Juristische Risiken der IT-Leitung
Haftung im Rechenzentrum
IT-Manager geraten zunehmend unter Druck. Nicht nur die Budgets stehen unter ständiger Beobachtung, auch für die Einhaltung der Sicherheitsanforderungen müssen sie gerade stehen. Dabei spielen rechtliche Aspekte und schließlich Haftungsrisiken eine wichtige Rolle. Bei möglichen Schäden können das eigene Unternehmen und Kunden zur Kasse bitten. Um dies zu vermeiden, sind sicherheitsorientierte, ganzheitliche Planung, Einrichtung und Betrieb von Rechenzentren die beste Vorsorge.
Scheinbar endlos fährt der Aufzug, ehe sich die Türen auf einen hell erleuchteten Korridor
öffnen. Videokameras belauern die elektronische Identifizierung. Dann – nach Passieren der
Brandschutzschleuse – steht der Besucher im fensterlosen, weiß glänzenden Raum vor den ersten
Reihen von Serverschränken. Was wie eine Szene aus einem Science-Fiction-Film anmutet, ist bereits
seit Ende 2003 Realität. Das hochverfügbare Rechenzentrum der Daimler Chrysler Computing Services
liegt 250 Meter tief in einem erdbebensicheren Produktionsstollen in der Steiermark. Natürlich
benötigt nicht jeder solch umfassende Sicherheit, IT-Manager stehen jedoch angesichts steigender
Haftungsrisiken zunehmend unter Druck, Sicherheitspolitik und -maßnahmen neu zu überdenken.
Einer aktuellen Studie der Unternehmensberatung A.T. Kearney zufolge hat sich die Position der
IT-Abteilungen seit 2002 in den Unternehmen deutlich verschlechtert. Die Mehrzahl der befragten
Führungskräfte zweifelt daran, dass ihre IT-Leiter hinreichend geschäftsstrategisch denken. Den
IT-Leitern wird es immer weniger nachgesehen, wenn sie zwar im Tagesgeschäft mit hohem Einsatz
Verfügbarkeit und Service-Levels sicherstellen, aber darüber Zukunftsplanung und umfassende
IT-Sicherheit hinten anstellen. Vor allem im Sicherheitsbereich reichen die Anforderungen weit über
den viel diskutierten Viren- und Hackerschutz hinaus.
Verschärfte Haftungsrisiken
Die Gesetzgeber in Deutschland und Europa haben in den letzten Jahren die Zügel deutlich
gestrafft. Wichtigstes Einfallstor für die verschärften Haftungsrisiken ist der Paragraph 91,
Absatz 2, des Aktiengesetzes. Er erlegt der Unternehmensleitung die Pflicht auf, ein
Risikomanagementsystem zu etablieren, das alle Risiken für den künftigen Geschäftsbetrieb umfasst,
und verpflichtet zu ihrer Verhütung und zur Schadensminimierung. Entsprechendes gilt für eine GmbH
und bestimmte Personengesellschaften.
Gleichzeitig nehmen auch die Banken die Unternehmen stärker ins Visier. Unter dem Regime von
Basel II werden die Kreditkonditionen schon bald von einer Risikobewertung auch der IT-Systeme
abhängen. IT-Sicherheit ist zu einem Rating-Faktor geworden und beeinflusst unmittelbar die
Refinanzierungsmöglichkeiten der Unternehmen. Ganz zu schweigen von der Lage bei den
Finanzdienstleistern selbst, die ihre eigenen potenziellen IT-Risiken mit Eigenkapital hinterlegen
müssen.
Risikobewusstsein ist der erste Schritt
Die Vorschriften und Paragraphen klingen auf den ersten Blick recht allgemein – tatsächlich
leiten die Gerichte daraus aber eine weit reichende Verantwortung ab. Wer diese Anforderungen auf
die leichte Schulter nimmt, ist daher schlecht beraten. Wo sich die IT als Schwachstelle erweist,
da stehen das eigene Unternehmen, aber auch Kunden und andere Dritte nicht an, straf- und
zivilrechtliche Schritte gegen die IT-Verantwortlichen in Erwägung zu ziehen. "Diese Entwicklung
ist vielen IT-Managern noch keineswegs bewusst", betont Anwalt Dr. Severin Löffler von der Kanzlei
Clifford Chance. "Risikobewusstsein und Risikosensibilisierung sind aber die ersten Voraussetzungen
für eine Risikominimierung."
