Wenn man sich das Thema IT-Sicherheit in der Beratungspraxis und der Umsetzung bei den Unternehmen anschaut, so nimmt man eine gefühlte Sicherheit wahr. Viele Unternehmen tun etwas und verlassen sich auf ihre EDV-Abteilung, die schon die richtigen Maßnahmen ergreifen wird. Unternehmen trösten sich damit, dass bisher noch nichts Ernstes passiert ist und man auch im direkten Umfeld niemanden kennt, der aufgrund vernachlässigter IT-Sicherheit massive wirtschaftliche Probleme bekommen hat.
Sowohl die Unternehmensleitung als auch die IT-Abteilung wissen, dass rechtliche Anforderungen sie auch zu Maßnahmen der IT-Sicherheit anhalten. Trotzdem lässt sich bei objektiver Betrachtung feststellen, dass die Umsetzung häufig noch unvollständig erfolgt. Zumeist wird darauf verwiesen, dass gerade andere wichtige Projekte laufen oder bei der vorhandenen Marge kein Geld für größere Maßnahmen zur IT-Sicherheit möglich sind.
Bei allen Betrachtungen sollte sich jeder Unternehmer die Frage stellen: "Wie sieht mein Unternehmen aus, wenn ich einen oder zwei Tage ohne EDV arbeiten muss?" Es gibt durchaus Untersuchungen, die bei größeren Unternehmen schon bei einem Ausfall der IT-Infrastruktur für wenige Tage davon ausgehen, dass die Schäden nicht mehr reparabel sind. Aus diesem Grund sollte die Unternehmensleitung als auch die IT-Abteilung das Thema IT-Sicherheit mit einer höchsten Priorität versehen.
In dem nachfolgenden Beitrag soll auch aufgezeigt werden, dass mittlerweile die Gerichte sich vermehrt mit dem Thema IT-Sicherheit und Risikomanagement beschäftigen.
Entwicklungen
Beim Thema IT-Sicherheit lassen sich verschiedene Entwicklungsphasen aufzeigen. In der ersten Phase, die zum großen Teil bereits durchlaufen ist, ging es darum, die Unternehmen für das Thema zu sensibilisieren und wachzurütteln. In einer zweiten Phase, die nach Wahrnehmung des Autors derzeit ihren Höhepunkt hat, geht es um die Vermittlung von Informationen und Wissen rund um das Thema IT-Sicherheit. Die dritte Phase lässt dann wirtschaftlich und auch rechtlich spürbare Folgen auftreten. Diese Phase steht noch am Anfang. Es deutet sich aber an, dass diese Phase an Dynamik gewinnt. Erst in einer letzten Phase ist wohl davon auszugehen, dass Maßnahmen zur IT-Sicherheit zur Normalität gehören und entsprechende Budgets in den Unternehmen bereitgehalten werden.
Rechtsprechung - Es kann unangenehm werden
Bereits heute liegen Urteile vor, die nachdenklich stimmen und Tendenzen aufzeigen. Nachfolgend sollen einige Urteile betrachtet werden, die erhebliche praktische Relevanz haben.
In einem Beschluss des Oberlandesgerichts Karlsruhe vom 10. Januar 2005 (Az.: 1 Ws 152/04) ging es um die Frage, ob die Überwachung und Filterung von E-Mails strafrechtlich relevant ist. Ein wissenschaftlicher Mitarbeiter hatte gegen einen Prüfungsbescheid vor dem Verwaltungsgerichtshof geklagt. Im Rahmen der länger andauernden Auseinandersetzung mit der Hochschule wurde ihm dann im Jahre 2003 mitgeteilt, dass aus gegebenem Anlass ihm das Privileg entzogen werde, die Kommunikationseinrichtungen der Fakultät einschließlich der elektronischen Post zu benutzen. Ein konkreter Anlass für das Verbot wurde nicht ausgesprochen. Der wissenschaftliche Mitarbeiter musste dann feststellen, dass seine Mails nicht mehr zugestellt wurden. Auf telefonische Nachfrage nach dem Grund für die Sperre wurde ihm seitens der Hochschule erklärt, dass es keinen Anlass gebe, und dass man auch nicht angegriffen worden sei. Allerdings erachte man den Mitarbeiter für gefährlich und sehe ihn als Bedrohung an.
