Sorgfaltspflicht: Geschäftsführer haften für die Datensicherheit

Von |06.11.2018|
IT-Security, Wissen
Geschäftsführer haften für die Datensicherheit

Während etwa für den Fuhrpark regelmäßige Überprüfungen gesetzlich vorgeschrieben sind, fehlen entsprechende Vorgaben für die IT eines Unternehmens. Die Folge: Oft führen relativ banale Versäumnisse zu Datenverlust oder -missbrauch – mit Konsequenzen für die Geschäftsführung.

Ein Rechner, auf dem das Sicherheitsupdate nicht installiert wurde; ein verärgerter Ex-Mitarbeiter, dessen Zugriffsrechte nicht deaktiviert wurden; ein Ausfall des Backup Systems, der unbemerkt bleibt: Es muss nicht der großangelegte Hacker-Angriff sein – oft haben vergleichbar banale Versäumnisse weitreichende Folgen.

Nicht erst seit dem Inkrafttreten der DSGVO kommt dem Thema Datensicherheit große Bedeutung zu. In den meisten Unternehmen laufen heute komplexe Software, die Kundendaten speichert, Dokumentationen anlegt und Abläufe automatisiert. Der Schutz dieser Daten vor Verlust oder Missbrauch stellt die Geschäftsführung vor immer komplexere Aufgaben.

Mangelnder Überblick

Viele kleine und mittelständische Unternehmen verfügen über keine eigene IT-Abteilung, sondern kaufen lediglich bei Bedarf Leistungen zu. Oft fehlt es daher an einem lückenlosen Überblick über die eingesetzten Hard- und Software Lösungen. Eine vollständige Abbildung der Unternehmens-IT ist aber Voraussetzung, wenn neue Geräte oder neue Software implementiert oder Sicherheitsmaßnahmen umgesetzt werden müssen. Andernfalls besteht die Gefahr, dass etwa einzelne Geräte nicht upgedatet oder bestimmte Daten nicht vom Backup erfasst werden.

Meist wird der externe IT-Dienstleister auch erst dann gerufen, wenn ein Problem bereits manifest, der Schaden bereits eingetreten ist. Die Experten müssen dann oft feststellen, dass sich der Schaden hätte vermeiden lassen, wäre das IT-System besser gewartet worden. Und prompt stellt sich die Frage: Ist die Geschäftsführung ihrer Sorgfaltspflicht nachgekommen und hat alle Maßnahmen zur Risikominimierung gemäß Art. 32 der DSGVO getroffen?

Art. 32 der DSGVO

Artikel 32 der DSGVO beschreibt die technischen und organisatorischen Maßnahmen, die ergriffen werden müssen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Unter Berücksichtigung des Stands der Technik und des wahrscheinlichen Risikos bedeutet das unter anderem:

  1. Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zur Datenverarbeitung muss sichergestellt sein.
    Die IT-Systeme sollte also auf dem aktuellen Stand der Technik und entsprechend gewartet sein. Der Zugang zu den Daten muss auf den kleinstmöglichen Personenkreis beschränkt werden.
  2. Die Daten müssen bei einem physischen, technischen oder durch den Anwender verursachten Zwischenfall rasch wiederhergestellt werden können.
    Das bedeutet: auf die Systeme zur Sicherung der Daten muss Verlass sein.
  3. Die Wirksamkeit der technischen und organisatorischen Sicherheitsmaßnahmen muss regelmäßigen überprüft und evaluiert werden.
    Dies lässt sich am besten durch regelmäßige IT-Audits nachweisen.

Nachweis der kaufmännischen Sorgfalt

Im Rahmen eines IT-Audits wird nicht nur ein umfassende Überblick und eine Analyse des Ist-Zustands aller eingesetzten PCs, Server, Netzwerke, Software und vielem mehr erstellt. Auch mögliche Schwachstellen und Mängel werden aufgedeckt und können in der Folge behoben werden. Damit wird die Sorgfaltspflicht erfüllt.

Diese Elemente müssen überprüft werden

  • Netzwerkinfrastruktur und Stromversorgung. Nur wenn die IT-Infrastruktur richtig konfiguriert und abgesichert ist, ist das System vor dem Zugriff Externer sicher. Auch ein falsch konfiguriertes WLAN-Netz kann Sicherheitsprobleme verursachen,  zum Beispiel wenn das öffentliche und firmeninterne WLAN nicht von einander getrennt sind.
    Auch vor einem Stromausfall muss das gesamte IT-System geschützt werden. Eine USV (unterbrechungsfreie Stromversorgung) stellt sicher, dass kurzfristige Stromschwankungen ausgeglichen und kurze Ausfälle überbrückt werden. Bei einem länger andauernden Stromausfall wird das System geordnet heruntergefahren, um Datenverluste zu verhindern.

