its-1-2006_litcos_2.pdf - Lampertz GmbH & Co KG

T I T E L
Haftungsrisiken
in der IT
minimieren
V
orstände, Geschäftsführer und
IT-Leiter sollten ihr Unternehmen
nicht allein gegen Viren, Spionage
oder Ausfälle schützen, um bessere
Zinskonditionen zu erhalten. Sie
sollten sinnvollerweise auch ihr eigenes
Haftungsrisiko gegenüber dem
eigenen Unternehmen minimieren,
meint Ralf Dahmer, Geschäftsführer
der LITCOS GmbH & Co. KG.
Wenn das Datencenter durch ein
Feuer zerstört wird und das Unternehmen
weder über eine eigene
Ausweichanlage noch über einen
Vertrag mit einem entsprechenden
Dienstleister verfügt, dann wird es im
wahrsten Sinne des Wortes brenzlig.
Die Folge: Die EDV kann ihre Arbeit
unter Umständen erst nach Wochen
wieder aufnehmen, es drohen Ver-
12
2006: Neue Herausforderungen
„Basel II“ zwingt die Unternehmen zum Risikomanagement in
Sachen IT. Nur wer den Banken nachweisen kann, dass seine
IT-Infrastruktur gegen Störungen jeder Art bestmöglich gesichert
ist, erhält künftig noch zinsgünstige Kredite.
luste in Millionenhöhe, beschädigte
Kundenbeziehungen und ein nicht
zu beziffernder Imageschaden.
Fall Nummer zwei: Ein Unternehmen
hat zwar einen Krisenplan
für den Ausfall der IT entwickelt
und in einem fremden Rechenzentrum
entsprechende Kapazitäten
gemietet. Das Unternehmen hat
diesen Plan aber nicht aktualisiert.
Es kommt zu einer Katastrophe, bei
der wichtige Datenbestände vernichtet
werden.
Ein drittes Szenario: Der IT-Verantwortliche
überträgt die gesamte
Datenverarbeitung einem Dienstleister.
Dieser verpflichtet sich in den
Service Level Agreements, für eine
Mindestverfügbarkeit von 99,9 Prozent
zu sorgen. Zwei Mitarbeiter des
Dienstleisters kümmern sich um die
Pflege und Wartung des Netzwerks
im Betrieb des Auftraggebers. Durch
den Fehler eines Mitarbeiters kommt
es zu einem Absturz der gesamten
Produktionsanlage.
IT-Leiter in der
Verantwortung
In allen Fällen können die Unternehmens-
und IT-Verantwortlichen für
die entstandenen Schäden haften. Im
ersten Fall hätte der IT-Leiter wissen
müssen, welch immense Schäden der
Firma durch einen EDV-Ausfall entstehen
können und entsprechende
Vorsorgemaßnahmen treffen müssen.
Auch das Erstellen eines Notfallplans
reicht nicht. Der IT-Leiter hätte auf
IT SECURITY 1/2006 JANUAR/FEBRUAR
Bild: Rittal

IT SECURITY 1/2006 JANUAR/FEBRUAR
Grund seiner Kompetenz wissen
müssen: Der Plan muss in regelmäßigen
Abständen an die veränderte Situation
im Unternehmen angepasst
werden. Ebenso im dritten Fall. Hier
hätte der Verantwortliche nicht nur
die Mindestverfügbarkeit vertraglich
definieren müssen, sondern auch die
maximale Dauer eines EDV-Ausfalls.
Zumindest hätte er eine qualifizierte
Beratung in punkto Outsourcing einholen
müssen, um sich gegen Lücken
in den Vertragsvereinbarungen
abzusichern.
Nach deutscher Rechtsprechung
ist die Sachlage klar: Arbeitnehmer
haften für diejenigen Schäden, die
durch ihr Verhalten entstanden sind.
Ein System der gestuften Zuordnung
der Haftung differenziert die Haftung
je nach Schwere des Verschuldens
des Arbeitnehmers: Bei Vorsatz
und grober Fahrlässigkeit sind Arbeitnehmer
im Prinzip für den durch
sie verursachten Gesamtschaden regresspflichtig.
Einzige Ausnahme: Es
besteht ein deutliches Missverhältnis
zwischen der Höhe des Einkommens
und dem entstandenen Schaden.
Höheres Risiko bei
Geschäftsführern und
Vorständen
Das Haftungsrisiko ist für Personen
in verantwortlichen Positionen, also
auch für IT-Leiter, deutlich höher.
Denn die Gerichte berücksichtigen
Checkliste
„Ist die physische Sicherheit
der Datenbestände gewährleistet?“
bei der Festsetzung der Entschädigungssumme
neben der Dauer der
Betriebszugehörigkeit und dem bisherigen
Verhalten am Arbeitsplatz
auch die Position im Unternehmen,
den vorauszusetzenden Wissensstand
und das Gehalt.
Weitaus stärker werden Vorstände
von AGs oder Geschäftsführer von
GmbHs in die Pflicht genommen.