Überwachung von E-Mails
Die Hochschule ergriff dann noch eine zweite Maßnahme. Der wissenschaftliche Mitarbeiter musste feststellen, dass er mit Dozenten, anderen Wissenschaftlern und Freunden an der Fakultät nicht mehr per E-Mail kommunizieren konnte. Die Hochschule erklärte, es seien sämtliche E-Mails gesperrt und gefiltert worden, in deren Absenderadresse sein Name vorgekommen sei. Dies erfolge auch dann, wenn die E-Mails von einem anderen Account gekommen seien. Technisch wurden die E-Mails zunächst ordnungsgemäß angenommen und quittiert. Erst einige Minuten später seien sie dann fakultätsintern ausgefiltert worden. Dem wissenschaftlichen Mitarbeiter wurde dann die Meldung: "delivery cancelled" übermittelt. Der potentielle Empfänger habe die Nachricht gar nicht erst erhalten.
Es wurde dann Strafanzeige wegen Verletzung des Post- und Fernmeldegeheimnisses gem. § 206 Abs. 2 Nr. 2 StGB erstattet. Die Staatsanwaltschaft lehnte allerdings die Einleitung eines Ermittlungsverfahrens ab. Auf Beschwerde wies die Generalstaatsanwaltschaft darauf hin, dass nach ihrer Auffassung im Ausfiltern bzw. anderweitigen technischen Sperren eingehender E-Mails zwar ein Unterdrücken i.S.d. § 206 Abs. 2 Nr. 2 StGB liegen könne. Allerdings treffe die Norm nur Unternehmen. Die Hochschule sei kein Unternehmen im Sinne dieser Vorschrift. Nach Auffassung der Generalstaatsanwaltschaft sollte dann die Strafanzeige nicht weiter verfolgt werden. Dagegen wandte sich der wissenschaftliche Mitarbeiter und beantragte eine gerichtliche Entscheidung, die in seinem Sinne erging: Das Oberlandesgericht Karlsruhe verweist darauf, dass zu Unrecht die Einleitung eines Ermittlungsverfahrens wegen des Verdachts der Verletzung des Post- und Fernmeldegeheimnisses verweigert wurde. Zwar sind nach Auffassung des Gerichts in einigen Punkten noch Sachverhalte aufzuklären. Allerdings könne nicht generell insoweit eine Strafbarkeit abgelehnt werden. Im Gegensatz zur Generalstaatsanwaltschaft wird der Begriff des Unternehmens in § 206 StGB weit gefasst, so dass dieser auch auf Hochschulen anzuwenden ist. Das Oberlandesgericht verweist darauf, dass die strafrechtliche Vorschrift nicht nur für unverschlossene Postsendungen, sondern für jede Form der dem Fernmeldegeheimnis unterliegenden Telekommunikation gilt. Damit sind auch E-Mails entsprechend erfasst.
