Wichtige Gesetze

Risiko-Management ist eine juristische Pflicht

Dr. Kevin Max von Holleben ist Fachanwalt für Informationstechnologierecht bei Lexton Rechtsanwälte in Berlin.
Fabian Winters ist Rechtsanwalt in der Kanzlei Lexton Rechtsanwälte in Berlin.
Das Eigeninteresse des Unternehmens ist die eine Sache. Aber es gibt noch andere Gründe, die für ein ordentliches Risiko-Management sprechen - beispielsweise juristische.
Vorsicht vor den Haftungsrisiken!
Vorsicht vor den Haftungsrisiken!
Foto: Wilm Ihlenfeld - Fotolia.com

Neben den vielen Vorteilen, die vernetzte IT-Systeme mit sich bringen, bergen sie auch erhebliche Gefahren. Existenzbedrohende Schäden entstehen insbesondere durch den Verlust von relevanten Daten oder durch betriebsbe- oder verhindernde Störungen der IT. Unternehmen haben deshalb ein großes Eigeninteresse an einer sicheren IT. Darüber hinaus sind die Betriebe aber auch gesetzlich verpflichtet, IT-Risiko-Management zu betreiben. Bei Verstößen drohen empfindliche Geldbußen und Schadensersatzforderungen sowie eine persönliche Haftung des Managements. Was ist zu tun?

Spektakuläre Pleiten

Schlechtes oder fehlendes Risiko-Management wird vor allem im Zusammenhang mit spektakulären Bankenpleiten oder gar drohenden Staatsinsolvenzen genannt. In der Wirtschaft wächst die Erkenntnis, dass ein effizientes und unternehmensbezogenes Risiko-Management unverzichtbar ist.

Wo sind die Risiken in der IT? Konkret droht den Unternehmen die Veränderung beziehungsweise der Verlust von Daten. Das geschieht beispielsweise durch technische Defizite, menschliches Fehlverhalten, interne Sabotage, Whistleblowing, Datenklau oder externe Angriffe (zum Beispiel Viren und Trojaner). Der Einsatz von Cloud-Computing-Lösungen, mobilen Endgeräten sowie drahtlosen Übertragungstechniken wie W-LAN, LTE, HSDPA und UMTS erhöhen die Gefahr.

Immer wieder gelangen Fälle an die Öffentlichkeit, in denen Unternehmen der mangelhafte IT-Schutz zum Verhängnis wurde. Beispielsweise gelang es Hackern jüngst, mittels Angriffen auf einen Kreditkarten-Dienstleister, die Kartennummern samt PIN-Codes von Kunden zweier BankenBanken auszulesen und deren Limits für Bargeldabhebungen anzuheben. Anschließend wurden diese Daten in mehr als 20 Staaten für weltweite Abhebungen mit gefälschten Kreditkarten-Kopien verwendet. Top-Firmen der Branche Banken

Was ist gefordert?

Durch ein effizientes IT-Risiko-Management lassen sich die IT-Risiken naturgemäß nicht vollständig ausschließen, aber zumindest eindämmen. Das unterstreicht einmal mehr, warum Unternehmen ein eigenes Interesse am IT-Risiko-Management haben. Aber sie sind auch gesetzlich dazu verpflichtet.

Der Gesetzgeber definiert IT-Sicherheit als die Einhaltung bestimmter Sicherheitsstandards, welche die Schutzgüter Verfügbarkeit, Unversehrtheit beziehungsweise Vertraulichkeit von Informationen durch Sicherheitsvorkehrungen in oder bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen betreffen. So nachzulesen in Paragraf 2 Absatz 2 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG).