Neue Serie: IT Security und Haftung - Mit einem Bein im Gefängnis? (Teil 1)

Die Serie "Mit einem Bein im Gefängnis? - IT Security und Haftung" wird in den nächsten Tagen insbesondere folgende Themenabschnitte behandeln:

• Rechtliche Aspekte und Bedeutung der IT-Security.
• Woraus ergibt sich die rechtliche Pflicht zur Gewährleistung der IT-Security?
• Rechtliche Anforderungen an die IT-Security im Unternehmen.
• Mögliche Risiken bei der Vernachlässigung der Belange der IT-Security.
• Wie können nun die Verantwortlichen den Belangen der IT-Security am besten nachkommen?
• Besprechung aktueller Urteile zum Bereich der IT-Security.

Teil 1: Allgemeine rechtliche Aspekte und die Bedeutung der IT-Security

A. „IT-Sicherheit ist Chefsache”

Gerne wird auf Seminaren, Workshops oder etwa in den Medien das Thema IT-Sicherheit mit folgendendem Spruch eingeleitet: „IT-Sicherheit ist auch Chefsache”.

Nur, der Spruch „IT-Sicherheit ist Chefsache” kann auch in einem bösartigeren Sinn verstanden werden, nämlich dass auch der Chef für die IT-Sicherheit seinen Kopf hinhalten muss. Gerade dieser Aspekt der IT-Sicherheit soll Thema dieser Serie sein. So gibt es eben zwei Möglichkeiten, wie sich der „Chef” mit der IT-Sicherheit” seines Betriebes beschäftigen kann. Entweder kümmert sich die Geschäftsführung bereits präventiv um die Belange der IT-Sicherheit, oder aber die IT-Sicherheit wird spätestens beim Eintritt eines Schadensfalls zur Chefsache und zwar in dem Sinne, dass dem Unternehmen wegen mangelnder IT-Sicherheit ein enormer Schaden entsteht und insoweit gar eine mögliche persönliche Haftung der Geschäftsführung bzw. des Vorstandvorsitzes in Frage kommt.

Das Thema „IT-Sicherheit” geht also keineswegs nur Computer-Spezialisten an, sondern hat absolute unternehmerische Relevanz. Unternehmen, die der IT-Sicherheit nur wenig Beachtung schenken, handeln grob fahrlässig und werden mittlerweile auch seitens der Gerichte als schlicht „blauäugig” bezeichnet. Dazu im Folgenden ein recht anschaulicher Fall, den das OLG Hamm erst im Jahre 2003 zu entscheiden hatte. Hier wird besonders deutlich, welche rechtlichen Konsequenzen sich aus einer derartigen Blauäugigkeit für ein Unternehmen ergeben können.

B. Selber schuld! OLG Hamm: Mangelnde Datensicherung bei Unternehmen?

I. Sachverhalt

Ein Reiseunternehmen hatte Probleme mit seinem Server und beauftragte einen Computer-Reparaturdienst, nach dem Grund für eine bestimmte Fehlermeldung zu suchen. Der Angestellte des Reparaturdienstes wollte daraufhin eine Festplatte austauschen und erkundigte sich vorher, ob die betreffenden Daten gesichert seien. Dies bejahte das Reiseunternehmen und es kam, wie es kommen musste: Bei der Vorbereitung des Festplattenaustausches kam es zu einem Absturz des Servers mit der Folge, dass zahlreiche Geschäftsdaten gelöscht wurden.

II. Problemstellung

Das Reiseunternehmen hatte seine Daten noch nicht einmal monatlich gesichert, so dass Teile der Daten tatsächlich unwiederbringlich gelöscht waren. Das Reisebüro verklagte nun den Computer-Reparaturdienst auf Zahlung von Schadensersatz mit der Begründung, dass der Reparaturdienstleister bei den Arbeiten an der Festplatte nicht sachgemäß vorgegangen sei und dabei das System zerstört oder beschädigt habe. Es sei jedenfalls nicht genügend Sorge für eine hinreichende Datensicherung vor diesen Arbeiten getragen worden. Dazu sei der Reparaturdienst aber verpflichtet gewesen. Das zuständige Gericht hatte nun zu entscheiden, in wessen Verantwortungsbereich die Datensicherung fällt...