Spam- und Virenfilterung
Eine E-Mail wird dann unterdrückt, wenn durch technische Eingriffe in den technischen Vorgang des Aussendens, Übermittelns oder Empfangs von Nachrichten mittels Telekommunikationsanlagen verhindert wird, dass die Nachricht ihr Ziel vollständig oder unverstümmelt erreicht. Dies betrifft also jede Art der Filterung. Wichtig ist die Frage, ob dies unbefugt erfolgt. Die Befugnis kann sich zunächst aus einem ausdrücklichen Einverständnis ergeben. Das Einverständnis kann aber nur dann von Bedeutung sein, wenn es von allen an dem konkreten Fernmeldevorgang Beteiligten erteilt wird. Dies war in dem Fall des wissenschaftlichen Mitarbeiters nicht der Fall. Als weitere Rechtfertigungsgründe für eine Filterung kommen nur gesetzliche Vorschriften in Betracht., Ob allgemeine Rechtfertigungsgründe eingreifen können, bezweifelt das Oberlandesgericht aber. Nach Auffassung der Richter kann es unter Umständen gerechtfertigt sein, eine E-Mail herauszufiltern, wenn eine E-Mail mit Viren behaftet ist, so dass bei deren Verbreitung Störungen oder Schäden der Telekommunikations- und Datenverarbeitungssysteme eintreten. Allerdings ist hier der Verweis auf die Umstände sehr bedeutend und als einschränkend festzustellen. Da in dem zu entscheidenden Fall etwaige Anhaltspunkte nicht vorlagen, musste zunächst von einem unbefugten Filtern ausgegangen werden. In jedem Fall fordert das Oberlandesgericht einen konkreten Anlass, da anderenfalls nicht von einer Berechtigung zur Filterung von E-Mails ausgegangen werden kann.
In der Praxis bedeutet dieses Urteil, dass eine Spam- und Virenfilterung sowie eine Filterung von E-Mails ohne Regelung im Arbeitsvertrag oder ohne ausdrückliches Einverständnis strafrechtliche Relevanz hat. Die Verantwortlichen können dann wegen Verletzung des Post- und Fernmeldegeheimnisses belangt werden. Darüber hinaus ist zu bedenken, dass bei einer privaten E-Mail-Nutzung nach den telekommunikationsrechtlichen Vorschriften ein Unternehmen Telekommunikationsanbieter wird. Dies bedeutet erhöhte Sicherungsanforderungen an die Telekommunikation und auch an die datenschutzrechtlichen Maßnahmen zur Sicherung des Fernmeldegeheimnisses.
Datenverlust bei Warten der Festplatte
Auch die Entscheidung des Oberlandesgerichtes Hamm vom 01.12.2003 (Az.: 13 U 133/03) hat für die Praxis erhebliche Bedeutung. In der Entscheidung des OLG Hamm ging es um die Frage der Schädigung durch einen IT-Dienstleister beim Austausch einer Festplatte. In seinen rechtlichen Ausführungen verweist das Gericht auf folgende Eckpunkte:
- Das geschädigte Unternehmen habe nicht für eine zuverlässige Sicherheitsroutine gesorgt, sondern diese grob vernachlässigt.
- Die Sicherung der Unternehmensdaten hätte täglich erfolgen müssen, die Vollsicherung mindestens einmal wöchentlich.
- Es ist grob fahrlässig (blauäugig), wenn der nach dem Absturz festgestellte Stand der Komplottsicherung dem Stand vier Monate vor den Wartungsarbeiten entsprach.
Selbst wenn also dem IT-Dienstleister die Verletzung der Kontrollpflichten vor dem Austausch seiner Festplatte nachgewiesen werden konnte, hätte ein überwiegendes Mitverschulden des geschädigten Unternehmens vorgelegen. Im zu entscheidenden Fall ging es um die Frage, wer die Kosten für eine Rekonstruktion der verloren gegangenen Daten zu tragen hat. Aufgrund dieser Entscheidung wird durchaus die Auffassung vertreten, dass selbst bei deletantischen Wartungsarbeiten der Auftraggeber hätte damit rechnen müssen, für die Schäden der Wartungsarbeiten durch den Datenverlust selbst aufkommen zu müssen.
