Dieser Artikel wurde erstmals veröffentlicht bei ITK SECURITY.
Letzte Aktualisierung vor 1 Jahr durch Patrick RuppeltIT Sicherheitsgesetz?
Das Gesetz zur IT Sicherheit gibt es nicht
Warum sich viele Unternehmen nicht mit der Thematik Datensicherung beschäftigen ist gar nicht so schwer nachvollziehbar wie es auf den ersten Blick den Anschein haben mag. Man hat sich mühsam durch verschiedene Gesetzestexte und Anweisungen zu wühlen, bevor man – mit Glück – zu einem Ergebnis kommen wird.
Das vorliegende, kurz gehaltene Whitepaper hat weder Anspruch auf Vollständigkeit noch will es dem Leser tiefgreifende technische Einblicke geben; oder gar neues Recht sprechende Präzedenzfälle analysieren. Viel mehr soll in lesefähiger Form dargestellt werden, welche Richtlinien maßgebend sein können und was für Schlüsse Sie als Unternehmer daraus ziehen dürfen. Und sollten.
Das vollständige Whitepaper senden wir Ihnen auf Anfrage gerne kostenlos zu.
Sieht man sich grob den rechtlichen Rahmen an, so wird man schnell feststellen, dass es das IT Sicherheitsgesetz in der Tat nicht gibt. Deshalb leiten wir entsprechende Regelungen aus anderen Bereichen der Recht-sprechung ab oder berufen uns auf Einzelvorschriften, die im Rahmen weitläufigerer Themen erscheinen. Genannt seien vorneweg das Gesetz zur Kontrolle und Transparenz im Unter-nehmensbereich (KonTraG), das Bundesdatenschutzgesetz (BDSG) sowie die Aktien- und GmbH-Gesetze (AktG und GmbHG). Über die Rechtsfolgen bei entsprechenden Verletzungen der eigenen Pflichten muss an der Stelle nicht diskutiert werden: Geld- und Freiheitsstrafen sind nicht unüblich.
Nennenswert ist an der Stelle, dass auch das Bürgerliche Gesetzbuch (BGB) durchaus an Relevanz gewinnen kann, wenn es sich z. B. um das Mitverschul-den im Sinne des § 254 GBG handelt.
IT-Sicherheit
…und wer haftet?
In Anlehnung an den BSI Grundschutz
IT-Sicherheit befasst sich mit der Frage, was zur Aufrechterhaltung der Geschäftsprozesse und der Abwehr von Schäden gewährleistet werden muss. Hierzu zählen insbesondere Fragen nach
- der ständigen Verfügbarkeit,
- der Vertraulichkeit sowie
- der Unversehrtheit
von Daten. Die Hintergründe sind vielfältiger Natur. Der primäre Schutz der Unternehmensdaten kann recht-liche, ökonomische wie finanzielle Hintergründe haben.
Für spezielle Unternehmensformen wie die Aktiengesellschaft existieren klare Vorschriften. Nun hat aber auch der Geschäftsführer einer GmbH die „Sorgfalt eines ordentlichen Geschäftsmannes aufzubringen“ (§43 Abs. 1 GmbHG). Und die aktuelle Rechts-sprechung tut ihren Rest. Quintessenz: Der Unternehmer haftet für alle Schäden, die durch Einführung eines Datensicherungskonzeptes hätten verhindert werden können.
Vorsicht auch auf Lieferantenseite: EDV Dienstleister haften in ähnlich, wenn Sie „Backup“ als Dienstleistung anbieten und Wartung und Kontrolle unterlassen.
Und das heisst: Sichern ist freiwillig?
Und wer‘s nicht tut: handelt doch illegal?
Von Geschäftsabschluss, Trugschluss und Schluss mit lustig.
Es ist am Ende eine Frage der Haftung, eine Frage der Beweisführung, des Nachweises. Der Kaufmann wie der Unternehmer allgemein haben dafür Sorge zu tragen, dass sie all ihren Pflichten zu jedem Zeitpunkt entsprechend nachkommen können.
Genau ist die Crux: Es gibt kein Gesetz, das besagen würde, Daten müssen in Form einer „gesetzlich zugelassenen Datensicherung“ vorrätig gehalten werden. Es gibt aber wohl die Pflicht – oder beizeiten schlicht die Notwendigkeit – Daten vorzuhalten. Es gibt eine Reihe von Fällen, in denen dies gar nicht so ohne Weiteres möglich ist, kurzum nennen wir es technisches, menschliches oder organisatorisches Versagen. Nach der herrschenden Rechtsprechung muss davon ausgegangen werden, dass der Unternehmer selbst für die sozusagen gesetzlich erforderliche – nicht aber vorgeschriebene – Sicherung seiner Daten verantwortlich ist.
Einige Beispiele zur Veranschaulichung: Das Finanzamt setzt bekanntermaßen Fristen, die einzuhalten sind. Ist es nun aufgrund eines technischen Versagens nicht möglich, aufbereitete Zahlen zu liefern, so darf ganz legitim eine Schätzung durch das Amt vorgenommen werden. Der Unternehmer haftet. Ähnliches droht, wenn Verbraucherschützern oder anderen Klägern kein Gegenbeweis vorgelegt werden kann.
Basel II gewinnt in Zeiten finanziell angespannter Rahmenbedingungen zunehmend an Bedeutung. Für die Bewertung der Bonität eines Unternehmens legt Basel II die verantwortungsvolle Informationstechnologie implizit als Kriterium fest. Dies soll die Investitionssicherheit für Kreditgeber und Investoren erhöhen und legt wiederum die Verantwortung in die Hände des Unternehmens. Ebenso gehen Unternehmensprüfer vor. Eine KPMG wird beispielsweise ein Unternehmen, das keine Sicherung und keine Archivierungslösung einsetzt, kaum positiv bewerten.