  • Firewall und Internet. Die Firewall agiert wie eine Haustüre: Sie legt fest, wer zu ihnen hinein und heraus darf – und wer nicht. Zum einen steuert sie das VPN (das Virtuelle Private Netzwerk, über das etwa Außendienstmitarbeiter auf die Firmenserver zugreifen) zum anderen verhindert sie, dass sich z.B. Hacker Zugriff zum System verschaffen oder Viren eingeschleust werden. Eine Firewall muss regelmäßig upgedatet werden, damit diese auch die neuesten Virenarten erkennt und abwehren kann.
    Im Zuge der Kontrolle der Firewall sollte auch die Internet-Verbindung überprüft werden: Ist die Leitung ausreichend schnell? Sind die bestehenden Verträge noch passend oder gibt es günstigere Möglichkeiten? Kompetente IT-Serviceanbieter haben meist Verträge mit den führenden Internet-Service-Providern und können so nicht nur die passenden sondern auch die günstigsten Angebote empfehlen.

  • Serversysteme und Datenbackup. Sie sind das Herz eines jeden IT-Systems und entsprechend aufmerksam müssen sie gewartet werden. Das Betriebssystem muss auf dem neuesten Stand sein, die Kapazität muss das zu Datenwachstum bewältigen können. Auch die Kompatibilität von Server und PCs muss durch laufende Updates gewährleistet werden.
    Ebenso müssen die Daten Sicherungssysteme regelmäßig überprüft werden: laufen die Backups korrekt und werden die Daten im Notfall zeitnah und vollständig wieder hergestellt ? Diesem Punkt kommt auch in Hinblick auf die DSGVO eine zentrale Bedeutung zu, denn diese schreibt die Wiederherstellbarkeit der Daten vor!
    Geschäftsführer sollten über vollständige Dokumentation aller User, Zugriffsberechtigungen, Lizenzen und laufenden Programme verfügen und es muss sichergestellt sein, dass Passwörter regelmäßig gewechselt werden.

  • PCs und Notebooks. Auch sie sind potentielle „Einfallstore“ ins Firmensystem. Zu überprüfen ist daher: Wie alt sind die Geräte? Sind die Betriebssysteme auf dem neuesten Stand? Sind Software und Lizenzen korrekt eingerichtet? Wie wird etwa bei Außendienstmitarbeitern einem Datenverlust vorgebeugt? Wie sind die Geräte vor dem Zugriff Dritter geschützt?

  • E-Mail-Service. Ein weiterer sehr wichtiger Bereich, da das Mailprogramm zum Internet offen ist. Dieses muss richtig konfiguriert sein und über einen entsprechenden Anti-Spam Filter verfügen. Das berüchtigte Locky-Virus etwa, das 2017 zahlreiche Rechner – auch von vielen namhaften Unternehmen – lahmlegte, kam über E-Mail und oft über veraltete Windows XP-Betriebssysteme. Bei einem gut konfigurierten Anti-Spam Schutz und einem upgedateten Betriebssystem hatte das Virus kaum eine Chance.
    E-Mail Postfächer sollten regelmäßig  kontrolliert werden. Vor allem bei langjährigen Mitarbeitern haben sich oft große Datenmengen angesammelt, die den Betrieb empfindlich verlangsamen. Und schließlich sollten auch Weiterleitungen und E-Mail Verteiler revidiert und dokumentiert werden. Nicht selten wird dabei festgestellt, dass diese nicht mehr aktuell sind und überarbeitet gehören.

  • DSGVO. Liegt nach der Überprüfung der IT-Systeme eine vollständige Liste der Ergebnisse vor,  sollten sie mit Art. 32 der DSGVO (technische und organisatorische Maßnahmen zum Schutz der Daten) abgeglichen und alle Schwachstellen und Sicherheitslücken behoben werden.

Fazit

Regelmäßige IT-Audits in Unternehmen sind nicht nur ein stichhaltiger Nachweis einer sorgfältigen Geschäftsführung. Sie bewahren Unternehmen vor teuren Datenverlusten, Betriebsausfällen und deren rechtlichen Folgen. Je nach Anforderung gibt es IT-Analysen  in unterschiedlichen Umfängen  und für verschiedene Unternehmensgrößen. Die angebotenen Auswertungen reichen von einfachen Reports bis zu ausführlichen Berichten mit Empfehlungen für weitere Maßnahmen und Dokumentationen. Einfache IT-Checks sind schon ab 299 Euro, ausführliche, umfangreiche Gutachten ab 1399 Euro zu haben. Die Kosten-Nutzen-Rechnung dürfte also in jedem Fall aufgehen.

Alle Infos zum techbold IT-Check und IT-Audit

Du möchtest die Sicherheit deiner IT-Systeme überprüfen lassen?

Sehr gerne beraten wir dich unverbindlich von den Vorteilen eines IT-Checks und eines IT-Audits.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 1 3434333
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Jochen Jasch, Leiter Kundenbetreuung

Jochen Jasch

Leitung Kundenbetreuung

oder ein Account Manager aus seinem Team meldet sich umgehend.