|
Rechtliche Aspekte der
IT-Sicherheit
Teil 1:Ohne IT-Sicherheit keinen Kredit?
Teil
2:
Rechtspflichten
& Haftung der Unternehmen
Am 15. Februar 2006 hat dasBundeskabinett
denGesetzesentwurf zur Umsetzung der Banken und
Kapitaladäquanzrichtlinie in deutsches Recht beschlossen. Damit gelten demnächst geänderte
Anforderungen bei der Kreditvergabe. Das Gesetz geht auf eine neu gefasste
Richtlinie aus dem Basel II Abkommen zurück, wonach IT-Sicherheit als
operationelles Risiko des kreditsuchenden Unternehmens zukünftig stärker zu
berücksichtigen ist. In Kraft treten soll das Gesetz voraussichtlich zum 1.
Januar 2007. Den Unternehmen also weniger als 10 Monate Zeit, um ihrer
IT-Sicherheitsstruktur anzupassen, womit die Geschäftsführungen erneut unter
Handlungsdruck geraten. Noch immer werden die haftungsrechtlichen Risiken einer
fehlenden oder mangelhaften IT- und Telekommunikations-Struktur für das
Unternehmen häufig unterschätzt. Grund genug also, sich diesem unliebsamen Thema
anzunehmen und sich das neue Gesetz anzusehen (Teil 1) sowie bei den übrigen
Vorschriften zur Gewährleistung der IT-Sicherheit darzulegen, welche Pflichten
und welche Haftungsrisiken für die Unternehmensleitung bestehen (Teil
2 ).
Neues Gesetz zur Banken- und
Kapitaladäquanzrichtlinie
Bei Basel I wurde der Eigenkapitalanteil pauschal nach
Einteilung in bestimmte Risikogruppen bestimmt. Mit Basel II nun sind die Banken
verpflichtet, eine individuelle Ermittlung des Ausfallrisikos vorzunehmen, also
zu ermitteln wie die Chancen der Bank stehen, dass das kreditsuchende
Unternehmen den geliehenen Betrag zurückzahlt. Dies erfolgt mit internen
Rating-Systemen des jeweiligen Kreditinstitutes oder durch externe
Rating-Agenturen, wie die SchuFa. Dabei werden verschiedenste Daten des
Kreditsuchenden, wie die bisherige Kreditbilanz bei der Schufa, aber auch der
Wert von (Unternehmens-)Immobilien bzw. Wohnungen, Berufsabschluss und
Geschlecht als Einzelfaktoren bestimmte Werte zugeordnet und miteinander in
Verbindung gesetzt. Anhand des daraus berechneten sog. Score-Wertes entscheidet
das kreditgewährende Bankinstitut dann, ob sie überhaupt einen Kredit gewähren
und wenn ja, zu welchen Bedingungen, sprich mit welchen Zins-, Tilgungssätzen
und Eigenkapitalquote. Ein Unternehmen erhält umso bessere Kreditkonditionen, je
geringer das Risiko der Insolvenz ist. Aus Sicht des Datenschutzrechts ist das
Scoring-Verfahren nicht unumstritten (siehe dazu: Unabhängiges Zentrum für
Datenschutz Schleswig-Holstein).
IT-Sicherheit ist ein operationelles Risiko:
 Bei der Entscheidung zur Kreditvergabe spielen neben den
allgemeinen Markt- und Kreditrisiken auch operationelle Risiken des
kreditsuchenden Unternehmens eine Rolle. Zu eben diesen operationellen Risiken,
gehören die Unwägbarkeiten, die sich aus dem Einsatz von Informationstechnologie
im täglichen Unternehmensprozess ergeben. IT-Technologie wird heute in allen
wesentlichen Unternehmensabläufen eingesetzt. Unternehmen sind mittlerweile in
extremen Maße abhängig von einer stabilen & sicheren IT-&
Telekommunikations-Architektur, was nun erheblich stärker auch auf die
Kreditwürdigkeit des durchschlägt. Die Anforderungen des Gesetzesentwurfes
richten sich daher keineswegs nur Unternehmen der IT-Branche, sondern jedes
Unternehmen, indem zur Erreichung des Geschäftszwecks Informationstechnologie in
maßgeblichen Umfang einsetzt. Fehlende oder mangelhafte Sicherheit des IT- und
TK-Infrastruktur werden nunmehr als erhebliche Risikofaktoren bewerten und
führen zu negativen Ratings & damit letztlich zu schlechten
Kreditkonditionen. Das kann sich keine Unternehmen leisten.
Das Mittelstands-Paket: Dem Mittelstand soll aber die
Kreditaufnahme erleichtert werden. So sieht der Gesetzentwurf, dass die Bank
Kredite unter 1 Mio. EUR einem „Retail-Portfolio“ zuordnen kann. Dafür gelten -
aufgrund besserer Risikostreuung - geringere Anforderungen an das Eigenkapital.
Anderenfalls wären die Investitionen, die sich aus den neuen Anforderungen
ergebenden, vom Mittelstand kaum zu erbringen.
