IT-Haftung
Notfallkonzept – neuer BSI 100-4, Rechtsfolgen bei Versäumnissen, Organhaftung 

Im Falle einer Beeinträchtigung der Integrität oder Verfügbarkeit von geschäftsrelevanten oder schützenswerten Daten stellt sich immer die Frage nach der innerbetrieblichen oder innerbehördlichen Verantwortung – sei dies, weil die Verletzung der Vertraulichkeit personenbezogener Kunden- oder Mitarbeiterdaten zu unangenehmen rechtlichen Weiterungen führt, oder weil der unmittelbare Verlust der Verfügbarkeit von geschäftsrelevanten Informationen die wirtschaftlichen Interessen der Aktionäre, Gesellschafter oder Geschäftspartner anspruchsbegründend tangiert. In diesem Fall haftet aber nicht nur die betroffene juristische Person oder Körperschaft nach außen, sondern u. U. auch deren Organe, d. h. zum Beispiel der Vorstand, der Aufsichtsrat oder der Administrator persönlich.
Umso wichtiger ist es, im Schadensfalle auf die Einhaltung von Sicherheitsstandards verweisen zu können, welche gerade das persönliche Verschulden der Verantwortlichen und der Geschäftsleitung ausschließen. Dies vereinfacht in forensischer Hinsicht der Rückgriff auf „zertifizierte Sicherheit“, namentlich die anerkannten Sicherheitsstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Denn die BSI-Standards enthalten Empfehlungen zu ganzheitlichen Vorgehensweisen, um die Informationssicherheit insgesamt nach dem jeweiligen Stand der Technik zu gewährleisten, indem national und international bewährte Sicherheitsmaßnahmen von Behörden und Unternehmen an die jeweils eigene Systemumgebung anpasst werden können. Alle Standards der BSI-Reihe sind also allgemein gültige „Rahmenwerke“, die unabhängig von der Art und Größe des Unternehmens angewandt werden kann, und welche auf individuelle Informations- und Kommunikationsprozesse im Geschäftsablauf angepasst werden können.

Mit dem BSI-Standard 100-4 wird die BSI 100er Reihe um ein Notfallmanagement ergänzt, welches eng zusammenspielt sowohl mit der Risikoanalyse aus BSI 100-3 zur Ermittlung der kritischen Prozesse als auch mit dem Prozedere nach IT-Grundschutz aus BSI 100-2. Es beinhaltet für sich systematische Verfahren, mit denen man Notfällen und Krisen im Zusammenhang mit einer ganzheitlichen Informationssicherheit effizient vorbeugen und schadensminimierende Reaktionen frühzeitig einsetzen kann. Es sollen derart die Ausfallsicherheit erhöht und alle betriebsrelevanten Geschäftsprozesse im Schadensfall kurzfristig reaktiviert werden können.

Im Kern dieses deutschen Standards für „Continuity Management“ (siehe auch den BS 25999 als international anerkannten Standard) geht es zunächst einmal darum, dass das Unternehmen oder die Behörde die eigenen Geschäftsprozesse analysiert und versteht, um die damit verbundenen IT-Risiken zu identifizieren: Die einzelnen Geschäftsprozesse sind dabei zu kategorisieren in „kritisch“ und „unkritisch“ und mit entsprechenden Maßnahme-Prioritäten zu verbinden. Vorranging zu behandeln sind alle Geschäftsprozesse, die für den Fortbestand des Unternehmens unmittelbar erforderlich sind und im Ausfall schwerwiegende (auch haftungsrechtliche) Konsequenzen nach sich ziehen können.

Im jeweiligen Notfallszenario für kritische Geschäftsprozesse sind der Zeitaufwand, die verantwortlichen Zuständigkeiten und alle notwendigen technischen und wirtschaftlichen Ressourcen in Form einer Leitlinie konkret zu bestimmen und intern zu kommunizieren. Es muss dabei unternehmens- bzw. behördenintern auch eine „ständige“ Kompetenz geschaffen werden, welche für eine „dynamische Aktualisierung“ in Reaktion auf etwaige Veränderungen des Systemumfeldes und damit des Gefährdungspotentiales Sorge trägt. Diese Kompetenz muss ggf. durch Schulung und Ressourcen in den Stand gesetzt werden, diesem Leistungsbild zu entsprechen.

Um bei einem Notfall eine „Krise“ zu vermeiden, d. h. ein schadensstiftendes Ereignis, für das Leitlinien im vorgenannten Sinne nicht vorgesehen sind oder nicht effizient anschlagen, muss die Geschäfts- bzw. Behördenleitung für ein permanentes internes Kontrollsystem sorgen, welches insbesondere auf der Grundlage der BSI-Standards und den jeweiligen Geschäftsprozessen für eine gerichtsfeste IT-Compliance sorgt. Wir helfen Ihnen in organisatorischer wie in technischer Hinsicht bei der Umsetzung dieser komplexen Aufgaben.

Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster
esb Rechtsanwälte Stuttgart