Haftung bei unzureichender IT-Sicherheit
Wer nichts unternimmt, muss zahlen
Eine ganze Reihe von Vorschriften erklärt Einführung und Betrieb wirksamer IT-Sicherheit heute zu einem wichtigen Teil der Sorgfaltspflichten eines Unternehmers. Werden sie nicht erfüllt, haften das Unternehmen oder einzelne verantwortliche Personen.
Im Kern geht es beim Thema "IT-Sicherheit" um die Absicherung der Verfügbarkeit, Integrität und
Vertraulichkeit von Unternehmensdaten. Kommt es in einem dieser drei Bereiche zu einem Vofall, der
auf einer mangelnden Absicherung der Unternehmens-IT beruht und Schäden nach sich zieht, stellt
sich die Frage, wer dafür haftet. Dabei ist zunächst an die Unternehmensleitung zu denken. Durch
das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurde in das Aktiengesetz
eine Vorschrift eingefügt, wonach Vorstände und Geschäftsführer ein Überwachungssystem einzurichten
haben, damit den Fortbestand ihrer Gesellschaft gefährdende Entwicklungen früh erkannt werden.
Verletzen Vorstände und Geschäftsführer diese Pflicht in sorgfaltswidriger und damit vorwerfbarer
Weise, so haften sie gegenüber ihrem Unternehmen für den daraus entstandenen Schaden. "In einer
ganzheitlichen Betrachtung von IT-Themen sind deshalb die vier Aspekte Technologie, Organisation,
Recht und Psychologie zu berücksichtigen", so Manuel Hüttl Vorstandsmitglied der europäischen
Expertengruppe für IT-Sicherheit, Eicar.
Auch Arbeitnehmer in der Pflicht
Neben der Unternehmensleitung können auch Arbeitnehmer belangt werden, wenn sie im Zusammenhang
mit der Unternehmens-IT Rechtsmissbräuche begehen. In nicht wenigen Unternehmen dürften Mitarbeiter
auf ihren Unternehmensrechnern Raubkopien von Software, Filmen und Musikdateien hinterlegt haben.
Hierfür haften die betroffenen Mitarbeiter nach dem Urhebergesetz auf Unterlassung und
Schadensersatz. Mitarbeiter können sich strafbar machen, wenn sie spezifische Computerdelikte
begehen. So ist es beispielsweise strafbar, wenn ein Mitarbeiter sich illegal das Passwort für den
Zugang zu den Datensystemen der Entwicklungsabteilung eines anderen Unternehmens verschafft und per
Internet auf Informationen über neue Firmenprodukte oder Konstruktionsdateien zugreift, um sie im
eigenen Unternehmen zu verwenden. Zwar wird hier zunächst nur der betreffende Mitarbeiter belangt -
der Arbeitgeber kann sich jedoch dem Vorwurf der Beihilfe zu derartigen Straftaten aussetzen, wenn
er von der missbräuchlichen Nutzung des dienstlichen Internetanschlusses oder E-Mail-Systems
Kenntnis erlangt und nicht sofort Gegenmaßnahmen ergreift.
Schadensersatz
Bei mangelhafter IT-Sicherheit wird jedoch in den meisten Fällen insbesondere das Unternehmen
selbst in die Haftung geraten. So können Nachlässigkeiten in diesem Bereich zu Schadensersatz- und
Unterlassungsansprüchen nach dem Deliktsrecht des Bürgerlichen Gesetzbuches führen. Demnach haftet
ein Unternehmen immer dann, wenn es in vorwerfbarer Weise unterlassen hat, Betriebsvorgänge so zu
organisieren, dass Schäden von Dritten abgewendet werden. Dies gilt etwa bei fahrlässiger
Weiterverbreitung von Viren, wenn dadurch IT-Systeme von Kunden in Mitleidenschaft gezogen werden
und ein Datenverlust die Folge ist.
