Die Zahl der Cyber-Angriffe steigt kontinuierlich. Hacker verfolgen zunehmend ehrgeizigere und bizarrere Ziele. Aufgrund des IT-Sicherheitsgesetzes und anderer Normen ist dies für die Unternehmen nicht nur ein faktisches und haftungsrechtliches, sondern zunehmend auch ein strafrechtliches und existenzielles Problem.  

Kürzlich hätten Hacker der Gemeinde Ettlingen durch einen Zugriff auf die Leitwarte fast das Wasser und Strom abgedreht.

Es fehlten nur noch wenige Klicks - keine Zukunfts-Horrorvision, sondern eine echte Gefahr, die viele Menschen, Branchen und Versorger bedroht. Zur Compliance gehört daher immer dringlicher die technische Sicherheit und die lückenlos rechtlich korrekte Nutzung der IT im Unternehmen. Das gilt insbesondere für die Betreiber kritischer Infrastrukturen, aber nicht nur für diese.

Einführung eines Informationssicherheitsmanagementsystems

Um die IT- rechtskonform zu organisieren, sollte man sich an anerkannten Standards wie der ISO 27001, den BSI-Grundschutzkatalogen oder COBIT orientieren. Die technischen Standards der DIN ISO 27001 (DIN zur Einführung eines Informationssicherheitsmanagementsystems) geben die Leitlinien vor, die den Umgang mit der betrieblichen IT regeln. Dazu zählen z. B. Themen wie

  • ein internes Kontrollsystem (IKS),
  • ein Risiko-Management-Systeme (RMS),
  • ein Frühwarnsystem,
  • spezielle Verwaltungs- und Analysesysteme,
  • revisionssichere Dokumenten-Management-Systeme (DMS) oder Archivsysteme,
  • Workflow-Systeme bei Compliance-gerechten Freigabe- und Genehmigungsprozessen,
  • Freigabe von Gastzugängen,
  • Ausgestaltung der Firewall oder entsprechender Content-Filter,
  • Benutzerrichtlinien,
  • Verpflichtungserklärungen zum Datenschutz
  • und Vorgaben zur Dokumentation.

Gesetzliche Pflicht zur Sicherstellung der IT-Compliance    

Eine Pflicht der Geschäftsführung zur Einhaltung der Gesetze bzw. zur Sicherstellung der Compliance ergibt sich nicht nur aus dem aus dem IT-Sicherheitsgesetz, sondern auch aus dem Gesetz über Ordnungswidrigkeiten (§§ 9, 30, 130 OWiG), dem  Aktiengesetz (§§ 91, 93 AktG) und dem GmbH-Gesetz (§ 43 GmbHG).

Danach sind die Verantwortlichen verpflichtet, wirtschaftlichen Schaden vom Unternehmen abzuwenden und deshalb Gesetzesverstöße nicht zu dulden.

Compliance-Aufgaben im IT-Bereich

Für den IT-Bereich müssen Unternehmensverantwortliche Vorgaben für die folgenden, auch gesetzlich fixierten Themenbereiche machen und deren Durchführung und Einhaltung kontrollieren:

Datenschutz (Bestellung des Datenschutzbeauftragten, Vorgaben zur Nutzung von  Kunden­daten, Weitergabe von Daten an Dritte, EU Datenschutz Grundverordnung)

Datensicherheit (Bestellung eines Sicherheitsbeauftragten, Firewall und Virenschutzprogramme, technische Vorkehrungen wie Sicherung der Stromversorgung, Nutzung von Cloud-Computing-Diensten, Abschluss einer Betriebsunterbrechungsversicherung)

Zugangsberechtigungen (Definition, Kontrollen, Zugangskontrollen, Passwörter, Änderungsberechtigungen)

Internet (Vorgaben für Arbeitnehmer zur privaten Nutzung, Impressumspflicht /Anbieter­kennung gemäß Telemediengesetz, Hinweis auf Widerrufsrechte und Informationspflichten gem. § 312g BGB, Hinweis auf die Online-Schlichtungsstelle gem. EU-Verordnung Nr. 524/2013)

Vorgaben zur Nutzung von mobilen Geräten (Notebook, Tablet, Smartphone) durch die Mitarbeiter (aktuelle Sicherheits-Software, Vorgabe zur Nutzung von Apps.

