Manager, Vorstand und Aufsichtsräte haften im Schadensfall privat, wenn die IT-Sicherheit im Unternehmen vernachlässigt wird. So schützen Sie sich optimal.
Zum einen steigt die Anbindung der internen Netzwerke und Produktionsanlagen an das World-Wide-Web. Die Gefahr durch Cyber-Angriffe durch Schadsoftware ist rasant angestiegen. Die bisherigen Sicherheitsmaßnahmen wie Firewall und VPN reichen alleine nicht mehr aus, um den immer ausgefeilteren Angriffen standzuhalten.
Auf der anderen Seite sind dadurch auch die gesetzlichen Anforderungen an die IT-Sicherheit gestiegen. Neben dem KonTraG, AktG, AnSVG, TMG oder ITSiG lassen sich noch weitere Gesetze und Richtlinien aufzählen, die dies untermauern. Sie alle weisen auf die Verantwortlichkeit, aber auch die Haftung der Unternehmensführung in ihren unterschiedlichen Funktionen und Aufgaben hin. Die folgenden drei wesentlichen Eckpunkte spielen dabei eine wichtige Rolle.
IT-Risikomanagement unverzichtbar – drei Gründe
1. Beweispflicht für effektives IT-Risikomanagement
Im Schadensfall muss die Unternehmensführung beweisen, dass sie in der Vergangenheit alles Notwendige getan hat, um IT-Risiken zu minimieren. Sie muss dabei ihr IT-Risikomanagement als Beweis offenlegen: Wurden Risiken identifiziert und bewertet, wurden ausreichend Maßnahmen ergriffen die vorhandenen Risiken zu minimieren?
Wie diese Maßnahmen im Einzelnen aussehen können, zeigt das IT-Sicherheitsgesetz in der Änderung des BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) für die Betreiber besonders wichtiger Infrastrukturen (z. B. Energie, Informationstechnik, Telekommunikation, Gesundheit, Wasser oder
Ernährung). Diese müssen unter anderem einen Sicherheitsbeauftragten ernennen, der als Kontaktperson dem Bundesamt für Sicherheit in der Informationstechnik (BSI) rund um die Uhr zur Verfügung steht. Die Kontaktperson muss z. B. verdächtige IT-Störungen beim BSI melden, auch wenn das Unternehmen seine IT durch einen Dienstleister betreiben lässt.
Außerdem muss der Stand der IT-Technik mit einschlägigen Schutzmaßnahmen nach internationalen, europäischen und nationalen Normen erreicht sein. Branchenspezifische Sicherheits- und Notfallkonzepte sollten dokumentiert und umgesetzt werden.
Je nach Branche müssen zudem folgende Nachweise (durch Sicherheitsaudits, Prüfungen oder Zertifizierungen) erbracht werden:
• Information Security Management System (Sicherheitsorganisation, IT-Risikomanagement, etc.)
• Kritische Cyber-Assets werden identifiziert und gemanagt
• Maßnahmen zur Angriffsprävention und -erkennung
• Implementierung eines Notfall- und Krisenmanagements
2. Strafen bei fehlerhaftem Risikomanagement:
Bußgeld und Ersetzung des wirtschaftlichen Schadens
Sollte sich im Schadensfall herausstellen, dass Maßnahmen zur IT-Security nicht oder unzureichend erfüllt werden, kann es für die Unternehmensleitung zu hohen Strafen kommen. Darüber hinaus muss sie den wirtschaftlichen Schaden tragen, die durch den Ausfall der IT entstanden ist.
3. Private Haftung im Schadensfall
Sowohl Geldstrafen als auch der wirtschaftliche Schaden kann das Unternehmen gegenüber der Unternehmensleitung bei fehlender Risikovorsorge geltend machen. Sie muss dann u. U. im Schadensfall mit ihrem Privatvermögen haften. Das gilt auch für Mitglieder des Vorstandes und des Aufsichtsrates. Sie haften z. B. wenn IT-Risiken oder Mängel verschwiegen und keine bzw. unzureichende Gegenmaßnahmen in die Wege geleitet wurden (Vorstand).
Informationssicherheit – wirtschaftliche Schäden für das Unternehmen
Neben den hohen immateriellen Schäden (z. B. Imageverlust) muss ein Unternehmen mit hohen wirtschaftlichen Schäden rechnen:
Der Ausfall der IT-Technik und Produktionsanlagen führt zu
• Umsatzeinbußen und existenzieller Schädigung des Unternehmens
• Kosten für die Wiederherstellung und Schadensbeseitigung
• Erhöhung der Versicherungsleistungen bzw. Kündigung des Schutzes vonseiten der Versicherung
• Bußgeldern und Schadensersatzzahlungen
• Problemen bei der Wirtschaftsprüfung (Testat wird nicht ausgestellt)
Netzwerk Monitoring – mehr Informationssicherheit, weniger Haftungsrisiko
Eine Überwachung des Netzwerkverkehrs gilt als wichtiger Baustein für mehr IT-Sicherheit in vernetzten Produktionsanlagen. Auch wenn es hochkomplexe Cyber-Angriffe nicht direkt abwehrt, stellt es sich doch als effektives Analyse- und Alarmsystem heraus. Denn es scannt permanent firmeninterne Netzwerke und klar definierte Cyber-Assets ohne in das System einzugreifen. Ein aktiver Eingriff könnte die Produktionsanlage in einen unkontrollierten Zustand bringen. Mögliche Gefahrenherde werden analysiert, bewertet und Ergebnisse in einem übersichtlichen Reporting für die Geschäftsleitung und die Betriebsführung zur Verfügung gestellt. Die Netzwerküberwachung leistet so einen wichtigen Beitrag für die Vorbereitung gezielter und wirksamer Gegenmaßnahmen.
Fazit zur Informationssicherheit und Haftung
Jedes Unternehmen sollte sich um das Thema IT-Sicherheit Gedanken machen. Denn zu groß sind die wirtschaftlichen Risiken für das Unternehmen. Nicht zuletzt trifft ein mangelndes IT-Risikomanagement auch die Unternehmensleitung (inkl. Vorstand und Aufsichtsrat) direkt, da sie mit ihrem gesamten Privatvermögen haftbar gemacht werden kann. Ein wichtiger Baustein für die Einhaltung von Vorgaben und Gesetzen ist ein Security Monitoring des Netzwerkverkehrs. Das System erkennt Gefahren und IT-Angriffe frühzeitig und liefert im Schadensfall notwendige Nachweise und Reportings als Beweis zur Erfüllung gesetzlicher Vorgaben