Gegenüber Vertragspartnern wie Kunden oder Lieferanten kommt neben der deliktischen Haftung eine
vertragliche Haftung in Betracht. Selbst wenn der mit den Kunden und Lieferanten geschlossene
Vertrag keine Regelungen zur IT-Sicherheit enthält, folgt aus Paragraph 241 Abs. 2 Bürgerliches
Gesetzbuch die grundsätzliche Verpflichtung, die Rechte, Rechtsgüter und Interessen des
Vertragspartners zu schützen. Wird diese Pflicht im Hinblick auf die IT-Sicherheit in fahrlässiger
oder vorsätzlicher Weise verletzt, haftet das Unternehmen dem Vertragspartner hierfür auf
Schadensersatz. Fehlende IT-Sicherheitsmaßnahmen haben auch für eigene Schadensersatzansprüche
gegen Vertragspartner negative Konsequenzen. So versagte ein Gericht einem Reisebüro den
Schadensersatzanspruch gegen einen Computerreparaturdienst, der Daten des Reisebüros durch einen
Serverabsturz gelöscht hatte, da das Reisebüro seine Daten noch nicht einmal monatlich gesichert
hatte.
Ein Haftungsrisiko für Unternehmen stellt auch das Datenschutzrecht dar. Das
Bundesdatenschutzgesetz enthält einen Katalog mit den "acht goldenen Regeln" zur IT-Sicherheit von
personenbezogenen Daten. Diese Regeln enthalten beispielsweise Vorgaben für den Zutritt zu
Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden und Vorgaben, um die
Verfügbarkeit personenbezogener Daten sicherzustellen. Bei unzulässigem Umgang mit
personenbezogenen Daten ist das Unternehmen dem Betroffenen zum Schadensersatz verpflichtet.
Verantwortliche, die personenbezogene Daten unter Verstoß gegen das Datenschutzrecht verarbeiten,
können mit einem Bußgeld von bis zu 250.000,00 Euro belangt werden.
Nachlässigkeiten bei der IT-Sicherheit können zudem dazu führen, dass ein Unternehmen teuer
bezahlten Versicherungsschutz wieder dadurch verliert, dass es seine Obliegenheiten im Hinblick auf
die IT-Sicherheit verletzt. So enthalten Versicherungsverträge, die IT-Risiken des Unternehmens
abdecken, beispielsweise oft die Obliegenheit zur regelmäßigen Datensicherung oder zum Schutz von
Schnittstellen mit externen Netzen durch Firewalls.
All diese Haftungsregeln setzen in der Regel vorsätzliches oder fahrlässiges Handeln voraus.
Fahrlässig handelt, wer die erforderliche Sorgfalt außer Acht lässt. Die gesetzlichen Vorschriften
schreiben keine konkreten technischen und organisatorischen Einzelmaßnahmen zur IT-Sicherheit vor.
Es ist vielmehr eine Frage des Einzelfalls, wann die im Verkehr erforderliche Sorgfalt als erfüllt
anzusehen ist. Eine Hilfestellung zur Entwicklung und Implementierung eines IT-Sicherheitskonzepts
im Unternehmen gibt das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der
Informationstechnik (BSI), das unter www.bsi.de abrufbar ist. Es handelt sich dabei nicht um ein
verbindliches Regelwerk, sondern um Empfehlungen, die sich zunehmend als Standard in der deutschen
Wirtschaft etablieren. Es ist damit zu rechnen, dass Gerichte das Grundschutzhandbuch als
Sorgfaltsmaßstab für IT-Sicherheit heranziehen werden.
Gleichwohl können die darin enthaltenen Maßnahmen nicht eins zu eins übernommen werden. Die
Standardsicherheitsmaßnahmen nach dem IT-Grundschutzhandbuch sollen nur einen Basisschutz
sicherstellen, der ausreichend ist, wenn ein niedriger oder mittlerer Schutzbedarf vorliegt. Haben
einzelne IT-Systeme oder die gesamte Unternehmens-IT aufgrund der Tätigkeit des Unternehmens oder
der Sensibilität der Unternehmensdaten einen hohen oder sehr hohen Schutzbedarf, müssen
weitergehende technische und organisatorische Maßnahmen getroffen werden. Die allgemeinen
Sorgfaltsanforderungen sind also individuell.
