Ist Ihre Unternehmens-IT sicher? Als Geschäftsführer oder Vorstand stehen Sie in der Verantwortung!

Wer sich als Vorstand oder Geschäftsführer eines Unternehmens nicht zweimal pro Jahr von der Sicherheit der eigenen EDVAnlagen überzeugt, handelt nach Meinung der aktuellen Rechtsprechung fahrlässig. Mit dieser aus § 91 Abs. 2 und § 93 Abs. 2 AktG und § 43 Abs. 1 GmbHG abgeleiteten Übertragung einer weiteren Verantwortung auf die Geschäftsleitung macht es sich die Rechtsprechung ähnlich einfach wie schon bei anderen Haftungsfragen - zum Beispiel dem Einsatz nicht ausreichend lizenzierter Software: Gleichgültig, ob der Vorstand überhaupt in der Lage war, den Missbrauch zu erkennen und zu  unterbinden – er ist verantwortlich, und das unter Umständen auch persönlich im Rahmen einer Durchgriffshaftung. Flankiert wird diese Entwicklung in der Rechtsprechung durch gesetzliche und andere Regulierungen, die als KonTraG, SOX oder Basel II im Verhältnis zu Gesellschaftern, Aktionären und Banken Wirksamkeit entfalten sollen.

Mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wird die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern gegenüber Gesellschaftern oder Aktionären in Unternehmen erweitert und besseres Risiko-Management gefordert. Kern des KonTraG ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und zu betreiben. Mit dem Sarbanes- Oxley Act of 2002 (SOX) soll das Vertrauen der Anleger in die Richtigkeit der Unternehmens-Angaben zu Finanzdaten wieder hergestellt werden, indem die Berichtspflichten an die amerikanische Börsenaufsicht deutlich ausgeweitet werden. Diese Regelungen gelten zum Beispiel auch für deutsche Tochterunternehmen und wurden bereits vielfach in Direktiven der Europäischen Gemeinschaft übernommen, insbesondere die Richtlinie 2006/43/EG aus dem Jahr 2006.

In einer Zeit, in der kaum ein Betrieb auf eine funktionierende EDV länger als einen Tag verzichten kann, soll so Druck auf die Verantwortlichen ausgeübt werden, sich den notwendigen Aufgabenstellungen zu widmen. Technische Firewall-Konzepte, Datenschutz-Vereinbarungen mit Kunden und Mitarbeitern, der Nachweis eines Risiko-Managements gegenüber Gesellschaftern und Aktionären und weitere Maßnahmen der so genannten „IT-Governance“ stehen dabei als Werkzeuge zur Verfügung, um die legislativen oder ordnungspolitischen Vorgaben auch tatsächlich einzuhalten. Damit hat die Geschäftsleitung theoretisch sehr viele Mittel in der Hand, damit nicht die Kunden, Gesellschafter, Mitarbeiter und bei großen Institutionen auch die Öffentlichkeit bekannt werdende Fehler in der Unternehmens-IT als Management-Versagen identifizieren und entsprechende Konsequenzen fordern können.

Entspricht diese Theorie aber auch der Praxis? Stellt sich eine typische deutsche Unternehmensleitung tatsächlich auf die Anforderungen der „IT-Compliance“ ein? Wird das eigene Risiko minimiert und sich so weit wie möglich an Vorschriften gehalten, wenig Angriffsfläche geboten durch den Betrieb einer halbwegs sicheren IT-Infrastruktur?

Der Weg zu den Antworten führt über zwei weitere Fragen: Wer ist in Deutschland typischerweise „die Unternehmensleitung“? Und: Was ist „sicher“? Ein Unternehmens-Manager ohne signifikante Beteiligung am Unternehmen ist allein durch seinen Arbeitsvertrag gebunden. Als GmbH-Geschäftsführer oder AG-Vorstand arbeitet er per Auftrag der Gesellschafter/Aktionäre an der Vermeidung von Risiken für das Unternehmen – und für sich selbst. In Deutschland ist dieser Manager-Typus deutlich in der Minderheit und in der Regel nur bei sehr großen Aktiengesellschaften vertreten; bei GmbHs häufig in zweiter oder dritter Besitzer-Generation oder als Leiter von Tochtergesellschaften größerer und oft ausländischer Konzerne.

Der Großteil der in deutschen Firmen verantwortlichen Menschen sind dagegen Unternehmer, denen ein signifikanter Anteil am Unternehmen gehört. Diese gehören mehrheitlich dem Mittelstand an. Unternehmer in diesen Firmen tragen in der Regel eine Vielzahl von Risiken persönlich. Mit dem Unternehmer steht und fällt das Unternehmen. Naturgemäß werden in diesen Firmen neu auftretende Risiken immer im Kontext der bereits bestehenden Gefährdungen für das Unternehmen oder den Unternehmer bewertet. Oft werden Risiken auch pauschal zusammengefasst und de facto ignoriert. Die Notwendigkeit kostenintensiver
Entscheidungen wird anhand der drohenden Sanktionen beurteilt.

Entsprechend schwer fällt es den meisten deutschen Mittelständlern, den für die eigene Firma notwendigen Grad der IT-Sicherheit einzuschätzen. Wenn es überhaupt eine Berücksichtigung dieses Themas bei der Geschäftsleitung gibt, dann wird oft der einfachste Weg gewählt, sich in Sicherheit zu wiegen: Es wird dem Dienstleister ungeprüft geglaubt, der die mit dem Internetzugang mitgelieferte Firewall pauschal als „sicher“ bezeichnet. Oder es wird eine hinreichend weit verbreitete technische Lösung eingekauft in der Hoffnung, dass sich irgendjemand bereits um die Qualität diese Lösung gekümmert hat.

Die Eilfertigkeit vieler Wirtschaftsprüfer, im Jahresabschluss die Unternehmens-EDV als „nicht prüfungsrelevant“ zu attestieren, kann ebenfalls nur durch den Druck erklärt werden, dass sich die Unternehmensleitung andernfalls einen neuen Wirtschaftsprüfer sucht, der das gewünschte Testat liefert. Diese Entwicklung, sich zwecks Kostenersparnis selber langfristigen Schaden zuzufügen, ist aber rückläufig. Ursache dafür sind verschiedene Faktoren, die bei größeren Firmen zuerst wirken, dann aber auch nach und nach kleinere Mittelständler zum Umdenken zwingt:

Stichwort Angst:
Nahezu jede Unternehmens-IT ist mit dem Internet verbunden und das nicht mehr nur für den Web- und E-Mail-Transport, sondern auch für die Ferneinwahl ins Unternehmens-Netz per VPN, die Vernetzung mit Endkunden und Handelspartnern oder die Verbindung von Warenwirtschaft und Shop- System. Datenverarbeitung ist nicht mehr durch eine einfache Firewall als „innerhalb“ und „außerhalb“ der Firma zu klassifizieren. Durch die Globalisierung nehmen viele kleine Unternehmen am weltweiten Handel teil und so steigt die Sensitivität der Geschäftsleitung bezüglich des unbefugten Zugriffs auf die Firmennetze über das Internet.

Stichwort Geld:
Die Kreditinstitute lernen, die Kosten des ihnen per Basel II und anderen Verpflichtungen auferlegten Risiko-Managements an ihre Kunden weiter zu geben. Die Frage nach der IT-Sicherheit entfaltet Wirksamkeit beim Rating. Da kein Unternehmen in Deutschland ohne EDV arbeitsfähig ist, wird den prüfungspflichtigen Gesellschaften eine Bilanz ohne IT-Risiko-Bericht nur noch in den seltensten Fällen abgenommen. Nachweisbare IT-Sicherheit bestimmt damit auch den Kreditzins.

Stichwort Haftung:
Die laufende Rechtsprechung der letzten Jahre stellt im Bereich IT-Sicherheit immer stärker auf die persönliche und nicht delegierbare Verantwortung der Geschäftsleitung ab. Daraus entstehen direkte Risiken, die nicht durch eine Betriebshaftpflichtversicherung abgedeckt sind, denn der Vorwurf der groben Fahrlässigkeit kann sehr schnell erhoben werden. Die Suche des Mittelstands nach einer belastbaren Aussage zur Lage der eigenen IT-Sicherheit wächst daher in letzter Zeit deutlich, was sich vor allem in einem stark gewachsenen Veranstaltungsangebot zu diesem Thema bemerkbar macht.

Wie jede Bedrohungslage ist aber auch die dazu gehörende Sicherheitseinschätzung individuell. Einfache Antworten gibt es in der Regel nicht. Jeder Entscheider ist gut beraten, wenn er die Klassifizierung seiner IT-Sicherheit nicht nach der Willkür eines Dienstleisters durchführen lässt sondern nach anerkannten Standards. Dies bedeutet nicht, dass jede Unternehmens-EDV kostenintensiv zertifiziert werden muss. Es genügt in der Regel, sich für die Sicherheitsüberprüfung eines dafür nachweislich qualifizierten Unternehmens zu bedienen. Grundlagen für ein solches Audit sind in Deutschland die öffentlich verfügbaren Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (www.bsi.de), die die Vorgaben der internationalen Norm ISO 27001 mit einschließen. Der Bitkom e.V. als Branchenverband der deutschen IT-Wirtschaft hat zu Fragen der Verantwortlichkeit von Entscheidern eine Haftungsmatrix erstellt, die auf den Webseiten des Bitkom frei bezogen werden kann.

Das größte Risiko für die Unternehmens- IT ist der Mensch. Technische Einrichtungen gegen Vandalismus, Unachtsamkeit, Sabotage oder gar Spionage können gegen Ausforschung per social engineering, die ohne jeden Technik-Einsatz funktioniert, nichts ausrichten. Unbekannten Gefährdungen kann Technik wenig entgegen setzen. Richtig eingesetzte technische Lösungen können den Menschen optimal entlasten. Nicht wie – aber dass diese Lösungen gefunden werden, bleibt Chefsache.

Dr. Johannes Loxen, SerNet GmbH, Göttingen