Die heutige Bedeutung von Internet und Informationstechnik für die Gesellschaft und eine damit zusammenhängende Abhängigkeit bedarf keiner ausführlichen Erläuterung. Informationstechnik ist allgegenwärtig; sie ist aus dem wirtschaftlichen und gesellschaftlichen Leben nicht mehr wegzudenken. Insbesondere die Nutzung von Informations- und Kommunikationstechnologie in Unternehmen hat einen unaufhaltbaren, stetigen Zuwachs.
Weniger bewusst ist man sich oft allerdings über die damit verbundenen Gefahren und Risiken. In der jüngsten Zeit sind Gefahren und Schäden durch Viren zwar rückläufig gewesen, aber es kam vermehrt zu Bedrohungen durch Spyware, Trojaner, sog. Phishing-Attacken oder Angriffe von Bot-Netzen. Sorgen solche Sicherheitsrisiken dann erst einmal für den Ausfall von Computern und den damit verbundenen Prozessen, so müssten viele Unternehmen ihren Betrieb zumindest für einen gewissen Zeitraum einstellen. Der Flug- und Bahnverkehr könnte zum Stillstand kommen, Finanzmärkte blieben geschlossen. Nach Vergegenwärtigung der genannten Szenarien scheint eine gesetzliche Pflicht der Unternehmen, solche IT-Schadensfälle durch ausreichende Sicherheitsmaßnahmen zu verhindern, selbstverständlich zu sein. Es fragt sich in diesem Zusammenhang allerdings, wie es zu erklären ist, dass nach einer Studie nur 50% der Unternehmen organisatorisch auf einen Hackerangriff vorbereitet sind und über einen entsprechenden Notfallplan verfügen. Nur 28% verfügen ferner über externe Ausweichsysteme, wenn ihre IT ausfällt.
Durch die zunehmende Digitalisierung des Wirtschafts- und Gesellschaftslebens nimmt auch die digitale Datenmenge ständig zu. Geheimhaltungsbedürftige Entwicklungs-, Kunden- oder Patientendaten sind somit auch vermehrt den oben genannten Gefahren ausgesetzt.
Diese Diskrepanz zwischen möglichen Schadensfolgen beim Ausfall von IT-Systemen und z.T. unzureichenden Sicherheitsvorkehrungen in den Unternehmen gegen Angriffe und Ausfälle, gibt den Grund für eine ausführliche Erörterung der aufgeworfenen Problemstellung.
Es muss daher geklärt werden, inwiefern Unternehmen, in Form ihrer Leitungsorgane, überhaupt dazu verpflichtet sind Maßnahmen zu ergreifen, um ausreichende IT-Sicherheitsstandards zu installieren und somit oben genannte Szenarien zu verhindern. Ferner soll die Arbeit klären, ob die bestehenden gesetzlichen Regelungen überhaupt einen ausreichenden Schutz bieten können. [...]
Inhaltsverzeichnis
A.) Einführung
I.) Problemstellung
II.) Gang der Darstellung
B.) Grundlagen
I.) Begriffsbestimmungen
1.) Unternehmen
2.) Leitungsorgane
a.) Der (GmbH-)Geschäftsführer
b.) Der Vorstand der Aktiengesellschaft
c.) Der Aufsichtsrat einer AG und GmbH
d.) Gesellschafter der GbR, OHG und der KG
e.) IT-Verantwortliche als Leitungsorgane?
3.) IT-Sicherheit
a.) Definition von IT-Sicherheit
b.) Sich aus der Definition ergebende Sicherheitsziele
aa.) Schutz der Verfügbarkeit von Informationen
bb.) Schutz der Unversehrtheit von Informationen
cc.) Schutz der Vertraulichkeit von Informationen
c.) Weiterführende Schutzrichtungen im Kontext der IT-Sicherheit
aa.) Integrität und Authentizität
bb.) Schutz des informationellen Selbstbestimmungsrechts
cc.) Zurechenbarkeit und Verbindlichkeit der Informationen
d.) Fazit
4.) (IT-Sicherheits-) Standards
II.) Notwendigkeit einer IT-Sicherheit in der heutigen Gesellschaft?
