Interview: IT-Sicherheit und IT-Recht
Die Berichte über Fälle von Wirtschaftskriminalität häufen sich. Wir haben zwei Expertinnen zum Thema IT-Sicherheit und IT-Recht dazu befragt, wo Gefahren im Unternehmen lauern? Wie man sich vor Angriffen schützen kann und welche rechtlichen Konsequenzen entstehen. Unsere Gesprächspartnerinnen sind: Frau Corinna Göring, Geschäftsführerin der Fa. Computent GmbH, Ettringen und Frau Birgit Maneth, Rechtanwältin und Fachanwältin für IT-Recht und gewerblichen Rechtsschutz, bei der Kanzlei Sonntag & Partner, Augsburg.
Frau Göring, die zunehmende Digitalisierung der Produktionsprozesse und die globale Vernetzung der Wirtschaft bieten Unternehmen heute vielfältige Angriffsmöglichkeiten. Wie viele Fälle von Wirtschaftskriminalität werden denn in Deutschland jährlich bekannt? Kann man die Schadenshöhe quantifizieren?
Fr. Göring: 2010 wurden in Deutschland 102.813 Fälle von Wirtschaftskriminalität vom Bundeskriminalamt (BKA) registriert. Das war eine Steigerung von 36% gegenüber dem Vorjahr. Der dadurch entstandene Schaden bezifferte sich auf ca. 4,7 Milliarden Euro. Zumindest von den bekannten Fällen. Die Dunkelziffer wird noch weit höher sein.
Wo lauern in Unternehmen die größten Gefahren für sensible Daten?
Fr. Göring: Leider ist gerade der Klein- und Mittelstand nicht genügend für das Thema IT-Sicherheit sensibilisiert. Viele denken im Bereich Wirtschaftskriminalität werden nur die großen Unternehmen attackiert. Doch die Hacker gehen auch gerne den Weg des geringsten Widerstandes. Und da die meisten gesuchten Informationen eben auch bei den Firmen im KMU Bereich vorliegen, finden nach Aussage des Verfassungsschutzes 90% der Angriffe dort statt. Denn bei den Subunternehmern und Zulieferern finden sich die Daten über Kontaktpersonen der Auftraggeber sowie Zeichnungen, Planungen etc. Darüber hinaus besteht allerdings auch die Gefahr, dass Daten nicht gestohlen, sondern manipuliert werden. Was oft erst Wochen oder Monate später auffällt.
Wie schütze ich mich wirksam vor Angriffen und damit einhergehendem Datenmissbrauch?
Fr. Göring: Das ist ein sehr breites Feld. Das fängt bei gut gesicherten Routerzugängen an, bei WLAN-Passwörtern, die nicht zu einfach sein sollten. Es geht über einen ausgefeilten Datensicherungsplan bis zu der Thematik, welche Daten dürfen meine Mitarbeiter auf Smartphones, Tablets etc mit aus dem Unternehmen hinaus nehmen. Vor allem auch eine Schulung der Mitarbeiter ist eklatant wichtig. Denn die meisten Viren und Trojaner werden durch ein „aktives Tun“ aktiviert. Schnell ist ein Anhang einer Mail oder ein Fenster im Internet angeklickt ohne darüber kurz mal nach zu denken. Infizierte USB- Sticks und Fremddateien können schnell ein ganzes Netzwerk mit einem Trojaner infizieren, ohne dass es bemerkt wird. Hier sollten die Unternehmen einen IT-Security Experten akquirieren, der umfassend in den Bereichen beraten kann.
Frau Maneth, wann und wofür hafte ich als Unternehmer, wenn in meinem System Schäden entstehen oder von meinen Computern ausgehend Schäden verursacht werden? Mit welchen Strafen muss ich gegebenenfalls rechnen?
Fr. Maneth: Das hängt von der Art des Angriffs und des Schadens ab. Grundsätzlich haftet ein Unternehmen auf Schadenersatz für schuldhaft verursachte Schäden an den Rechtsgütern Dritter sowie in Fällen von Vertragsverstößen. Dies kommt beispielsweise dann in Betracht, wenn ein Unternehmen über keinen ausreichenden Virenschutz verfügt und dadurch die Weiterverbreitung von Schadprogrammen ermöglicht. In gleicher Weise kann ein Unternehmen gegenüber seinen Geschäftspartnern schadenersatzpflichtig werden, wenn es seine Vertragspflichten aufgrund eines vermeidbaren Computerabsturzes (Hackerangriff, Ausfall des IT-Systems, etc.) nicht erfüllen kann. Dabei kann die Haftung sogar den Geschäftsführer bzw. Vorstand persönlich treffen, wenn es keine ausreichende Vorsorge zur Vermeidung von Computerrisiken (z.B. Bestellung eines IT-Sicherheitsbeauftragten) in seinem Unternehmen getroffen hat.
Neben dieser zivilrechtlichen Haftung können Strafen in Form von Bußgeldern fällig werden, wenn ein Angriff beispielsweise dazu führt, dass gegen datenschutzrechtliche Bestimmungen verstoßen wird.
