Haftungsrechtliche Anforderungen an die IT Sicherheit

Transkript

1 Haftungsrechtliche Anforderungen an die IT Sicherheit

2 Agenda 1. Hintergrund 2. Rechtliche Vorgaben zur IT Sicherheit 3. Haftung der Unternehmen 4. Formen der Haftung des Vorstands 5. Weitere Variationen der Managerhaftung 6. Absicherungsstrategien 7. Schlussbetrachtung 2

3 1. Hintergrund Wirtschaftlicher Erfolg moderner Unternehmen ist entscheidend mit korrektem Funktionieren der Informationstechnologie (IT) verbunden Wesentliche Unternehmensprozesse werden über vernetzte IT- Systeme ausgeführt IT-Sicherheit ist ein wachsendes Risiko und eine Schwachstelle für viele Unternehmen IT-Sicherheit und die Minimierung der mit der IT verbundenen Risiken sind Bestandteil bei der Bestimmung der Kreditwürdigkeit nach Basel II und sind weiter Gegenstand aktueller Gesetzgebung 3

4 1. Hintergrund Die ENRON und WorldCom Finanzskandale haben die Tendenz zur internationalen Gesetzesverschärfung und zur persönlichen Haftbarkeit des Managements verstärkt, siehe Sarbanes-Oxley Act aus dem Jahre 2002 Auch in Deutschland nimmt der Gesetzgeber zunehmend Vorstände und Geschäftsführer persönlich in die Verantwortung Versäumnisse bei der Absicherung des Unternehmens können haftungsrechtliche und finanzielle Folgen für den Vorstand haben IT-Manager sind sich oft dieser Haftungsrisiken aus ihrer Funktion und Tätigkeit nicht ausreichend bewusst Risikosensibilität und Risikobewusstsein sind Voraussetzungen für eine erfolgreiche Risikominimierung 4

5 2. Rechtliche Vorgaben zur IT- Sicherheit Bereich Datenschutz: Das Bundesdatenschutzgesetz (BDSG) fordert Datenschutz durch Datensicherheit Schadensersatzverpflichtung gegenüber Dritten, wenn diesen ein Nachteil aufgrund schuldhaft oder nicht hinreichend getroffener IT Sicherheitsmassnahmen entsteht (Schadensersatzansprüche aus z.b. 823 ff BGB, 7 BDSG oder aus Vertragverletzungen) Bei Nichtbeachtung der Vorgaben Geldbuße bis Euro nach 43 BDSG möglich Haftung bei Undurchführbarkeit der Datenerhebung im Auftrag (i. V. m. BGB) 5

6 2. Rechtliche Vorgaben zur IT- Sicherheit Wichtig: Betrachtung des jeweiligen Aktivitätssektors! Für Internetdienstleister sind z.b. nach Art des angebotenen Service bestimmte Anforderungen besonders relevant: Internet-, -, Onlinetelefonie Provider und sonstige Transportdienste sind insbesondere vom Telekommunikationsgesetz (TKG) betroffen ebanking, eshops, Datenbankdienste unterliegen dem Teledienstegesetz (TDG) und dem Teledienstedatenschutzgesetz (TDDSG) Für Onlinemedien, Newsletter, Redaktionen gilt der MediendiensteStaatsvertrag (MDStV) 6

7 2. Rechtliche Vorgaben zur IT- Sicherheit Beispiele rechtlicher Pflichten: Impressumsangaben (Name, Anschrift, Vertretungsberechtigter, Kontaktdaten, Registernummer, Umsatzsteuerident. - Nummer) Unterrichtung des Nutzers über Nutzerdatenspeicherung Auskunft über gespeicherte Nutzerdaten Nutzereinwilligung vor Verarbeitung und Übertragung von Nutzerdaten Eventuell Bestellung eines betrieblichen Datenschutzbeauftragten (für bestimmte Unternehmen) notwendig Schutz der Daten vor dem Zugriff unbefugter Dritter 7

8 2. Rechtliche Vorgaben zur IT- Sicherheit Bereich IT Risiken und Kontrollen: KonTraG Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG): Artikelgesetz, das sich auf das Aktiengesetz (AktG) und Handelsgesetzbuch (HGB) stützt 91 Abs. 2 AktG: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. In Verbindung mit 76 Abs. 1 AktG ergibt sich aus der Leitungspflicht für die Vorstandsmitglieder auch eine Organisationspflicht zur Sicherung des Unternehmensfortbestandes 8

