its-1-2006_litcos_2.pdf - Lampertz GmbH & Co KG
its-1-2006_litcos_2.pdf - Lampertz GmbH & Co KG
its-1-2006_litcos_2.pdf - Lampertz GmbH & Co KG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
T I T E L<br />
Haftungsrisiken<br />
in der IT<br />
minimieren<br />
V<br />
orstände, Geschäftsführer und<br />
IT-Leiter sollten ihr Unternehmen<br />
nicht allein gegen Viren, Spionage<br />
oder Ausfälle schützen, um bessere<br />
Zinskonditionen zu erhalten. Sie<br />
sollten sinnvollerweise auch ihr eigenes<br />
Haftungsrisiko gegenüber dem<br />
eigenen Unternehmen minimieren,<br />
meint Ralf Dahmer, Geschäftsführer<br />
der LITCOS <strong>GmbH</strong> & <strong>Co</strong>. <strong>KG</strong>.<br />
Wenn das Datencenter durch ein<br />
Feuer zerstört wird und das Unternehmen<br />
weder über eine eigene<br />
Ausweichanlage noch über einen<br />
Vertrag mit einem entsprechenden<br />
Dienstleister verfügt, dann wird es im<br />
wahrsten Sinne des Wortes brenzlig.<br />
Die Folge: Die EDV kann ihre Arbeit<br />
unter Umständen erst nach Wochen<br />
wieder aufnehmen, es drohen Ver-<br />
12<br />
<strong>2006</strong>: Neue Herausforderungen<br />
„Basel II“ zwingt die Unternehmen zum Risikomanagement in<br />
Sachen IT. Nur wer den Banken nachweisen kann, dass seine<br />
IT-Infrastruktur gegen Störungen jeder Art bestmöglich gesichert<br />
ist, erhält künftig noch zinsgünstige Kredite.<br />
luste in Millionenhöhe, beschädigte<br />
Kundenbeziehungen und ein nicht<br />
zu beziffernder Imageschaden.<br />
Fall Nummer zwei: Ein Unternehmen<br />
hat zwar einen Krisenplan<br />
für den Ausfall der IT entwickelt<br />
und in einem fremden Rechenzentrum<br />
entsprechende Kapazitäten<br />
gemietet. Das Unternehmen hat<br />
diesen Plan aber nicht aktualisiert.<br />
Es kommt zu einer Katastrophe, bei<br />
der wichtige Datenbestände vernichtet<br />
werden.<br />
Ein drittes Szenario: Der IT-Verantwortliche<br />
überträgt die gesamte<br />
Datenverarbeitung einem Dienstleister.<br />
Dieser verpflichtet sich in den<br />
Service Level Agreements, für eine<br />
Mindestverfügbarkeit von 99,9 Prozent<br />
zu sorgen. Zwei Mitarbeiter des<br />
Dienstleisters kümmern sich um die<br />
Pflege und Wartung des Netzwerks<br />
im Betrieb des Auftraggebers. Durch<br />
den Fehler eines Mitarbeiters kommt<br />
es zu einem Absturz der gesamten<br />
Produktionsanlage.<br />
IT-Leiter in der<br />
Verantwortung<br />
In allen Fällen können die Unternehmens-<br />
und IT-Verantwortlichen für<br />
die entstandenen Schäden haften. Im<br />
ersten Fall hätte der IT-Leiter wissen<br />
müssen, welch immense Schäden der<br />
Firma durch einen EDV-Ausfall entstehen<br />
können und entsprechende<br />
Vorsorgemaßnahmen treffen müssen.<br />
Auch das Erstellen eines Notfallplans<br />
reicht nicht. Der IT-Leiter hätte auf<br />
IT SECURITY 1/<strong>2006</strong> JANUAR/FEBRUAR<br />
Bild: Rittal
IT SECURITY 1/<strong>2006</strong> JANUAR/FEBRUAR<br />
Grund seiner Kompetenz wissen<br />
müssen: Der Plan muss in regelmäßigen<br />
Abständen an die veränderte Situation<br />
im Unternehmen angepasst<br />
werden. Ebenso im dritten Fall. Hier<br />
hätte der Verantwortliche nicht nur<br />
die Mindestverfügbarkeit vertraglich<br />
definieren müssen, sondern auch die<br />
maximale Dauer eines EDV-Ausfalls.<br />
Zumindest hätte er eine qualifizierte<br />
Beratung in punkto Outsourcing einholen<br />
müssen, um sich gegen Lücken<br />
in den Vertragsvereinbarungen<br />
abzusichern.<br />
Nach deutscher Rechtsprechung<br />
ist die Sachlage klar: Arbeitnehmer<br />
haften für diejenigen Schäden, die<br />
