Wer sich an die Spielregeln hält, wird belohnt: bessere Kredite und motivierte Mitarbeiter! Eine aktuelle Studie von Mummert Consulting brachte es an den Tag - die meisten Führungskräfte kennen die Richtlinien zur Informationssicherheit nicht und bei den übrigen Mitarbeitern liegt das Verhältnis im Schnitt gerade mal bei drei von fünf Arbeitnehmern in Unternehmen. Das kann fatale Folgen im Alltag, aber auch für Vorstand und Geschäftsführung haben.

Abgesehen von so “läppischen” Alltäglichkeiten wie das Ausspionieren personenbezogener Daten oder von Betriebsgeheimnissen, Systemausfällen durch Viren und Würmer droht aber auch noch anderes Ungemach. Da ist der böse Feind nicht der “Anonymus Internet”, sondern der eigene Mitarbeiter. Anstatt für sein Geld zu arbeiten, surft manch einer (gelegentlich) lieber unkontrolliert im Internet und lädt dabei illegal mp3-Dateien aus dem Netz oder beleidigt nebenbei ganz einfach mal andere in Gästebüchern oder in Foren.

Bei Jugendschutz (z.B. Sexseiten) und Nationalsozialismus wird die strafrechtsrelevante Grenze dann endgültig überschritten. Das alles kann für die Unternehmensleitung erhebliche juristische Konsequenzen haben, denn Geschäftsführer und Vorstände können haftbar gemacht werden, und das nicht nur zivilrechtlich, sondern in Einzelfällen auch strafrechtlich.

Die Geschäftsleitung muss Flagge zeigen!

Welchem Geschäftsführer oder Vorstand ist bewusst oder gar “en detail” bekannt, dass es in den letzten Jahren gravierende Rechtsänderungen gegeben hat, aus denen sich zu Fragen der IT-Sicherheit unmittelbare Handlungs- und Haftungsverpflichtungen der Führungsriege ableiten lassen? Von diesen Änderungen sind Aktiengesellschaften ebenso betoffen wie GmbHs, Genossenschaften oder andere Unternehmensformen.

Für die Aktiengesellschaften ist seit 1998 mit dem damals neu eingeführten KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) klar, dass ein angemessenes Risikomanagement durchgeführt werden muss. Nach diesem Gesetz, das indirekt auch für GmbHs und andere Kapitalgesellschaften gelten dürfte, ist es oberste Aufgabe der Führungsetage, alle relevanten Schwachstellen, die für ein Unternehmen bedrohlich werden könnten, transparent zu machen. Dazu gehören auch die präventive Überwachung und Erkennung von Fehlentwicklungen in der IT-Sicherheit.

Haftung und Strafen

Im “Leitfaden IT-Sicherheit” des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist nachzulesen, welche Gesetze es gibt, die die Geschäftsleitung von Unternehmen in die Pflicht nehmen:

::: Aktiengesetz

Vorstand haftet persönlich, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt (§ 91 Abs. 2 und § 93 Abs. 2 AktG).

::: GmbHG

Geschäftsführern einer GmbH ist im GmbH-Gesetz die Sorgfalt eines ordentlichen Geschäftsmannes auferlegt (§ 43 Abs. 1 GmbHG).

::: HGB

Das Handelsgesetzbuch verpflichtet die Verantwortlichen, die Risiken der künftigen Entwicklung richtig darzustellen und der Abschlussprüfer muss prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind (§ 317 Abs. 2HGB).

::: StGB

Für zur Verschwiegenheit verpflichtete Berufsgruppen wie Ärzte, Rechtsanwälte oder Angehörige sozialer Berufe gibt es darüber hinaus Sonderregelungen im Strafgesetzbuch, die sogar Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten bzw. Klienten ohne Einwilligung öffentlich gemacht werden (§ 203 StGB). Bereits ein fahrlässiger Umgang mit Informationstechnik kann diesen Tatbestand unter Umständen erfüllen.

::: Weitere Gesetze:

Gesetz zur Nutzung von Telediensten, Telekommunikationsgesetz, Mediendienste-Staatsvertrag, Urheberrecht sowie verschiedene Richtlinien auf EU-Ebene.

Aus all dem ergeben sich mehr als konkrete Verpflichtungen zur Gewährleistung eines angemessenen IT-Sicherheitsniveaus im Unternehmen.

