IT Sicherheit und Cyberkriminalität liefern sich ein endloses Wettrennen. Immer wieder werden neue, erkannte Lücken in Softwarelösungen geschlossen. Dennoch ist immer wieder von neuen Datendiebstählen oder Manipulationen an IT Systemen zu lesen. Dennoch kann nicht für jedes Unternehmen die gleiche Sicherheitsstrategie eingesetzt werden.Der zunehmende Einsatz mobiler Geräte, (Smartphones, Tabletts und die klassischen Laptops) erhöhen den Aufwand, die Sicherheit der Geräte, der Daten und der Infrastruktur sicherzustellen.
IT-Sicherheit geht alle an und betrifft jeden
Aus unserer Praxiserfahrung empfehlen wir daher, mit der Frage des individuellen Schutzbedarfes zu beginnen. Wie groß ist das Bedrohungsrisiko? Wo tritt es in welcher Form auf?
Für wen sind die Firmeninformationen wertvoll und für wen sind Nutzerdaten interessant?
Dies als erstes zu erarbeiten ist eine der möglichen Vorgehensweisen, um realistisch und auch Kosteneffizient mit dem Thema IT Sicherheit umzugehen.
IT-Sicherheit ist aber nicht nur die Sicherheit vor Angriffen von aussen, sondern auch die Sicherstellung der Datenqualität, der Integrität und der Aktualität von Informationen. Sicherlich kennen Sie genügend Meldungen, die beschreiben, daß bei Softwareupdates ein komplettes Airline-Buchungssystem über Stunden und Tage lahmgelegt wurde, Großhändler konnten ihre Aufträge nicht mehr buchen, oder Rechnungen enthielten falsche Informationen oder wurden nicht generiert. All dies können Auswirkungen von Fehlern im IT System sein. Diese zum Teil existenzbedrohenden Aktionen gilt es zu identifizieren und die Risiken zu reduzieren.
Unsere Vorgehensmodelle haben sich bewährt und bieten einen Standard, der hilft, Bedrohungszenarien einzuschätzen, Maßnahmen zu definieren und die Gefährdung von Geschäftsprozessausfällen zu reduzieren. Und dies auf die Anforderungen des Unternehmens zugeschnitten. Unabhängig davon nimmt der Gesetzgeber das Top Management in die Pflicht und in die direkte Haftung bei grober Vernachlässigung der Pflichten im Rahmen des IT-Schutzes.
IT Sicherheit – von online Kriminalität betroffen
Wer haftet bei Schäden?
Nichtwissen oder eine gewisse „Blauäugigkeit“ kann für den jeweiligen IT-Verantwortlichen in einem Unternehmen und unter Umständen auch für die Geschäftsleitung gravierende Folgen haben: So ist die Geschäftsleitung nach dem am 27. April 1998 in Kraft getretenen Kontroll- und Transparenzgesetz (KonTraG) verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren.
Schenkt die Geschäftsleitung der Gefahr einer fehlenden Datensicherung keine Beachtung, so ist in Anbetracht der zu erwartenden Schäden, die sogar eine Insolvenz des Unternehmens auslösen können, auch deren Verhalten als grob fahrlässig zu bezeichnen.
Natürlich kann sich auch der unmittelbare IT-Verantwortliche aus dem Arbeits- bzw. Anstellungsvertrag haftbar machen. Es muss jedem klar sein, dassPflichtverletzungen im Bereich der IT Sicherheit arbeitsrechtliche Abmahnungen und im Wiederholungsfall gar Kündigungsfolgen nach sich ziehen können.
Bei unzureichenden Datensicherungsmaßnahmen tragen in allen Fällen ausschließlich die Unternehmen bzw. die jeweiligen Verantwortlichen.
Auch GmbH-Geschäftsführer sind persönlich haftbar
Im Aktiengesetz ist festgelegt, dass eine persönliche Haftung des Vorstand dann in Betracht kommt, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG). Nahezu dieselben Anforderungen gelten:
- Für den Geschäftsführer einer GmbH, der die „Sorgfalt eines ordentlichen Geschäftsmannes“ aufzubringen hat (§ 43 Abs. 1 GmbHG). Diese, zugegebenermaßen eher allgemein gehaltene, Formulierung beinhaltet in der rechtlichen Praxis ganz ähnliche Folgerungen für das Risikomanagement wie für Vorstände nach dem Aktiengesetz.
- Für andere Gesellschaftsformen, wie etwa die Offene Handelsgesellschaft oder die Kommanditgesellschaft. Diese sind nämlich den Kapitalgesellschaften hinsichtlich der Rechtspflichten zur IT-Sicherheit dann gleichgestellt, wenn sie keine natürliche Person als persönlich haftende Gesellschafter haben (vgl. dazu das Kapitalgesellschaften und Co-Richtlinie-Gesetz, „KapCoRiLiG“).
Kommt die Geschäftsführung oder der Vorstand – als Verantwortliche – der oben beschriebenen Risikovorsorgepflicht nicht nach und entsteht dadurch dem Unternehmen ein finanzieller Schaden, kann dies zu einer persönlichen Haftung der Mitglieder des Vorstands und der Geschäftsführung, unter Umständen auch der Aufsichtsratmitglieder (§116 AktG) führen.
Schadensersatz
Die mangelhafte IT-Sicherheit eines Unternehmens kann auch Schadensersatzansprüche desjenigen Vertragpartners nach sich ziehen, dem durch die Leistungserbringung des Unternehmens konkret bezifferbare Schäden entstanden sind, etwa in Form eines kompletten oder auch nur teilweisen Produktions- oder gar Betriebsausfalles.
Dasselbe gilt für den Fall, dass vertrauliche fremde Informationen abhanden gekommen sind. Als Haftungsgrundlage kommen hierbei schuldrechtliche Schadensersatzansprüche in Betracht, gemäß § 280ff. BGB.
