Die Pressemeldungen der vergangenen Monate waren und sind täglich geprägt durch neue Enthüllungen zu Aktivitäten ausländischer wie inländischer staatlicher Geheimdienste, die sich hinter kaum greifbaren Decknamen wie „Prism“, „Tempora“ oder zuletzt „Muscular“ verstecken. Nach aktuellen Erkenntnissen wurden in diesen Fällen Kommunikationskanäle von bedeutenden Unternehmen, hochrangigen Politikern und einer nicht näher bekannten Anzahl von Privatpersonen „angezapft“. Die hieraus gewonnenen Daten sind vielfältig und reichen von personenbezogenen Daten bis hin zu sensiblen Unternehmensdaten. Diese Daten wurden und werden von den Geheimdiensten analysiert, korreliert und so zu umfassenden Informationsprofilen zusammengesetzt. Der genaue Zweck sowie die Frage, welche Maßnahmen auf Grundlage der Analyseergebnisse ergriffen wurden, ist bisher nicht abschließend geklärt. Da neben öffentlichen Stellen auch Wirtschaftsunternehmen massiv betroffen zu sein scheinen, stellt sich aus Unternehmenssicht einerseits die Frage, ob und wie das eigene Unternehmen betroffen ist im Hinblick auf die Sicherheit der steuer- und rechnungslegungsrelevanten Informationen und der zugrundeliegenden IT-Systeme, und andererseits, was aus Sicht des Unternehmens getan werden kann und muss, um dies zu verhindern.
Der rechtliche Anknüpfungspunkt, der sich hinsichtlich der bekanntgewordenen Geheimdienstaktivitäten ergibt, ist, dass die bisherige IT-Sicherheitsorganisation nicht dem Anspruch der Ordnungsmäßigkeit ausreichend Rechnung trägt. Die Ordnungsmäßigkeit wird im Wesentlichen durch die gesetzlichen Vorschriften aus der AO und dem HGB geprägt. Die Ordnungsmäßigkeitsanforderungen werden wiederum in den GoB (Grundsätze ordnungsgemäßer Buchführung), GoBS (Grundsätze ordnungsgemäßer Buchführungssysteme) und den GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) näher beschrieben. Die Forderung nach Schutz und Sicherheit der Informationen in der Ordnungsmäßigkeit verfolgt dabei die drei bekannten Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. Durch die Aktivitäten von z.B. Geheimdiensten, Hackern, Wirtschaftskriminellen ergibt sich eine Bedrohungslage im Hinblick auf diese Schutzziele, welche sich jedoch zum heutigen Zeitpunkt in ihrer Tragweite nicht abschließend beurteilen lässt. Fest steht, dass in zahlreichen Fällen geheimdienstlicher sowie wirtschaftskrimineller Aktivitäten IT-Systeme und geschäftskritische sowie personenbezogene Daten oder Informationen gezielt eingesehen werden. Insbesondere hinsichtlich der Geheimdienste bleibt zudem die Frage offen, wer im Einzelnen ebenfalls Zugriff auf die gesammelten Informationen faktisch besitzt. Denkbar ist z.B. eine Weitergabe an „befreundete“ Geheimdienste oder an direkte inländische Konkurrenten („Wirtschaftsspionage“) eines ausgespähten Unternehmens. Ebenfalls realistisch scheint, dass sich versierte Hacker ihrerseits unbemerkt Zugriff über die durch die Geheimdienste hinterlassenen Einfallstore in den IT-Systemen von Unternehmen, am Markt käuflicher Softwareprodukte mit „Hintertüren“ oder direkt an den Abhöreinrichtungen bei Providern verschaffen. Zudem sind auch Geheimdienste grundsätzlich immer ein exponiertes Ziel von Hackeraktivitäten.
Aus den angeführten Geheimdienstaktivitäten resultieren auch abseits potentieller Ordnungsmäßigkeitsrisiken zahlreiche materielle Risiken für die betroffenen Unternehmen, wie bspw. Umsatzeinbußen aufgrund von Wettbewerbsnachteilen, Reputationsschäden aufgrund von Datenschutzvorfällen, Steuernachzahlungen aufgrund nicht ordnungsmäßiger Dokumentation steuerlicher Sachverhalte oder aber Haftungsrisiken aufgrund mangelnder Sorgfaltspflichten des Managements. Unternehmenskritische IT-Systeme, Daten und Informationen müssen folglich in jedem Falle identifiziert, bewertet und sodann ausreichend geschützt werden, um den genannten Risiken entgegenzuwirken. Aktuelle politische Entwicklungen, wie bspw. das geplante IT-Sicherheitsgesetz, sind zusätzlicher Indikator dafür, dass die gesetzlichen Anforderungen zum Schutz der angeführten Unternehmensinformationen steigen werden.
Die vorangegangenen Erläuterungen zeigen, dass die Unternehmensinformationen potentiell nicht ausreichend geschützt und die rechtlich-regulatorischen Anforderungen, im Sinne der Ordnungsmäßigkeit, nicht ausreichend erfüllt werden. Hieraus können vielfältige Unternehmensrisiken resultieren, denen mit systematischen Maßnahmen zum nachhaltigen Schutz der Informationen begegnet werden muss. Erfahrungswerte aus der Praxis zeigen, dass in vielen Unternehmen zwar punktuelle Maßnahmen zum Schutz von Unternehmensinformationen ergriffen werden, jedoch ein ganzheitlicher Ansatz fehlt. Ein bewährter Ansatz zur Erhöhung des Schutzniveaus ist die Etablierung eines Informationssicherheitsmanagementsystems (kurz „ISMS“) auf Basis des anerkannten internationalen Standards ISO/IEC 27001:2013. Ein solches ISMS ermöglicht es, Sicherheitsrisiken gezielt zu ermitteln, zu priorisieren und auf Grundlage dessen dedizierte und durch den Managementsystemansatz nachhaltige Maßnahmen im Unternehmen auf technischer, organisatorischer und prozessualer Ebene zu ergreifen und so Risiken aktiv zu managen.
Rüdiger Giebichenstein
Rüdiger Giebichenstein ist Partner der WTS Beratungsgruppe in Köln. Der Diplom-Wirtschaftsinformatiker berät DAX-Konzerne und mittelständische Unternehmen in den Bereichen Risk & Compliance sowie IT Advisory. Zu seinen Themenschwerpunkten gehören IT-Compliance, Datenschutz, Information Security, IT-Risikomanagement, Cloud Computing und Qualitätsmanagement.
Kontakt: Rüdiger Giebichenstein, ISO/IEC 27001 Lead Auditor, ruediger.giebichenstein@wts.de
Teilen auf