C.) Das bestehende Regelungssystem
I.) Problematik einer Querschnittsmaterie
II.) Gesetzlich verankerte IT-Sicherheitsstandards
1.) Horizontale Regelungen
a.) Datenschutzrechtliche Bestimmungen
aa.) Pflicht zur Bestellung eines Datenschutzbeauftragten nach §4f BDSG
bb.) Technische und organisatorische Maßnahmen nach §9 i.V.m. der Anlage zu §9 BDSG
(1) Die Effektivität des Datenschutzbeauftragten
(2) Ausreichender Schutz durch §9 i.V.m. der Anlage zu §9 S.1 BDSG?
cc.) Die Auftragsdatenverarbeitung nach §11 BDSG
dd.) Bewertung
b.) Allgemeine gesetzliche Sorgfaltspflichten
aa.) Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich und seine Auswirkungen
(1) Auswirkungen auf das Aktiengesetz
(2) Auswirkungen auf das HGB
bb.) Sorgfaltspflichten aus dem GmbHG
cc.) Sorgfaltspflichten der GbR, OHG und KG
dd.) Pflicht zur ordnungsgemäßen Buchführung
(1) Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme
(2) Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnik
c.) Verlagerung der Pflichten durch IT-Outsourcing?
d.) Bewertung
2.) Vertikale Regelungen
a.) Telekommunikationsrechtliche Vorschriften aus dem TKG
aa.) Der Anwendungsbereich des TKG
bb.) Die einzelnen Pflichten
(1) Wahrung des Fernmeldegeheimnisses nach §88 TKG
(2) Vorsorge- und Sicherungspflichten aus §109 TKG
cc.) Bewertung
(1) Überflüssigkeit von §109 TKG?
(2) Mangelnde Konkretisierung des §109 TKG?
b.) Vorschriften aus dem Finanzwesen
aa.) Das Kreditwesengesetz
bb.) Das Wertpapierhandelsgesetz
cc.) Untergesetzliche Regelungen
dd.) Fazit
III.) Pflicht zur Überwachung gesetzlicher IT-Sicherheitsstandards
1.) Überwachungspflichten horizontaler Regelungen
2.) Überwachungspflichten vertikaler Regelungen
3.) Überwachungspflichten bei Delegation
IV.) Standards, technische Regelwerke und Normen
1.) Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik
2.) DIN- und ISO-Normen
3.) Fazit
V.) Internationale Regelungen
1.) Sarbanes-Oxley Act
2.) Basel II
VI.) Nationaler Plan zum Schutz der Informationsinfrastrukturen
1.) Umsetzungsplan KRITIS
2.) Fazit
VII.) Strafrechtlicher Schutz der IT-Sicherheit
VIII.) Zwischenergebnis der kritischen Würdigung bestehender Regelungen
D.) Konsequenzen bei fehlender Umsetzung der Pflichten
I.) Haftung der Unternehmen
II.) Persönliche Haftung der Leitungsorgane
III.) Maßnahmen der Aufsichtsbehörden
IV.) Sonstige Folgen
V.) Fazit
E.) Ansätze zur Problemlösung
I.) Gesetzliche Lösungsmöglichkeiten
1.) Schaffung eines IT-Sicherheitsgesetzes
a.) Notwendigkeit und Ausgestaltung eines solchen Gesetzes
b.) Bedenken gegen die Schaffung eines IT-Sicherheitsgesetzes
2.) Überarbeitung vorhandener Regelungen
a.) Neugestaltung einfachgesetzlicher Vorschriften
aa.) Ansätze im BDSG
bb.) Ansätze im Handels- und Gesellschaftsrecht
cc.) Ansätze im TKG
b.) Aufwertung untergesetzlicher Institutionen
II.) Außergesetzliche Möglichkeiten zur Schaffung von IT-Sicherheit
1.) IT-Sicherheit als Wettbewerbsfaktor
2.) Sonstige Ansätze
F.) Resümee
Zielsetzung & Themen
Das primäre Ziel dieser Arbeit ist es, die rechtliche Verpflichtung von Unternehmens-Leitungsorganen zur Implementierung und Überwachung angemessener IT-Sicherheitsstandards zu untersuchen. Dabei wird analysiert, inwieweit das bestehende Regelungssystem in Deutschland ausreicht, um IT-Schadensfälle durch präventive organisatorische Maßnahmen zu verhindern.