Alle Geschäftsführer haften

Geschäftsführer sind gemeinsam zuständig dafür, dass Allgemeine Leitlinien zur Einhaltung von Recht und Gesetz durch die Mitarbeiter vorgegeben werden.

Ressort-verantwortliche Geschäftsführer sollten darüber hinaus zusätzliche Leitlinien vorgeben, die speziell zu beachten sind. Konkret können die einzelnen Punkte betriebs-individuell in einer „Mitarbeiterverpflichtungen zum Umgang mit der IT“ umgesetzt werden. Diese sollten in einer Betriebsvereinbarung bzw. in den Arbeitsverträgen oder Zusätzen dazu als verpflichtend eingeführt und mit entsprechenden Sanktionen bedroht sein.

Strengere Vorgaben für Betreiber kritischer Infrastrukturen

Strengere Pflichten, etwa die Implementierung von Kontaktstellen für die Meldung von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI), wurden durch das IT-Sicherheitsgesetz den Betreibern kritischer Infrastrukturen, etwa Energieversorger und Krankenhäusern, adäquate Schutzmaßnahmen auferlegt.

Für die Einführung eines Informationssicherheitsmanagementsystems (kurz: ISMS) gemäß DIN ISO/IEC 27001 ist dessen Zertifizierung bis zum 31. Januar 2018 Pflicht. Die Verantwortung hierfür liegt bei der Geschäftsleitung der betroffenen Unternehmen.

In einer zunehmend vernetzte Gesellschaft gibt es immer größere Angriffsfläche, da z.B. Systeme von Windkrafträder, Solarenergie- und Biogasanlagen mit Kohle- und Atomkraftwerken etc. verbunden sind. Cyberangriffe können Wasser- und Energieversorgungen oder Ampelanlagen für ganze Gemeinden und Landstriche außer Gefecht setzen. Das gibt dem Begriff Haftung eine neue Dimension.

Strikte Organisation und Verantwortlichkeit

Gegenmittel sind nicht nur aktuelle Sicherungssysteme und Vorgaben, sondern wasserdichte und strenge organisatorischen Maßnahmen für ihre Einhaltung. Sie müssen ausnahmslos jeden im Unternehmen erfassen, vom Hausmeister über den Praktikant bis zum Geschäftsführer.

Flächendeckend Kommunikation und Einhaltung von Regeln und Maßnahmen sind genauso wichtig, wie der neueste Softwareschutz. Dieser läuft leer, wenn aus praktischen Gründen manuell deaktiviert wird oder ungeschützte mobiler Endgeräte bis in höchste Sicherheits- und Hierachieebenen vorkommen.

Sinnvoll ist ein zentraler Verantwortlicher für IT-Sicherheit, der seine Ziele gegenüber jedermann mit der gebotenen Ernsthaftigkeit umsetzen kann und nicht zurückgepfiffen wird, wenn er mit seinen Vorgaben lästig zu werden droht.

Warnung vor Sicherheitslücken im Onlinehandel

Fast jedes zweite Unternehmen ist von Cyberangriffen betroffen

Hintergrund: IT-Sicherheitsgesetz

Nach § 2 Abs. 10 BSIG erstreckt sich der Anwendungsbereich des Sicherheitsgesetzes auf Betreiber kritischer Infrastrukturen, zu denen etwa die Sektoren

  • Energie
  • Informationstechnik & Telekommunikation
  • Transport & Verkehr
  • Gesundheit
  • Wasser
  • Ernährung sowie
  • Finanz & Versicherungswesen

gehören, wobei jedoch nur solche Betreiber betroffen sind, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Eine genaue Bestimmung des Begriffs der kritischen Infrastrukturen soll in einer noch zu erlassenden Verordnung erfolgen, sodass der Anwendungsbereich noch nicht abschließend feststeht.