Managed-Security-Services – Studien belegen, dass sich viele Unternehmen auf externe Dienstleister verlassen, wenn es um die Sicherheit ihrer IT geht. Was aber bringt das Outsourcen der IT-Sicherheit wirklich? Und worauf muss der Kunde bei der Vertragsgestaltung achten, um sein Haftungsrisiko gering zu halten?

Eine aktuelle Studie des Firewall-Anbieters Watchguard ergab, dass mehr als die Hälfte der befragten Unternehmen externe IT-Sicherheitsdienstleister beschäftigen. Die übertragenen Aufgaben reichen von der beratenden Unterstützung bei der Auswahl neuer Sicherheitslösungen bis hin zur langfristigen Übernahme kompletter Prozesse. Gerade Letzteres, versehen mit der werbewirksamen Bezeichnung »Managed Security Services«, bieten heute viele IT-Dienstleister an.

Verteilung der Haftungsrisiken

Dies ist nicht ohne Grund so: Das Outsourcen der IT-Sicherheit hat für ein Unternehmen Vorteile. Die hohen Qualitätsstandards professioneller IT-Dienstleister führen zu einem höheren Maß an IT-Security. Zudem wirkt sich das für das Unternehmen in vielen Fällen finanziell positiv aus.

Dies ergibt sich unter anderem dadurch, dass ein auf diese Disziplin spezialisierter Dienstleister die laufenden Kosten für die notwendigen Infrastrukturen auf seine Kunden umlegen kann. Diese müssen deshalb weniger bezahlen als für den Einsatz eigener Hard- und Software.

Hinzu kommt, dass der Aufbau von entsprechender Fachkompetenz und die dafür erforderliche Fortbildung eigener Mitarbeiter aufwändig und kostenintensiv sind und Ressourcen binden, die für das eigene Kerngeschäft gebraucht werden.

Als ein weiteres Argument für Managed-Security-Services fällt oft, dass ein Unternehmen dank Outsourcen seiner IT-Sicherheit auf bequeme Art seine Haftungsrisiken delegieren könne. Tatsächlich ist das Argument aber aus rechtlicher Sicht längst nicht so gewichtig, wie es die Werbeanpreisungen von so manchem Service-Provider vermuten lassen.

Grundsätzlich gilt, dass jedes Unternehmen selbst für die Sicherheit seiner IT verantwortlich ist. Egal, ob versehentlich Betriebsgeheimnisse von Geschäftskunden publik werden, Mitarbeiter nichtsahnend Viren oder Spam per Email versenden oder experimentierfreudige Hacker die Kontrolle über die Systeme übernehmen. Stets wenden sich die Geschädigten mit ihren Forderungen zunächst an das jeweilige Unternehmen. Das Argument, nicht die eigene Firma, sondern der beauftragte IT-Dienstleister habe die Panne zu verantworten, führt dabei nicht automatisch zu einem Freispruch. Im Gegenteil – wenn Dritte aus Kostengründen mit so wichtigen Aufgaben betreut sind, muss ein Unternehmen eher noch strengere Maßstäbe an die Wahrnehmung der eigenen Verantwortung stellen. Dies spiegelt auch die bisherige, noch vergleichsweise karge Rechtsprechung wider. Dem Oberlandesgericht Hamm lag zum Beispiel ein Fall vor, bei dem ein IT-Dienstleister beim Austausch einer Festplatte existenziell wichtige Daten seines Kunden zerstört hatte. Das nun klagende geschädigte Unternehmen wurde jedoch vom Gericht darüber aufgeklärt, dass ihm der geltend gemachte Schadensersatzanspruch nicht zustehe. Zur Begründung führten die Richter an, dass das Unternehmen grob fahrlässig die Sicherung seiner Daten vernachlässigt habe. Fazit: Wer nur ein vier Monate altes Backup vorweisen könne, habe keinen Anspruch auf Schadensersatz für versehentlich gelöschte Daten (Az.: 13 U 133/03). Die Eigenverantwortung darf also gerade im Bereich IT-Security nicht unterschätzt werden.

IT-Sicherheit ist Chefsache

Die Verantwortung endet jedoch nicht beim Unternehmen. Spätestens seit Inkrafttreten des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) haften die Vorstände und Geschäftsführer ihren Unternehmen für Vorfälle, wenn diese sich durch einen sorgfältigeren Umgang mit der IT-Sicherheit hätten verhindern lassen.

Die Arbeitsgerichte setzen sich nun als Erste mit dem vom KonTraG neuerdings verlangten Risikomanagement auseinander. Dabei sind deutliche Tendenzen absehbar: Das Landgericht Berlin hat beispielsweise bereits entschieden, dass die fristlose Kündigung eines Bankvorstands bei unzureichendem Risikomanagement gerechtfertigt sei (Az.: 2 O 358/01). Schärfere Entscheidungen, insbesondere solche mit Schadensersatzzahlungen der betroffenen Vorstände, sind absehbar.