Denn sie gelten als Organe der Firma
und nicht als Beschäftigte. Deswegen
gelten die Regelungen der
Arbeitnehmerhaftung mit ihren Beschränkungen
zum Teil für sie nicht.
Zu ihrem Verantwortungsbereich
zählen auch zentrale Aufgaben der
IT. Das heißt: Die Verantwortung
kann auf diesem entscheidenden
Feld nicht delegiert werden – und
die Geschäftsleitung wird für Fehler
und Versäumnisse ihrer IT-Mitarbeiter
in Haftung genommen, wenn sie
bei der Erfüllung ihrer Pflichten nicht
„die Sorgfalt eines ordentlichen Geschäftsmannes“
walten lässt. So
könnte im Fall des zerstörten Datacenter
auch der Geschäftsführer
wegen „grober Fahrlässigkeit“ belangt
werden, da er der Gefahr nicht
rechtzeitig entgegengewirkt hat.
Hohe Geldbußen
Schlimmer noch als zivilrechtliche
Entscheidungen sind strafrechtliche
Konsequenzen – beispielsweise,
wenn Urheberrechte verletzt werden.
• Ist das Rechenzentrum in punkto Hitzeentwicklung gut genug ausgerüstet?
Kann die in den Servern entstehende Hitze reibungslos abgeführt werden?
• Ist die Energieversorgung auch bei Störfallen gesichert?
• Gibt es ein klares System der Zugangskontrolle mit entsprechenden
Überwachungslösungen?
• Liegt ein Brandmeldekonzept mit Schutzmaßnahmen vor?
• Gibt es ein lückenloses Monitoring aller relevanten Funktionen
und Parameter?
• Haben Sie klare SLA mit einem kompetenten Dienstleister abgeschlossen,
um ihre IT zu schützen?
• Haben Sie Ihre IT-Infrastruktur von unabhängigen Experten in punkto
physische Sicherheit prüfen lassen?
So macht sich die Geschäftsleitung
eines Unternehmens strafbar, wenn
sie weiß, dass ihre Mitarbeiter Firmensoftware
für private Zwecke nutzen,
aber dennoch nichts dagegen
unternimmt. Darüber hinaus begehen
die Mitglieder der Geschäftsführung
eine Ordnungswidrigkeit, da sie
vorsätzlich ihre Aufsichtspflicht verletzt
haben. Eine solche Ordnungswidrigkeit
kann mit Geldbußen bis
zu 500.000 Euro – und zwar sowohl
für die Geschäftsführer als auch für
das Unternehmen – geahndet werden.
Ein teures Vergnügen. Und für
einen kleineren Betrieb möglicherweise
das Aus.
Chefsache IT
IT ist also längst Chefsache, wie
zahlreiche Meinungsführer und Magazine
seit langem erklären. Dazu
gehört, mögliche IT-Risiken zu identifizieren
und – in einem wirtschaftlich
sinnvollen Ausmaß – zu eliminieren.
Ein Restrisiko bleibt zwar bestehen;
dieses kann aber durch Notfallpläne
und Vorsorgemaßnahmen
auf ein absolutes Minimum reduziert
werden.
Wie lässt sich das Haftungsrisiko
zusätzlich vermindern? Immer öfter
vereinbaren Unternehmen und Geschäftsführer
im Geschäftsführervertrag
eine Haftungsbeschränkung für
fahrlässiges Verhalten. Bei GmbHs
können die Gesellschafter den Geschäftsführer
entlasten. In einem solchen
Fall erlischen die bestehenden
Schadensersatzansprüche gegenüber
dem Unternehmen. Ganz im Unterschied
zu Aktiengesellschaften, bei
denen die Entlastung des Vorstandes
eben nicht zum Verzicht auf Schadensersatzansprüche
führt.
Was tun?
13
Für Arbeitnehmer, zu denen auch
IT-Leiter zählen, gibt es andere Wege,
einer unliebsamen Inanspruchnahme
zu entgehen. Der Arbeitnehmer
sollte die Geschäftsleitung über
mögliche Risiken informieren – das
gilt gerade für die Informationstech-
T I T E L

T I T E L
nologie. Ebenso sollte er Lösungswege
aufzeigen und dafür ein entsprechendes
Budget beantragen.
Lehnt die Geschäftsleitung seine
Vorschläge ab, so empfiehlt es sich,
die Risiken erneut aufzuzeigen und
das eigene Vorgehen sowie die Haltung
der Unternehmensleitung
schriftlich zu dokumentieren. Am besten
bei mehreren Gelegenheiten.
Wird ein IT-Projekt bewilligt, so ist
der IT-Leiter gut beraten, wenn er
die Geschäftsleitung regelmäßig über
die Entwicklung des Projekts informiert.
Und wenn er sich externe
Unterstützung sichert – beispielsweise
indem er qualifizierte Beratung
hinzuzieht. Der Akzent liegt dabei
auf „qualifiziert“, denn unter der
rechtlich ungeschützten Bezeichnung
„Unternehmensberater“ firmieren
leider nicht wenige Scharlatane.
Eine gewisse Sicherheit bieten
Referenzprojekte in vergleichbaren
Größenordnungen.
