Der Gesetzgeber hat ein weit reichendes Netz, das nicht nur die Steuern der Unternehmen betrifft, sondern auch ihre internen Sicherheitsstrukturen der IT. Hier herrschen Vorgaben hinsichtlich Haftung und Transparenz, die es in sich haben. Was zählt sind deshalb langfristige Maßnahmen, die das Unternehmen rundum schützen und auch die vorhandenen Paragrafen wahren. Die verfügbaren Informationen müssen vor dem Zugriff nicht befugter Personen geschützt werden, um beispielsweise das Vertrauen der Kunden zu wahren. IT-Sicherheit heißt dementsprechend nicht eine Masse von unüberschaubaren Einzelmaßnahmen, sondern ein klares Konzept mit strategischen Fokus und rechtlichem Hintergrund. Dies soll im Folgenden kurz und verständlich dargestellt werden – ohne Anspruch auf eine rechtlich verbindliche Beratung. Dafür sind Juristen immer noch die besten Ansprechpartner.

Rahmenbedingungen

Die relevanten gesetzlichen Rahmenbedingungen für die IT-Verantwortlichen reichen vom Straf- über Zivil- und Unternehmensrecht bis hin zu Basel II. Bereits 1998 trat in Deutschland mit „KontraG“ ein Gesetz in Kraft, das börsennotierte Unternehmen verpflichtete, ein Überwachungssystem zur Früherkennung Existenz-gefährdender Entwicklungen einzurichten. Dazu gehören auch die IT und die mit ihr verbundenen Sicherheitssysteme. KontraG steht für „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ und soll als externe Kontrollinstanz Fehl-Entwicklungen in der Geschäftsführung entgegen wirken. Da es sich hier nur um börsennotierte Firmen dreht, bemüht sich der Gesetzgeber in erster Linie um das Wohl und Vertrauen der Anleger. Aktiengesellschaften stehen weitaus stärker im Fokus des Interesses der Öffentlichkeit und müssen rechtliche Änderungen kontinuierlich beobachten.

Doch auch für Unternehmen, die nicht an der Börse sind, gibt es keinen Grund, das Thema „IT-Sicherheit“ stiefmütterlich zu behandeln. Jede Firma kann für Schäden durch Hacker, Viren oder Datendiebstahl direkt zur Verantwortung gezogen werden. Und auch von innen droht Gefahr, denn Mitarbeiter können Daten entwenden oder unwissentlich weitergeben. Uneingeschränkte Zugriffsrechte sind also Vertrauensbeweis mit unkalkulierbaren Folgen. Doch diese allgemeinen Aussagen nutzen im Geschäftsalltag nur wenig. Wann genau ziehen rechtliche Vorgaben konkrete Änderungen im Unternehmen nach sich?

1. Vertrauen ist vertraulich

Die Wahrung des Betriebsgeheimnisses durch den Mitarbeiter wird in der Regel bereits im Arbeitsvertrag festgelegt. Die unbefugte Weitergabe und Verwertung führt durch die Geheimhaltungsverpflichtung zu einer strafrechtlichen Verfolgung (Paragraf 204, Absatz 1 Strafgesetzbuch, Paragraf 17 Gesetz gegen den unlauteren Wettbewerb). Doch die Strafverfolgung greift erst, wenn der Schaden bereits da ist. Deshalb sollte man sich lieber nicht nur darauf verlassen. Vorbeugende Maßnahmen sind besser als eine potenzielle Bestrafung.

Das Anlegerschutzverbesserungsgesetz vom 30. Oktober 2004 regelt den Umgang mit Insider-Informationen. Der neu eingeführte Paragraf 15b des Wertpapierhandelsgesetzes verpflichtet Unternehmen, ein Verzeichnis der für sie tätigen Personen anzulegen, die Zugang zu persönlichen Daten haben. Um diese Listen auch in der Praxis zu leben, ist es notwendig, Sicherheitstechniken mit gruppen- und nutzerbezogenen Zugriffsrechten zu verwalten. Eine Änderung darf nur durch den Administrator durchgeführt und jede Änderung muss protokolliert werden.

2. Freies Netz – nein danke

Die EU-Datenschutzrichtlinie für elektronische Kommunikation – kurz Anti-Spam-Richtlinie – enthält grundsätzliche Bestimmungen über Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU. Dazu gehören selbstverständlich das Internet und auch alle mobilen Geräte. Wenn also über e-Mail Interna ausspioniert werden, ist das kein unbedeutendes Missgeschick, sondern ein ernstzunehmendes Problem. Insbesondere Unternehmen mit zahlreichen Außendienstmitarbeitern, die sensible Kundendaten ständig vorrätig haben, sind hier angesprochen. Sie sollten ein IT-Sicherheitspaket von Passwort-Management bis zur granularen Zugriffsrechteverwaltung nutzen. Hier steht nicht nur der Datenverlust des Unternehmens auf dem Spiel, sondern auch ein enormer Imageschaden.

