Die heutige Bedeutung von Internet und Informationstechnik für die Gesellschaft und eine damit zusammenhängende Abhängigkeit bedarf keiner ausführlichen Erläuterung. Informationstechnik ist allgegenwärtig; sie ist aus dem wirtschaftlichen und gesellschaftlichen Leben nicht mehr wegzudenken. Insbesondere die Nutzung von Informations- und Kommunikationstechnologie in Unternehmen hat einen unaufhaltbaren, stetigen Zuwachs.
Weniger bewusst ist man sich oft allerdings über die damit verbundenen Gefahren und Risiken. In der jüngsten Zeit sind Gefahren und Schäden durch Viren zwar rückläufig gewesen, aber es kam vermehrt zu Bedrohungen durch Spyware, Trojaner, sog. Phishing-Attacken oder Angriffe von Bot-Netzen. Sorgen solche Sicherheitsrisiken dann erst einmal für den Ausfall von Computern und den damit verbundenen Prozessen, so müssten viele Unternehmen ihren Betrieb zumindest für einen gewissen Zeitraum einstellen. Der Flug- und Bahnverkehr könnte zum Stillstand kommen, Finanzmärkte blieben geschlossen. Nach Vergegenwärtigung der genannten Szenarien scheint eine gesetzliche Pflicht der Unternehmen, solche IT-Schadensfälle durch ausreichende Sicherheitsmaßnahmen zu verhindern, selbstverständlich zu sein. Es fragt sich in diesem Zusammenhang allerdings, wie es zu erklären ist, dass nach einer Studie nur 50% der Unternehmen organisatorisch auf einen Hackerangriff vorbereitet sind und über einen entsprechenden Notfallplan verfügen. Nur 28% verfügen ferner über externe Ausweichsysteme, wenn ihre IT ausfällt.
Durch die zunehmende Digitalisierung des Wirtschafts- und Gesellschaftslebens nimmt auch die digitale Datenmenge ständig zu. Geheimhaltungsbedürftige Entwicklungs-, Kunden- oder Patientendaten sind somit auch vermehrt den oben genannten Gefahren ausgesetzt.
Diese Diskrepanz zwischen möglichen Schadensfolgen beim Ausfall von IT-Systemen und z.T. unzureichenden Sicherheitsvorkehrungen in den Unternehmen gegen Angriffe und Ausfälle, gibt den Grund für eine ausführliche Erörterung der aufgeworfenen Problemstellung.
Es muss daher geklärt werden, inwiefern Unternehmen, in Form ihrer Leitungsorgane, überhaupt dazu verpflichtet sind Maßnahmen zu ergreifen, um ausreichende IT-Sicherheitsstandards zu installieren und somit oben genannte Szenarien zu verhindern. Ferner soll die Arbeit klären, ob die bestehenden gesetzlichen Regelungen überhaupt einen ausreichenden Schutz bieten können. [...]
Inhaltsverzeichnis
- A.) Einführung
- I.) Problemstellung
- II.) Gang der Darstellung
- B.) Grundlagen
- I.) Begriffsbestimmungen
- 1.) Unternehmen
- 2.) Leitungsorgane
- a.) Der (GmbH-)Geschäftsführer
- b.) Der Vorstand der Aktiengesellschaft
- c.) Der Aufsichtsrat einer AG und GmbH
- d.) Gesellschafter der GbR, OHG und der KG
- e.) IT-Verantwortliche als Leitungsorgane?
- 3.) IT-Sicherheit
- a.) Definition von IT-Sicherheit
- b.) Sich aus der Definition ergebende Sicherheitsziele
- aa.) Schutz der Verfügbarkeit von Informationen
- bb.) Schutz der Unversehrtheit von Informationen
- cc.) Schutz der Vertraulichkeit von Informationen
- c.) Weiterführende Schutzrichtungen im Kontext der IT-Sicherheit
- aa.) Integrität und Authentizität
- bb.) Schutz des informationellen Selbstbestimmungsrechts
- cc.) Zurechenbarkeit und Verbindlichkeit der Informationen
- d.) Fazit
- 4.) (IT-Sicherheits-) Standards
- II.) Notwendigkeit einer IT-Sicherheit in der heutigen Gesellschaft?
- C.) Das bestehende Regelungssystem
- I.) Problematik einer Querschnittsmaterie
- II.) Gesetzlich verankerte IT-Sicherheitsstandards
- 1.) Horizontale Regelungen
- a.) Datenschutzrechtliche Bestimmungen
- aa.) Pflicht zur Bestellung eines Datenschutzbeauftragten nach §4f BDSG
- bb.) Technische und organisatorische Maßnahmen nach §9 i.V.m. der Anlage zu §9 BDSG
- cc.) Die Auftragsdatenverarbeitung nach §11 BDSG
- dd.) Bewertung
- b.) Allgemeine gesetzliche Sorgfaltspflichten
- aa.) Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich und seine Auswirkungen
- (1) Auswirkungen auf das Aktiengesetz
- (2) Auswirkungen auf das HGB
- bb.) Sorgfaltspflichten aus dem GmbHG
- cc.) Sorgfaltspflichten der GbR, OHG und KG
- dd.) Pflicht zur ordnungsgemäßen Buchführung
- (1) Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme
- (2) Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnik
- c.) Verlagerung der Pflichten durch IT-Outsourcing?