III. Das OLG Hamm fand hierzu auch deutliche Worte

Das OLG Hamm (Urteil vom 01.12.2003, 13 U 133/03) legte dem Reiseunternehmen zur Last, dass dieses nicht für eine zuverlässige Sicherheitsroutine gesorgt, sondern diese vielmehr grob vernachlässigt habe. So habe der nach dem Absturz festgestellte Stand der Komplettsicherung dem Stand vier Monate vor den Wartungsarbeiten entsprochen! Dies sei „grob fahrlässig, ja blauäugig, so das OLG Hamm. Schließlich habe eine Sicherung der Unternehmensdaten „täglich zu erfolgen, eine Vollsicherung mindestens einmal wöchentlich.

Das Gericht legte noch nach: Selbst wenn dem Angestellten eine Pflichtverletzung im Sinne der Wahrnehmung seiner Controllerpflichten vorzuwerfen wäre, bliebe es dabei, dass dem Reiseunternehmen eine Alleinschuld am entstanden Datenverlust und damit am finanziellen Schaden vorzuwerfen wäre.

IV. Haftungsproblematik der Beteiligten:

Die nun schon vielfach zitierte „Blauäugigkeit” kann für den jeweiligen IT-Verantwortlichen in einem Unternehmen und unter Umständen auch für die Geschäftsleitung gravierende Folgen haben:

So ist die Geschäftsleitung nach dem am 27.04.1998 in Kraft getretenen Kontroll- und Transparenzgesetz (KonTraG) verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren (ausführlich dazu unten). Schenkt die Geschäftsleitung der Gefahr einer fehlenden Datensicherung keine Beachtung, so ist in Anbetracht der zu erwartenden Schäden, die sogar eine Insolvenz des Unternehmens auslösen können, auch deren Verhalten als grob fahrlässig zu bezeichnen. Natürlich kann sich auch der unmittelbare IT-Verantwortliche aus dem Arbeits- bzw. Anstellungsvertrag haftbar machen. Es muss heutzutage zudem jedem klar sein, dass Pflichtverletzungen im Bereich der IT-Sicherheit arbeitsrechtliche Abmahnungen und im Wiederholungsfall gar Kündigungsfolgen nach sich ziehen können.

V. Moral der Geschichte

Bei unzureichenden Datensicherungsmaßnahmen spielt es keine Rolle, wie diletantisch etwaige Wartungsarbeiten vorgenommen werden. Das Risiko des Datenverlusts tragen in diesen Fällen ausschließlich derart „blauäugige” Unternehmen bzw. die jeweiligen Verantwortlichen.

C. Bedeutung der Informationstechnik

für Unternehmen / Bedrohungspotential

Heutzutage sind in der Geschäftswelt nahezu alle denkbaren Prozesse von der Informationstechnik (IT) abhängig. Man denke nur schon an die Textverarbeitung am Arbeitsplatz, die Buchhaltung, den Logistikbereich oder an die digitalisierten Datenbanken. Es erstaunt daher nicht, dass sich heutzutage in Deutschland so gut wie jedes Unternehmen der Informationstechnik bedient.

Um dies näher zu veranschaulichen, soll auf die amtliche Statistik des „Statistischen Bundesamtes” hingewiesen werden die einen Teilaspekt der IT beleuchtet, nämlich die Nutzung des Internet. So ermittelte das „Statistische Bundesamt” erst im letzten Jahr (2005), dass 94% aller Unternehmen in Deutschland (mit mindestens 10 Beschäftigten) einen Internetzugang besaßen (vgl. http://www.destatis.de/informationsgesellschaft/) und dabei 59% über eine eigene Website verfügten. Erstaunlich ist dabei nur, dass immer noch die meisten Unternehmen, nämlich 44%, die Verbindung zum Internet mittels ISDN herstellten – eine letztlich überkommene Technik.

I. Bedeutung und die Risiken des Internets

Die enge Verzahnung von unternehmerischem Handeln und dem Einsatz von Informationstechnik hat jedoch auch eine Kehrseite. So haben in so gut wie allen Fällen ernst zu nehmende Ausfälle oder Störungen der IT direkte Auswirkungen auf den jeweiligen unternehmerischen Erfolg.