9 2. Rechtliche Vorgaben zur IT- Sicherheit Nationale Gesetze zur Bilanzkontrolle und zur Veröffentlichung korrekter Finanzinformationen: Transparenz- und Publizitätsgesetz TransPuG (2002) Corporate Governance Kodex ( 161 AktG) 10-Punkte-Plan zur Verbesserung der Unternehmensintegrität und des Anlegerschutzes (2003) Anlegerschutzverbesserungsgesetz AnSVG (2004) Bilanzrechtsreformgesetz BilReG (2004) Bilanzkontrollgesetz BilKoG (2004) Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts UMAG (2004) 9

10 2. Rechtliche Vorgaben zur IT- Sicherheit Wichtige internationale Gesetze: Sarbanes - Oxley Act (Verschärfung der Kontrollen über Finanzinformationen US - börsennotierter Unternehmen und deren Publizierung, SOA Sections 302 und 404) Gramm Leach - Bliley Act (GLBA) (Finanzdienstleister) Health Insurance Portability and Accountability Act (HIPAA) (Vertraulichkeit von Patienteninformationen) Data Protection Act (Datenschutzgesetz UK, 1998) Basel II (Offenlegung operationeller IT - Risiken beim Kreditgeber, Unterlegung mit Eigenkapital) EU Datenschutzrichtlinie Lokale Gesetze in der EU (Loi sur la Sécurité Financière in Frankreich) 10

11 3. Haftung der Unternehmen Haftung und Schadenersatz: Diensteanbieter haften für Schäden, die ihren Kunden durch Ausfall der eingesetzten IT entstehen, wenn sich die Kunden auf ständige Betriebsbereitschaft verlassen dürfen. OLG Nürnberg verurteilte ConSors Discount- Broker AG mit Urteil vom zum Schadenersatz (AZ8 U 36/03) Beispiel: Haftung bei Ausfall des Rechenzentrums für den dem Kunden entstandenen Schaden, auch wenn dieser in einem nicht realisierten Gewinn begründet ist Verletzung von Datenschutzregeln kann Straftat darstellen 11

12 4. Formen der Haftung des Vorstands Strafrechtliche Haftung Voraussetzung des Verschuldens (Vorsatz, Fahrlässigkeit, Dulden, Tun, Unterlassen) kann sich durch Vernachlässigung der Kontroll- und Überwachungspflicht ergeben Schadensersatzpflicht bei Verstößen gegen Gesetze mit Schutzwirkung gemäß 823 Abs. 2 BGB 331 HGB, 400 AktG Unrichtige Darstellung (Bilanzfälschung), bis zu 3 Jahren Freiheitsentzug 283 ff StGB Insolvenzverschleppung 283 b StGB Verletzung der Buchführungspflicht, auch ohne drohende Insolvenz relevant 12

13 4. Formen der Haftung des Vorstands Strafrechtliche Haftung Beispiele einiger Straftatbestände mit direktem Bezug zur IT: 202 StGB Verletzung des Briefgeheimnisses 202a StGB Ausspähen von Daten 203 StGB Geheimhaltungspflicht besonderer Berufsgruppen 206 StGB Verletzung des Post- oder Fernmeldegeheimnisses 266 StGB Abwendung von Schäden vom Unternehmen 303a StGB Datenveränderung 303b StGB Computersabotage 13

14 4. Formen der Haftung des Vorstands Zivilrechtliche Haftung Sorgfaltspflichtverletzungen ( 43 Abs. 2 GmbHG, 93 Abs. 2 AktG) und Missmanagement führen zu Schadensersatzklage 823 Abs. 1 BGB Haftung gegenüber Geschädigtem Verletzung eigener Handlungs- oder Unterlassungspflichten Verletzung der Auswahl-, Organisations- und / oder Überwachungspflicht bei Aufgabendelegation Im Schadensfall Beweislastumkehr, Dokumentation von Entscheidungen und Nachvollziehbarkeit daher unerlässlich Durchgriff auf Geschäftsführer bzw. Vorstände (IT-Manager kann somit mit dem eigenen Vermögen als Privatperson haften, wenn er z.b. den Aufbau eines IT- Risikomanagementsystems vernachlässigt) 14

