Während der vergangenen Jahre wurden mehrere Rechtsvorschriften erlassen, aus denen sich zu Fragen der IT-Sicherheit unmittelbare Handlungs- und Haftungsverpflichtungen der Geschäftsführung bzw. des Vorstands eines Unternehmens ableiten lassen. Diese Regelungen gelten sowohl für Aktiengesellschaften als auch für GmbHs. Dies ist in der Öffentlichkeit noch nicht hinreichend bekannt.
In diesem Zusammenhang wird immer wieder auf das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hingewiesen. Das KonTraG ist ein sog. Artikelgesetz und ergänzt bzw. ändert verschiedene Gesetze wie das Handelsgesetzbuch und das Aktiengesetz.... Im Einzelnen könnten Sie z. B. von folgenden Regelungen betroffen sein: Im Aktiengesetz wird festgelegt, dass ein Vorstand persönlich haftet, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§91 Abs. 2 und § 93 Abs. 2 AktG). Geschäftsführern einer GmbH wird im GmbH-Gesetz „die Sorgfalt eines ordentlichen Geschäftsmannes auferlegt (§ 43 Abs. 1 GmbHG). Die im Aktiengesetz genannten Pflichten eines Vorstands gelten auch im Rahmen des Handelsgesetzbuches (§ 317 Abs. 4 HGB). Weiterhin verpflichtet das Handelsgesetzbuch Abschlussprüfer zu prüfen, „ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind (§ 317 Abs. 2HGB). Für bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte oder Angehörige sozialer Berufe gibt es darüber hinaus Sonderregelungen im Strafgesetzbuch, die sogar Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten bzw. Klienten ohne Einwilligung öffentlich gemacht werden (§ 203 StGB).
In der Tat lassen sich hieraus konkrete Verpflichtungen für die Gewährleistung eines angemessenen IT-Sicherheitsniveaus im eigenen Unternehmen ableiten. IT-Sicherheitsvorfälle können massive wirtschaftliche Schäden verursachen und schlimmstenfalls den Bestand eines Unternehmens gefährden. Oftmals entstehen gravierende Schäden infolge physischer Einwirkung von Feuer, Wasser oder Strom.
2. Sicherung allein reicht nicht
Oft übersehen Administratoren bei der Planung der Datensicherung eine weitere potentielle Gefahr: Selbst wenn das Bandlaufwerk funktioniert hätte, wären bei einem Feuer oder ähnlichen Katastrophen neben den Originaldaten auch die Sicherungsmedien in seinem Schrank mit vernichtet worden! Einfache Maßnahme dagegen ist die Lagerung von Sicherungsbändern außerhalb der eigenen Büroräume, beispielsweise in einem Bankschließfach. Das ist allerdings typischerweise teuer und logistisch unbequem.
3. Schlechte IT-Sicherheit reflektiert sich in schlechteren Kreditkonditionen (BASEL II):
Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird
(Stichwort: Basel II).
Auszüge aus dem IT-Grundschutz-Handbuch des BSI
Rufen Sie uns an!
0800-5554449
Endlich eine einfache und zuverlässige Datensicherung!