Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

IT-Sourcing 2019 - Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

Anzeige

Anzeige

Help Mann Laptop Shutterstock 608032898 500

Ohne IT geht in den meisten Unternehmen heutzutage nichts mehr. Ein Netzwerkausfall oder gar die Verschlüsselung aller Daten durch Ransomware-Angriffe hätte katastrophale Folgen bis hin zur Existenzgefährdung. Aber es besteht daneben auch ein erhebliches Haftungsrisiko. 

Entsteht ein Schaden für Dritte, dann haftet das Unternehmen, wenn es nicht die zumutbaren Anforderungen an die IT-Sicherheit nach dem Stand der Technik eingesetzt hat. Die Haftung kann dabei schnell auch persönlich gegen die handelnden Personen der Geschäftsleitung gerichtet sein.

Viele Firmen glauben es genüge eine Firewall, eine Antiviren-Software und ein redundantes Backup-System oder eine gespiegelte Festplatte, um den Anforderungen an IT-Sicherheit zu genügen. Doch das ist weit gefehlt.

Folgende Tipps sollen Ihnen helfen, eine ausreichende Notfallplanung im Unternehmen zu etablieren:

  • Erfassen Sie alle kritischen IT-Elemente in einer Übersicht und bewerten Sie ihre jeweilige Bedeutung für die IT-Infrastruktur Ihres Unternehmens.
  • Erarbeiten Sie typische Szenarien eines Ausfalls dieser Elemente und schätzen Sie die möglichen Folgen und Schäden eines solchen Ausfalls.
  • Berücksichtigen Sie bei dieser Risikobewertung auch die einschlägigen rechtlichen Bestimmungen einschließlich der drohenden Sanktionen bei Bekanntwerden unzureichender Umsetzung derselben (bspw. drohende Bußgelder bei Nichteinhaltung datenschutzrechtlicher Vorgaben bzw. bei nach § 42a BDSG bzw. Art. 16 & 17 DSGVO meldepflichtigen Datenpannen).
  • Verteilen Sie klare Verantwortlichkeiten und Rollen für die Einrichtung und Überwachung einer sicheren IT-Infrastruktur und für die Dokumentation und Einleitung von Maßnahmen bei kritischen Vorfällen und dokumentieren Sie diese Anweisungen. Widerholen Sie die Anweisungen regelmäßig und prüfen Sie stichpunktartig deren Einhaltung.
  • Machen Sie eine Übersicht über die verantwortlichen Personen und Stellvertreter für die Einrichtung und Überwachung der IT-Infrastruktur, wie auch über diejenigen, die für Dokumentation und Einleitung von Maßnahmen bei kritischen Vorfällen verantwortlich sind und halten Sie deren Kontaktdaten für eine schnelle Informationskette stets aktuell.
  • Wichtige digitale Dokumente zur Bearbeitung und zum Vorgehen bei kritischen Szenarien sollten zentral gespeichert und gleichzeitig in ihrer aktuellen Fassung analog, also ausgedruckt vorliegen.
  • Dokumentieren Sie die gesamte IT-Infrastruktur einschließlich der Abhängigkeiten zwischen verschiedenen Komponenten.
  • Verbinden Sie schließlich die so gewonnenen Erkenntnisse und Unterlagen mit den sonstigen Unterlagen und Dokumentationen für unternehmenskritische Prozesse, um sicherzustellen, dass bei einem kritischen Vorfall auch die Maßnahmen und Prozesse berücksichtigt werden, die bei einem Ausfall betroffen wären.

Natürlich gibt es auch andere Maßnahmen oder weitere Vorschläge, um Ihr Unternehmen fit zu machen für kritische IT-Vorfälle.

Alle Maßnahmen, die dokumentiert und damit nachweisbar darstellen, dass und wie Sie Ihr Unternehmen organisiert und aufgestellt haben, um die Entstehung von Schäden zu minimieren hilft bei der Frage der persönlichen Haftung zu Ihren Gunsten.

Zu empfehlen ist in diesem Zusammenhang die VdS-Richtlinie 3473, die die Anforderungen an die IT-Sicherheit für kleine und mittlere Unternehmen (KMU) dokumentiert.

Autor: Timo Schutt, Rechtsanwalt, Fachanwalt für IT-Recht

schutt-waetke.de

GRID LIST
Notfall Knopf

Die Zeit läuft: Worauf es bei der Notfallreaktion ankommt

Wie bei jedem Notfall – Feuer, Herzinfarkt oder Verkehrsunfall – spielt auch bei…
Torhüter FCA

Torhüter der IT – der FC Augsburg setzt auf „Made in Augsburg"

Der 1907 gegründete Traditionsverein FC Augsburg (FCA) nutzt zur Verwaltung seiner…
Tb W190 H80 Crop Int A03eb03b6c06e9e89dbea9d04fe772e2

IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

Moderne IT-Security muss einerseits die Herausforderungen der digitalen Transformation…
Hand hält Wolke mit Schloss

Forcepoint Next Generation Firewall

Evasion-Techniken bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen.…
Tb W190 H80 Crop Int C196c32d831cae80f568a6bbc332af89

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der…
Tb W190 H80 Crop Int B43bafc6bf035187fc81a02a47f08a7e

QUICK Technology: Alternative zu Public-Key-Infrastrukturen

Rund ein Jahr, nachdem die Europäische Datenschutz-Grundverordnung endgültig in Kraft…