So hat die Rechtsprechung mehr als deutlich herausgearbeitet, dass Unternehmen ihre IT-Systeme zuverlässig, zeitnah und umfassend sowohl in organisatorischer als auch in technischer Hinsicht zu sichern haben. Neben technischen Vorkehrungen wie Spam-, Viren- und URL-Filtern empfehlen sich klar definierte Nutzungsrichtlinien und Kontrollmaßnahmen. Diese sollten über Betriebs- und Dienstvereinbarungen mit den Mitarbeitern juristisch verbindlich in die eigene Betriebswelt eingeführt werden. Wo sich das alles nicht –nachträglich- realisieren lässt, da kann mittels Dienstanweisungen nachgeholfen werden, denn eines ist sicher: das Direktionsrecht des Arbeitgebers ist dessen schärfste Waffe.

Die Grenzen sind fließend.

Welcher Sicherheitsstandard gefahren werden soll, fängt schon bei so simplen Fragen an, ob die Unternehmensführung ihren Mitarbeitern die private Internetnutzung generell gestatten soll und ob das – meist tolerierte - Arbeiten mit firmeneigenen Daten zuhause akzeptiert wird. Wenn ja, dann hat die Führung eigentlich schon ihre Führung verloren! Wegen des, auch für Mitarbeiter geltenden, Fernmeldegeheimnisses ist dann so gut wie jede Kontrolle hinsichtlich der Aktivitäten der Mitarbeiter ausgeschlossen. Das andere Extrem ist die Genehmigung ausschließlich zur rein dienstlichen Nutzung. In diesem Fall darf der Arbeitgeber jederzeit und unbeschränkt alle Verbindungsdaten wie URL, Logfiles, Umfang der Downloads sowie Empfänger- oder Absenderadresse protokollieren und einsehen, wohingegen Inhaltskontrollen wie das Mitlesen von E-Mails oder Eintragungen auf Web-Seiten nach wie vor strikt verboten sind.

Das Problem ist offensichtlich. Im einen Fall kann der Mitarbeiter (fast alles) machen, was er will, ohne Kontrolle fürchten zu müssen. Auf der anderen Seite ist es sicherlich nicht motivierend, dem Mitarbeiter alles zu verbieten und ihm zugleich die gesamte Palette der Kontrollen auf den Hals zu hetzen.

In diesem Spannungsfeld zwischen Internet-Nutzung und Mitarbeiterkontrolle empfiehlt sich ein »präventives Verbot mit Erlaubnisvorbehalt«: dieses geht zunächst von einem generellen Verbot aus, nicht zuletzt auch, um den Mitarbeitern die arbeitsrechtliche Bedeutung der gesamten Angelegenheit zu verdeutlichen. Dieses Verbot wird dann durch Vereinbarungen, die als Erlaubnisvorbehalt wirken, wieder in Grenzen modifiziert. Hier bietet sich dann Gelegenheit, die Interessen der Arbeitnehmer gebührend zu berücksichtigen und zu einem fairen Interesssenausgleich zu kommen; schließlich wollen Sie Ihre hoffentlich motivierten Mitarbeiter nicht am Halsband führen! Zu regeln sind:

Umfang der erlaubten Nutzung

::: Verbotene Nutzungen, z.B. sexistisch, rechtsradikal, gewaltverherrlichend etc.

::: zur Kontrolle erfasste Daten (Protokollierung von E-Mail- und Internet-Aktivitäten, Gesamtdatenvolumen etc.)

::: technische Kontrolleinrichtungen wie Firewall, Proxy, Spamfilter, Reporting-Tool, URL-Filter

Monitoring-Funktionen
Abwesenheitsregelungen zum Umgang mit Mailboxen im Falle von Urlaub, Krankheit etc.

Kontrollprozedere
Regelung der Beteiligung von Betriebsrat und Datenschutzbeauftragtem

Löschungspflichten
Konsequenzen bei Nichteinhaltung, z.B. fristlose Kündigung Das alles gibt klare Verhältnisse für alle:

::: für die Administratoren und deren Kompetenzen

::: für die Arbeitnehmer und deren Transparenz, was sie dürfen und was kontrolliert wird

::: für den Arbeitgeber und dessen Haftungsprävention

Im Hinblick auf die allgemeine Sicherung der IT-Landschaft geht auf Nummer sicher, wer seine IT zertifizieren lässt, z.B. durch den TÜV.

Positiver Nebeneffekt: wer in Sachen IT-Sicherheit auf Nummer sicher geht, darf auch eher auf Kredite von den Banken hoffen. Diese sind nämlich inzwischen im Rahmen von Basel II dazu gezwungen, bei der Kreditvergabe auch IT-Risiken des Kreditnehmers zu berücksichtigen – ein fataler Fehler des Unternehmenslenkers, der das vernachlässigt!