Unternehmen unterschätzen Haftungsrisiken bei der IT-Sicherheit
Geschäftsführer und Vorstände können persönlich haftbar gemacht werden, wenn sie im Unternehmen nicht für ausreichende IT-Sicherheit sorgen. Der Branchenverband Bitkom hat unterschiedliche Regelungen und ihre jeweiligen Verantwortlichen zusammengefasst.
Geschäftsführer und Vorstände können persönlich haftbar gemacht werden, wenn sie in ihrem Unternehmen nicht ausreichend für IT-Sicherheit sorgen. Darauf weist der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) hin. Nach Meinung des Branchenverbandes räumen viele Geschäftsführer sicherer Informationstechnik nicht den erforderlichen Stellenwert ein, obwohl diese für den Unternehmenserfolg immer wichtiger werde. "IT-Sicherheit wird in der Regel leider erst nach einem Schadensfall Chefsache", sagte Jürgen Gallmann, Präsidiumsmitglied des Bitkom. Zu der Frage der persönlichen Haftung kämen im Schadensfall noch sonstige Folgen wie der Datenverlust. Auch weiche Faktoren wie das Unternehmensimage könnten leiden.
Die vielen möglichen IT-Risiken für die verschiedenen Ebenen und Rechtsformen von Unternehmen seien für die Verantwortlichen nur schwer zu überblicken. Bitkom hat in einer Haftungsmatrix (PDF) die unterschiedlichen rechtlichen Regelungen und ihre jeweiligen Verantwortlichen in den Unternehmen zusammengefasst.
Um Sicherheits- und Haftungsrisiken vorzubeugen, sollten Unternehmer ein Sicherheitskonzept entwickeln lassen, dies verabschieden und auch intern kommunizieren. Ein solches Konzept müsse das ganze Unternehmen mit sämtlichen Geschäftsprozessen berücksichtigen. Dabei reiche die einzelne Behebung lokaler Symptome durch die Installation von Antiviren-Software, Spam-Filtern und Firewalls nicht aus. Denn auch höhere Gewalt wie Feuer und Überschwemmungen, technisches Versagen wie Softwarefehler und Stromausfall, Vorsatz wie Diebstahl und Hacking, sowie Organisationsdefizite wie unklare Vorschriften oder ungeschulte Mitarbeiter könnten zu IT-Schadensfällen führen.
"Doch obwohl die Abhängigkeit vieler Unternehmen von Webauftritt und IT-Infrastruktur zunimmt und bei IT-Problemen die Schäden daher immer höher ausfallen, haben viele mittelständische Unternehmen in den vergangenen Jahren in diesem Bereich nur sehr zurückhaltend investiert", betonte Gallmann. Häufig müsse die vorhandene IT-Infrastruktur nach- und aufgerüstet werden, beim Thema IT-Sicherheit bestehe ein struktureller Nachholbedarf.
Die gesetzlichen Regelungen zur IT-Sicherheit umfassen laut Bitkom jedoch nicht nur das Haftungsrecht, sondern auch Steuer- und sogar Strafrecht. Die Strafen reichen vom Bußgeld bis zur Gefängnisstrafe. "IT-Sicherheit ist ein Querschnittsthema quer durch alle Branchen, Wertschöpfungs- und Politikbereiche", sagte Walter Fumy, Vorsitzender des Bitkom-Arbeitskreises IT-Sicherheitsmanagement. Fumy stellte neben der Haftungsmatrix noch einen Leitfaden (PDF) für Unternehmen vor, die ihre IT nach einem der zahlreichen Sicherheitsstandards zertifizieren lassen wollen.
Siehe dazu auch: (dab)
- Matrix Haftungsrisiken PDF-Dokument von Bitkom
- Broschuere Kompass der IT-Sicherheitsstandards PDF-Dokument von Bitkom
