1. Cyber-Sicherheit – Eine Überlebensfrage
„Fast ein Drittel der Unternehmen verzeichnet Cyberangriffe“, so betitelte der Bitkom e. V. bereits am 11.03.2014 eine Pressemitteilung. Nach einer repräsentativen Befragung von 403 Unternehmen hatten 30 % in den Jahren 2012/13 Angriffe auf ihre IT-Systeme verzeichnet. Dabei sind spektakuläre Angriffe über das Internet eher die Ausnahme: 58 % der betroffenen Unternehmen berichteten, dass die Cyberattacken innerhalb ihres Unternehmens erfolgten, z. B. per USB-Stick Viren eingeschleust oder Daten gestohlen wurden. Neben dem alltäglichen Datendiebstahl kam es im Jahr 2015 wie in den Vorjahren zu einigen spektakulären Cyberangriffen: So fand in der Presse eine Attacke auf den Deutschen Bundestag große Beachtung, bei der zentrale Systeme des internen Bundestagsnetzes durch Spionagesoftware kompromittiert waren. Im April 2015 führte ein großer Cyberangriff auf den französischen Fernsehsender TV5MONDE dazu, dass die Ausstrahlung des Fernsehprogramms für mehrere Stunden nicht möglich und die Website des Senders nicht erreichbar waren. Zugleich wurde über die Twitter-, Facebook- und YouTube-Seiten des Senders Propaganda für den „Islamischen Staat“ verbreitet. Der mögliche Schaden durch derartige Angriffe ist enorm. Werden Geheimhaltungsinteressen verletzt und das Know-How des eigenen Unternehmens an Wettbewerber weitergegeben, liegt der Wettbewerbsnachteil auf der Hand. Bei gezielten Attacken drohen darüber hinaus hohe Reputationsschäden oder Verluste durch Betriebsunterbrechungen. Nicht zuletzt macht die Verletzlichkeit der eigenen IT viele Unternehmen erpressbar. So berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht 2015 über Erpressungen, denen vorrangig kleine und mittelständische Unternehmen zum Opfer fielen (BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 11). Die Erpresser forderten Zahlungen in Form von Bitcoins und drohten, bei Nichtzahlung zuvor ausgespähte Kundendaten der erpressten Unternehmen zu veröffentlichen.
2. Gesetzliche Vorgaben
Seit Jahren ist es erklärtes Ziel der Politik, die Cyber-Sicherheit zu verbessern. Die Bundesregierung verabschiedete bereits 2011 die „Cyber-Sicherheitsstrategie für Deutschland“. Kernpunkte sind der Schutz kritischer Infrastrukturen sowie allgemein der IT-Systeme in Deutschland und der Aufbau eines nationalen Cyber-Abwehrzentrums. Auch die EU hat sich des Themas im Jahr 2013 in einer eigenen Cyber-Security-Strategie angenommen.
Dennoch bestehen in Deutschland derzeit nur punktuell konkrete Vorgaben für die Gewährleistung der IT-Sicherheit in Unternehmen. So fordert etwa § 9 BDSG die Ergreifung angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten. Für deutsche Kreditinstitute gilt nach den Mindestanforderungen an das Risikomanagement (MaRisk) des Rundschreibens 10/2012 der BaFin vom 14.12.2012, dass die IT-Systeme und -Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen müssen und die Eignung der IT-Systeme und -Prozesse regelmäßig zu überprüfen ist. Für die Betreiber kritischer Infrastrukturen kommen nunmehr neue Pflichten nach dem zum 25.07.2015 in Kraft getretenen IT-Sicherheitsgesetz hinzu.
Außerhalb spezieller Regelungen ist Grundlage der Sorgfaltspflicht der geschäftsleitenden Organe der durch das am 01.05.1998 in Kraft getretene Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) eingeführte § 91 Abs. 2 AktG. Danach muss der Vorstand geeignete Maßnahmen ergreifen, um „den Fortbestand der Gesellschaft gefährdende Entwicklungen“ frühzeitig zu erkennen. Die geforderte Sorgfalt der Unternehmensführung umfasst auch das Erkennen und Bekämpfen von IT-Risiken (Schmidl in Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage (2016), § 28, Rn. 47).
3. Verantwortung des Aufsichtsrats
In der Aktiengesellschaft obliegt die Geschäftsleitung bekanntlich dem Vorstand, während der Aufsichtsrat im Wesentlichen Überwachungsfunktionen ausübt. Nur soweit der Vorstand zur Gewährleistung der ITSicherheit verpflichtet ist, kann auch eine entsprechende Überwachungspflicht des Aufsichtsrats bestehen (Heckmann, MMR 2006, 280, 282).
Dies bedeutet nicht, dass sich der Aufsichtsrat im Regelfall nicht mit der IT-Sicherheit beschäftigen müsste. Im Gegenteil: Wo hohe, im Einzelfall existenzbedrohende Schäden drohen, ist der Aufsichtsrat verpflichtet, die ordnungsgemäße Geschäftsleitung zu überwachen. Er hat geeignete Maßnahmen zur Sicherstellung der IT-Sicherheit einzufordern und zu kontrollieren, dass deren Angemessenheit und Effektivität regelmäßig überprüft werden.
