Bild: Fotolia.com, Stefan Welz Ihr Belegexemplar vom 17.08.2015 Informationssicherheit ist Chefsache Der kürzlich veröffentlichte IT-Sicherheitskatalog hat für alle Stromund Gasnetzbetreiber sofort einen verbindlichen Charakter. Welche Haftungsrisiken sich daraus ergeben können, erläutern Andreas Lied und Jan-Hendrik vom Wege*. RECHT. Kennen Sie den Unterschied zwischen dem IT-Sicherheitsgesetz und dem IT-Sicherheitskatalog? Die Funktionsfähigkeit der Energieversorgung wird nicht zuletzt durch die Informationstechnologie und deren Sicherheit gewährleistet. Stetig zunehmende Bestrebungen des Gesetzgebers, immer striktere Anforderungen an die IT-Sicherheit zu normieren, verwundern daher kaum. Dabei wird vielfach verkannt, dass nicht nur das Unternehmen, sondern auch die Unternehmensführung selbst diesen Haftungsrisiken ausgesetzt ist, denn sie kann für IT-Sicherheitsdefizite regelmäßig persönlich, also mit dem Privatvermögen, wegen Organisationsverschulden aus § 823 Abs. 1 BGB in Regress genommen werden. Eine Haftung Unternehmensverantwortlicher wegen Organisationsverschulden kann durch unzureichende Vorkehrungen und mangelnde Betriebsorganisation zur Vermeidung von Schädigungen Dritter ausgelöst werden. Eine solche Haftung lässt sich jedoch teilweise durch entsprechende Aufgabendelegierung und deren probate Überwachung vermeiden. Weniger prominent ist, dass auch jegliche Vernachlässigung von zentralen Aufgaben der Unternehmensführung (sog. Wahrnehmungspflichten), ebenfalls eine persönliche Haftung auslösen kann. Werden diese „Chefsachen“ auf Mitarbeiter übertragen, haftet das übertragende Geschäftsführungsmitglied und zwar ungeachtet eines etwaigen Mitarbeiterverschuldens für entstandene Schäden voll und persönlich. Dennoch ist die Kenntnis über Inhalte und Reichweite der Verpflichtungen im Bereich IT-Sicherheit in vielen Unternehmen nicht stark ausgeprägt. Wahrnehmungspflichten im Unternehmen wurden erweitert Die zentralen IT-Sicherheitsgesetze, die Vorgaben in § 11 Abs. 1a Energiewirtschaftsgesetz sowie der flankierende IT-Sicherheitskatalog konkretisieren bereits verbindliche Sorgfaltsanforderungen. Diese müssen künftig nicht nur im Rahmen der Betriebsorganisation Berücksichtigung finden, sondern begründen und erweitern auch Wahrnehmungspflichten im Unternehmen. Die Verantwortung für die Einhaltung dieser Vorgaben ist damit „Chefsache“ und die Kenntnis der rechtlichen Rahmenbedingungen unabdingbares Rüstzeug. Denn kommt die Geschäftsführung dieser Pflicht nicht vollumfänglich nach, riskiert sie eine Haftung aus Organisationsverschulden für eingetretene Schäden. © 2015 by Energie & Management Alle Rechte vorbehalten Ihr Belegexemplar vom 17.08.2015 IT-Sicherheit ist nicht nur Aufgabe der IT-Abteilung, sondern auch der Geschäftsführung. Bild: Fotoliacom, Falko Matte Was ist nun der Unterschied zwischen IT-Sicherheitsgesetz und IT-Sicherheitskatalog, und wo droht vor allem bei den Entscheidungsträgern Verwechslungsgefahr? Der IT-Sicherheitskatalog wurde am 12. August 2015 von der Bundesnetzagentur (BNetzA) veröffentlicht und hat für alle Strom- und Gasnetzbetreiber sofort einen verbindlichen Charakter. Die vom IT-Sicherheitsgesetz betroffenen kritischen Infrastrukturen werden erst im Nachgang mit Hilfe einer Rechtsverordnung näher definiert. Die Strom- und Gasnetzbetreiber müssen die im IT-Sicherheitskatalog geforderte Einführung und Zertifizierung eines