Verfahrensregeln für eine erfolgreiche Prüfung
Augen auf bei IT-Sicherheits-Audits
Zwingende Voraussetzung für die strafrechtliche Zulässigkeit dieser Handlungen ist, dass der jeweilige Rechtsgutträger sie gestattet, sofern nicht sonstige Gründe das Eingreifen rechtfertigen. "Problematisch ist dabei vor allem die exakte Bestimmung des jeweils geschützten Personenkreises. Das gilt insbesondere, wenn Informationssysteme in bestimmtem Umfang auch privat genutzt werden dürfen", sagt Hawellek.
Sind ausschließlich Rechtsgüter des überprüften Unternehmens betroffen, ist die Genehmigung durch dessen rechtlichen Vertreter zu erteilen. Dieses Recht kann im Rahmen der Firmenorganisation an geordnete Stellen delegiert werden. Die Einverständniserklärung ist dabei hinreichend umfänglich und präzise zu formulieren. Generell gilt: je stärker der Eingriff und je größer das Risiko, desto höher sind die hieran zu stellenden Anforderungen.
Sind auch Rechtsgüter Dritter betroffen, so sind Eingriffe nur zulässig, wenn entweder auch deren jeweilige Zustimmung vorliegt, wie zum Beispiel durch eine Betriebsvereinbarung mit den Arbeitnehmern. Anderenfalls müssen spezielle Rechtfertigungsgründe eingreifen. So ist beispielsweise der Einsatz von Sniffern durch Paragraf 88 III des Telekommunikationsgesetzes (TKG) gerechtfertigt, soweit er zur Sicherstellung der Netzwerkfunktionalität erforderlich ist. Das Löschen privater Daten auf Unternehmenssystemen kann bei entsprechender Gefahrenlage als Notstandshandlung zulässig sein.
Wichtig zur Qualitätssicherung
Trotzdem gilt: Nicht abschrecken lassen, sich aber eben auf die neuen Vorgaben genau einstellen. Denn Sicherheits-Audits sind nach wie vor ein bewährtes und in vielen Fällen das wichtigste Mittel zur Qualitätssicherung von EDV-Systemen und IT-Prozessen. Dabei ist die Motivation für die Durchführung sehr unterschiedlich, wie Detlef Kilian als Auditor bei Controlware festgestellt hat: So möchten Unternehmen aus eigenem Antrieb wissen, ob ihre Geschäftsprozesse den Best-Practice-Ansätzen gültiger Standards genügen.
Ein andermal möchten Kunden oder Wirtschaftsprüfer einen bestimmten Mindeststandard bescheinigt haben. Im nächsten Fall hat sich eine Organisation vielleicht seit geraumer Zeit auf eine Zertifizierung vorbereitet und möchte ihre Maßnahmen nun von einem unabhängigen Experten überprüfen lassen. "Schließlich sind so genannte Sensibilisierungsaudits denkbar, bei denen Fachbereiche eine Prüfung vornehmen lassen, um mithilfe ihrer Ergebnisse das Management für Fragen der Informationssicherheit zu sensibilisieren", berichtet Kilian.