Vorausschauende Vertragsgestaltung

Sollen IT-Sicherheitsprozesse ausgelagert und im Rahmen von Managed-Security-Services durch Dritte erbracht werden, empfiehlt es sich also, die jeweils zu Grunde liegenden Verträge sehr sorgfältig zu erstellen. Grundlage hierfür ist idealerweise ein formelles »Request for Proposal« (RfP). Es bildet die individuellen Sicherheitsbedürfnisse des Kunden ab. Die Erstellung des Requests ist sozusagen die Hausaufgabe des Unternehmens, bevor es überhaupt anfangen kann, Angebote einzuholen. Hierdurch gewinnt es zunächst einen Eindruck davon, welche Services es wirklich benötigt und welche Prioritäten hierbei zu beherzigen sind. Zudem fällt auch die anschließende Auswertung der verschiedenen Angebote der an der Ausschreibung teilnehmenden Dienstleister leichter, wenn die Anforderungen klar sind.

Auf Grundlage des Requests entwirft das Unternehmen den Outsourcingvertrag. Dieser besteht regelmäßig aus einem Rahmenvertrag und den dazugehörigen Service-Level-Agreements (SLA). Während der Rahmenvertrag grundlegende Vereinbarungen hinsichtlich solcher Dinge wie Zahlungs-, Gewährleistungs-, Haftungs- und Vertragsstrafenregelungen enthält, erfassen die SLA die technischen und praktischen Aspekte der einzelnen Services. Hierzu gehören beispielsweise detaillierte Leistungsbeschreibungen, Verfügbarkeiten und das Störungshandling. Bei der Formulierung des SLA sollte eine Firma unbedingt Wert darauf legen, nicht nur die einzelnen Voraussetzungen der Leistungserbringung und seine eventuellen Mitwirkungspflichten genau zu erläutern. Auch die jeweiligen Zuständigkeiten und Verantwortlichkeiten sollte es festschreiben, um Missverständnisse zu vermeiden.

Um den Outsourcingvertrag ausreichend flexibel zu gestalten, muss das Unternehmen zudem ein effizientes Vertragsmanagement betreiben. Wichtig ist hierbei vor allem ein sinnvolles Change-Request-Verfahren, das nachträgliche Änderungswünsche der Vertragsparteien handhabt. Da schließlich die Erfahrung lehrt, dass IT-Gerichtsprozesse im Interesse aller Beteiligten möglichst vermieden werden sollten, bietet sich schließlich ein Eskalationsverfahren an. Es erkennt auftretende Probleme möglichst früh und geht sie nach einem Stufenplan an. Ob die Parteien als Vorstufe zu den ordentlichen Gerichten eine Schiedsgerichtsinstanz vereinbaren oder nicht, ist Geschmackssache und hängt vom jeweiligen Einzelfall ab.

Der Praxisrat

Vertrauen ist gut, aber eine sorgfältige und regelmäßige Kontrolle ist –zumindest im Bereich IT-Sicherheit – die wesentlichste Voraussetzung jeder Haftungsbeschränkung. Ein regelmäßiges und umfassendes Reporting und Monitoring sind Grundvoraussetzung. Die vom Dienstleister für das Unternehmen zu erstellenden Sicherheits-Reports sollten dabei nicht nur eine reine Ansammlung von Verfügbarkeits- und Störungsstatistiken sein. Vielmehr haben sie einzelne Zwischenfälle und ihre technischen Hintergründe ebenso zu schildern wie die jeweils eingeleiteten Gegenmaßnahmen. Darüber hinaus ist es sinnvoll, möglichst taugliche Vorsorgemaßnahmen darzustellen, die ähnliche Ereignisse künftig verhindern. Nur auf diese Weise helfen die Sicherheits-Reports, das Risiko effizient zu vermindern. Oft definiert der Vertrag das Format der Sicherheits-Reports so detailliert wie notwendig, um auf diese Weise spätere Streitigkeiten über den erforderlichen Umfang zu vermeiden.

Zusätzlich können Penetrationstests und Sicherheitsaudits durch externe Experten dazu beitragen, dass ein Unternehmen nicht nur auf konkrete Störfälle reagiert, sondern solchen präventiv entgegenwirkt. Die Tests liefern ein unabhängiges und objektives Bild vom tatsächlichen Zustand der IT-Sicherheit eines Unternehmens und geben Hinweise auf mögliche Verbesserungen der betreffenden Komponenten. Die besten Kontroll- und Überwachungsmechanismen bringen jedoch im Falle einer gerichtlichen Auseinandersetzung nichts, wenn sie dem Gericht nicht dokumentiert werden können. Abgesehen von den Sicherheits-Reports sollte ein Unternehmen daher insbesondere die Ergebnisse von Security-Audits und ähnlichen Tests einen längeren Zeitraum aufbewahren.

Abläufe und Prozesse

Auch die Organisationsstrukturen des Unternehmens sollten möglichst die Rolle der IT-Security im Unternehmen widerspiegeln. Die ordentliche Bestellung eines IT-Sicherheitsbeauftragten mit einem fest definierten Aufgabenkreis erleichtert die konsequente Durchsetzung dieser Belange im Unternehmen erheblich. Wichtig ist hierbei jedoch, dass der Beauftragte nicht einfach nur ein Mitglied der IT-Abteilung ist. Grundvoraussetzungen zur Durchsetzung der neuen Unternehmensstrategien im Bereich IT-Sicherheit sind eine möglichst unabhängige Stellung im Unternehmen und ausreichende Kompetenzen. Daher sollte der Beauftragte über den CISO (Chief-Information-Security-Officer) direkt der Unternehmensführung berichten und über ein eigenes Budget für die erforderlichen Maßnahmen verfügen.

Dr. Jyn Schultze-Melling