Zusammenfassung
Die IT-Sicherheit ist in Unternehmen aller Art und Größe von elementarer Bedeutung. Mit geeigneten Schutzvorkehrungen und Sicherheitsmaßnahmen muss gewährleistet sein, dass die Verarbeitung, Archivierung und Übermittlung von Daten allen internen und externen Risiken und Gefahren zum Trotz stets sicher und regelkonform erfolgt. Anhand der 11 Checklisten, die in diesem Beitrag vorgestellt werden, können Sie für alle wichtigen Bereiche der IT-Sicherheit den aktuellen Sicherheitsstatus feststellen, Schutzlücken erkennen und auf dieser Basis passende IT-Sicherheitskonzepte entwickeln.
1 Vorbemerkung
IT-Sicherheit muss sein: Nicht nur in börsennotierten Unternehmen, sondern auch in GmbHs, AGs und anderen Kapitalgesellschaften sind Vorstände und Geschäftsführer für die IT-Sicherheit persönlich haftbar. Der Gesetzgeber schreibt außerdem die Rechtskonformität sämtlicher Unternehmensabläufe vor. Und dann sind da ja auch noch die Banken und die ISO-Zertifizierung, die auch angemessene IT-Sicherheitsvorkehrungen verlangen. Doch was ist angemessen?
IT-Sicherheitsmaßnahmen sind nicht nur angesichts der vielfältigen Sicherheitsbedrohungen eine absolute Notwendigkeit. Sie tragen entscheidend dazu bei, das Vertrauen von Kunden und Geschäftspartnern zu gewährleisten, und helfen Umsätze zu generieren und zu stabilisieren. Auch ist der externe Druck auf die Geschäftsleitung, IT-Sicherheitsmaßnahmen nicht nur sporadisch, sondern umfassend und nachhaltig umzusetzen, mittlerweile so stark, dass sich dem auch Kleinunternehmen nicht widersetzen können.
Spürbarer Druck kommt auch von Seiten der Kreditgeber. Bei der Kreditvergabe gelten die Vorschriften von Basel III, nach denen die Banken noch stärker als bei Basel II verpflichtet sind, bei der Risikoabwägung auch die IT-Risiken des Kreditnehmers zu evaluieren und diese bei den angebotenen Kreditkonditionen zu berücksichtigen.
Und auch der TÜV macht Druck: Die IT-Sicherheit spielt bei der ISO-Zertifizierung, die auf Verlangen von Großkunden auch bei immer mehr Kleinbetrieben durchgeführt wird, eine wichtige Rolle, wenn es um das Qualitätsmanagement geht. So ist nach DIN EN ISO 9000 ff. die Geschäftsleitung ausdrücklich für alle Prozesse verantwortlich. Wenn es also aufgrund mangelhafter IT-Sicherheitsvorkehrungen Probleme gibt, ist dies ein Versagen der Geschäftsleitung. Diese ist zwar berechtigt, Aufgaben an die verschiedenen Abteilungen zu delegieren. Aber auch dann gilt: Die Verantwortung bleibt immer bei der Geschäftsleitung.
Der größte Druck aber kommt vom Gesetzgeber: Es gibt eine ganze Reihe gesetzlicher Bestimmungen, aus denen eine persönliche Haftung der Geschäftsleitung und Forderungen nach einem umfassenden IT-Sicherheitskonzept und konkreten IT-Sicherheitsmaßnahmen folgen. Wichtigster Bestandteil ist dabei die IT-Compliance, deren zentrales Element wiederum die IT-Sicherheit ist.
2 Gesetzliche Rahmenbedingungen
Eine eindeutige gesetzliche Haftung für die IT-Sicherheit in Unternehmen folgt aus gesetzlichen Regelungen, die greifen, wenn Unternehmensdaten an die Öffentlichkeit gelangen, schwere wirtschaftliche Schäden durch die mutwillige oder fahrlässige Zerstörung von Unternehmensdaten entstehen oder z. B. vom E-Mail-Server des Unternehmens Massen-Mails mit Viren verschickt werden.
Obwohl es außer dem IT-Sicherheitsgesetz das vor allem für den Bereich der Kritischen Infrastrukturen gilt, keine speziellen Sicherheitsgesetze gibt, in denen die Haftung der verantwortlichen Personen direkt geregelt ist, gibt es doch Rechtsvorschriften, aus denen sich die Haftungsverpflichtungen des Geschäftsführers und des Vorstands für die IT-Sicherheit direkt ableiten lassen. Diese Regelungen gelten sowohl für GmbHs als auch für Aktiengesellschaften und werden immer nachdrücklicher durchgesetzt und angewendet.
Im Aktiengesetz ist festgelegt, dass ein Vorstand haften kann, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG). Geschäftsführer einer GmbH sind laut GmbH-Gesetz verpflichtet, "die Sorgfalt eines ordentlichen Geschäftsmannes" walten zu lassen. Ähnliche Formulierungen finden sich auch im Handelsgesetzbuch (§ 347 Abs. 1 HGB).
Immer wieder zitiert wird auch KonTraG, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, das Unternehmen dazu verpflichtet, ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten. KontraG wurde genau wie das ähnlich lautende TransPuG, das Transparenz- und Publizitätsgesetz, zwar ursprünglich für Aktiengesellschaften verfasst, der Geist beider Gesetze wird aber längst auch auf kleinere Unternehmen angewendet.
Auch wenn die genannten Formulierungen allgemein und unverbindlich klingen mögen, werden daraus tatsächlich konkrete Haftungsverpflichtungen für die Gewährleistung einer angemessenen IT-Sicherheit abgeleitet.
Deutlich konkreter sind die Anforderungen, die sich aus den "Grundsätzen zur ordnungsgemäßen Führung...