Dienstleister für gesetzeskonforme IT nur bedingt tauglich
Nicht ohne meinen Rechtsbeistand
Sarbanes-Oxley, Kontrag, Basel II und Co. haben für schärferen Wind im Umgang mit der Unternehmens-IT gesorgt. Tenor: Wer für sein Unternehmen günstige Kredite bekommen will, muss bestimmte Regeln einhalten - auch in der IT. Wenn Dritten durch die Nichtbefolgung der neuen Gesetze und Richtlinien für die IT Schaden entsteht, oder wenn Aktionäre oder Fiskus dadurch nicht zu ihrem Recht kommen, stehen Unternehmens- beziehungsweise IT-Manager schon mit einem Bein im Gefängnis. Externe Dienstleister können in vieler Hinsicht hilfreich sein, aber in Rechtsfragen sind auch sie meist überfordert. Verantwortung ist außerdem nicht abtretbar.
Die Zeiten, in denen Unternehmen IT-Budgets ausschließlich nach dem Ermessen oder den Planungen
des IT-Managements vergeben haben, dürften wohl endgültig vorbei sein. Bereits jetzt hat der
Gesetzgeber darüber ein gehöriges Wörtchen mitzureden, wie eine adäquate IT auszusehen hat und wie
bestimmte (IT-)Prozesse organisiert sein müssen. Experten sehen hier Rieseninvestitionen auf die
Unternehmen zukommen, deren Ausmaße hiesige IT-Administratoren und Unternehmensleiter oft noch
völlig unterschätzen.
Laut einer aktuellen Marktstudie von Pricewaterhousecoopers (Management Barometer Survey)
beispielsweise werden mehr als die Hälfte der multinationalen Firmen in den USA und Europa ihre
Ausgaben allein im Bereich gesetzeskonformer Datenaufbewahrung innerhalb der nächsten zwölf bis 24
Monate um 23 Prozent erhöhen. Unabhängig davon bestätigen die zuständigen Manager in den
Unternehmen, dass innerhalb ihrer Organisationen beim Thema "Compliance" (Rechtskonformität) oft
keine klare Strategie über die Vorgehensweise besteht. In den nächsten ein bis zwei Jahren planen
fast 90 Prozent der für die Studie befragten Unternehmen, ihre Anstrengungen und Ausgaben in diesen
Bereichen zu erhöhen und eine klare Strategie zu verabschieden.
US-amerikanische Firmen, so ein weiteres Ergebnis der Studie, investieren mehr in die Erfüllung
gesetzlicher Auflagen als europäische Unternehmen. Während in den USA die Compliance-Investitionen
primär von externer Seite getrieben sind, investieren die Europäer noch hauptsächlich, um internen
Richtlinien oder Branchenauflagen zu genügen. Während in den USA der Sarbanes-Oxley Act (SOA) klar
die treibende Kraft für Investitionen im Compliance-Management ist, so sollen dies in Deutschland
die Gesetzesauflagen der GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler
Unterlagen) und der GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) sein. Mehr
und mehr greifen jedoch in Deutschland auch Basel II und Kontrag (siehe Kasten).
Zahlreiche Hersteller vor allem aus den Bereichen Speichersysteme, Security und IT-Management
bieten an, Unternehmen bei der Umsetzung der Auflagen zu unterstützen, die in den Gesetzestexten
gefordert sind. Generelles Manko: Weder übernimmt irgendein Anbieter für sein Produkt Garantien
hinsichtlich Compliance, noch lassen sich die Hersteller bei Fehlfunktionen für Schäden haftbar
machen. Zudem fehlt ein Plan, was genau ein Unternehmen für den Aufbau einer rechtskonformen IT im
konkreten Fall zu tun hat.
Die Aufgaben rund um die Gewährleistung der IT-Sicherheit sollten jedoch alle Unternehmen sehr
ernst nehmen. Jedes Ereignis, das aus ungenügenden oder unzulänglich umgesetzten
IT-Sicherheitsmaßnahmen resultiert, kann signifikante Auswirkungen auf das Unternehmen haben. Zudem
ziehen solche Vorfälle aufgrund verschärfter gesetzlicher Vorschriften in der Regel empfindliche
Konsequenzen nach sich. So riskiert der Geschäftsführer oder der IT-Verantwortliche die
Bloßstellung des Unternehmens beziehungsweise seiner eigenen Person. Um hier sicher zu gehen,
greifen die Verantwortlichen in letzter Zeit verstärkt auf die Beratungs- und Serviceleistung
externer Dienstleister zurück. Allerdings ist die Sache hier nicht so einfach wie bei "
konventionellen" IT-Dienstleistungen: Wie die hausinterne IT-Abteilung, so sind auch
IT-Dienstleister in der Regel keine Rechtsexperten.