Was bedeutet das für
Praxis? Schlechte Ratings aufgrund
einer mangelhaften IT-Sicherheitsstruktur führen zu schlechten Konditionen bei
der Kreditaufnahme. Vorbeugen lässt sich dem nur mit einem umfassenden und
dokumentierten IT-Sicherheitskonzepts. Dabei ist zunächst generell die IT- und
Telekommunikations-Struktur des Unternehmens abzubilden. Ausgehend davon sind
die Angriffs- und Schwachpunkte des Systems zu ermitteln und dafür geeignete
Sicherheitsmaßnahmen zu treffen. Was „geeignet“ ist, ergibt sich nicht
unmittelbar aus dem Gesetz. Dies hängt stark vom Einzelfall ab, insbesondere von
der Größe, der Struktur und dem Geschäftsfeld des Unternehmens. In jedem Fall,
sollte sowohl die externe Bedrohung, wie Hackerangriffe, Viren oder Trojaner,
als auch die Gefährdungen aus dem eigenen Unternehmen einbezogen werden. Sehr
gute Hilfe für die Erarbeitung eines Sicherheitskonzepts bietet das
IT-Grundschutzhandbuch des Bundesamtes für Sicherheit &
Informationstechnologie. Es enthält einen Katalog von Sicherheitsmaßnahmen, die
modular aufgebaut und daher flexibel handhabbar sind (www.bsi.de).
Haftung der
Unternehmensführung: Nach Inkrafttreten des
Gesetzes schadet eine mangelhafte IT-Sicherheit dem Unternehmen also doppelt:
zum einen riskiert es einen Sicherheits-Fall und damit Mehrkosten durch
Arbeitsausfall oder Schadensbeseitigung. Zum anderen erhält das Unternehmen
Kredite zu schlechteren Konditionen als die Konkurrenz. Folglich wird die
Unternehmensleitung einem zweifachen Haftungsrisiko ausgesetzt. Denn die
Geschäftsführung ist gesetzlich & vertraglich verpflichtet, das Unternehmen
vor finanziellen Einbußen zu schützen. Muss das Unternehmen nun wegen
ungünstiger Kreditkonditionen erhöhte Zinssätze zahlen oder mehr Eigenkapital
stellen, kann die Geschäftsführung für diese finanzielle Einbuße des
Unternehmens zur Verantwortung gezogen werden, was sich nicht nur als Kündigung
des Anstellungsverhältnisses äußern kann.
Weitere Rechtspflichten zur IT-Sicherheit
IT-Sicherheit ist aber noch in anderen rechtlichen
Vorschriften niedergelegt. Die haftungsrechtlichen Risiken einer fehlenden oder
mangelhaften IT-& TK-Struktur für das Unternehmen, aber auch für die
Geschäftsleitung selbst, werden häufig unterschätzt. Rechtspflichten ergeben
sich unter anderem aus:
· vertraglichen
Vereinbarungen
· dem
Wirtschaftsverwaltungsrecht (GewO)
· dem Datenschutzrecht
(BDSG, TKG, TDDSG)
· der Pflicht zur
Risikofrüherkennung nach dem KonTraG und
· dem Deliktsrecht
& Strafrecht.
Mit diesen weiteren Rechtspflichten zur Vorhaltung eines sicheren
IT-Systems beschäftigt sich Teil
2 .
Drei Säulen der
IT-Sicherheit: Gefordert ist ein ganzheitliches Sicherheitskonzept für die
unternehmensinterne IT- & TK-Struktur, das flexibel ist und sich an die
technischen Entwicklungen & damit Bedrohungen anpassen lässt. Denn
angesichts der Dynamik in diesem Bereich kann ein System nur so sicher sein, wie
es stetig weiterentwickelt, aktualisiert und überwacht wird. Aus juristischer
Sicht ruht ein solches Konzept auf folgenden drei Säulen:
Technik: geeignete
Hard- & Software bspw. zum Virenscannen, E-Mail-Filtern oder Blockieren
von Webseiten. Mit sogenannten Penetrationstests, also simulierten Angriffen
des eigenen Systems, lässt sich die Wirksamkeit der Sicherheitsmaßnahmen
feststellen.
Organisation:
Begleitung der technischen Seite durch organisatorische Maßnahmen; vielfach
liegt IT-Sicherheit im psychologischen Bereich und ist nur erfolgreich, wenn
die Maßnahmen von den Mitarbeitern angenommen werden. Hier bieten sich
konkreteVereinbarungen bspw. zur privaten Nutzung des Internets am
Arbeitsplatz mit der Mitarbeitervertretung an.
Recht: All dies muss
sich im rechtlich erlaubten Rahmen halten. Wie steht es mit dem Öffnen von
betrieblichen oder privaten E-Mails? Weiter beim Einsatz von E-Mail-Filtern
vorab zu prüfen, ob dies rechtlich zulässig ist und damit nicht etwa das
Fernmeldegeheimnis verletzt wird.
Haben Sie noch Fragen zu den rechtlichen
Anforderungen oder Rahmenbedingungen Ihrer IT-Sicherheit? Rufen Sie uns einfach
an oder senden Sie uns eine E-Mail.
Ansprechpartnerin ist
Rechtsanwältin Elisabeth Vogt
|