- d.) Bewertung
- 2.) Vertikale Regelungen
- a.) Telekommunikationsrechtliche Vorschriften aus dem TKG
- aa.) Der Anwendungsbereich des TKG
- bb.) Die einzelnen Pflichten
- (1) Wahrung des Fernmeldegeheimnisses nach §88 TKG
- cc.) Bewertung
- dd.) Fazit
- (2) Vorsorge- und Sicherungspflichten aus §109 TKG
- (1) Überflüssigkeit von §109 TKG?
- (2) Mangelnde Konkretisierung des § 109 TKG?
- b.) Vorschriften aus dem Finanzwesen
- aa.) Das Kreditwesengesetz
- bb.) Das Wertpapierhandelsgesetz
- cc.) Untergesetzliche Regelungen
- III.) Pflicht zur Überwachung gesetzlicher IT-Sicherheitsstandards
- 1.) Überwachungspflichten horizontaler Regelungen
- 2.) Überwachungspflichten vertikaler Regelungen
- 3.) Überwachungspflichten bei Delegation
- IV.) Standards, technische Regelwerke und Normen
- 1.) Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik
- 2.) DIN- und ISO-Normen
- 3.) Fazit
- V.) Internationale Regelungen
- 1.) Sarbanes-Oxley Act
- 2.) Basel II
- VI.) Nationaler Plan zum Schutz der Informationsinfrastrukturen
- 1.) Umsetzungsplan KRITIS
- 2.) Fazit
- Relevante rechtliche Rahmenbedingungen für die IT-Sicherheit von Unternehmen
- Haftungsrisiken für Unternehmen und Leitungsorgane bei unzureichender IT-Sicherheit
- Notwendigkeit und Gestaltung eines IT-Sicherheitsgesetzes
- Möglichkeiten der Problemlösung durch gesetzliche und außergesetzliche Maßnahmen
- IT-Sicherheit als Wettbewerbsfaktor
Zielsetzung und Themenschwerpunkte
Die vorliegende Arbeit befasst sich mit der Frage, inwieweit Leitungsorgane von Unternehmen verpflichtet sind, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen. Die Arbeit analysiert die rechtlichen Rahmenbedingungen sowie die praktischen Implikationen dieser Anforderungen.
Zusammenfassung der Kapitel
Die Einleitung führt in die Problemstellung ein und skizziert den Gang der Untersuchung. Kapitel B legt die wichtigsten Begriffe und Definitionen fest, die im weiteren Verlauf der Arbeit relevant sind. Dazu gehören die Definition des Begriffs „Unternehmen“ und die verschiedenen Formen von Leitungsorganen, sowie eine Definition von IT-Sicherheit und die sich daraus ergebenden Sicherheitsziele. Darüber hinaus werden (IT-Sicherheits-) Standards und die Notwendigkeit einer IT-Sicherheit in der heutigen Gesellschaft beleuchtet. Kapitel C analysiert das bestehende Regelungssystem im Hinblick auf die IT-Sicherheit von Unternehmen. Es werden sowohl horizontale als auch vertikale Regelungen, wie Datenschutzrecht, Handels- und Gesellschaftsrecht sowie Telekommunikationsrecht, berücksichtigt und deren Auswirkungen auf die Pflichten von Leitungsorganen im Bereich der IT-Sicherheit untersucht. Kapitel D befasst sich mit den Konsequenzen bei fehlender Umsetzung der Pflichten im Bereich der IT-Sicherheit. Es werden die Haftungsrisiken für Unternehmen und Leitungsorgane, sowie die Maßnahmen der Aufsichtsbehörden und sonstige Folgen aufgezeigt. Kapitel E untersucht verschiedene Ansätze zur Problemlösung, sowohl gesetzliche als auch außergesetzliche Möglichkeiten, um die IT-Sicherheit von Unternehmen zu verbessern.
Schlüsselwörter
IT-Sicherheit, Leitungsorgane, Unternehmen, Haftung, Datenschutz, Telekommunikationsrecht, Handels- und Gesellschaftsrecht, IT-Sicherheitsstandards, Compliance, Risikobewertung, IT-Sicherheitsgesetz.
- Quote paper
- Matthias Rodeck (Author), 2008, Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?, Munich, GRIN Verlag, https://www.grin.com/document/142688