Ansatzpunkte für Dienstleister
Um ihre Kunden beim rechtskonformen Verhalten zu unterstützen, bieten einschlägige Dienstleister
Beratung im Hinblick auf die erforderlichen organisatorischen und technischen Maßnahmen. "Und
darauf sollte sich der Dienstleister auch tunlichst beschränken", so Wolfgang Straßer,
Geschäftsführer At-Yet. "Der fachliche Rat in Bezug auf die Rechtskonformität sollte auf jeden Fall
durch einen Anwalt erfolgen, der auf dieses Fachgebiet spezialisiert ist – vor allen Dingen unter
dem Aspekt, dass bei Verstoß harte Konsequenzen drohen." Straßer nennt ein Beispiel: "Werden
Kundendaten versehentlich Unbefugten zugänglich gemacht, ergeben sich daraus für den Betroffen
Schadensersatz- und Schmerzensgeldansprüche."
Ein populäres Szenario dazu aus der Praxis: Oft sind Kundendaten unverschlüsselt in einem
E-Mail-Postfach abgelegt. Sorgt nun eine Virenattacke für den unkontrollierten Versand dieser Daten
an die Öffentlichkeit, ist der genannte Tatbestand bereits erfüllt. Die bloßen Namen reichen hier
allerdings nicht für eine Klage aus: Die E-Mails müssten noch weitere Informationen enthalten, denn
Strafen drohen nur bei einer schweren Verletzung des Persönlichkeitsrechts.
Ein häufiger Ansatzpunkt für den Dienstleister ist die Erarbeitung und Implementierung einer
umfassenden Security-Policy (Sicherheitsrichtlinie). Wichtig dabei ist, Mitarbeiter aktiv
aufzuklären und einzubinden, um das Sicherheitsbewusstsein auf jeder Stufe im Unternehmen fest zu
verankern. Wie notwendig das ist, untermauert die Meta-Group-Studie "IT-Security im Jahr 2003":
Zwar verfügen demnach 48 Prozent der deutschen Unternehmen über eine schriftlich festgelegte
Security-Policy, aber nur ein Drittel der Befragten ist sicher, dass tatsächlich alle
Computernutzer im Unternehmen mit diesen Richtlinien vertraut sind. Folglich kommt der technischen
Seite der IT-Sicherheit eine große Bedeutung zu – eine klassische Domäne spezialisierter
Dienstleister. Mit der zunehmenden Öffnung von IT-Infrastrukturen für die Einbindung von
Lieferanten, Partnern oder mobilen Mitarbeitern nehmen die Gefahren zu. Zumindest der
Sichherheitsaspekt der Compliance lässt sich durch eine ISO-9001-Zertifizierung wasserdicht
abdecken.
Schutz der Geschäftsprozesse durch Sicherheitsrichtlinien
Eine gute Security-Policy setzt an technischen und organisatorischen Strukturen an, soll aber im
Kern die Geschäftsprozesse schützen. Ein Dienstleister analysiert die Prozesse zusammen mit dem
Unternehmen hinsichtlich ihrer Vertraulichkeit, Verfügbarkeit und Integrität, um den Schutzbedarf
der Geschäftsprozesse zu quantifizieren. Das Ziel einer Dokumentation von Unternehmensstrukturen
und -abläufen ist es, die Kontrolle von Sicherheitsrisiken zu erleichtern. Auf diese Weise hilft
der Dienstleister bei der Entwicklung einer Basis für das Business Continuity Management (Sicherung
der dauerhaften Verfügbarkeit von Geschäftsprozessen).
Ein weiterer Punkt ist die Überprüfung des Unternehmens nach den Kriterien des British Standard
BS 7799 (entsprechend ISO 17799). Gerade im Hinblick auf eine Beurteilung nach Basel II oder SOA
lässt sich mit einer solchen Zertifizierung die Position des Unternehmens stärken. Der Check
liefert eine Mängelliste, aus der sich ableiten lässt, welche Security-Projekte für eine
erfolgreiche BS/ISO-Zertifizierung durchzuführen sind. In Frage kommen beispielsweise Maßnahmen zur
risikobezogenen Netztrennung, die Realisierung einer IT-Quarantänezone und der Aufbau einer Pub-lic
Key Infrastructure (PKI). Eine Reihe von Dienstleistern bieten die BS/ISO-Zertifizierung an,
beispielsweise Computacenter in Zusammenarbeit mit dem TÜV Rheinland.
