Artikel erschienen am 22.03.2021
E-Paper

IT-Sicherheit ist Chefsache

Brennpunkt Managerhaftung

Von Dipl.-Ing. Holger Kämmerer, Braunschweig

Der Vorfall kostet Geld, Zeit und Nerven und ist am Ende auch datenschutzrechtlich relevant und meldepflichtig. Wer haftet nun wofür gegenüber dem Gesellschafter, den Datenschutzbehörden und geschädigten Dritten?

Bevor wir das klären, werfen wir einen Blick auf die aktuelle Situation: Die IT-Technik spielt in vielen Organisationen inzwischen eine zentrale Rolle. Informationsprozesse, Produktions- und Lieferketten – kaum etwas läuft mehr ohne IT. Dies verdeutlicht zum Beispiel das Medium E-Mail. Dieses hat die textliche Kommunikation in Geschäftsprozessen derart beschleunigt, dass inzwischen Antworten eher im Minutenabstand erwartet werden als am nächsten Tag. Digitalisierung ist an dieser Stelle Businesstreiber und ein kritischer Faktor für eine positive Unternehmensentwicklung, sorgt aber auch für immer größere Abhängigkeiten.

Die IT-Systeme werden zudem immer komplexer und durch ihre Vernetzung auch immer anfälliger für Störungen und Angriffe. Analysiert man die Log Files von Firewall-Systemen, so ist immer wieder beeindruckend, wie gezielt und massiv Angriffe auf bestimmte Schwachstellen im System ausfallen können. Tendenz steigend!

Was kann also passieren?

In das IT-System eingedrungene Malware verschlüsselt Daten oder lässt diese vollständig abfließen, der Weg zurück zur Datenhoheit ist häufig mit einer Lösegeldzahlung verbunden, doch wer mag dem trauen? Phishingkampagnen (also zum Beispiel das „Abfischen“ von Zugangsdaten durch gefälschte Webseiten) richten sich gezielt an bestimme Personengruppen per Mail oder Website und die Angreifer können so neben vertraulichen Unternehmensinformationen – z. B. auch Konto- und Zugangsdaten – erlangen. Selbst ein Indentitätsdiebstahl über Fake-Accounts kann erheblichen Schaden anrichten. Neben den wirtschaftlichen Schäden, zu denen nicht nur die Wiederherstellung der Systeme und Daten zählen, sondern auch Ausfallzeiten und Betriebsstörungen gehören, kann zusätzlich noch ein Imageverlust kommen.

Laut Bitkom sind mittlerweile bereits 69 % der deutschen Industrieunternehmen Opfer von Cyberangriffen geworden. Hierdurch entstehende Schäden werden auf über 50 Milliarden Euro jährlich geschätzt. Risiken gibt es also genug und die Cyber-Crime-Industrie arbeitet noch dazu hochgradig vernetzt und sogar automatisiert, sodass die Risiken weiter steigen. Für eine angemessene IT-Sicherheit und den Betrieb einer IT nach dem „aktuellen Stand der Technik“, die den Anforderungen der DSGVO und auch den betrieblichen Belangen der jeweiligen Organisation gerecht wird, zeichnet sich der Geschäftsführer verantwortlich. Das ergibt sich sowohl für Gesellschaften, auf die das Aktiengesetz Anwendung findet (aus § 93 Abs. 2 S. 1 AktG), als auch für solche, für die das GmbH-Gesetz gilt (aus § 43 Abs. 2 GmbHG) und zusätzlich aus Art. 24 Abs. 1 u. 2 DSGVO. Im Rahmen der DSGVO ist hier von technisch-organisatorischen Maßnahmen, sogenannten TOMs, die Rede. Daraus erwächst die Verpflichtung, den Nachweis für die durchgeführten Maßnahmen erbringen zu können (s. auch ErwGrd 74). Daher bedarf es also nicht nur der Umsetzung, sondern auch einer nachvollziehbaren Dokumentation.