Beispiel: Kommt es zu Ausfällen der Produktionssteuerung können vertraglich zugesagte Liefertermine nicht mehr eingehalten werden. Oder: Gehen unternehmenseigene Datenbestände verloren, kann dies zur Konsequenz haben, dass die betroffenen Unternehmen schlicht nicht mehr handlungsfähig sind und sowohl einen enormen finanziellen als auch zeitlichen Aufwand für die Datenrettung aufzubringen haben. Dies gelingt darüber hinaus bedauerlicher Weise in vielen Fällen nicht in vollem Umfang.

Gerade das Internet schafft in diesem Zusammenhang eine enorme Gefahrenquelle für Unternehmen. Auch wenn das „Netz der Netze” mittlerweile für die Wirtschaft so gut wie unentbehrlich geworden ist, die Sicherheitsrisiken, denen sich jedes „angeschlossene” Unternehmen dadurch aussetzt, sind enorm.

So kursiert im Internet etwa die Nachricht, dass für den Fall, dass man einen ungeschützten Computer heutzutage ins WorldWideWeb stelle, dieser statistisch gesehen innerhalb von nur 2 Minuten verseucht sei, ohne freilich, dass man dabei „kritische” Websites besucht haben müsse. Dies kann jedoch vom Verfasser dieses Beitrags nicht bestätigt werden, seine Erfahrungen waren andere…

II. Exkurs: Selbstversuch des Verfassers

Im Folgenden nun eine Beschreibung des erst kürzlich vorgenommenen Versuchs des Verfassers, eine „frische” Windows XP Version (Service Pack 1) auf eine neue Festplatte zu installieren und damit anschließend ins Internet zu gelangen. Der Verfasser wurde dabei fast wahnsinnig…

1. Installation und Vorbereitung:

Der Verfasser installierte auf einer neuen, bisher unbenutzten Festplatte das Betriebssystem Windows XP Professional (Service Pack 1). Danach installierte er ein kostenlos erhältliches Firewall-Programm sowie ein Antiviren-Schutzprogramm.

2. Verbindung zum Internet:

Als er nun die Verbindung zum Internet mittels eines DSL 16 anlegte, passierte folgendes:

• Ein paar Sekunden (!) nachdem er den Internet Explorer starte, meldete sein Virenscanner die ersten Trojaner, die sich auf seinem System niedergelassen hätten.
• Kurze Zeit darauf stellte das Firewall-Programm seinen Dienst ein. Es ließ sich daraufhin auch nicht mehr neu starten.
• Der Echtzeitscanner (engl. On-Access Scanner) seines Antivirenprogrammes deaktivierte sich. Der letzte Virus, den der Scanner erkannte, war die exe.Datei des (eigenen) Virenscanners. Diese wurde daraufhin automatisch gelöscht mit der Konsequenz, dass sich das Antiviren-Programm beendete und ab da an nicht mehr startbar war.
• Eine erneute Installation des Virenscanners oder der Firewall scheiterte daran, dass die entsprechenden Installationsprogramme auf einmal „corrupt” waren - wie sich Windows ausdrückte…
• Der Versuch des Verfassers, eine spezielle Software zum Entfernen von „Würmern” herunterzuladen scheiterte. Der „Internet Explorer” weigerte sich, die entsprechende Datei downzuloaden. Der Verfasser nutzte daraufhin den Internet-Browser „Opera” und es gelang ihm tatsächlich die Software herunterzuladen. Nur, installieren ließ sie sich nicht, da sie anscheinend auch „corrupt” war, wie sich Windows äußerte…
• Das Statusfenster des DSL-Zugangsproblem zeigte höchste permanente Aktivität an und zwar sowohl auf der Download- und der Uploadseite. Dabei war der Verfasser selber nicht im Internet aktiv.