- Analyse des aktuellen rechtlichen Rahmens und bestehender IT-Sicherheitsdefizite
- Untersuchung der Haftungsrisiken für Unternehmen und Leitungsorgane bei Pflichtverletzungen
- Bewertung der Wirksamkeit von Kontrollmechanismen wie dem Datenschutzbeauftragten
- Erörterung sektorspezifischer Anforderungen (z.B. Finanzsektor, Telekommunikation)
- Diskussion von Lösungsansätzen, inklusive der Schaffung eines spezifischen IT-Sicherheitsgesetzes
Auszug aus dem Buch
I.) Problemstellung
Die heutige Bedeutung von Internet und Informationstechnik für die Gesellschaft und eine damit zusammenhängende Abhängigkeit bedarf keiner ausführlichen Erläuterung. Informationstechnik ist allgegenwärtig; sie ist aus dem wirtschaftlichen und gesellschaftlichen Leben nicht mehr wegzudenken. Insbesondere die Nutzung von Informations- und Kommunikationstechnologie in Unternehmen hat einen unaufhaltbaren, stetigen Zuwachs.
Weniger bewusst ist man sich oft allerdings über die damit verbundenen Gefahren und Risiken. Die Bedrohungen durch Computerwürmer, Viren oder Trojaner sind nach wie vor enorm hoch. In der jüngsten Zeit sind Gefahren und Schäden durch Viren zwar rückläufig gewesen, aber es kam vermehrt zu Bedrohungen durch Spyware, Trojaner, sog. Phishing-Attacken oder Angriffe von Bot-Netzen. Im Einklang damit steht die für Unternehmen zunehmende Gefahr von Datenspionage durch solche Angriffe.
Zu diesen möglichen Ursachen für einen Schaden oder gar einen Ausfall des IT-Systems gesellen sich Gefahren durch höhere Gewalt wie z.B. Feuer oder Stromausfälle, technisches Versagen von Soft- und Hardware, Diebstahl, Organisationsdefizite oder Fahrlässigkeit von Mitarbeitern im Umgang mit Informationstechnik. Sorgen solche Sicherheitsrisiken dann erst einmal für den Ausfall von Computern und den damit verbundenen Prozessen, so müssten viele Unternehmen ihren Betrieb zumindest für einen gewissen Zeitraum einstellen. Der Flug- und Bahnverkehr könnte zum Stillstand kommen, Finanzmärkte blieben geschlossen. Kurz um, ein großer Teil der Wirtschaft könnte zum Erliegen gebracht werden, wenn einzelne Ausfälle andere Bereiche in Mitleidenschaft ziehen würden.
Nach Vergegenwärtigung der genannten Szenarien scheint eine gesetzliche Pflicht der Unternehmen, solche IT-Schadensfälle durch ausreichende Sicherheitsmaßnahmen zu verhindern, selbstverständlich zu sein. Es fragt sich in diesem Zusammenhang allerdings, wie es zu erklären ist, dass nach einer Studie nur 50% der Unternehmen organisatorisch auf einen Hackerangriff vorbereitet sind und über einen entsprechenden Notfallplan verfügen. Demnach sind sogar noch weniger auf Datendiebstahl, einen Systemabsturz, Einbruch oder Feuer vorbereitet. Nur 28% verfügen ferner über externe Ausweichsysteme, wenn ihre IT ausfällt.
Zusammenfassung der Kapitel
A.) Einführung: Der Abschnitt erläutert die hohe Abhängigkeit moderner Unternehmen von Informationstechnik und die damit verbundenen, oft unterschätzten Risiken sowie die Notwendigkeit einer rechtlichen Betrachtung.
B.) Grundlagen: Hier werden zentrale Begriffe wie Unternehmen, Leitungsorgane und IT-Sicherheit definiert, um das Fundament für die Untersuchung der rechtlichen Verpflichtungen zu legen.
C.) Das bestehende Regelungssystem: Es erfolgt eine detaillierte Analyse der horizontalen (datenschutzrechtlichen) und vertikalen (sektorspezifischen) Regelungen, inklusive der Haftung bei Outsourcing.
D.) Konsequenzen bei fehlender Umsetzung der Pflichten: Dieses Kapitel behandelt die zivil- und deliktsrechtliche Haftung des Unternehmens sowie die persönliche Haftung der Leitungsorgane und mögliche aufsichtsrechtliche Sanktionen.