Löfflers Definition, ein Risiko sei "ein ungewolltes Ereignis, das mit einer gewissen
Wahrscheinlichkeit eintritt und dann Schaden von einer bestimmten Tragweite auslöst", eröffnet die
Frage nach den möglichen Schäden, die aus Mängeln in der IT-Sicherheit erwachsen können. Hier kann
man zwischen unternehmensinternen Schäden und solchen unterscheiden, die Dritten entstehen.
Nennenswert sind etwa der Verlust von operativen Datensätzen, die kostspielig wieder hergestellt
werden müssen, oder der Imageverlust bei Geschäftspartnern durch unsensiblen Umgang mit
Kundeninformationen. Kaufmännische Verluste entstehen durch Offenbarung von Geschäftsgeheimnissen
gegenüber Wettbewerbern, wenn etwa abwandernde Mitarbeiter Rezepturen mitnehmen. Verletzungen von
Datenschutz- oder Urheberrechtsbestimmungen können auch strafrechtlich relevant sein. Vor allem
aber führen Ausfallzeiten und Leistungseinbußen, zum Beispiel wegen Schwankungen in der
Stromversorgung oder aufgrund von Überhitzung, zu Schäden und Schadensersatzforderungen. In allen
diesen Punkten drohen dem eigenen Unternehmen massive wirtschaftliche Nachteile: vom Verlust
künftiger Aufträge bis zu verschlechterten Finanzierungskonditionen, vom Imageschaden bis zu den "
Reparaturkosten" für die Wiederherstellung unzureichend gesicherter Daten oder direkter
Ersatzleistungen an Kunden.
Besonders gravierend wirken sich Schäden bei Kunden oder anderen Geschäftspartnern aus. Für
Ausfallzeiten beim Kunden, die durch Verfügbarkeitsmängel der eigenen IT hervorgerufen werden,
steht der Verursacher in voller Höhe ein. Dies wurde unter anderem in einem Urteil gegen die
Direktbank Cortal Consors bestätigt: Der Finanzdienstleister musste dafür gerade stehen, dass ein
Kunde wegen Ausfall des Handelssystems eine gewinnträchtige Aktientransaktion nicht durchführen
konnte.
Das Unternehmen aber kann heute stärker als früher direkt auf die verantwortlichen Personen
durchgreifen. Vorstände und Geschäftsführer, aber selbst einfache Arbeitnehmer laufen Gefahr, mit
ihrem persönlichen Vermögen für Versäumnisse einstehen zu müssen. Unter haftungsrechtlichen
Aspekten wird sich der IT-Leiter dabei keineswegs auf unzureichendes (juristisches) Wissen oder
mangelnde Sach- und Personalausstattung herausreden können. Es ist seine Aufgabe, alles zu tun, um
die von ihm und seiner Abteilung erwartete und vereinbarte Leistung zu erbringen. Dabei trifft den
Manager die Beweislast: Er muss nachweisen, dass die "Sorgfalt eines ordentlichen Geschäftsmanns"
angewandt wurde (Paragraph 43 GmbH-Gesetz). Hierzu ist in jedem Fall eine umfassende schriftliche
Dokumentation erforderlich, etwa wenn frühzeitig auf Gefahren hingewiesen, erforderliche Maßnahmen
aber abgelehnt wurden.
Das Haftungsausmaß hängt dabei von der Schwere des Verschuldens ab. Liegt nur leichte
Fahrlässigkeit vor, so wird in der Regel von Schadensersatz abgesehen werden können, bei mittlerer
Fahrlässigkeit wird die Haftung zwischen Unternehmen und Arbeitnehmer geteilt, bei grober
Fahrlässigkeit oder gar Vorsatz ist der Mitarbeiter zu 100 Prozent haftbar. Einzig Fragen der
Verhältnismäßigkeit können die Höhe der Haftung noch begrenzen.