Informationsmanagementsystems (ISMS) bis zum 31. Januar 2018, also in gut zwei Jahren, umsetzen. Je nach Vorbereitungsgrad dauert ein solches Prozedere zwischen 15 und 24 Monaten. Bis zum 30. November 2015 müssen bereits die Kontaktdaten eines unternehmensinternen Ansprechpartners für IT-Sicherheit an die BNetzA übermittelt werden. Es ist somit erste Pflicht, die Umsetzung zeitnah anzugehen. Interne Leit- und Richtlinien unabdingbar Vordergründig betrachten viele Geschäftsführer IT-Sicherheit als ein Thema der (IT-)Technik. Unsere Erfahrungen bei der Einführung vieler ISMS bei Energieversorgern zeigen allerdings, dass die häufigsten Probleme, aus denen ein Organisationsverschulden resultiert, organisatorischer oder prozessualer Natur sind. Die meisten Maßnahmen der ISO 27000-Familie verlangen interne Leit- und Richtlinien, worin beispielsweise geregelt wird, wie Mitarbeiter mit Passwörtern umzugehen haben oder wie mit dem IT-Systemzugang externer Dienstleister zu verfahren ist. Eine der ersten Fragen, die sich die Unternehmensführung stellen sollte, lautet deshalb: Gibt es solche Leit-, beziehungsweise Sicherheitsrichtlinien bei uns im Hause schon? Wenn ja, in geeigneter Form? Sind von uns Regeln aufgestellt worden, wie solche Dokumente verwaltet und modifiziert werden können? Ein typisches Beispiel für Organisationsverschulden tritt ein, wenn ein ehemaliger Mitarbeiter aus Rache, Wut oder ähnlichen Beweggründen mit seinen „alten“ Zugangsdaten einen Schaden von außen am IT-System des Versorgers anrichten kann, weil es keine Richtlinien gibt, die beim Austritt eines Mitarbeiters dessen Zugangsdaten entsprechend sperren. Welcher Verantwortliche hat schon einmal überprüft beziehungsweise festgelegt, wer was verändern darf? Insbesondere Administratoren verfügen über weitreichende Rechte und können oftmals von außen zugängliche Firewalls dediziert „öffnen“ oder „schließen“. Was passiert, wenn ein solcher Mitarbeiter aus dem Unternehmen ausscheidet? Es sind somit nicht nur die technischen Unzulänglichkeiten, die zu einer Gefährdung der IT führen, sondern oftmals mangelnde Verbindlichkeit der internen Prozesse und von deren Organisation, die wiederum zu einem potenziellen Organisationsverschulden der Geschäftsführung führen können. Deren Risiko hat mit der Veröffentlichung des IT-Sicherheitskatalogs bei allen Strom- und Gasnetzbetreibern © 2015 by Energie & Management Alle Rechte vorbehalten Ihr Belegexemplar vom 17.08.2015 begonnen, völlig unabhängig von den weiteren Auswirkungen des IT-Sicherheitsgesetzes. Die Uhr tickt deshalb seit dem 12. August. * Dr. Andreas Lied, Vorstand BBH Consulting AG, Jan-Hendrik vom Wege, Rechtsanwalt und Partner BBH REDAKTION © 2015 by Energie & Management Verlagsgesellschaft mbH Dieser Artikel und alle in ihm enthaltenen Abbildungen sind urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechts ist ohne schriftliche Zustimmung des Herausgebers unzulässig und wird strafrechtlich verfolgt. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen und die Weitergabe in elektronischer oder gedruckter Form. Bitte sprechen Sie uns unbedingt an, bevor Sie diesen Artikel weiterleiten oder anderweitig verwenden. Vielen Dank! Benötigen Sie Content aus der Energiewirtschaft für: Ihre Homepage? Ihren Newsletter? Ihr Firmen-Intranet? Bauen Sie auf individuellen Content für Ihre Online-Kommunikation und sichern Sie sich so einen authentischen und starken Auftritt. Wir bieten dafür die nötigen Content-Lösungen: hochwertige Inhalte und Daten für Ihre Online-Medien - ob für die Website, das Intranet und den Newsletter oder für Ihre Social-Media-Kanäle. content news Sie suchen redaktionelle Inhalte für Ihre Online-Auftritte - zur Information Ihrer Belegschaft oder als Serviceleistung für Ihre Kunden? Seit 20 Jahren steht die E&M-Redaktion für Kompetenz und Qualität, für höchste © 2015 by Energie & Management Alle Rechte vorbehalten Ihr Belegexemplar vom 17.08.2015 Ansprüche, wenn es um aktuelle Nachrichten aus der Energiewirtschaft geht: von Reportagen, Markt-berichten und Interviews bis zu Nachrichten über technische Neuheiten content data Ob Echtzeit- oder historische Daten aus dem Energiemarkt: In unseren detaillierten Datenbanken und Informationsportalen (E&M powernews) n Sie das, was Sie für Ihre tägliche Arbeit brauchen. Zum Beispiel Wetter- und Wasserkraftdaten, Preis-Indizes für die Energiebeschaffung sowie Nachrichten zu Ihrem Unternehmen aus unserem Archiv. content services Als Content-Dienstleister bieten wir ganzheitliche Content-Lösungen, die über die passgenaue Auswahl und Bereitstellung von Inhalten und Daten hinausgehen. So reicht unser Leistungsspektrum von der strategischen Planung Ihrer Online-Kommunikation über die Erstellung individueller Formate (Unique Content) bis hin zur Optimierung bestehender Inhalte. Komfortabel und sofort verfügbar Mehrwert ohne Mehrarbeit! Reduzieren Sie Ihren internen Aufwand durch die externe Content- und Datenlieferung durch E&M. Und zwar in dem von Ihnen bevorzugten technischen Format und optischen Design. Individualisieren Sie Ihr Angebot - schnell und unkompliziert - ohne technisches Know-how und zusätzliche Ressourcen. Qualitativ hochwertig und für alle Plattformen Unsere Inhalte landen dort, wo Sie es wünschen! Ob auf Ihrer Firmen-Website, im Kunden- und Mitgliederportal (Extranet-Lösungen) oder im Intranet. Im Web, via Mobile oder über Terminals am Point of Sale, unsere Inhalte sind plattformübergreifend einsetzbar. Inhalte, die in punkto Aktualität und Qualität täglich neu überzeugen. Individuell und mit Mehrwert Auf Ihre Bedürfnisse zugeschnitten und modular einsetzbar, so sind unsere Inhalte aus dem Energiemarkt. Die Content-Lieferung: immer an Ihren Bedürfnissen und Wünschen ausgerichtet - ob redaktionelle Inhalte oder hochwertige Energie-Daten. Wir sorgen dafür, dass Ihr Content bei Mitarbeitern und Kunden nachhaltig wirkt. Funktionen & Lizenzen Direkter zugang mit individuellen Passwörtern, Sammelzugänge mit allgemeinem Login oder Integration in das eigene CMS (Intranet/Extranet). Intranet & Extranet Lizensierung: Mehrfach-Lizensierung, nutzungsabhängige Abrechnung und individuelle Pauschallösungen. Sie haben Fragen oder möchten eine persönliche Beratung? Sebastian Lichtenberg freut sich unter Tel. 08152 / 93 11-88 oder unter [email protected] über Ihre Anfrage. © 2015 by Energie & Management Alle Rechte vorbehalten Ihr Belegexemplar vom 17.08.2015 www.energie-und-management.de - Ihr Informationsdienstleister für die europäische Energiewirtschaft Energie & Management Verlagsgesellschaft mbH Schloß Mühlfeld, D-82211 Herrsching Tel +49 8152 9311-77 / Fax -22 [email protected] http://www.energie-und-management.de Registergericht München HRB 105 345 Geschäftsführer: Gisela Sendner, Timo Sendner © 2015 by Energie & Management Alle Rechte vorbehalten
© Copyright 2024 ExpyDoc