Auswahl des geeigneten Compliance-Dienstleisters
Bei der Auswahl eines Dienstleisters hinsichtlich Compliance ist der Suchende in der Regel auf
einschlägige Referenzen angewiesen: So etwas wie einen "staatlich zertifizierten IT-Anwalt" gibt es
nicht. Entsprechend schwer kann ein Unternehmen beurteilen, wie fit ein Dienstleister in
Rechtsfragen ist, beziehungsweise wie gut seine Kontakte zu kompetenten Rechtsberatern sind. Eine
geeignete Anlaufstelle für die Auswahl eines Dienstleisters ist das Bundesamt für Sicherheit in der
Informationstechnik (BSI): Es spricht für einen Dienstleister, wenn er mit BSI-Auditoren als
Rechtsberater zusammenarbeitet. Ansonsten sollte sich der Anwender genau über die Arbeitsweise
eines in Frage kommenden Dienstleisters informieren. Während des Engagements ist es ratsam, sich
regelmäßig über die konkreten Aktionen und Ergebnisse berichten zu lassen.
Einem Unternehmen mit hohem Risikopotenzial empfehlen Experten, einen zweiten Dienstleister als "
Watchdog" anzuheuern. Dessen Aufgabe ist es, den ersten Dienstleiter speziell hinsichtlich
Sicherheit und Recht abzuklopfen.
In Sachen Security bieten sich hier beispielsweise Penetrationstests an, bei der
Compliance-Frage sind wieder die Anwälte gefragt. Die Juristen des zweiten Dienstleisters führen
hier sozusagen einen "rechtlichen Penetrationstest" durch, um etwaige Schwachstellen in der
Compliance zu identifizieren. "Es schadet nicht, den zweiten Dienstleister hin und wieder zu
wechseln, um Betriebsblindheit zu vermeiden und den Check aus unterschiedlichen Perspektiven
durchzuführen zu lassen", rät Experte Straßer.
Bei der Vertragsgestaltung mit dem Dienstleister nennen Rechtskenner die Aufstellung eines
klaren Regelwerks als oberstes Gebot. Dessen Formulierung sollte mit Unterstützung durch kompetente
Berater erfolgen. Es sollte beschreiben, wie die Vertragspartner miteinander umgehen. "Doch auch
wenn ein Unternehmen die Sicherheitsinfrastruktur komplett in fremde Hände gibt, bedeutet dies
nicht, dass der Geschäftsführer beziehungsweise der entsprechende Verantwortliche von der Haftung
vollkommen befreit ist", warnt Straßer. "Die Verantwortung lässt sich nicht outsourcen." Kann das
Unternehmen jedoch anhand des detaillierten Vertrags nachweisen, alle Security- und
Compliance-relevanten Punkte angemessen beachtet zu haben, kommen die Verantwortlichen in der Regel
aus der Haftung. Wichtig ist in diesem Zusammenhang wieder, sich auch nach Vertragsabschluss
regelmäßig mit dem Dienstleister zusammenzusetzen und sich kontinuierlich über den Stand der Dinge
zu informieren.
Ein hilfreiches Dokument in Sachen Haftungsfragen hat der Bitkom (Bundesverband
Informationswirtschaft, Telekommunikation und neue Medien) herausgegeben: Die "Matrix der
Haftungsrisiken" nennt die besonders relevanten Pflichten und den Regelungsbedarf in Unternehmen
hinsichtlich der Gewährleistung der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit,
Authentizität). Die Broschüre steht auf www.bitkom.org zum Download bereit.
Resümee
Unternehmen sind gut beraten, sich niemals blindlings einem Dienstleister anzuvertrauen. Eine
fundierte Vorbereitung ist für beide Vertragspartner essenziell – garantiert sie doch, dass ein
Unternehmen sich im Auswahlprozess mit dem Projekt ausreichend auseinandergesetzt hat.
Unrealistische Erwartungen im Hinblick auf die Verlagerung der Haftung lassen sich so vermeiden,
und die Chancen für einen Vertrag, der beide Seiten zufrieden stellt, stehen gut.
Lesen Sie mehr zum Thema