E.) Ansätze zur Problemlösung: Abschließend werden verschiedene gesetzliche und außergesetzliche Möglichkeiten zur Behebung bestehender Defizite im IT-Sicherheitsrecht erörtert.
F.) Resümee: Die Arbeit schließt mit einer zusammenfassenden Bewertung der gesetzlichen Defizite und der dringenden Empfehlung, ein einheitliches IT-Sicherheitsrecht zu schaffen.
Schlüsselwörter
IT-Sicherheit, Leitungsorgane, Compliance, Risikomanagement, Datenschutzgesetz, IT-Sicherheitsgesetz, Unternehmenshaftung, KonTraG, Informationsinfrastrukturen, Datensicherheit, Notfallplanung, Sorgfaltspflichten, IT-Outsourcing, Cyber-Bedrohungen, Haftungsrisiken
Häufig gestellte Fragen
Worum geht es in dieser wissenschaftlichen Arbeit grundlegend?
Die Arbeit untersucht, inwieweit die verantwortlichen Organe von Unternehmen rechtlich verpflichtet sind, IT-Sicherheitsstandards zu etablieren und deren Einhaltung zu überwachen, um den Geschäftsbetrieb vor IT-Schäden zu schützen.
Welche zentralen Themenfelder deckt die Untersuchung ab?
Zentrale Themen sind die rechtliche Einordnung von IT-Sicherheit, die Analyse bestehender Gesetze wie BDSG, AktG und TKG, die Haftungsfolgen für Unternehmen und Manager sowie Möglichkeiten der künftigen Gesetzgebung.
Was ist das primäre Ziel oder die Forschungsfrage?
Die Forschungsfrage lautet, inwiefern Leitungsorgane von Unternehmen verpflichtet sind, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen, und ob der derzeitige Rechtsrahmen dafür ausreicht.
Welche wissenschaftliche Methodik wird verwendet?
Die Arbeit basiert auf einer juristischen Analyse von Gesetzen, Kommentaren, aktueller Rechtsprechung und wissenschaftlicher Literatur, kombiniert mit einer kritischen Würdigung der Wirksamkeit bestehender Regelungen.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in die Definition der Grundlagen, die Darstellung und kritische Würdigung des Regelungssystems, die Erläuterung der Konsequenzen bei Pflichtverletzungen sowie die Entwicklung von Lösungsansätzen.
Welche Schlüsselwörter charakterisieren die Arbeit am besten?
IT-Sicherheit, Compliance, Risikomanagement, Unternehmenshaftung, IT-Notfallkonzept und Sorgfaltspflichten.
Welche Rolle spielen "IT-Verantwortliche" in der Unternehmenshierarchie laut der Arbeit?
Obwohl sie oft weisungsgebunden sind, wird ihnen durch die Delegation von Aufgaben ein erhöhter Sorgfaltsmaßstab zugeschrieben; die Arbeit integriert sie daher in die rechtliche Betrachtung der Sicherheitsverantwortung.
Wie bewertet der Autor den aktuellen Stand der Gesetzgebung?
Der Autor bewertet den aktuellen Zustand als defizitär, da viele Vorgaben zu abstrakt und unkonkret sind, was Unternehmen Spielräume lässt, Sicherheitsinvestitionen aus Kostengründen zu vernachlässigen.
Welchen Stellenwert hat das Risikomanagement gemäß der Arbeit?
Das Risikomanagement wird als zentrales Instrument der Unternehmensführung angesehen, das insbesondere durch die Auslegung des § 91 II AktG als verpflichtend für die Etablierung von IT-Sicherheitskonzepten interpretiert wird.
Welcher Lösungsansatz wird zur Behebung der Defizite favorisiert?
Die Arbeit favorisiert die Schaffung eines expliziten, einheitlichen IT-Sicherheitsgesetzes oder zumindest eine deutliche Konkretisierung bestehender Sorgfaltspflichten in anderen Gesetzen, um die Verbindlichkeit der Sicherheitsvorgaben zu erhöhen.
- Arbeit zitieren
- Matthias Rodeck (Autor:in), 2008, Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?, München, GRIN Verlag, https://www.grin.com/document/142688
