Unternehmen sind für die Abwicklung von Geschäftsprozessen und die Kommunikation mit Geschäftspartnern immer stärker auf IT-Systeme angewiesen. Die IT-Landschaft unterliegt dabei regulatorischen Anforderungen im Hinblick auf IT-Compliance und IT-Sicherheit. Dazu gehören unter anderem Mobile Security, Risiko-Management, revisionssichere E-Mail-Archivierung sowie Datenschutz und Mitarbeiterkontrolle.
IT-Sicherheit ist ganzheitliche Aufgabe
Die Broschüre "Die rechtlichen Aspekte der IT-Sicherheit" zeigt auf, dass die Umsetzung der gesetzlichen Vorgaben eine ganzheitliche Aufgabe ist. Sie besteht aus technischen, organisatorischen, rechtlichen sowie wirtschaftlichen Komponenten, die eng miteinander verzahnt sind.
Laut Bundesdatenschutzgesetz (BDSG) müssen Firmen die "Grundsätze ordnungsgemäßer Datenverarbeitung" einhalten. Es fordert die Herstellung einer technischen und organisatorischen Datensicherheit, die den unbefugten Zugriff auf personenbezogene Daten verhindern soll.
Unternehmen können diese Vorgaben durch verschiedene Maßnahmen zur physischen Zutrittskontrolle und Authentifizierung sowie zur Zugangskontrolle für IT-Systeme, etwa mittels Passwort, Firewall und Festplattenverschlüsselung, erfüllen. Hinzu kommen eine rollenbasierte Berechtigungsverwaltung sowie effektive Konzepte zu Datensicherung und Archivierung.
CIOs haften für illegale Downloads
Wie komplex die rechtliche Situation ist, zeigt ein Beispiel: Verschicken Mitarbeiter über ihren Arbeitsplatz im Unternehmen rechtswidrige E-Mail-Anhänge oder laden sie dort Raubkopien sowie illegal MP3-Files herunter, zieht das Strafverfolgungsmaßnahmen gegen die Firma nach sich.
Unter Umständen können für die Rechtsverletzungen sogar IT-Leiter, Sicherheitsbeauftragte oder Administratoren persönlich haftbar gemacht werden. Die Haftung kann zivilrechtlicher (Schadensersatz), arbeitsrechtlicher (Abmahnung, Kündigung) oder strafrechtlicher (Geld- oder Freiheitsstrafe) Natur sein.
Daten auf mobilen Geräten verschlüsseln
Da immer mehr Mitarbeiter mobil oder von zu Hause aus arbeiten wird auch der Schutz mobiler Datenträger, wie Laptops oder USB-Sticks, immer wichtiger. Studien zeigen, dass durch deren Verlust oder Diebstahl, die Integrität der darauf gespeicherten Geschäftsdaten massiv gefährdet ist.
Durch Schnittstellenkontrollen sowie eine Verschlüsselung der Daten lassen sich diese Risiken technisch minimieren. Hinzu kommen eindeutige Nutzungsrichtlinien zur Verwendung mobiler Datenträger, die in Policies oder Betriebsvereinbarungen dokumentiert sind.
IT-Risiko-Management mit Standards
Laut dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, muss das Management von Kapitalgesellschaften wie GmbHs oder AGs ein wirksames System für das IT-Risiko-Management installieren.
Zugleich muss es im Rahmen der IT-Compliance gesetzliche Bestimmungen, vertragliche Pflichten und anerkannte Standards zur IT-Sicherheit, wie etwa ISO/IEC 27001 oder des BSI (Bundesamt für Sicherheit in der Informationstechnik), einhalten. Bei Verstößen haften GmbH-Geschäftsführer mit dem eigenen Vermögen, Vorstände von Aktiengesellschaften dürfen nicht entlastet werden.
Revisionssicher archivieren
Für elektronische Buchungsprozesse und den E-Mail-Verkehr gelten wiederum die umfangreichen gesetzlichen Archivierungspflichten aus dem Handels- und Steuerrecht. Das verpflichtet Firmen dazu, die bei geschäftlichen Transaktionen anfallenden Daten und elektronischen Dokumente revisionssicher aufzubewahren.
Um den gesetzlichen Anforderungen zu genügen, ist der Einsatz von Archivierungs- und Dokumenten-Management-Systemen erforderlich. Auch bei Prozessen gegen (ehemalige) Geschäftspartner ist die lückenlose Dokumentation der geschäftlichen Korrespondenz oft hilfreich.
Datenschutzkonforme Mitarbeiterkontrolle
Wie die jüngsten Datenskandale, etwa bei der Deutschen Bahn, zeigen, dass eine datenschutzkonforme Kontrolle von Mitarbeitern - z. B. aus Gründen der Korruptionsbekämpfung - wichtig ist. Datenbankabgleiche, Auswertung von Protokolldateien, das Einsehen der E-Mail-Korresponz oder das Screening von Mitarbeitern sind laut BDSG nur zulässig, "wenn aufgrund einer Güterabwägung nach dem Verhältnismäßigkeitsprinzip die Maßnahme erforderlich und angemessen ist".
Den Leitfaden zur IT-Compliance hat das Münchner Software-Unternehmen Bluecoat zusammen mit dem auf IT-Recht spezialisierten Rechtsanwalt Horst Speichert von der Kanzlei esb Rechtsanwälte erstellt.