Arbeitsgerichte nehmen IT-Sicherheit ernst
Mittlerweile beschäftigt sich eine Vielzahl von Urteilen mit arbeitsrechtlichen Auseinandersetzungen, die den Bereich IT-Sicherheit berühren. In einer Entscheidung des Landesarbeitsgerichts Hamm vom 04.02.2004 (Az.: 9 Sa 502/03) ging es um eine fristlose Kündigung wegen des Abspeicherns von "Hacker"-Dateien auf einem Arbeitsplatz-PC. Das Gericht stellt zunächst klar, dass vom Arbeitnehmer auf einem Arbeitsplatz-PC gespeicherte Daten nicht seine "privaten" Dateien darstellen. Dies gilt auch dann, wenn der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfügung stellt, der nur unter Verwendung eines Passwortes in Betrieb genommen werden kann. Es müssten erst weitere Umstände hinzutreten, z.B. die ausdrückliche Erlaubnis oder zumindest die Duldung einer privaten Nutzung des Arbeitsplatz-PCs, bevor man zu der Auffassung kommt, dass abgespeicherte Daten private Daten des Arbeitnehmers sind. In der Konsequenz bedeutet das, dass der Arbeitgeber aus begründetem Anlass ohne Einverständnis des betroffenen Arbeitnehmers Zugriff auf dessen Dateien nehmen kann.
Der Arbeitgeber hatte dann festgestellt, dass auf dem Arbeitsplatz-PC insgesamt 17 "Hacker"-Dateien abgespeichert waren, unter denen sich eine Datei zum Entschlüsseln des "BIOS"-Passworts befindet. Das Gericht stellt ausdrücklich fest, dass dies grundsätzlich ein Grund zur fristlosen Kündigung des Arbeitnehmers darstellt. Der Arbeitnehmer hatte dann im gerichtlichen Verfahren in die Waagschale geworfen, dass ein Schaden nicht eingetreten sei und er seit 24 Jahren seine Arbeitsleistung unbeanstandet erbracht habe. Das Landesarbeitsgericht war dennoch der Auffassung, dass die fristlose Kündigung zu Recht ausgesprochen wurde. Dieses Urteil bestätigt eine Tendenz bei den Arbeitsgerichten, dass das Thema IT-Sicherheit ernst genommen wird. Auch bestätigt die Vielzahl der arbeitsgerichtlichen Entscheidungen, dass häufig Angriffe auf die IT-Infrastruktur von innen, sprich von den Mitarbeitern, kommen.
In der Konsequenz sollte ein Unternehmen auf jeden Fall arbeitsvertragliche Regelungen zur IT-Sicherheit vereinbaren.
Sorgfaltspflichten beachten
Aber auch die Unternehmensleitung gerät zunehmend in den Fokus der Rechtsprechung. Beispielsweise hat das Oberlandesgericht Zweibrücken bereits am 22.12.1998 zu dem Umfang der Sorgfaltspflichten eines Geschäftsführers Stellung genommen (Az.: 8 U 98/98). Das Gericht verweist darauf, dass die Sorgfaltspflichten eines GmbH-Geschäftsführers über die eines ordentlichen Kaufmanns hinausgehen. Das Gericht verlangt von einem GmbH-Geschäftsführer die Sorgfalt, die ein ordentlicher Geschäftsmann in verantwortlich leitender Position bei selbständiger, treuhänderischer Wahrnehmung fremder Vermögensinteressen zu beachten hat. Ein Geschäftsführer kann sich nicht darauf berufen, dass er seiner Aufgabe nicht gewachsen war. Weiterhin stellt das Gericht klar, dass oberstes Gebot für eine ordentliche Geschäftsführung die Abwendung von Schäden ist. Dabei sind die Gesetze, der Gesellschaftsvertrag und die für die Geschäftsführung verbindlichen Beschlüsse anderer Organe der Gesellschaft zu berücksichtigen. Zwar habe der Geschäftsführer einen weiten Ermessensspielraum. Insoweit haben die Gerichte bei der Prüfung nur darauf zu achten, ob die Gesetze und die Satzung und die darin enthaltenen Schranken und Regeln eingehalten sind. Eine Zweckmäßigkeitskontrolle erfolgt nicht. Allerdings zeigen diese Leitsätze, dass einem GmbH-Geschäftsführer umfangreiche Pflichten auferlegt werden.