durch ihr Verhalten entstanden sind.<br />
Ein System der gestuften Zuordnung<br />
der Haftung differenziert die Haftung<br />
je nach Schwere des Verschuldens<br />
des Arbeitnehmers: Bei Vorsatz<br />
und grober Fahrlässigkeit sind Arbeitnehmer<br />
im Prinzip für den durch<br />
sie verursachten Gesamtschaden regresspflichtig.<br />
Einzige Ausnahme: Es<br />
besteht ein deutliches Missverhältnis<br />
zwischen der Höhe des Einkommens<br />
und dem entstandenen Schaden.<br />
Höheres Risiko bei<br />
Geschäftsführern und<br />
Vorständen<br />
Das Haftungsrisiko ist für Personen<br />
in verantwortlichen Positionen, also<br />
auch für IT-Leiter, deutlich höher.<br />
Denn die Gerichte berücksichtigen<br />
Checkliste<br />
„Ist die physische Sicherheit<br />
der Datenbestände gewährleistet?“<br />
bei der Festsetzung der Entschädigungssumme<br />
neben der Dauer der<br />
Betriebszugehörigkeit und dem bisherigen<br />
Verhalten am Arbe<strong>its</strong>platz<br />
auch die Position im Unternehmen,<br />
den vorauszusetzenden Wissensstand<br />
und das Gehalt.<br />
Weitaus stärker werden Vorstände<br />
von AGs oder Geschäftsführer von<br />
<strong>GmbH</strong>s in die Pflicht genommen.<br />
Denn sie gelten als Organe der Firma<br />
und nicht als Beschäftigte. Deswegen<br />
gelten die Regelungen der<br />
Arbeitnehmerhaftung mit ihren Beschränkungen<br />
zum Teil für sie nicht.<br />
Zu ihrem Verantwortungsbereich<br />
zählen auch zentrale Aufgaben der<br />
IT. Das heißt: Die Verantwortung<br />
kann auf diesem entscheidenden<br />
Feld nicht delegiert werden – und<br />
die Geschäftsleitung wird für Fehler<br />
und Versäumnisse ihrer IT-Mitarbeiter<br />
in Haftung genommen, wenn sie<br />
bei der Erfüllung ihrer Pflichten nicht<br />
„die Sorgfalt eines ordentlichen Geschäftsmannes“<br />
walten lässt. So<br />
könnte im Fall des zerstörten Datacenter<br />
auch der Geschäftsführer<br />
wegen „grober Fahrlässigkeit“ belangt<br />
werden, da er der Gefahr nicht<br />
rechtzeitig entgegengewirkt hat.<br />
Hohe Geldbußen<br />
Schlimmer noch als zivilrechtliche<br />
Entscheidungen sind strafrechtliche<br />
Konsequenzen – beispielsweise,<br />
wenn Urheberrechte verletzt werden.<br />
• Ist das Rechenzentrum in punkto Hitzeentwicklung gut genug ausgerüstet?<br />
Kann die in den Servern entstehende Hitze reibungslos abgeführt werden?<br />
• Ist die Energieversorgung auch bei Störfallen gesichert?<br />
• Gibt es ein klares System der Zugangskontrolle mit entsprechenden<br />
Überwachungslösungen?<br />
• Liegt ein Brandmeldekonzept mit Schutzmaßnahmen vor?<br />
• Gibt es ein lückenloses Monitoring aller relevanten Funktionen<br />
und Parameter?<br />
• Haben Sie klare SLA mit einem kompetenten Dienstleister abgeschlossen,<br />
um ihre IT zu schützen?<br />
• Haben Sie Ihre IT-Infrastruktur von unabhängigen Experten in punkto<br />
physische Sicherheit prüfen lassen?<br />
So macht sich die Geschäftsleitung<br />
eines Unternehmens strafbar, wenn<br />
sie weiß, dass ihre Mitarbeiter Firmensoftware<br />
für private Zwecke nutzen,<br />
aber dennoch nichts dagegen<br />
unternimmt. Darüber hinaus begehen<br />
die Mitglieder der Geschäftsführung<br />
eine Ordnungswidrigkeit, da sie<br />
vorsätzlich ihre Aufsichtspflicht verletzt<br />
haben. Eine solche Ordnungswidrigkeit<br />
kann mit Geldbußen bis<br />
zu 500.000 Euro – und zwar sowohl<br />
für die Geschäftsführer als auch für<br />
das Unternehmen – geahndet werden.<br />
Ein teures Vergnügen. Und für<br />
einen kleineren Betrieb möglicherweise<br />
das Aus.<br />
Chefsache IT<br />
IT ist also längst Chefsache, wie<br />
zahlreiche Meinungsführer und Magazine<br />