Eine Alternative zu „klassischen“
Unternehmensberatungen sind so genannte
„One-Stop-Shop“-Anbieter
wie Litcos und Rittal, die alles aus einer
Hand liefern – also Consulting,
genaue Risikoanalysen und softwarebasierte
Planung von IT-Infrastrukturen
durch Konfigurationsprogramme
über anwendungsgerechten Installationsservice
sowie Inbetriebnahme,
Wartungs-, Reparatur- und Garantieservice
bis hin zum raschen, intelligenten
Eskalationsmanagement.
Auch diese Anbieter sollten vergleichbare
Projekte bereits gestemmt
haben und auf Grund ihrer Größe
die nötigen personellen Ressourcen
zur Verfügung stellen können. Ein renommierter
Name des Anbieters
kann manche Diskussion mit der
Unternehmensleitung erleichtern.
Herausforderung
„physische Sicherheit“
Vor allem aber sollten Unternehmens-
und IT-Leiter bei der Identifizierung
der möglichen Risiken nicht
nur Virenbefall oder Wirtschaftsspionage
im Blick haben. Die beste Firewall
und das umfassendste Antivi-
14
renprogramm nutzen nichts, wenn
die physische Sicherheit der Datenbestände
nicht garantiert ist. In
punkto physischer Infrastruktur
muss in den Vorstandsetagen noch
einiges an Aufklärungs- und Überzeugungsarbeit
geleistet werden –
gerade was den Zusammenhang mit
der Mindestverfügbarkeit betrifft. Die
Größe oder die Branche des Unternehmens
spielen keine Rolle, denn
die Anforderungen an die IT-Performance
steigen überall.
Ganz wichtig: Die Frage, ob der
Serverraum oder das Datencenter
der Hitzeentwicklung durch die Server
standhält. Besonders die
leistungsstarken Blade-Server sondern
in erhöhtem Maße Hitze ab,
was bei ungeeigneten Racks zu Ausfällen
führen und die Performance
senken kann. Ein intelligentes Risikomanagement
stellt sich die Frage,
wie der Hitzeentwicklung durch die
Server entgegengewirkt werden
kann.
Lückenloses Monitoring
Zugangskontrolle und Feuerschutz
sind weitere Maßnahmen, um die
physische Sicherheit zu verbessern.
Man sollte es nicht glauben, aber es
gibt immer noch Unternehmen, in
denen Putzhilfen mit Wassereimern
und Schrubbern die Serverräume
reinigen. Oft sind diese Serverräume
allen Mitarbeitern problemlos zugänglich,
was der Manipulation oder
gar Sabotage Tür und Tor öffnen
kann.
Ebenso unverzichtbar ist eine
lückenlose Überwachung aller wich-
tigen Parameter im Datacenter – von
der Temperaturentwicklung über
Luftfeuchtigkeit in den Räumen bis
zum Strommanagement. Apropos
Strommanagement: Natürlich muss
die Energieversorgung auch bei Störfällen
sichergestellt sein: Eine redundante
Stromversorgung ist eine
Selbstverständlichkeit.
IT-Sicherheits-Checks
sind ratsam
IT Consulting und Services
Dezentrale und zentrale IT-Architekturen
mit ganzheitlichen Konzepten sichern
Führende Infrastrukturspezialisten
haben integrierte Gesamtlösungen
für moderne Rechenzentren entwickelt,
die Performance und Sicherheit
gewährleisten. So zum Beispiel
Rittal mit RimatriX5, der neuen integrierten
IT-Gesamtlösung für den
Aufbau von Rechenzentren. Dies besteht
aus den fünf IT-Bausteinen
Rack, Power, Cooling, Security und
Monitoring/Remote Management.
Vor dem Hintergrund einer unliebsamen
rechtlichen Inanspruchnahme
ist es für IT-Verantwortliche
auf jeden Fall ratsam, die Infrastruktur
auf potenzielle Risiken prüfen zu
lassen. Ein IT-Sicherheits-Check von
Rittal umfasst außer Funktionsanalysen
zu Bauausführung, Energieversorgung,
Klimatechnik oder Sicherheits-/Brandmeldetechnik
auch eine
Begehung des IT-Bereichs, eine
Sicherheitsbewertung und Vorschläge
von Sicherheitsmaßnahmen, um die
Infrastruktur besser zu schützen. Das
eingangs beschriebene Szenario lässt
sich damit auf jeden Fall umgehen.
Ralf Dahmer
Litcos arbeitet interdiziplinär. IT-Spezialisten und Ingenieure, mit Know-how im
Bereich der Infrastruktur und Bausubstanz, Innenarchitekten und Sicherheitsexperten
ergänzen sich bereits in der Risikoanalyse mit fachspezifischen Diagnosen
und erarbeiten gemeinsam tragfähige, zukunftsgerichtete Sicherheitskonzepte.
Dies gilt auch für die Planung einer grundsätzlich neuen Sicherheitsarchitektur.
In der Zeit von 1998 - 2005 wurden von LITCOS über 1.750
Analysen und Pflichtenhefte erstellt.
IT SECURITY 1/2006 JANUAR/FEBRUAR