In der Rechtsprechung des Bundesgerichtshofes wird ebenfalls eine Tendenz zur schärferen Haftung sichtbar. Beispielsweise ist ein Aufsichtsrat gezwungen, Ansprüche gegen einen Vorstand geltend zu machen, sofern dies aufgrund einer sachgerechten Prüfung erfolgversprechend ist. Anderenfalls setzt sich der Aufsichtsrat selbst einer Haftung aus.
Unzureichendes Risikomanagement
In einer Entscheidung des Landgerichts Berlin vom 03.07.2002 (Az.: 2 O 358/01) ging es um die fristlose Kündigung eines Dienstverhältnisses mit einem Bankvorstand. Die Kündigung war u.a. damit begründet worden, dass der Bankvorstand ein unzureichendes Risikomanagement mitzuverantworten habe. Die Berliner Richter verweisen darauf, dass die fristlose Kündigung insoweit gerechtfertigt ist. Sei ein solches Risikomanagement in Einzelbereichen nur eingeschränkt funktionsfähig oder fehle es ganz, rechtfertigt dies eine Kündigung des Vorstandes einer Bank aus wichtigem Grund.
Zusammenfassend lässt sich also aus der Rechtsprechung vor allem die Tendenz entnehmen, dass das Thema IT-Sicherheit und Verletzungen der IT-Sicherheit zum einen rechtliche Konsequenzen nach sich zieht. Zum anderen ist vor dem Hintergrund der vielen arbeitsgerichtlichen Entscheidungen dringend anzuraten, insoweit die Arbeitsverträge mit entsprechenden Einschränkungen zu versehen.
Gesetzgeber - Sicherheit für alle
Leider gibt es kein Gesetz über die Grundlagen der IT-Sicherheit. Es finden sich Regelungen in vielen Gesetzes, u.a. im
- Bundesdatenschutzgesetz (BDSG)
- Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
- Transparenz- und Publizitätsgesetz (TransPuG)
- Teledienstegesetz (TDG)
- Signaturgesetz (SigG)
- Bürgerliches Gesetzbuch (BGB)
Und dies ist auch nur ein Auszug der vielen gesetzlichen Regelungen. Nicht alle Gesetze geben klare Handlungsanweisungen. Zum Teil sind die gesetzlichen Regelungen auch nicht sorgfältig aufeinander abgestimmt. Daneben wird auch seitens der Banken bei den "Ratings" und der Kreditvergabe zunehmend darauf geachtet, dass dokumentierte Maßnahmen zur IT-Sicherheit vorhanden sind. Generell lässt sich sagen, dass neue Gesetze und weitere Urteile für klarere Anforderungen an die Unternehmen sorgen werden.
Ausblick - Einfach sicher
Die IT-Sicherheit stellt sowohl technische als auch rechtliche Anforderungen an die Unternehmen. Entsprechende Lösungen liegen bereits vor. IT-Sicherheit ist eine ständige Aufgabe für Unternehmensleitung und alle Mitarbeiter.
Schritte zu mehr IT-Sicherheit und zur rechtlichen Absicherung können wie folgt aussehen:
- Kritische Analyse des Ist-Zustandes im eigenen Unternehmen.
- Gespräche zwischen Unternehmensleitung und IT-Verantwortlichen, unabhängig, ob diese Interne oder Externe sind.
- Konkrete Maßnahmen beschließen (Projektplan).
- Techniker und Juristen erarbeiten ihr individuelles IT-Sicherheitskonzept.
Zum Schluss lässt sich aus leidvoller Erfahrung einiger Unternehmen sagen, dass man sich IT-Sicherheit als "Investition in Schadensminimierung" etwas kosten lassen soll und muss.
