• Gas: Preise fallen wieder
  • Strom: Day Ahead im Wochenend-Modus
  • Veränderung und Fortschritt
  • Zurück in die Zukunft im Dreierpack
  • CO2 aus der Zementherstellung kann Kraftstoff werden
  • Netzbetreiber rechnen mit steigendem Strombedarf
  • Reaktionen auf den Braunkohle-Ausstiegsfahrplan
  • München baut seine E-Busflotte aus
  • Doppelspitze für Mindener Stadtwerke
  • Lorawan auf einem Chip
Enerige & Management > Recht - Informationssicherheit ist Chefsache
Bild: Fotolia.com, Stefan Welz
RECHT:
Informationssicherheit ist Chefsache
Der kürzlich veröffentlichte IT-Sicherheitskatalog hat für alle Strom- und Gasnetzbetreiber sofort einen verbindlichen Charakter. Welche Haftungsrisiken sich daraus ergeben können, erläutern Andreas Lied und Jan-Hendrik vom Wege*.
 
Kennen Sie den Unterschied zwischen dem IT-Sicherheitsgesetz und dem IT-Sicherheitskatalog? Die Funktionsfähigkeit der Energieversorgung wird nicht zuletzt durch die Informationstechnologie und deren Sicherheit gewährleistet. Stetig zunehmende Bestrebungen des Gesetzgebers, immer striktere Anforderungen an die IT-Sicherheit zu normieren, verwundern daher kaum.

Dabei wird vielfach verkannt, dass nicht nur das Unternehmen, sondern auch die Unternehmensführung selbst diesen Haftungsrisiken ausgesetzt ist, denn sie kann für IT-Sicherheitsdefizite regelmäßig persönlich, also mit dem Privatvermögen, wegen Organisationsverschulden aus § 823 Abs. 1 BGB in Regress genommen werden. Eine Haftung Unternehmensverantwortlicher wegen Organisationsverschulden kann durch unzureichende Vorkehrungen und mangelnde Betriebsorganisation zur Vermeidung von Schädigungen Dritter ausgelöst werden. Eine solche Haftung lässt sich jedoch teilweise durch entsprechende Aufgabendelegierung und deren probate Überwachung vermeiden.

Weniger prominent ist, dass auch jegliche Vernachlässigung von zentralen Aufgaben der Unternehmensführung (sog. Wahrnehmungspflichten), ebenfalls eine persönliche Haftung auslösen kann. Werden diese „Chefsachen“ auf Mitarbeiter übertragen, haftet das übertragende Geschäftsführungsmitglied und zwar ungeachtet eines etwaigen Mitarbeiterverschuldens für entstandene Schäden voll und persönlich. Dennoch ist die Kenntnis über Inhalte und Reichweite der Verpflichtungen im Bereich IT-Sicherheit in vielen Unternehmen nicht stark ausgeprägt.

Wahrnehmungspflichten im Unternehmen wurden erweitert

Die zentralen IT-Sicherheitsgesetze, die Vorgaben in § 11 Abs. 1a Energiewirtschaftsgesetz sowie der flankierende IT-Sicherheitskatalog konkretisieren bereits verbindliche Sorgfaltsanforderungen. Diese müssen künftig nicht nur im Rahmen der Betriebsorganisation Berücksichtigung finden, sondern begründen und erweitern auch Wahrnehmungspflichten im Unternehmen. Die Verantwortung für die Einhaltung dieser Vorgaben ist damit „Chefsache“ und die Kenntnis der rechtlichen Rahmenbedingungen unabdingbares Rüstzeug. Denn kommt die Geschäftsführung dieser Pflicht nicht vollumfänglich nach, riskiert sie eine Haftung aus Organisationsverschulden für eingetretene Schäden.
 
IT-Sicherheit ist nicht nur Aufgabe der IT-Abteilung, sondern auch der Geschäftsführung.
Bild: Fotoliacom, Falko Matte

Was ist nun der Unterschied zwischen IT-Sicherheitsgesetz und IT-Sicherheitskatalog, und wo droht vor allem bei den Entscheidungsträgern Verwechslungsgefahr?