Eine strafrechtliche Verantwortung im engeren Sinne besteht dagegen nur bei vorsätzlichem Handeln, d.h. wenn ein Unternehmer wissentlich und willentlich beispielsweise die Schädigung fremder Netzwerke zulässt.
Können die Angreifer rechtlich belangt werden? Kann ich Schadensersatz fordern?
Fr. Maneth: Grundsätzlich können die Angreifer wie oben geschildert belangt werden, d.h. sie haften zivilrechtlich auf Schadenersatz und in aller Regel auch strafrechtlich für ihre Taten. Das Problem besteht jedoch häufig darin, dass die Angreifer nicht identifiziert bzw. nicht aufgegriffen werden können.
Wie kann ich meine Datensicherung effektiv durchführen und ist es sinnvoll, alle Daten zu verschlüsseln? Wann sollte ich meine Daten verschlüsseln?
Fr. Göring: In puncto Datensicherung raten wir unseren Kunden den Einsatz eines mehrstufigen Systems. Eine Festplattenspiegelung im Server ist dabei allerdings nur eine Ausfallsicherheit. Denn wird z.B. eine Datei versehentlich gelöscht, ist diese im selben Moment auch von der 2. Festplatte verschwunden. Zu der Spiegelung sollte eine tägliche, wöchentliche und monatliche Sicherung auf ein NAS-System erfolgen. Und dazu noch eine regelmäßige Sicherung auf externe Festplatten, wobei ein oder mehrere außerhalb des Unternehmens gelagert werden sollten. Im Privathaus oder im Banksafe, falls es mal zu einem Brand oder Einbruch kommen sollte.
Eine Verschlüsselung der Firmendaten sollte stets dann vorgenommen werden, wenn Daten außerhalb des Firmennetzes verwendet werden. Insbesondere dann, wenn Unbefugte Zugriff auf die Geräte haben könnten, wie Notebooks, USB-Sticks. Innerhalb des Unternehmens sollte vor allem auf die Rechtevergabe der Anwender auf Datenordner geachtet werden. Nicht jeder Mitarbeiter braucht Zugriff auf alle Bereiche, wie z.B. Personalwesen und Buchhaltung.
Was versteht man unter einer „qualifizierten elektronischen Signatur“?
Frau Göring: Mails können von einem gefälschten Absender kommen oder unterwegs verändert werden. Die Gefahr wird oft gerade bei wichtigen Inhalten unterschätzt. Nur 5% der Anwender verwenden heute eine qualifizierte elektronische Signatur. Darunter versteht man die Verwendung von Public und Private Keys. Die sicherste Methode ist die Verwendung von Zertifikaten von sogenannten Trustcentern. Dadurch werden die Absenderdaten verifiziert und die sichere Übermittlung der Mailinhalte gewährleistet.
Benötige ich wirklich einen Datenschutzbeauftragten? Welche Qualifikationen muss dieser haben? Kann ich da nicht einfach meinem IT-Betreuer diese Aufgaben auch übertragen?
Fr. Maneth: Ein Datenschutzbeauftragter ist grundsätzlich dann zu bestellen, wenn
• im Rahmen der automatischen Datenverarbeitung mehr als 9 Mitarbeiter Zugriff auf personenbezogene Daten haben; oder
• im Rahmen der nicht-automatischen Datenverarbeitung mindestens 20 Mitarbeiter Zugriff auf personenbezogene Daten haben oder
• die Datenverarbeitung zu bestimmten Zwecken – wie dem Adressdatenhandel – erfolgt oder sich sonstige Risiken für die Datenintegrität ergeben, z.B. bei der Speicherung sensibler Daten wie der Religions- oder Gewerkschaftszugehörigkeit.
Als betrieblicher Datenschutzbeauftragter kommen sowohl interne Unternehmensangehörige wie auch externe Beauftragte in Frage, soweit diese gewisse Mindestanforderungen in persönlicher und fachlicher Hinsicht erfüllen. Dazu zählen insbesondere fundierte Kenntnisse in den Bereichen Datenschutzrecht, Informationstechnologie und Betriebsorganisation. Hinzukommen sollten persönliche Qualifikationen, wie Verschwiegenheit, Konfliktfestigkeit sowie kommunikative und didaktische Fähigkeiten.
Der Detailgrad dieser Kenntnisse und Fähigkeiten ist abhängig von der Größe und der Komplexität des Unternehmens.
Neben dieser Qualifikation muss der Datenschutzbeauftragte vor allem frei von Interessenskonflikten sein, d.h. seine Aufgaben bei der Überwachung des Datenschutzes dürfen nicht mit seiner betrieblichen Verantwortung kollidieren. Deshalb können Personen, deren betriebliche Tätigkeit mit der Datenverarbeitung im Zusammenhang steht oder sich darauf auswirkt, nicht als Datenschutzbeauftragte bestellt werden, da sie andernfalls die eigene Datenverarbeitung zu überwachen und zu regulieren hätten. Dieser Interessenskonflikt betrifft in der Regel nicht nur die Mitarbeiter der IT-Abteilung, sondern vor allem auch Mitarbeiter aus der Personalabteilung, Rechtsabteilung oder der Revisionsabteilung. Angehörige dieser Geschäftsbereiche kommen daher als Datenschutzbeauftragte grundsätzlich nicht in Betracht.