3. Einmal Chef – immer Chef

Beim Thema IT ist Amerika eigentlich nie weit weg und das betrifft auch den Bereich Recht. Der „Sarbanes Oxley Act“ von 2002 betrifft beispielsweise Unternehmen (Mutter und Tochter), die an US-amerikanischen Börsen gelistet sind. Folglich müssen sich auch zahlreiche deutsche Unternehmen damit beschäftigen. Das Gesetz verschärft die Offenlegungspflicht und die Notwendigkeit interner Kontrollsysteme. Ein wesentlicher Unterschied zu dem bereits beschriebenen KontraG ist die persönliche Haftung des oberen Managements. Mit diesem Wissen im Hinterkopf muss die Chef-Etage täglich handeln. Schadensersatzforderungen sind die mögliche Folge von „offenen Hintertüren“ im IT-System. In Deutschland sollen mit dem Deutschen Corporate Governance Kodex (CGK) die geltenden Regeln für Unternehmensleitung und -überwachung transparent gemacht werden. Ziel sind vertrauensbildende Maßnahmen für nationale und internationale Investoren.

4. Banken fragen nach

Seit einiger Zeit sorgen auch die Vorgaben von Basel II für zunehmende Nervosität. Davon sind nicht nur die Mitarbeiter der Finanz- und Controlling-Abteilung betroffen, sondern auch die IT-Abteilung. Kann das Unternehmen bei der Bank nicht nachweisen, dass IT-Sicherheit in ausreichendem Maße gewährleistet ist, erhält das Unternehmen ein schlechteres Rating und zahlt in Zukunft höhere Zinsen. Wenn das Unternehmensgeschäft unmittelbar mit IT zu tun hat – beispielsweise Implementierung oder Verkauf – und die Sicherheitsmaßnahmen nur unzureichend gegeben sind, können liquide Mittel sogar vollständig abgelehnt werden. Und nicht zu Unrecht heißt ein Sprichwort, dass der Schuster die schlechtesten Schuhe hat. Die Basel II-Regeln treten EU-weit 2007 endgültig in Kraft und bis dahin ist eine IT-Struktur notwendig, die Früherkennungs- und Abwehrmechanismen selbst gegen zukünftige Gefahren beinhaltet.

Sicherheit ist keine Privatangelegenheit

Die beschriebenen Szenarien sind nur eine Auswahl der bestehenden Gesetzeslage. Zusammengefasst lässt sich sagen, dass die vielfältigen gesetzlichen Regeln dazu dienen, das Vertrauen der Anleger, Investoren und Kunden zu stärken. Sicherheit geht dabei Hand in Hand mit Transparenz und führt zu einem Vorschriften-Dschungel für die IT-Verantwortlichen. Die Firma SecureWave geht deshalb davon aus, dass nur das zugelassen werden soll, was explizit autorisiert wurde. Alles andere wird abgelehnt. Das klingt rigoros – ist jedoch höchst wirksam.

Letztendlich muss selbstverständlich jeder für sich entscheiden, wie gesetzliche Regeln in Abläufe umgewandelt werden, die von den Mitarbeitern gelebt werden können. Sicher ist nur eines: Es steht viel auf dem Spiel.

Checklisten

Mögliche Gefahren:

  • Personen erhalten Zugriff auf interne Daten, die nicht in ihren Zuständigkeitsbereich fallen.
  • Hacker dringen in das IT-Netz ein.
  • Spyware spioniert Daten aus dem Firmennetz.
  • Mitarbeiter laden virenbelastete Dateien aus dem Internet.

    Auswahl gesetzlicher Vorgaben:

  • EU-Datenschutzrichtlinie für die elektronische Kommunikation: Den Kunden wird mehr Datenschutz zugesichert, um Akzeptanz elektronischer Medien zu erhöhen.
  • KontraG: Fehlentwicklungen in der Geschäftsführung von Aktiengesellschaften und börsennotierten Unternehmen sollen rechtzeitig aufgedeckt werden – Verfügbarkeit von Daten muss hergestellt werden.
  • Basel II: höhere IT-Sicherheit bietet bessere Bewertung bei der Kreditvergabe.
  • Sarbanes Oxley: Offenlegungspflicht börsennotierter Firmen in den USA mit Einrichtung interner Kontrollen. Ziel: Sicherheit gewährleisten.
  • Fachautor: Roger Wagner