seit langem erklären. Dazu<br />
gehört, mögliche IT-Risiken zu identifizieren<br />
und – in einem wirtschaftlich<br />
sinnvollen Ausmaß – zu eliminieren.<br />
Ein Restrisiko bleibt zwar bestehen;<br />
dieses kann aber durch Notfallpläne<br />
und Vorsorgemaßnahmen<br />
auf ein absolutes Minimum reduziert<br />
werden.<br />
Wie lässt sich das Haftungsrisiko<br />
zusätzlich vermindern? Immer öfter<br />
vereinbaren Unternehmen und Geschäftsführer<br />
im Geschäftsführervertrag<br />
eine Haftungsbeschränkung für<br />
fahrlässiges Verhalten. Bei <strong>GmbH</strong>s<br />
können die Gesellschafter den Geschäftsführer<br />
entlasten. In einem solchen<br />
Fall erlischen die bestehenden<br />
Schadensersatzansprüche gegenüber<br />
dem Unternehmen. Ganz im Unterschied<br />
zu Aktiengesellschaften, bei<br />
denen die Entlastung des Vorstandes<br />
eben nicht zum Verzicht auf Schadensersatzansprüche<br />
führt.<br />
Was tun?<br />
13<br />
Für Arbeitnehmer, zu denen auch<br />
IT-Leiter zählen, gibt es andere Wege,<br />
einer unliebsamen Inanspruchnahme<br />
zu entgehen. Der Arbeitnehmer<br />
sollte die Geschäftsleitung über<br />
mögliche Risiken informieren – das<br />
gilt gerade für die Informationstech-<br />
T I T E L
T I T E L<br />
nologie. Ebenso sollte er Lösungswege<br />
aufzeigen und dafür ein entsprechendes<br />
Budget beantragen.<br />
Lehnt die Geschäftsleitung seine<br />
Vorschläge ab, so empfiehlt es sich,<br />
die Risiken erneut aufzuzeigen und<br />
das eigene Vorgehen sowie die Haltung<br />
der Unternehmensleitung<br />
schriftlich zu dokumentieren. Am besten<br />
bei mehreren Gelegenheiten.<br />
Wird ein IT-Projekt bewilligt, so ist<br />
der IT-Leiter gut beraten, wenn er<br />
die Geschäftsleitung regelmäßig über<br />
die Entwicklung des Projekts informiert.<br />
Und wenn er sich externe<br />
Unterstützung sichert – beispielsweise<br />
indem er qualifizierte Beratung<br />
hinzuzieht. Der Akzent liegt dabei<br />
auf „qualifiziert“, denn unter der<br />
rechtlich ungeschützten Bezeichnung<br />
„Unternehmensberater“ firmieren<br />
leider nicht wenige Scharlatane.<br />
Eine gewisse Sicherheit bieten<br />
Referenzprojekte in vergleichbaren<br />
Größenordnungen.<br />
Eine Alternative zu „klassischen“<br />
Unternehmensberatungen sind so genannte<br />
„One-Stop-Shop“-Anbieter<br />
wie Litcos und Rittal, die alles aus einer<br />
Hand liefern – also <strong>Co</strong>nsulting,<br />
genaue Risikoanalysen und softwarebasierte<br />
Planung von IT-Infrastrukturen<br />
durch Konfigurationsprogramme<br />
über anwendungsgerechten Installationsservice<br />
sowie Inbetriebnahme,<br />
Wartungs-, Reparatur- und Garantieservice<br />
bis hin zum raschen, intelligenten<br />
Eskalationsmanagement.<br />
Auch diese Anbieter sollten vergleichbare<br />
Projekte bere<strong>its</strong> gestemmt<br />
haben und auf Grund ihrer Größe<br />
die nötigen personellen Ressourcen<br />
zur Verfügung stellen können. Ein renommierter<br />
Name des Anbieters<br />
kann manche Diskussion mit der<br />
Unternehmensleitung erleichtern.<br />
Herausforderung<br />
„physische Sicherheit“<br />
Vor allem aber sollten Unternehmens-<br />
und IT-Leiter bei der Identifizierung<br />
der möglichen Risiken nicht<br />
nur Virenbefall oder Wirtschaftsspionage<br />
im Blick haben. Die beste Firewall<br />
und das umfassendste Antivi-<br />
14<br />
renprogramm nutzen nichts, wenn<br />
die physische Sicherheit der Datenbestände<br />
nicht garantiert ist. In<br />
punkto physischer Infrastruktur<br />
muss in den Vorstandsetagen noch<br />
einiges an Aufklärungs- und Überzeugungsarbeit<br />
