Anzeige

Anzeige

VERANSTALTUNGEN

DWX-Developer Week
24.06.19 - 27.06.19
In Nürnberg

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Anzeige

Anzeige

Help Mann Laptop Shutterstock 608032898 500

Ohne IT geht in den meisten Unternehmen heutzutage nichts mehr. Ein Netzwerkausfall oder gar die Verschlüsselung aller Daten durch Ransomware-Angriffe hätte katastrophale Folgen bis hin zur Existenzgefährdung. Aber es besteht daneben auch ein erhebliches Haftungsrisiko. 

Entsteht ein Schaden für Dritte, dann haftet das Unternehmen, wenn es nicht die zumutbaren Anforderungen an die IT-Sicherheit nach dem Stand der Technik eingesetzt hat. Die Haftung kann dabei schnell auch persönlich gegen die handelnden Personen der Geschäftsleitung gerichtet sein.

Viele Firmen glauben es genüge eine Firewall, eine Antiviren-Software und ein redundantes Backup-System oder eine gespiegelte Festplatte, um den Anforderungen an IT-Sicherheit zu genügen. Doch das ist weit gefehlt.

Folgende Tipps sollen Ihnen helfen, eine ausreichende Notfallplanung im Unternehmen zu etablieren:

  • Erfassen Sie alle kritischen IT-Elemente in einer Übersicht und bewerten Sie ihre jeweilige Bedeutung für die IT-Infrastruktur Ihres Unternehmens.
  • Erarbeiten Sie typische Szenarien eines Ausfalls dieser Elemente und schätzen Sie die möglichen Folgen und Schäden eines solchen Ausfalls.
  • Berücksichtigen Sie bei dieser Risikobewertung auch die einschlägigen rechtlichen Bestimmungen einschließlich der drohenden Sanktionen bei Bekanntwerden unzureichender Umsetzung derselben (bspw. drohende Bußgelder bei Nichteinhaltung datenschutzrechtlicher Vorgaben bzw. bei nach § 42a BDSG bzw. Art. 16 & 17 DSGVO meldepflichtigen Datenpannen).
  • Verteilen Sie klare Verantwortlichkeiten und Rollen für die Einrichtung und Überwachung einer sicheren IT-Infrastruktur und für die Dokumentation und Einleitung von Maßnahmen bei kritischen Vorfällen und dokumentieren Sie diese Anweisungen. Widerholen Sie die Anweisungen regelmäßig und prüfen Sie stichpunktartig deren Einhaltung.
  • Machen Sie eine Übersicht über die verantwortlichen Personen und Stellvertreter für die Einrichtung und Überwachung der IT-Infrastruktur, wie auch über diejenigen, die für Dokumentation und Einleitung von Maßnahmen bei kritischen Vorfällen verantwortlich sind und halten Sie deren Kontaktdaten für eine schnelle Informationskette stets aktuell.
  • Wichtige digitale Dokumente zur Bearbeitung und zum Vorgehen bei kritischen Szenarien sollten zentral gespeichert und gleichzeitig in ihrer aktuellen Fassung analog, also ausgedruckt vorliegen.
  • Dokumentieren Sie die gesamte IT-Infrastruktur einschließlich der Abhängigkeiten zwischen verschiedenen Komponenten.
  • Verbinden Sie schließlich die so gewonnenen Erkenntnisse und Unterlagen mit den sonstigen Unterlagen und Dokumentationen für unternehmenskritische Prozesse, um sicherzustellen, dass bei einem kritischen Vorfall auch die Maßnahmen und Prozesse berücksichtigt werden, die bei einem Ausfall betroffen wären.

Natürlich gibt es auch andere Maßnahmen oder weitere Vorschläge, um Ihr Unternehmen fit zu machen für kritische IT-Vorfälle.

Alle Maßnahmen, die dokumentiert und damit nachweisbar darstellen, dass und wie Sie Ihr Unternehmen organisiert und aufgestellt haben, um die Entstehung von Schäden zu minimieren hilft bei der Frage der persönlichen Haftung zu Ihren Gunsten.

Zu empfehlen ist in diesem Zusammenhang die VdS-Richtlinie 3473, die die Anforderungen an die IT-Sicherheit für kleine und mittlere Unternehmen (KMU) dokumentiert.

Autor: Timo Schutt, Rechtsanwalt, Fachanwalt für IT-Recht

schutt-waetke.de

GRID LIST
Mann mit Lupe

Schwachstellen‑Hypes: Security‑Teams und die richtige Kommunikation

Einige Schwachstellen des vergangenen Jahres schafften es bis in die Schlagzeilen der…
Schach

Ein Antiphishing-Konzept für die letzte Verteidigungslinie

Social Engineering ist mit Abstand die Bedrohung Nummer eins, gefolgt von ungepatchter…
ICS Security

Proof of Concept für industrielle IT-Security-Lösungen

Es gibt viele gute Gründe für einen Proof of Concept (PoC), bevor man neue Technologien…
Mobile Geräte

Die stillen Teilnehmer - Mobilgeräte und ihre Sicherheitsherausforderungen

Mitarbeiter nutzen sie wie selbstverständlich jederzeit für geschäftliche Zwecke: Private…
Hacker Code

Datendiebstähle werden immer kostspieliger

Spionage, Datendiebstahl, Sabotage: Die deutsche Industrie leidet unter Cyberattacken.…
Spam-E-Mails

Spam-E-Mails: Sicher durch die Fluten

Wer kennt sie nicht, die E-Mail-Flut, die jeden Tag aufs Neue am Arbeitsrechner über…