Zuletzt aktualisiert: Mi, 10. November 2021
Eine durchdachte und konsequente Notfallplanung inklusive Notfallhandbuch ist eines der grundlegenden Themen im Bereich IT-Security. Nicht selten hängt davon die Zukunft eines Unternehmens ab. In Vergessenheit gerät dabei oft, dass im Bereich der Notfallplanung auch rechtliche Aspekte zu beachten sind. Grundsätzlich ist zu sagen, dass eine Unternehmensorganisation so aufzubauen ist, dass die den Vorgaben der IT-Security und –Notfallplanung entspricht. Das ist Sache der jeweiligen Geschäftsführung und nicht der IT-Abteilung. Die Unternehmensleitung hat demnach die Pflicht, die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsmannes anzuwenden. Das Aktiengesetz oder das Handelsgesetzbuch machen hier klare Vorgaben: Jede Unternehmensleitung muss sich umfassend und rechtzeitig über die relevanten Risiken informieren und, falls erforderlich, entsprechende Maßnahmen im Bereich Notfallplanung vorsehen. Kommt ein Vorstand oder Geschäftsführer seiner Sorgfaltspflicht nicht nach, kann er persönlich auf Schadensersatz haftbar gemacht werden.
IT-Notfallplanung im Bundesdatenschutzgesetz
Ein wichtiger Anhaltspunkt für eine „angemessen sichere“ IT-Umgebung ist das Bundesdatenschutzgesetz. Dieses regelt dezidiert, wie personenbezogene Daten technisch und organisatorisch zu schützen sind. Ein Maßnahmenkatalog beschreibt beispielsweise Maßnahmen zur Zugangskontrolle zu Rechenzentren, Maßnahmen der Zugangs-, Zugriffs-, Weitergabe,- Eingabe-, Auftrags- und Verfügbarkeitskontrolle sowie das Gebot der getrennten Verarbeitung für personenbezogene Daten. Besonders das Thema Verfügbarkeitskontrolle ist mit Blick auf die IT-Notfallplanung von Belang: Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sein müssen. Ein unvorhergesehenes Ereignis darf laut Gesetzgeber keinen endgültigen Verlust der Daten nach sich ziehen. Erforderlich sind also regelmäßige Backups und Sicherungskopien.
Steuerliche Archivierungspflichten
Das Handelsgesetzbuch schreibt vor, dass jeder Kaufmann (und damit jedes Unternehmen) Bücher über seine Geschäfte und sein Vermögen zu führen hat. Als Nachweis sind bestimmte Unterlagen für eine gewisse Zeit aufzubewahren. Das ist laut Bundesfinanzministerium heutzutage auf Datenträgern möglich, „soweit diese Form der Buchführung einschließlich des dabei angewandten Verfahrens den Grundsätzen ordnungsgemäßer Buchführung entspricht“. Die Maßnahmen der Datensicherung haben als Ziel, „die Risiken (…) hinsichtlich Unauffindbarkeit, Vernichtung und Diebstahl zu vermeiden“. Ein internes Kontrollsystem soll dies sicherstellen – und das geht nur im Rahmen eines Datensicherungskonzepts.
Besondere IT-Notfallplanung im Bankensektor
Für Geldinstitute gibt es weitergehende Regelungen im Kreditwesengesetz und den ergänzenden Mindestanforderungen an das Risikomanagement (MaRsik). Letztere zielen vor allem darauf ab, angemessene Leitungs-, Steuerungs- und Kontrollprozesse in den Banken zu etablieren. Für Notfälle wird hier explizit ein Notfallkonzept gefordert, das regelmäßig durch Notfallübungen zu überprüfen ist. Das Konzept muss Geschäftsfortführungspläne und Wiederanlaufpläne umfassen. Es sollen bei einem Notfall zeitnah Ersatzlösungen zur Verfügung stehen, innerhalb eines angemessenen Zeitraums soll die Rückkehr zum Normalbetrieb möglich sein. Das Wertpapierhandelsgesetz regelt noch weitere organisatorische Anforderungen an Wertpapierdienstleistungsunternehmen. Bei der Vergabe von Krediten muss eine Risikoeinschätzung des beantragenden Unternehmens gemacht werden, und dazu gehört auch dessen Grad der IT-Sicherheit. Zumindest theoretisch könnte also eine Bank vor einer Kreditvergabe das IT-Notfallkonzept eines Unternehmens prüfen und den Zinssatz dem Ergebnis nach anpassen. In der Praxis kommt das jedoch kaum vor.
Praktische Umsetzung der IT-Notfallplanung
Zur IT-Notfallplanung in der Praxis gibt es inzwischen etliche Normen und Standards. Prominentestes Beispiel ist der BSI-Standard 100-4. Er beschreibt ein eigenständiges Managementsystem für die Geschäftsfortführung und die Notfallbewältigung. Detaillierte Arbeitsschritte und konkrete Maßnahmen finden sich auch in Standards wie ISO 27001, ISO 20000 oder PAS77. Aus rechtlicher Sicht ist die Einhaltung solcher Standards ein wichtiges Indiz dafür, dass den rechtlichen Vorgaben genüge getan ist. Manche Maßnahmen aus den Standards sind jedoch gerade für kleinere Unternehmen viel zu weitreichend. Der Gesetzgeber hat dies erkannt und fordert nur Maßnahmen, die in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Das heißt konkret: Die Maßnahmen werden im Einzelfall ausgerichtet anhand der Sensibilität der Daten, dem Grad der Gefährdung und dem Stand der Technik. Letztlich geben die zahlreichen Standards auch nur eine unverbindliche Richtschnur. In einem Unternehmen reicht eine wöchentliche Datensicherung, im anderen müssen sie in Echtzeit unmittelbar gespiegelt werden. Fest steht jedenfalls, dass eine funktionierende Datensicherung für jedes Unternehmen unverzichtbar ist, völlig unabhängig davon, was im Gesetz steht.
Quelle: Artikel „Auf der sicheren Seite“ von IT-Fachanwalt Mark Münch, erschienen im IT-Administrator April 2013