Grundlegende Anforderung ist wiederum § 91 Abs. 2 AktG. Im Rahmen des einzurichtenden Risiko-Erkennungssystems sind auch essentielle IT-Risiken zu identifizieren, soweit sie den Fortbestand der Gesellschaft gefährden können. Der Vorstand muss bewerten, wie weit das Unternehmen auf Verfügbarkeit und Sicherheit der IT-Systeme angewiesen ist, und entsprechende Schutzvorkehrungen treffen.
Welche Maßnahmen konkret zu ergreifen sind, hängt von der individuellen Situation und Verletzlichkeit des Unternehmens ab. So kann der Schutz des Unternehmens-Know-Hows vor Entwendung durch Mitarbeiter oder Dritte wesentlich sein, die jederzeitige Verfügbarkeit der IT-Systeme zur Verhinderung von Betriebsunterbrechungen oder auch der Datenschutz im Hinblick auf die Anforderungen des BDSG oder mögliche Reputationsschäden. Ein Schwerpunkt wird regelmäßig auf Datensicherung, Virenschutz und Notfallvorsorge für die Buchführungssysteme eines Unternehmens liegen (Schmidl in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Auflage (2016), § 28, Rn. 48 f.)
Für die systematische Bewertung und Überwachung der IT-Risiken bietet sich je nach Größe des Unternehmens die Bestellung eines ITSicherheitsbeauftragten an. Diese wird vereinzelt schon als Marktstandard für die übliche Sorgfalt in der Unternehmensführung genannt (Schmidl, a.a.O., § 28, Rn. 252), wobei das BSI klarstellt, dass es vom Einzelfall abhänge, ob die Stelle von einer einzelnen Person, einer Personengruppe oder in Teilzeit wahrgenommen werden könne.
Die genaue Ausgestaltung derartiger Risikomanagement-Mechanismen obliegt dem Vorstand. Der Aufsichtsrat ist jedoch gehalten, sich zu überzeugen, dass beim Vorstand überhaupt ein ausreichendes Risikobewusstsein vorhanden ist und dass der Vorstand risikoangemessene Maßnahmen ergreift. Angesichts der Herausforderungen, welche das Thema IT-Security für ein Unternehmen stellen kann, braucht der Aufsichtsrat im Rahmen seines Tätigkeitskorsetts eine klare Kompetenz auf diesem Sektor.
Die Handlungsmöglichkeiten des Aufsichtsrates reichen nämlich von der gezielten Nachfrage im Rahmen der Vorstandsberichte über die Festlegung von Organisationsstrukturen für den Vorstand, z. B. die Bestellung eines eigenen Vorstandsmitglieds für den Bereich IT, bis hin zur Aufnahme bestimmter Maßnahmen in den Katalog zustimmungspflichtiger Rechtsgeschäfte. Dafür ist ein „IT-Expert“ fast unerlässlich, je nach Unternehmensanfälligkeit sogar ein eigener Ausschuss im Aufsichtsrat zu empfehlen.
Bleiben Vorstand und Aufsichtsrat völlig untätig, droht nicht nur – auch dem Aufsichtsrat – die persönliche zivilrechtliche Haftung, sondern ggf. sogar eine Strafbarkeit, z. B. wegen Verletzung der Geheimhaltungspflicht gemäß § 404 AktG oder Ermöglichung der rechtswidrigen Kenntniserlangung von personenbezogenen Daten nach § 9 i. V. m. § 44 BDSG. Eine strafrechtliche Verantwortlichkeit dürfte jedoch nur bei vorsätzlich in Kauf genommenem, offensichtlich völlig unzureichendem Schutz der offenbar gewordenen Unternehmensgeheimnisse oder personenbezogenen Daten in Betracht kommen (Schmidl, a.a.O., § 28, Rn. 136 ff.). Zumindest im Wiederholungsfalle ist dies aber nicht unwahrscheinlich.
4. Neuerungen durch das IT-Sicherheitsgesetz (BSIG)
Besondere Pflichten werden künftig Organe von Betreibern kritischer Infrastrukturen im Sinne des IT-Sicherheitsgesetzes treffen. Kritische Infrastrukturen sind Einrichtungen, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Eine genauere Bestimmung durch Rechtsverordnung wird noch erfolgen. Die Betreiber werden nach § 8a Abs. 1 BSIG verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit maßgeblich sind. Die Erfüllung dieser Anforderungen ist nach § 8a Abs. 3 BSIG alle zwei Jahre nachzuweisen. Erhebliche Störungen müssen die Betreiber künftig an das BSI melden.
Auch insofern obliegt die konkrete Umsetzung zunächst dem Vorstand. Aufsichtsräte betroffener Unternehmen werden jedoch ein erhöhtes Augenmerk auf die IT-Sicherheit richten müssen. Für die betroffenen Unternehmen ist nunmehr das besondere Gewicht der Sicherheit, Verfügbarkeit und Authentizität der IT-Systeme, Komponenten und Prozesse gesetzlich vorgegeben. Das müssen auch die Aufsichtsräte in ihrer Tätigkeit beachten. Von der Einhaltung der Regelungen des IT-Sicherheitsgesetzes sollten sie sich regelmäßig detailliert überzeugen.
Carsten Laschet, Rechtsanwalt und Geschäftsführender Partner, und
Claudia Maaßen, LL.M., Rechtsanwältin, Friedrich Graf von Westphalen & Partner mbB, Köln
Dieser Artikel ist Teil des EUROFORUM E-Books für Fachkräfte in IT- und IT Recht 2016/2017, welches Ihnen kostenfrei zum Download zu Verfügung steht.