geleistet werden –<br />
gerade was den Zusammenhang mit<br />
der Mindestverfügbarkeit betrifft. Die<br />
Größe oder die Branche des Unternehmens<br />
spielen keine Rolle, denn<br />
die Anforderungen an die IT-Performance<br />
steigen überall.<br />
Ganz wichtig: Die Frage, ob der<br />
Serverraum oder das Datencenter<br />
der Hitzeentwicklung durch die Server<br />
standhält. Besonders die<br />
leistungsstarken Blade-Server sondern<br />
in erhöhtem Maße Hitze ab,<br />
was bei ungeeigneten Racks zu Ausfällen<br />
führen und die Performance<br />
senken kann. Ein intelligentes Risikomanagement<br />
stellt sich die Frage,<br />
wie der Hitzeentwicklung durch die<br />
Server entgegengewirkt werden<br />
kann.<br />
Lückenloses Monitoring<br />
Zugangskontrolle und Feuerschutz<br />
sind weitere Maßnahmen, um die<br />
physische Sicherheit zu verbessern.<br />
Man sollte es nicht glauben, aber es<br />
gibt immer noch Unternehmen, in<br />
denen Putzhilfen mit Wassereimern<br />
und Schrubbern die Serverräume<br />
reinigen. Oft sind diese Serverräume<br />
allen Mitarbeitern problemlos zugänglich,<br />
was der Manipulation oder<br />
gar Sabotage Tür und Tor öffnen<br />
kann.<br />
Ebenso unverzichtbar ist eine<br />
lückenlose Überwachung aller wich-<br />
tigen Parameter im Datacenter – von<br />
der Temperaturentwicklung über<br />
Luftfeuchtigkeit in den Räumen bis<br />
zum Strommanagement. Apropos<br />
Strommanagement: Natürlich muss<br />
die Energieversorgung auch bei Störfällen<br />
sichergestellt sein: Eine redundante<br />
Stromversorgung ist eine<br />
Selbstverständlichkeit.<br />
IT-Sicherhe<strong>its</strong>-Checks<br />
sind ratsam<br />
IT <strong>Co</strong>nsulting und Services<br />
Dezentrale und zentrale IT-Architekturen<br />
mit ganzheitlichen Konzepten sichern<br />
Führende Infrastrukturspezialisten<br />
haben integrierte Gesamtlösungen<br />
für moderne Rechenzentren entwickelt,<br />
die Performance und Sicherheit<br />
gewährleisten. So zum Beispiel<br />
Rittal mit RimatriX5, der neuen integrierten<br />
IT-Gesamtlösung für den<br />
Aufbau von Rechenzentren. Dies besteht<br />
aus den fünf IT-Bausteinen<br />
Rack, Power, <strong>Co</strong>oling, Security und<br />
Monitoring/Remote Management.<br />
Vor dem Hintergrund einer unliebsamen<br />
rechtlichen Inanspruchnahme<br />
ist es für IT-Verantwortliche<br />
auf jeden Fall ratsam, die Infrastruktur<br />
auf potenzielle Risiken prüfen zu<br />
lassen. Ein IT-Sicherhe<strong>its</strong>-Check von<br />
Rittal umfasst außer Funktionsanalysen<br />
zu Bauausführung, Energieversorgung,<br />
Klimatechnik oder Sicherhe<strong>its</strong>-/Brandmeldetechnik<br />
auch eine<br />
Begehung des IT-Bereichs, eine<br />
Sicherhe<strong>its</strong>bewertung und Vorschläge<br />
von Sicherhe<strong>its</strong>maßnahmen, um die<br />
Infrastruktur besser zu schützen. Das<br />
eingangs beschriebene Szenario lässt<br />
sich damit auf jeden Fall umgehen.<br />
Ralf Dahmer<br />
Litcos arbeitet interdiziplinär. IT-Spezialisten und Ingenieure, mit Know-how im<br />
Bereich der Infrastruktur und Bausubstanz, Innenarchitekten und Sicherhe<strong>its</strong>experten<br />
ergänzen sich bere<strong>its</strong> in der Risikoanalyse mit fachspezifischen Diagnosen<br />
und erarbeiten gemeinsam tragfähige, zukunftsgerichtete Sicherhe<strong>its</strong>konzepte.<br />
Dies gilt auch für die Planung einer grundsätzlich neuen Sicherhe<strong>its</strong>architektur.<br />
In der Zeit von 1998 - 2005 wurden von LITCOS über 1.750<br />
Analysen und Pflichtenhefte erstellt.<br />
IT SECURITY 1/<strong>2006</strong> JANUAR/FEBRUAR