Sorgfaltsanforderungen
Allerdings kann gesagt werden, dass ein im Unternehmen vorhandenes IT-Schutzniveau, das nicht
zumindest mit dem IT-Grunschutzhandbuch vergleichbar ist, in der Regel nicht die allgemeinen
Sorgfaltsanforderungen erfüllen wird, da die darin enthaltenen Maßnahmen nur für einen mittleren
Schutzbedarf vorgesehen sind. In jedem Fall wird es zur Vermeidung von Haftung nicht ausreichen,
lediglich isolierte, technische oder organisatorische Einzelmaßnahmen im Hinblick auf die
IT-Sicherheit zu implementieren.
Von Bedeutung ist, dass die umgesetzten IT-Sicherheitsmaßnahmen an den Erfordernissen des
Unternehmens ausgerichtet und vollständig in allen relevanten Bereichen umgesetzt sind. Im
Einzelfall genügt es zum Beispiel nicht, auf zentralen Server-systemen eine Virenschutzsoftware zu
betreiben. Es ist unerlässlich, dass das Unternehmen ein Virenschutzkonzept verfolgt, das alle
eingesetzten Systeme berücksichtigt - auch etwa die Notebooks von Außendienstmitarbeitern, die sich
über längere Zeit hinweg nicht am Firmennetz anmelden und so nicht mit den Updates der
Virenschutzsoftware versorgt werden.
Des Weiteren können Schwachstellen dadurch entstehen, dass zentral definierte Regeln in den
Bereichen oder Geschäftsstellen unzureichend umgesetzt werden. Das kann an der unklaren Abgrenzung
von Zuständigkeitsbereichen liegen (Wer ist verantwortlich für den Schutz der in der Produktion
eingesetzten PCs?) oder durch lokale Besonderheiten begründet sein. So können Unix-Systeme, die zum
Beispiel im Entwicklungsbereich eines Unternehmens eingesetzt werden, das ansonsten eine homogene
Windows-Umgebung betreibt, zu Angriffszielen eines Hackers werden, wenn sie nicht hinreichend
gehärtet sind.
Entscheidend für die Wirksamkeit der definierten IT-Sicherheitsmaßnahmen ist somit nicht nur
deren Beschreibung und deren Anwendung in einem einfach kontrollierbaren Bereich. Die Sorgfalt
erfordert, dass alle relevanten IT-Systeme im Unternehmen erfasst sind und auf diesen die ihrem
Schutzbedarf entsprechenden Sicherheitsmechanismen umgesetzt sind. Dieser Notwendigkeit trägt das
IT-Grundschutzhandbuch des BSI durch die Einführung einer Vorgehensweise Rechnung, die von der
Erfassung der IT-Landschaft und der Feststellung des Schutzbedarfs ausgeht und in die Definition
geeigneter Maßnahmen mündet. Vergleichbare Verfahren werden auch in anderen Sicherheitsstandards
wie ISO 17799 definiert (siehe Beitrag "IT-Sicherheit in Zeiten offener Netze" auf Seite 14).
Angesichts der regelmäßigen Pressemeldungen über IT-Sicherheitsvorfälle werden sich die
Entscheidungsverantwortlichen in den Unternehmen nicht mehr damit herausreden können,
IT-Sicherheitsvorfälle wären nicht vorhersehbar gewesen. "Es wird in Zukunft interessant zu
beobachten sein, wie die Exekutive mit Haftungsthemen umgeht", meint etwa Al Sisto, CEO von Phoenix
Technologies. "Ich glaube, sobald die Gerichte Fehlverhalten drastisch sanktionieren, kehrt ein
Umdenken bei den Entscheidern ein."
Lesen Sie mehr zum Thema