Gerade in diesem Zusammenhang ist auch § 241 Abs. 2 BGB zu beachten, wonach die Pflicht besteht, auf die Rechte, Rechtsgüter und Interessen des Vertragspartners Rücksicht zu nehmen. Hierzu gehören insbesondere die Beachtung von Schutzpflichten, Aufklärungs- und Beratungspflichten.
Dies betrifft vor allem innerhalb der IT die Datenspeicherung der Lieferanten und Kunden. Vor allem dem Aspekt des Missbrauches der Daten sollten die IT Leiter und die Verantwortlichen große Aufmerksamkeit schenken,
IT Sicherheit – welche Risiken bestehen?
Wie müssen Unternehmer, Geschäftsführer und wie müssen CIO´s und IT Leiter handeln, um das Unternehmen nicht zu gefährden?
IT Sicherheit ist bei fortschreitender Digitalisierung in der Industrie und im Handel ein Top Thema im Umfeld von Risikobewertungen für das Unternehmen und zwingt die Geschäftsführer und Unternehmer sich mit der IT Sicherheit stärker denn je auseinanderzusetzen.
Dies hat sogar dazu geführt, daß sich DAX Konzerne zusammenschließen und ein gemeinsames Zentrum für Cyber und Internet Sicherheit gründen. Dieses Zentrum soll die beteiligten Unternehmen im Kampf um die Sicherheit unterstützen.
Die Mehrzahl der Firmen sind aber nicht DAX Mitglied und müssen die gleichen Anforderungen erfüllen.
Sichere IT Systeme und Cyber-Sicherheit sind eine grundlegende Voraussetzung für die Realisierung von Industrie 4.0 Möglichkeiten und der Umsetzung von Effizienzgewinnen und neuen Geschäftsmodellen durch Digitalisierung der Unternehmensprozesse.
Firewall und Antivirensoftware reichen nicht für einen wirksamen IT-Schutz
Aktuellen Umfragen und Studien zufolge glauben viele Unternehmen, dass eine Firewall, Antivirensoftware und ein Passwortschutz Ihr Unternehmen vor Datenverlust, Datendiebstahl oder Ausspähung schützt. Sie irren sich.
Die Experten von Dreher Consulting klären Sie und Ihre Mitarbeiter in Vorträgen oder in unserem kostenlosen Knowledgecenter auf, wie Sie sich gegen Risiken aus der IT-Welt wappnen können. Zudem bieten wir Komplettpakete zu Ihrer IT-Sicherheit an, die wir aus unserer langjährigen Erfahrung im Echtbetrieb entwickelt haben. Der IT-Schutz Ihres Unternehmens fußt so auf der Grundlage der Normenreihe ISO 27000 als Mindeststandard für IT-Sicherheitsmanagementsysteme.
Welche Risiken sind -Stand heute- diejenigen, die uns in der Beratung zur IT Sicherheit am meisten Sorgen bereiten?
Aus unserer Erfahrung in der Betreuung unserer Kunden und bei der kompletten Übernahme von Outsourcing Dienstleistungen zur IT Sicherheit haben wir festgestellt, dass das Problem des Identitätsdiebstahls eine zunehmende Rolle spielt. Die Nutzung mobiler Geräte, wir unterscheiden inzwischen nicht mehr zwischen Laptop, Tablett und Smart Phone, alle sind heute höchst leistungsfähige Computer geworden, bereitet vor allem bei Diebstahl oder Verlust zum Teil Kopfschmerzen um es salopp auszudrücken.
Wenn private, geschäftlich eingesetzte mobile Geräte in der Lage sind, geschäftliche Daten zu speichern (z.B. eMails, PDF, DOC, PPT etc.) und diese Geräte nicht über eine zentrale Verwaltung in der Betreuung sind, wird es schwierig. Wir haben aus Erfahrung zum „bring your own device (BOYD)“ Konzept inzwischen eine eigene Meinung gebildet, die nicht in allen Fällen für diese Lösung spricht.
Bei fahrlässigen privaten oder geschäftlichen Passwörtern ist bei Verlust eines mobilen Gerätes der Datenzugang auf das Gerät und im Zweifel auch in das Firmennetz recht einfach möglich. Allein schon die Definition wann ein Verlust eines Smartphones als Verlust gemeldet werden muss, damit es gesperrt wird, kann lange Sitzungen zur Folge haben bis ein Ergebnis gefunden wird. Ist das Teil jetzt nur verlegt oder wirklich verloren? Wer kennt dies nicht aus eventuell eigener Erfahrung? Wer hat noch nie etwas gesucht? – Aber genau dies sind die Lücken im System die gerne ausgenutzt werden.
Die Datenintegrität ist der nächste Punkt, der mit zunehmender Vernetzung von Software, gerade in komplexen ERP Softwarelösungen oder ERP Systemen mit vielen Schnittstellen ein Gefährdungspotential darstellt. Ein Produktions- oder Handelsunternehmen wird in die Knie gezwungen, wenn es gelingt, Daten in das Master Data System zu schleusen um den Datenbestand zu korrumpieren.
Es sind nur zwei Beispiele aus unserem täglichen Erfahrungsbereich die oben genannt sind. Wir erleben natürlich noch viel mehr. Gleichzeitig sind wir bei Dreher Consulting aber der Ansicht, dass es nichts nutzt, wenn Sie in Vorträgen „live hacking“ zusehen können und beeindruckt sind. Und was dann?
Wir leiten aus diesem Wissen heraus Maßnahmen ab, um Ihnen konkret Hilfestellung geben zu können. Nur dies hilft in unserem Verständnis was IT Beratung zur IT Sicherheit leisten muss.