Vorbeugen ist besser als Heilen
Hans-Jürgen Frase, Geschäftsführer des Beratungs- und Planungsunternehmens Litcos, legt Wert auf
die Feststellung, dass an Rechenzentrumsplanung – gleich ob beim Serverraum des kleinen
Mittelständlers oder beim universitären Hochleistungsrechenzentrum – grundlegend andere
Anforderungen gestellt sind als an die anderer Verwaltungsflächen. Dies gilt umso mehr, als der
technische Fortschritt nicht nur die Leistung dramatisch vorantreibt, sondern auch die
Risikopotenziale erhöht.
Die Erwartungen bei internen und externen Kunden an die Verfügbarkeit der IT wachsen weiter und
werden durch die rein technischen Merkmale auch nachhaltig unterstützt. WANs mit weltweit
verteilten Kapazitäten ermöglichen den Betrieb virtueller globaler Unternehmen, verursachen aber
nach wie vor exorbitante Kosten für den Datenaustausch. Die Serverleistung steigt weiter
exponentiell. Aber gleichzeitig erwachsen daraus Probleme bei der Sicherstellung einer dauerhaft
unterbrechungsfreien Stromversorgung und der Bewältigung der immensen Abwärme, die Leistungsrisiken
bis hin zum Brand und anschließendem Totalausfall mit sich bringen.
Im Umfeld der physikalischen Sicherheit finden sich die häufigsten Schadensursachen. Nach wie
vor werden mehr als 50 Prozent aller Schadensfälle einschließlich Ausfallzeiten unmittelbar oder
mittelbar durch eigene Mitarbeiter des Unternehmens verursacht. Neben dem Personal betrachtet das
Bundesamt für Sicherheit in der Informationstechnik (BSI; www.bsi.bund.de) die Faktoren
Organisation, Infrastruktur und Technik als die wichtigsten Facetten des Themas Sicherheit und
empfiehlt die Erarbeitung und Durchsetzung detaillierter und bindender IT-Sicherheitsrichtlinien
für Planung und Betrieb.
IT-Sicherheit fängt demzufolge bei der Zielsetzung an, die sich im Pflichtenheft für das
Rechenzentrum niederschlägt. Frase bestätigt aus langjähriger praktischer Erfahrung: "
Risikoidentifikation und -bewertung sind die wesentlichen Grundlagen einer sicherheitsbezogenen
Strategie zur Einrichtung und zum Betrieb der Serveranlage: Auswahl und Ausstattung von
Räumlichkeiten mit geeigneten Sicherheitsstandards (Zugang, Brandschutz), redundante Absicherung
von Anwendungen und Daten, von Strom- und Kommunikations-Netzen, physikalische und logische
Zugriffsbeschränkungen sind zentrale Elemente ihrer Umsetzung."
Können sich Mittelständler von diesen Themen frei halten? Im Gegenteil: Gerade die hier
angesprochenen Schadensfälle kann ein Großunternehmen eventuell noch zähneknirschend wegstecken.
Für kleinere Unternehmen sind oft schon geringere Beeinträchtigungen existenzbedrohend. Wie
aufwändig ist aber die umfassende Einbeziehung von Sicherheitsaspekten? Solide Planung und ihre
rechtliche Absicherung sind im Verhältnis zur Gesamtinvestition relativ geringe Kostenfaktoren.
Wenn hier jedoch Fehler begangen werden, dann tragen diese Punkte einen überproportional hohen
Gefährdungsanteil.
Ralf Dahmer, Director Product Management IT-Solutions bei Rittal, verweist demgegenüber sogar
darauf, dass gerade integrierte, proaktive Sicherheitssysteme gleichzeitig die Total Cost of
Ownership senken. "Die Einheit von Leistung und physikalischer Sicherheit erreicht man am
sichersten mit einem modularen, skalierbaren, ganzheitlichen Konzept." Denn die Erfahrung zeige,
dass zusätzliche Risiken immer dort lauern, wo innerhalb eines Systems heterogene Komponenten
aufeinander treffen. "Die verschiedenen Bereiche wie Klimatisierung, Power und Rack-Security werden
zu oft getrennt voneinander betrachtet", erläutert Dahmer und empfiehlt daher, diese Bereiche aus
einer Hand aufzustellen und in den Remote-Management-Prozess zu integrieren.
Info: Rittal Tel.: 02772/505-0 Web: www.rittal.de
Lesen Sie mehr zum Thema