15 5. Weitere Variationen der Managerhaftung Verlust- Insolvenz- Situation Regress-/ Situation Trennungs- Situation Haftung Dritte können Ansprüche gegen Unternehmen nicht durchsetzen und wenden sich stattdessen an das Management Haftung Innen- Insolvenzverwalter will Masse mehren und nimmt deshalb Management in Regress Innen- Haftung Dritte haben Unternehmen wegen Managementfehlverhaltens verklagt: Das Unternehmen nimmt eigenes Management in Regress Außen- Innen- Haftung Unternehmen will sich von Manager trennen: Haftungsrisiken werden zur Reduzierung der Abfindung verwendet 15

16 6. Absicherungsstrategien Identifikation von IT - Risiken Drei Kategorien von IT - Risiken müssen beim Aufbau eines Risikomanagementsystems berücksichtigt werden: organisatorische infrastrukturelle anwendungs- und prozessbezogene Risiken Risiken können technischer und finanzieller Natur sein: Überlastung des Netzwerkes, Daten- und Anwendungssicherheit, Vertraulichkeit, Integrität Produktivitätsverluste, Kostensteigerungen, verlorene Arbeitszeit 16

17 6. Absicherungsstrategien Risikobeherrschung Einschätzung und Klassifizierung von IT Risiken Erstellung eines IT - Sicherheitskonzepts zur Sicherstellung der Authentizität, Integrität, Verfügbarkeit und Vertraulichkeit der Daten und der IT - Sicherheit im Unternehmen IT Risikofrüherkennungssystem und IT Risiko Management System implementieren Best Practice Rahmenwerke und Standards zum optimalen Aufbau des Risiko Management Systems heranziehen: COBIT (Control Objectives for Information and Related Technology), allgemeine IT-prozessbezogene Kontrollziele ITIL (IT Infrastructure Library zum Servicemanagement) Globaler ISO Sicherheitsstandard BSI / IT - Grundschutzhandbuch (GSHB) 17

18 6. Absicherungsstrategien Weitere Möglichkeiten zur IT-Risikobeherrschung: Dokumentation von Entscheidungen, Verantwortlichkeiten, Prozessen und Transaktionen Haftungsvermeidung durch Outsourcing risikobehafteter IT, Delegation von Aufgaben Directors & Officers Police zur Abwehr unberechtigter Schadensersatzansprüche Auswahl und Überwachung von Mitarbeitern (in mehr als 50% aller Fälle sind eigene Mitarbeiter an IT Sicherheitsvorfällen beteiligt) Einholung externen fachlichen Rates Absicherung finanziell relevanter Systemen zur Minimierung des Verlustrisikos und Sicherung der Finanzinformationen Regelmäßige Überwachung der IT (Netzwerk, Userkonten ) 18

19 6. Absicherungsstrategien Anregungen für den Aufbau eines eigenen IT - Risikomanagementsystems Risiko-Datenbank installieren Erfassen von Risiken in allen Unternehmensbereichen Einschätzung des möglichen Schadenausmaßes und der Eintrittswahrscheinlichkeit Abbildung sämtlicher Risiken Früherkennungssystem realisieren Auch standardisierte IT Lösungen zum Aufbau des Riskmanagements sind verfügbar, beispielsweise SAP Modul MIC (Management of Internal Controls) 19

20 7. Schlussbetrachtung IT-Risiken und deren haftungsrechtliche Konsequenzen sind in vielen Unternehmen noch unzureichend berücksichtigt Neue gesetzliche Regelungen machen die Verwirklichung eines IT-Risikomanagements und aktives Sicherheitsmanagement notwendig IT-Sicherheit ist Managementaufgabe geworden und sollte dementsprechend im Unternehmen berücksichtigt werden Absicherung gegen IT-Risiken ist wesentlich für den Bestand des Unternehmens und zur Verhinderung von finanziellen Verlusten Erhöhung der IT-Sicherheit stärkt auch das Vertrauen externer Anspruchsgruppen in das Unternehmen IT-Risikomanagement kann langfristig den Wert des Unternehmens erhöhen und Kreditaufnahme vereinfachen (BASEL II) 20

21 The End Fragen? Anregungen? Vielen Dank für Ihre Aufmerksamkeit! 21