Ab dem 1. Januar 2007 müssen sich Unternehmen auf höhere Kreditanforderungen einstellen. Das Bundeskabinett hat am 15. Februar 2006 einen Gesetzesentwurf zur Umsetzung der Banken- und Kapitaladäquanzrichtlinie beschlossen, mit dem die Vorgaben des Basel-II-Abkommens für die Finanzinstitute in Deutschland Gesetz werden. IT-Sicherheit wird dann als operationelles Risiko des kreditsuchenden Unternehmens bei der Kreditvergabe noch stärker als bisher berücksichtigt. Ein fehlendes oder mangelhaftes IT- Sicherheitsmanagement führt künftig zu schlechten Kreditkon- ditionen und damit zum Wettbewerbsnachteil. Aber auch heute schon enthalten zahlreiche Rechtsregeln umfangreiche Pflichten zur Sicherung der Informationstechnik in Unternehmen. Daraus ergeben sich für die Unternehmensleitung sowie für die IT-Sicherheitsbeauftragten erhebliche Haftungsrisiken, die in der Praxis noch immer unterschätzt werden. Das neue Gesetz sollte also Grund genug sein, sich insgesamt mit den rechtlichen Aspekten der IT-Sicherheit zu befassen, um ausreichend vorbereitet zu sein.
IT-Sicherheit ist ein operationelles Risiko
Nicht aktualisierte Virenscanner, offene Ports wegen schlecht programmierter Firewalls, Sicherheitslücken in Betriebssystemen und Browsern oder unverschlüsselte Kommunikation über das Internet, LANs oder WLANs bieten ein erhebliches Angriffsrisiko für jedes Unternehmen. Die Folgen: zerstörte oder beschädigte (Abrechnungs-, Kunden-)Daten, ihr System wird zum Angriff auf andere Computer missbraucht, das Firmennetzwerk wird "überflutet" (Denial of Service) und ist nicht mehr erreichbar, oder als Worst Case: Der Betriebsablauf kommt zum Stehen.
Zahlreiche Unternehmensprozesse hängen unmittelbar von einer funktionierenden Informationstechnologie ab. Damit ist IT-Sicherheit ein entscheidender Faktor für den Unternehmenserfolg und schlägt auch bei der Kreditgewährung durch. Werden die Vorgaben des Baseler Ausschusses für Bankenaufsicht, kurz: Basel II, ab 2007 Gesetz, sind die Banken verpflichtet, vor jeder Kreditvergabe individuell zu prüfen, wie wahrscheinlich es ist, dass das kreditsuchende Unternehmen den Kredit zurückzahlt. Mittels bankinterner oder -externer Rating-Verfahren werden dazu aus den allgemeinen Markt- und Kreditrisiken sowie den operationellen Risiken des jeweiligen kreditsuchenden Unternehmens die Bonität individuell ermittelt und die Kreditkonditionen festgelegt. Je höher das Ausfallrisiko des kreditbeantragenden Unternehmens ist, umso mehr Eigenkapital muss die Bank nach Basel II für diesen Kredit hinterlegen. Und eben diese Pflicht geben die Geldinstitute an die geldsuchenden Unternehmen weiter.
Was bedeutet das für die Praxis?
Zu den operationellen Risiken eines Unternehmens zählen nach Basel II all jene Gefahren "von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder externen Ereignissen eintreten". Ziel muss es also sein, die Risiken eines Angriffs oder gar Ausfalls der eigenen IuK-Infrastruktur nachweisbar zu reduzieren. Welche Maßnahmen dafür zu treffen sind, hängt stark vom Einzelfall ab, da die IT-Systeme eines jeden Unternehmens verschieden ausgestaltet sind und die Unternehmensabläufe unterschiedlich stark von IT-Technik abhängen. Einen konkreten Anforderungskatalog bietet weder der Bankenausschuss noch das neue Gesetz. Mit einem aktiven IT-Risiko-Management müssen Unternehmen künftig gegenüber der Bank beispielsweise nachweisen können, dass ihre IuK-Infrastruktur über einen Virenscanner verfügt, dessen Virensignatur regelmäßig via Internet aktualisiert wird, dass Zugangs- und Zugriffsrechte geregelt sind, dass sensible Daten zugriffssicher und Notfallregelungen für den Worst Case vorhanden sind. Da die größte Schwachstelle nicht die Technik, sondern der Mensch ist, muss dieser Aspekt ausreichend berücksichtigt werden, etwa durch Betriebsvereinbarungen über die private Internetnutzung am Arbeitsplatz, über den Einsatz von E-Mail- oder Web-Filter sowie über die Schaffung einer Sicherheits-Awareness bei den Mitarbeitern durch Schulungen et cetera.
Hilfe für die Erarbeitung eines solchen Konzepts bieten die Standard-Sicherheitsmaßnahmen des IT-Grundschutzhandbuches des Bundesamtes für Sicherheit & Informationstechnologie (www.bsi. de) sowie der Standard ISO 17799 als international anerkannte Basis zum Management für Informationssicherheit oder der Standard BS 7799.
Ein leistungsfähiges IT-Sicherheitssystem ruht also auf drei Säulen: der Technik (geeignete Hard- und Software), der Organisation (Handlungsanweisungen, Kontrolle) und dem Recht, das die Grenzen des Erlaubten zieht (zum Beispiel die Zulässigkeit von E-Mail-Filtern).