Fazit: Dem Verfasser gelang es auch nach mehreren Versuchen nicht, sich mit dem oben erwähnten Betriebssystem ins Internet einzuloggen. Vielmehr wurde sein Computer bereits Sekunden nach dem Anschluss ans Internet mit schadensstiftender Software aller Art befallen mit der Konsequenz, dass der Verfasser innerhalb kürzester Zeit praktisch „entmündigt” wurde. Sein Rechner agierte wie ferngesteuert bzw. reagierte nicht mehr auf die Befehle des Verfassers.

III. Sicherheitsprobleme nehmen zu!

Das Fachmagazin CIO ermittelte auf Grund einer Befragung, dass die Zahl sicherheitsrelevanter Vorfälle in der IT-Welt immer weiter steigt. So stieg etwa die Zahl dieser Vorfälle allein im Jahr 2005 um 22 % gegenüber dem Vorjahr. Insgesamt blieben nur 36 % der befragten Betriebe von Sicherheitsproblemen verschont. Die übrigen Unternehmen registrierten zwischen einem und neun Vorfällen. Dabei gehen die mit Abstand meisten Sicherheitsprobleme (63%) auf das Konto von Hackern, denen es gelang, Viren auf Unternehmensservern zu schleusen. Darüber hinaus wurde jeder dritte Vorfall durch eigene Angestellte verursacht, ein Fünftel davon von ehemaligen Mitarbeitern.

Interessant dabei ist, dass von einem Viertel der Sicherheitsvorfälle die Verantwortlichen selber nicht wussten, wer oder was diese verursacht hatte.

D. Zum Begriff der IT-Sicherheit

Angesichts der oben beschriebenen wachsenden Verwundbarkeit und der Gefahr massiver wirtschaftlicher Schäden in Folge von IT-Risiken wäre schon viel gewonnen, wenn sich endlich flächendeckend in der Wirtschaft (gerade bei kleinen und mittelgroßen Unternehmen) sowie bei der öffentlichen Hand die Erkenntnis durchsetzen würde, dass der Sicherheit der eigenen IT-Infrastruktur ein hoher Stellenwert einzuräumen ist. Schließlich stellt sie heutzutage die Grundlage jedes unternehmerischen oder verwaltungstechnischen Handelns dar bzw. ist ein integraler Bestandteil jedes Planungs- und Steuerungsprozesses.

IT-Sicherheit bedeutet letztlich nichts anderes, als dass die ständige

• Verfügbarkeit,
• die Vertraulichkeit und
• die Unversehrtheit von Daten bzw. der Informationstechnik zur Aufrechterhaltung der Geschäftsprozesse und der Abwehr von Schäden, gewährleistet werden muss.

Diese drei Begriffe werden so gut wie immer erwähnt, wenn es um das Thema IT-Sicherheit geht. Im Folgenden soll nun geklärt werden, was damit im Einzelnen gemeint ist.

I. Verfügbarkeit der Daten

Mit diesem Schlagwort ist der Schutz vor Informationsverlusten oder gar dem Informationsentzug gemeint. Gerade die ständige Verfügbarkeit der vorhandenen unternehmenseigenen IT-Infrastruktur sowie der zugehörigen Datenbeständen bei Unternehmen wird immer kritischer, da so gut wie kein Geschäftsprozess mehr ohne IT-Unterstützung funktioniert.

Aus diesem Grund hat sich jedes Unternehmen zu vergewissern, ob das jeweils bei ihm eingesetzte IT-System tatsächlich in der Lage ist zu gewährleisten, dass das System bei einem autorisierten Zugriff zu jedem definierten Zeitpunkt in der gewünschten Art und Weise reagiert, das System bei nicht autorisierten Zugriffen unter allen Umständen verhindert, dass z.B. unbefugte Dritte von außen auf die Verfügbarkeit Einfluss nehmen.

Hinzu kommt: Immer mehr Unternehmen, gerade im Online-Bereich, sind zu jeder Tages- und Nachtzeit auf den Zugriff der unternehmenseigenen Datenbestände und damit auf eine möglichst störungsfreie IT-Infrastruktur angewiesen. Dies stellt wiederum eine enorme Herausforderung an die Wartung der Systeme dar und gerade hier ist es unerlässlich, sich vor möglichen Ausfällen durch Backup-Systeme und einer regelmäßigen Datensicherung abzusichern.

