein zur Risikovorsorge. Diese Pflicht des Vorstands umfasst auch die Sorgfalt bei der Etablierung und Aufrechterhaltung der IT-Sicherheit im Unternehmen.
Verstößt der Vorstand bzw. die Geschäftsführung gegen diese Pflichten, haften die verantwortlichen Personen ggf. gegenüber den Aktionären bzw. Gesellschaftern.
Was aber ist Stand der Technik, was ist angemessen, was ist branchenüblich? Die Unternehmensleitung hat hier die undankbare Aufgabe, aus diesen unbestimmten Begriffen die Anforderungen an ein IT-Sicherheitskonzept abzuleiten und dieses dann umzusetzen. Wie ist vorzugehen?
Stand der Technik als Ausgangspunkt
Unternehmen sind verpflichtet, dafür zu sorgen, dass IT-Systeme dem (aktuellen oder branchenüblichen) „Stand der Technik“ entsprechen. Der Stand der Technik stellt dabei den objektiven Maßstab des einzuhaltenden Schutzniveaus dar (zur subjektiven Komponente sogleich mehr). Beim „Stand der Technik“ handelt es sich um einen gängigen Begriff, der aber nicht allgemeingültig definiert ist. Durch Verwendung solcher unbestimmter Begriffe versucht der Gesetzgeber, eine Brücke zwischen Gesetz und technischem Fortschritt zu schlagen. IT-Sicherheitstechniken entwickeln sich stetig weiter, und es wäre daher wenig zielführend, eine Definition des Stands der Technik festzuschreiben, die am nächsten Tag bereits wieder obsolet ist. Für denjenigen, der von der Rechtsnorm betroffen ist, bedeutet dies aber, dass er selbst herausfinden muss, welche Sicherheitsmaßnahmen gerade dem aktuellen Stand der Technik entsprechen.
Dabei ist man allerdings nicht vollkommen auf sich allein gestellt: Anhaltspunkte zur Bestimmung des „Stands der Technik“ sind z. B. existierende nationale oder internationale Standards und Normen oder erfolgreich in der Praxis erprobte Vorbilder für den jeweiligen Bereich. Hierzu zählen unter anderem die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI), die konkrete Maßnahmen definieren, welche zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen. Darüber hinaus ist an Frameworks zum IT-Service-Management wie ITIL, COBIT oder Basel II zu denken. Als Mindestmaß müssen aber alle bereits ausdrücklich im Gesetz genannten Vorgaben in das IT-Sicherheitskonzept integriert werden. Als Beispiel sei hier die Verwendung von Verschlüsselung genannt, wie es etwa in § 13 Abs. 7 TMG gefordert wird.
Angemessene Maßnahmen
Die IT-Sicherheit von Unternehmen allein am Stand der Technik zu messen, wäre wenig zielführend. Ein mittelständischer Handwerksbetrieb verfügt im Regelfall nicht über hochsensible Daten wie etwa eine Bank. Ein Eingriff in die Steuerung eines Kraftwerks durch einen Angreifer ist sicherlich für die Allgemeinheit potenziell gefährlicher als der Ausfall des Kassensystems beim Einzelhändler. Diese Unterschiede dürfen berücksichtigt werden: Ein Unternehmen und die Geschäftsführung müssen den aktuellen Stand der Technik ermitteln und davon ausgehend für das eigene Unternehmen angemessene Maßnahmen zur IT-Sicherheit treffen. Es ist insbesondere auf die Gefahr für das Unternehmen und die Sensibilität der im Unternehmen verwendeten Daten abzustellen. Welche Maßnahmen für die konkrete Ausgestaltung eines IT-Risikomanagementsystems erforderlich sind, lässt sich für jedes Unternehmen nur individuell bestimmen. Grundsätzlich obliegt die nähere Ausgestaltung dem unternehmerischen Ermessen.
Angemessene Maßnahmen müssen also nicht immer dem aktuellen Stand der Technik entsprechen, sondern dürfen z. B. – je nach Einzelfall – mehr oder weniger weit dahinter zurückbleiben. Erforderlich ist aber, die Angemessenheit der Sicherheitsmaßnahmen fortlaufend zu beobachten und bei geänderten Rahmenbedingungen (Änderungen der Gefährdungslage und des Stands der Technik) zu reagieren.
Risikomanagement
Fortlaufendes Risikomanagement ist daher zwingend erforderlich. Ziel muss es sein, die Wahrscheinlichkeit des Eintretens eines Schadens zu vermindern und die potenzielle Schadenshöhe zu begrenzen. Dabei genügt also nicht allein die einmalige Einrichtung von IT-Schutzmechanismen. Vielmehr ist die Angemessenheit der Schutzmaßnahmen kontinuierlich neu zu bewerten und ggf. nachzubessern. Empfehlenswert ist, die notwendigen Prozesse zu institutionalisieren und für den Fall einer gerichtlichen oder behördlichen Überprüfung zu dokumentieren.
Fazit und Ausblick
Unternehmen sollten die IT-Sicherheit als ganzheitliche Herausforderung betrachten. Es geht nicht nur um die eingesetzte Technologie, sondern auch um interne organisatorische Prozesse, wie etwa klare Zuständigkeiten, Berechtigungskonzepte, Monitoring sowie Sensibilisierung und Schulung der Mitarbeiter. Im Rahmen des erforderlichen Risikomanagements sollten Unternehmen die Angemessenheit der umgesetzten Maßnahmen regelmäßig hinterfragen, ggf. Anpassungen vornehmen und die Entscheidungsfindung sorgfältig dokumentieren.
So können die bestehenden Risiken für das Unternehmen und für die Geschäftsleitung reduziert werden.