Die Unternehmensleitung haftet
Muss das Unternehmen wegen eines mangelhaften IT-Sicherheitsmanagements erhöhte Zinssätze zahlen oder mehr Eigenkapital stellen, kann die Geschäftsführung für diese finanzielle Einbuße des Unternehmens persönlich zur Verantwortung gezogen werden. Denn die Geschäftsführung ist gesetzlich und vertraglich verpflichtet, das Unternehmen vor finanziellen Einbußen zu schützen. IT-Sicherheit ist und bleibt also Chefsache!
3Das Mittelstandspaket: Dem Mittelstand soll die Kreditaufnahme erleichtert werden. So sieht der Gesetzesentwurf vor, dass die Bank Kredite unter einer Million Euro einem "Retail-Portfolio" zuordnen kann, wofür geringere Anforderungen an das Eigenkapital gelten.
Weitere Rechtspflichten zur IT-Sicherheit
Rechtspflichten des Unternehmens zur Schaffung einer sicheren IT-Struktur ergeben sich weiterhin unter anderem aus vertraglichen Vereinbarungen, dem Wirtschaftsverwaltungsrecht (GewO), dem Datenschutzrecht (BDSG, TKG, TDDSG) sowie aus der Pflicht zur Risikofrüherkennung nach dem KonTraG.
3Vertrag: Regelmäßig finden sich in Verträgen zahlreiche Verpflichtungen zur IT-Sicherheit. So enthält nahezu jeder Softwareerstellungsvertrag eine strafbewährte Vertraulichkeitsvereinbarung hinsichtlich des Source-Codes beziehungsweise anderer Geschäftsgeheimnisse, oder der Vertrag enthält eine Klausel zur Pflicht der Prüfung von Dateien und Datenträgern auf Virenbefall. Gelangen geheime Informationen nun an unberechtigte Dritte, weil der E-Mail-Verkehr nicht verschlüsselt oder das LAN beziehungsweise WLAN nicht ausreichend geschützt war, drohen empfindliche Vertragsstrafen. Aber auch direkt aus dem Gesetz, nämlich aus § 241 BGB, ergibt sich eine allgemeine Pflicht, die Rechtsgüter und Interessen der anderen Partei zu schützen, wozu auch der Schutz der Daten zählt.
3Datenschutz:Umfangreiche Handlungspflichten sieht das Bundesdatenschutzgesetz (BDSG) vor, das entgegen landläufiger Meinung auch für private Unternehmen gilt. Danach dürfen persönliche Daten von Geschäftspartnern, Kunden und Mitarbeitern nur dann erhoben, verarbeitet sowie an Dritte weitergegeben werden, wenn das Gesetz dies erlaubt oder der Betroffen vorab darüber informiert wurde und eingewilligt hat. Der oberste Grundsatz des BDSG lautet: "Es ist grundsätzlich verboten, was nicht ausdrücklich erlaubt ist." Bekannt sein dürfte mittlerweile, dass ein betrieblicher Datenschutzbeauftragter (DSB) zu bestellen ist, sobald mindestens fünf Mitarbeiter mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind (§4f BDSG). Anderenfalls wird ein Bußgeld von bis zu 25.000 Euro fällig (§ 42 BDSG).
Hierbei kann nicht oft genug darauf hingewiesen werden, dass die Benennung eines DSB die Unternehmensleitung keinesfalls aus ihrer Generalverantwortung für die Einhaltung des Datenschutzes entlässt. Denn trotz rechtlich zulässiger Aufgabendelegation entscheiden sie letztlich, welche technischen und organisatorischen Maßnahmen im Unternehmen eingesetzt werden.
3Telekommunikationsdienste: Ergänzend zum BDSG werden die Nutzer von Telekommunikations- und Telediensten speziell durch das Telekommunikationsgesetz (TKG) und das Teledienstedatenschutzgesetz (TDDSG) geschützt. So werden in Bestellformularen von Internet-Shops oder anderen IT-Dienstleistungen oft zu viele Daten abgefragt, oder die Einwilligung des Kunden zur Erhebung, Verarbeitung und/oder Weitergabe seiner Daten entspricht nicht den gesetzlichen Anforderungen. Folge: Die Erhebung und Verarbeitung der persönlichen Daten ist unrechtmäßig, und es entstehen Ansprüche auf Schadensersatz. Weiter verpflichtet das TKG Unternehmen, die ihren Mitarbeitern die private Internetnutzung am Arbeitsplatz gestatten, geeignete technische und organisatorische Maßnahmen zu treffen, um das Fernmeldegeheimnis zu wahren. Sonst droht neben einem Bußgeld aus dem TKG auch die Strafbarkeit nach §206 Strafgesetzbuch.
3Risikofrüherkennung:Nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind der Vorstand einer Aktiengesellschaften sowie der Geschäftsführung einer GmbH verpflichtet, ein Risiko-Früherkennungssystem einzuführen, damit Entwicklungen, die den Fortbestand des Unternehmens gefährden, früh erkannt werden können (§ 91 Abs. 2 AktG). Versagt das Risiko-Erkennungssystem für das IT-System des Unternehmens, haftet die Unternehmensleitung für den daraus entstehenden Schaden unter Umständen mit dem Privatvermögen.
3Fazit: Ein effektives IT-Sicherheitskonzept bietet also einen doppelten Wettbewerbsvorteil: geringe Wahrscheinlichkeit von Umsatzverlusten wegen eines IT-bedingten Betriebsausfalles und bessere Kreditkonditionen. Da die neuen Kreditanforderungen schon Anfang 2007 Realität sein werden, ist schnelles Handeln gefragt. Mit entsprechenden Schulungen & Fortbildungen sind Mitarbeiter und Unternehmensleitung fit zu machen und ein IT-Sicherheitsmanagement zu implementieren. Anderenfalls gerät das eigene Unternehmen im Wettbewerb leicht ins Hintertreffen.