Die Frage ist, wie man es als Geschäftsführer insbesondere kleiner und mittlerer Unternehmen schaffen kann, diesen Anforderungen gerecht zu werden und seine persönlichen Haftungsrisken zu minimieren. Eine Lösung kann in vier Schritten erfolgen:

  1. Analyse des Ist-Zustandes der IT-Struktur
  2. Risikoanalyse der IT-gestützten Geschäftsprozesse
  3. Entwicklung eines Maßnahmen-Plans
  4. regelmäßige Überprüfung der getroffenen Maßnahmen und deren Aktualität.

Die Ist-Analyse erfolgt über einen IT-Sicherheits-Check, der sinnvollerweise von einem externen Experten auditiert werden sollte und mindestens folgende Prüfpunkte beinhaltet:

  • die Dokumentation Ihrer IT-Systeme und der verwendeten Software
  • eine Regelung der Zuständigkeiten für Vorfälle mit IT-Bezug
  • die ständige Aktualität der verwendeten Betriebssysteme und Software
  • die Leistungsfähigkeit der eingesetzten Firewall und der Virenschutzsoftware
  • Ihr Backup-System inklusive einer Backup-Policy und einem protokolliertem Rücksicherungstest
  • die Dokumentation und Umsetzung eines Passwort- und Informationsmanagements
  • die Regelung von Datenzugriffen und Internetnutzung
  • die Zugangsmöglichkeiten via WLan für Mitarbeiter und Gäste
  • und nicht zuletzt der Wissenstand und die Kenntnisse der Mitarbeiter zum Thema IT-Sicherheit.

Dies kann geschehen, indem Sie von ihrem IT-Verantwortlichen eine aktuelle Dokumentation anfordern und mit ihm die beschriebenen Prüfpunkte besprechen. Sollte schon die Dokumentation nicht vorhanden sein, herrscht direkt höchste Alarmstufe und sofortiges Handeln ist geboten.

Eine Risikoanalyse beschreibt ihre kritischen, IT-gestützten Prozesse und die Sensibilität ihrer Daten, dazu die potenziellen Gefahren, denen ihre IT und damit ihr Geschäft ausgesetzt sind. Hier empfiehlt sich ein möglichst einfaches System für den ersten Überblick, das dann Schritt für Schritt vertieft und detailliert werden kann. Diese Risikoanalyse ist zusätzlich der Ausgangspunkt und wichtiger Bestandteil eines Business-Continuity-Managements, das Sie auch in kritischen Situationen in die Lage versetzt, ihr Geschäft unter dem Einsatz von Notfallplänen am Laufen zu halten.

Dokumentieren Sie diese Prozesse und die sich aus der Analyse ergebenden Maßnahmen in einem Zeit- und Budgetplan für die Entwicklung ihrer IT. Neben der monatlichen oder quartalsweisen Überprüfung der Umsetzungsfortschritte ist es angeraten, einmal pro Jahr, idealerweise begleitet durch einen externen Experten, einen Review über den Status ihrer IT-Sicherheit durchzuführen.

Fazit

Es ist ratsam, dass Sie sich kurzfristig einen Überblick verschaffen und für klare Zuständigkeiten und geeignete Maßnahmen zum Schutz und zur Sicherheit Ihres Geschäfts sorgen.

Bild:Adobe Stock/peshkov

Ähnliche Artikel

Finanzen Steuern Recht

Strafe muss sein?

Schadenspauschalen und Vertragsstrafen in AGB oft unwirksam

Lieferverzögerungen führen häufig zu Schadenersatzansprüchen der Kunden. Wenn vertraglich Schadenspauschalen oder Vertragsstrafen vereinbart sind, werden diese geltend gemacht und gegen Lieferrechnungen aufgerechnet.

Ostwestfalen/Lippe 2018 | Dr. iur. Bernhard König, Detmold

Finanzen Steuern Recht

Haftungsrisiken in der Unternehmenskrise

Haftung vermeiden und Sanierung ermöglichen

Es gibt viele Gründe dafür, dass ein Unternehmen in eine wirtschaftliche Krise geraten kann. Diese müssen nicht immer im Unternehmen selbst liegen. Auch wenn das Unternehmen hierfür nicht verantwortlich ist, hat sich die Geschäftsführung in der Krise dennoch an ihre gesetzlichen Pflichten zu halten.

Braunschweig/Wolfsburg 2018 | Silvio Höfer, Hannover | Florian Harig, Hannover