II. Unversehrtheit der Daten

Bei der notwendigen „Unversehrtheit der Daten” geht es darum, dass eine unautorisierte Informationsveränderung verhindert wird. Es muss hier sichergestellt werden, dass das eingesetzte IT-System in der Lage ist zu verhindern, dass

• Informationen unerlaubt verändert werden oder
• Angaben, etwa zum Autor, verfälscht werden oder
• etwa der Zeitpunkt der Erstellung manipuliert werden kann.

Es muss sichergestellt sein, dass unternehmenseigene Daten und die sie verarbeitenden Systeme vollständig und unverändert bleiben. Dazu gehört auch, dass eine wie auch immer vorgenommene Veränderung der Daten sofort offensichtlich wird und nachvollzogen werden kann.

Nur am Rande: Diese Forderungen erfüllt übrigens die gesetzliche "qualifizierte" elektronische Signatur.

III. Vertraulichkeit der Daten

Die Schutzrichtung Vertraulichkeit meint dagegen nicht den Schutz vor einer wie auch immer gearteten Datenmanipulation. Vielmehr geht es darum, dass ein unbefugtes Ausspähen unternehmenseigener Daten verhindert werden soll. Hierbei spielt insbesondere das Thema Wirtschaftsspionage eine große Rolle, etwa

• wenn es um Angriffe von Wettbewerbern mit dem Ziel der Konkurrenzausspähung geht
• oder um fremde Nachrichtendienste, die im Rahmen der Wirtschaftsspionage tätig werden.

Gerade die Wirtschaftsspionage eigentlich befreundeter Staaten sollte nicht unterschätzt werden. So stellt es heutzutage kein Geheimnis mehr dar, dass entsprechende Dienste in Russland und der Ukraine gesetzlich dazu verpflichtet sind, die heimische Wirtschaft zu unterstützen, indem sie den Unternehmen des Heimatlandes Informationen beschaffen, die diesen sonst nicht oder nur mit erheblichem finanziellen Aufwand zugänglich wären. In diesem Zusammenhang soll auch nicht unerwähnt bleiben, dass man in Europa befürchtet, dass etwa die USA mit ihrem Spionagesystem Echelon systematische Wirtschaftsspionage zugunsten von US-Unternehmen betreiben.

Die immer weiter fortschreitende Technik, gerade im Bereich der IT, führt dazu, dass gerade die so genannten „Fernmelde- und elektronischen Aufklärung” im Rahmen der Wirtschaftsspionage eine immer größere Bedeutung spielt. Darunter hat man sich etwa das Abhören von Telefonen oder das Mitlesen von Fernschreiben, Faxen und anderen Datenströmen vorzustellen. Wirkungsvolle Gegenmaßnahmen lassen sich hier nur treffen, wenn das jeweils eingesetzte IT-System in der Lage ist, relevante und sensible Informationen tatsächlich nur den berechtigten Teilnehmern zugänglich zu machen. Ein unberechtigter Teilnehmer darf in einer automatisierungstechnischen Anlage eben keinen Zugriff auf übertragene oder gespeicherte Daten bekommen. Zumindest muss aber gewährleistet sein, dass er aus den erhaltenen Daten keine Informationen gewinnen kann, was wiederum beispielsweise durch Verschlüsselung erreicht werden kann.

Es darf nicht übersehen werden, dass sich gerade auf der Exklusivität jener Informationen, die als Betriebs- oder Geschäftsgeheimnisse das Resultat von Innovation und Investition darstellen, der wirtschaftliche Erfolg so manches Unternehmen gründet.

Vorschau: In Teil 2 der vorliegenden Serie zur „IT-Security” wird es insbesondere darum gehen, woraus sich die rechtliche Pflicht zur Gewährleistung der IT-Security genau ergibt? Hier wird insbesondere das vielzitierte sog. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich („KonTraG”) eine Rolle spielen, wobei hierbei hauptsächlich die Pflicht zur Einrichtung eines speziellen Überwachungssystems sowie eines Risikomanagement behandelt werden wird. Darüber hinaus werden einige Sonderregelungen berücksichtigt, die spezielle Anforderungen an die IT-Security in besonders sensiblen Bereichen vorsehen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.