Sorglosigkeit kann teuer werden

Wie teuer eine Vernachlässigung der Sorgfaltspflichten seitens der Geschäftsführung werden kann, zeigt auch die Rechtsprechung: So verurteilte der Bundesgerichtshof (BGH) den Geschäftsführer eines EDV-Dienstleisters zu Schadenersatz wegen unzureichender Backup-Kontrolle (Aktenzeichen X ZR 64/94). Der Dienstleister, eine GmbH, hatte an seinen Kunden EDV-Systeme inklusive Bandsicherung (Streamer) und Anwendungssoftware geliefert. Aufgrund einer fehlerhaften Implementierung der Sicherungsroutine blieben die Backup-Bänder unbeschrieben, sodass bei einem Systemabsturz alle gespeicherten Daten verloren gingen. Der BGH gab dem geschädigten Kunden Recht: Der Geschäftsführer des EDV-Dienstleisters haftet persönlich und hätte sich durch geeignete Prozesse oder Maßnahmen davon überzeugen müssen, dass die Sicherungsmechanismen des Backups voll funktionsfähig sind. Die Szenarien für mangelnde IT-Sicherheit und potenzielle Risiken sind vielfältig. Die Spannweite reicht beispielsweise von unzureichenden und ungeprüften Backups über mangelnde Archivierung bis hin zu lückenhaftem Viren- und Spamschutz. Es kommt auch immer wieder vor, dass ein Administrator unerwartet ausfällt, beispielsweise durch einen Verkehrsunfall, und die gesamten Konfigurationen und Passwörter nicht hinterlegt sind. Doch um Risiken zu begegnen, müssen diese zunächst einmal bekannt sein: Eine Risikoanalyse hilft, Risikofelder zu definieren und deren Gefahrenpotenziale im Detail abzuschätzen. Basierend auf den Ergebnissen der Analyse lassen sich Risikoquellen strukturieren und systematisieren. Management-Systeme wie die ISO 27001 (Informationssicherheit) geben hier Strukturen, Verfahren und Prozesse vor. So ist es möglich, den Grad der Gefährdung zu bewerten und in Relation zu den Kosten zu setzen, die durch etwaige Gegenmaßnahmen entstehen.