Der IT-Sicherheitskatalog wurde am 12. August 2015 von der Bundesnetzagentur (BNetzA) veröffentlicht und hat für alle Strom- und Gasnetzbetreiber sofort einen verbindlichen Charakter. Die vom IT-Sicherheitsgesetz betroffenen kritischen Infrastrukturen werden erst im Nachgang mit Hilfe einer Rechtsverordnung näher definiert. Die Strom- und Gasnetzbetreiber müssen die im IT-Sicherheitskatalog geforderte Einführung und Zertifizierung eines Informationsmanagementsystems (ISMS) bis zum 31. Januar 2018, also in gut zwei Jahren, umsetzen. Je nach Vorbereitungsgrad dauert ein solches Prozedere zwischen 15 und 24 Monaten. Bis zum 30. November 2015 müssen bereits die Kontaktdaten eines unternehmensinternen Ansprechpartners für IT-Sicherheit an die BNetzA übermittelt werden. Es ist somit erste Pflicht, die Umsetzung zeitnah anzugehen.

Interne Leit- und Richtlinien unabdingbar

Vordergründig betrachten viele Geschäftsführer IT-Sicherheit als ein Thema der (IT-)Technik. Unsere Erfahrungen bei der Einführung vieler ISMS bei Energieversorgern zeigen allerdings, dass die häufigsten Probleme, aus denen ein Organisationsverschulden resultiert, organisatorischer oder prozessualer Natur sind. Die meisten Maßnahmen der ISO 27000-Familie verlangen interne Leit- und Richtlinien, worin beispielsweise geregelt wird, wie Mitarbeiter mit Passwörtern umzugehen haben oder wie mit dem IT-Systemzugang externer Dienstleister zu verfahren ist. Eine der ersten Fragen, die sich die Unternehmensführung stellen sollte, lautet deshalb: Gibt es solche Leit-, beziehungsweise Sicherheitsrichtlinien bei uns im Hause schon? Wenn ja, in geeigneter Form? Sind von uns Regeln aufgestellt worden, wie solche Dokumente verwaltet und modifiziert werden können?

Ein typisches Beispiel für Organisationsverschulden tritt ein, wenn ein ehemaliger Mitarbeiter aus Rache, Wut oder ähnlichen Beweggründen mit seinen „alten“ Zugangsdaten einen Schaden von außen am IT-System des Versorgers anrichten kann, weil es keine Richtlinien gibt, die beim Austritt eines Mitarbeiters dessen Zugangsdaten entsprechend sperren. Welcher Verantwortliche hat schon einmal überprüft beziehungsweise festgelegt, wer was verändern darf?

Insbesondere Administratoren verfügen über weitreichende Rechte und können oftmals von außen zugängliche Firewalls dediziert „öffnen“ oder „schließen“. Was passiert, wenn ein solcher Mitarbeiter aus dem Unternehmen ausscheidet? 
Es sind somit nicht nur die technischen Unzulänglichkeiten, die zu einer Gefährdung der IT führen, sondern oftmals mangelnde Verbindlichkeit der internen Prozesse und von deren Organisation, die wiederum zu einem potenziellen Organisationsverschulden der Geschäftsführung führen können. Deren Risiko hat mit der Veröffentlichung des IT-Sicherheitskatalogs bei allen Strom- und Gasnetzbetreibern begonnen, völlig unabhängig von den weiteren Auswirkungen des IT-Sicherheitsgesetzes. Die Uhr tickt deshalb seit dem 12. August.

* Dr. Andreas Lied, Vorstand BBH Consulting AG, Jan-Hendrik vom Wege, Rechtsanwalt und Partner BBH
 

Redaktion
© 2020 Energie & Management GmbH
Montag, 17.08.2015, 13:02 Uhr

Mehr zum Thema