Zu guter Letzt hat selbst das Oberlandesgericht Hamm bereits 2003 festgestellt: „Eine Datensicherung ist in Unternehmen eine Selbstverständlichkeit.“.
Sicherung ist nicht Archivierung
WORM, Magneto-optik & Co.
Was es mit der Revisionssicherheit wirklich auf sich hat.
Wo eine Datensicherung dem Datenverlust vorzubeugen hat und die schnelle Wiederherstellung im Sinne des Fortbestands der Geschäftskontinuität im Vordergrund steht ist eine gemeinhin vernachlässigte Abgrenzung zur Archivierung von Daten vorzunehmen.
Die Archivierung hat einen langfristigeren Charakter. Die Motivation ist im Prinzip dieselbe wie bei der Datensicherung: Seien es Steuer-behörden, andere Wirtschaftspartner oder rechtliche Organe. Alle langfristig abgelegten Dokumente und Daten müssen auf viele Jahre vollständig, untersuchbar und manipulationssicher gespeichert werden. Die kann bis hin zum gesamten E-Mail Verkehr des Unternehmens gehen, je nach Art der Geschäftstätigkeit.
Wo es für eine Datensicherung kaum rechtsverbindliche, echte Vorschriften gibt, wie diese durchzuführen ist, bestehen für die Archivierung doch einige Richtlinien. Insbesondere nennt das BSI im IT-Grundschutz mit G 2.74 zumindest unzureichende Ordnungskriterien für Archive. Einmaligkeit und Revisionssicherheit stehen im Vordergrund. In Punto Archivierung von Daten kann also festgestellt werden, dass die Anforderungen an das elektronische Archiv die Wahl der Speichermedien direkt beeinflussen kann und beispielsweise – ganz im Gegensatz zur Datensicherung – eine Cloud Lösung im Sinne der Archivierung auf Netzwerkspeicher nicht den Anforderungen des Gesetzgebers entspricht. Hier helfen auch keine Rahmenverträge und Sondervereinbarungen mehr. Festplatten sind nicht revisionssicher, denn es kann hierbei nicht gewährleistet werden, dass die archivierten Daten nicht doch im Nachhinein einer Veränderung unterliegen.
Als revisionssicher angesehen werden unter anderem sogenannte WORM Speicher, die beispielsweise bei aktuellen Bandlaufwerken mit LTO5 Medien Einsatz finden. Auch magneto-optische Systeme können revisionssicher sein. Festplatten nicht.
Sichern und archivieren
in der Praxis – einfach und sicher
Wie der Status Quo aufrecht erhalten wird.
Die oberste Leitungsebene muss also das Management der Informationssicherheit vorgeben, dies schließt Datensicherung und Archivierung gleichermaßen ein. Die zentralen Fragen dabei sind: Wie können Risiken vermindert werden, welche Risiken können übertragen werden und welche Risiken können akzeptiert werden?
Nach dem BSI Grundsatz B 1.4 muss an erster Stelle ein Datensicherungskonzept verabschiedet werden. Ein Minimaldatensicherungskonzept beschreibt zunächst, welche Software, welche System- und Anwendungsdaten und welche Protokolldaten gesichert werden müssen. Unter Einsatz spezieller Sicherungssoftware und entsprechender Sicherungsmedien kann dennoch nur dann eine ganzheitliche Absicherung statt finden, wenn entsprechende Kontrolle, Pflege und Wartung erfolgt. Dies kann entweder durch die hauseigene IT Abteilung oder durch einen externen Dienstleister erfolgen. In jedem Fall ist der Datenschutzbeauftragte des Unternehmens mit einzubinden; es darf auch bei der Sicherung von Dateien nicht außer Acht gelassen werden, dass es sich auch hierbei um sensible Daten handeln kann, deren Vertraulichkeit ebenso schützenswert ist wie jene der Ursprungsdaten.
Die Auswahl des Sicherungsmediums erfolgt nach den vorher genannten Kriterien. Klar ausgedrückt: Ein dezentrales Festplattenstorage kann ausreichend sein ebenso wie eine Cloud Lösung, wenn entsprechende Rahmenbe-dingungen schriftlich fixiert werden (können).
Müssen Unternehmensdaten auch archiviert werden – was bei den meisten Unternehmen der Fall sein dürfte – muss man einen Schritt weiter gehen. Hier steht grundsätzlich zur Debatte, ent-sprechende technische Geräte zu implementieren oder aber auf einen Dienstleister zurück zu greifen, der dies als reine Serviceleistung anbietet und über dezentrale Managementsysteme in der Lage ist, dem Unternehmen entsprechend dem ohnehin festzulegenden Archivierungsplan revi-sionssichere Ausfertigungen, vorzugsweise auf einem gängigen lesbaren System wie LTO Tapes, auszuhändigen.
In jedem Fall sollte darauf geachtet werden, dass das Unternehmen jederzeit die Möglichkeit hat, unverzüglich an seinen Datenbestand zu gelangen. Im Fall eines Backups muss die Wiederherstellungszeit gering gehalten werden, im Fall der Archivierung liegt der Fokus auf der Echtheit, der Unversehrtheit und Revisionssicherheit der angefertigten Kopien.
Outsourcing und Cloud bieten neue Möglich-keiten, am Ende bleibt es eine Vertrauensfrage.