Recht
Gesetzliche Anforderungen an die Informations-Sicherheit
Denkt man in historischen Dimensionen, so ist die Informationstechnologie (IT) nach wie vor sehr neu. Noch neuer ist das Informatikrecht, also das Spezialgebiet des Rechts, welches sich mit den rechtlichen Fragen der IT-Angelegenheiten beschäftigt.
Wie jeder Lebenssachverhalt, so haben auch IT-Themen immer eine rechtliche Dimension, was nicht heisst, dass es auch immer rechtliche Probleme geben muss.
Informatikrecht ist, wie Baurecht, eine Querschnittsdisziplin, welche ihre Inhalte und zum Teil auch ihre Systematik aus den technischen und wirtschaftlichen Gegebenheiten ableitet und sich auch gemäss deren Fortschritten entwickelt.
Bei jeder Situation in der IT-Welt gibt es eine rechtliche Dimension. Folglich ist auch immer zu überprüfen, ob in dieser Dimension Vorkehrungen notwendig sind, um Probleme zu lösen oder Probleme erst gar nicht entstehen zu lassen.
IKS
Ab 2008 tritt die Pflicht zur Risikobeurteilung und der Einführung eines internen Kontrollsystems (IKS) in Kraft. Die gesetzliche Ergänzung im OR (Art. 728a) wurde im Sommer 2004 von den eidg. Räten beschlossen. Eine Risikobewertung in der Informationssicherheit unterscheidet sich in wesentlichen Punkten von klassischen Methoden der Versicherungsmathematik oder des Controllings. Die exakte Berechnung von Schadenhöhen und Eintrittswahrscheinlichkeiten bei einer „klassischen“ oder quantitativen Risikoanalyse ist meistens nicht möglich, da geeignetes Zahlenmaterial fehlt. Selbst wenn eine Berechnung möglich ist, bleibt die Interpretation der Ergebnisse sehr schwierig.
Eine individuelle Analyse von Schwachstellen für alle wesentlichen Geschäftsprozesse und damit verknüpften IT-Systemen und die Zusammenstellung der möglichen Schadensereignisse mit Zuordnung der Eintrittswahrscheinlichkeit und des Schadenausmasses erfordert hohes Fachwissen und die Verarbeitung einer grossen Datenmenge.
Basel II
Für viele Unternehmen, insbesondere KMU, steht „Basel II“ synonym für eine restriktivere Kreditvergabe der Banken und höhere Kreditkosten. Basel II folgt auf die Richtlinien von Basel I aus dem Jahr 1988, die bestimmen, dass seitens der Banken und Finanzinstitute Kredite an Unternehmen einheitlich mit acht Prozent Eigenkapital unterlegt werden müssen. Basel II, die vom Basler Ausschuss für Bankenaufsicht im Juni 2004 verabschiedet wurde, wurde im Januar 2007 in Kraft gesetzt. Basel II basiert auf drei Prinzipen: Erstens muss der Verwaltungsrat die operationellen Risiken kennen und die fürs Risikomanagement getroffenen Massnahmen genehmigen und periodisch überprüfen. Der Verwaltungsrat sorgt zweitens dafür, dass dieses Risiko Management Framework durch eine unabhängige Stelle überwacht wird, das sonst nicht direkt ins Risikomanagement involviert ist. Drittens trägt die Geschäftsleitung die Verantwortung dafür, dass das vom Verwaltungsrat genehmigte Risiko Management Framework auch tatsächlich implementiert wird. Ohne umfassende Kenntnis über Kreditnehmer lässt sich jedoch kein vernünftiges Risikomanagement betreiben – und damit wirkt sich Basel II auch auf die Kunden der Banken aus, die rund um ein Kreditgesuch künftig wesentlich mehr Informationen über den Geschäftsgang preisgeben müssen. Das kann so weit gehen, dass die Bank Einsicht in Daten aus dem ERP-System verlangt, die dazu folglich langfristig gespeichert und in einer bequem zugänglichen Form bereitgehalten werden müssen. Ein Informationssicherheitsmanagementsystem gemäss dem internationalen Standard ISO 27001 hilft hier, die mit dem Umgang mit Informationen verbundenen operationellen Risiken effizient, messbar und nachvollziehbar zu handhaben.
Sarbanes Oxley-Act (SOX)
Wurde von der US-Börsenaufsichtsbehörde SEC festgeschrieben und ist per Ende 2004 für alle US-Firmen und ab Ende 2005 auch für internationale Unternehmen Pflicht, die an der US-Börse gehandelt werden. SOX ist unter anderem als Reaktion auf das mehr als zweifelhafte Geschäftsgebaren zu verstehen, das sich in den USA bei Firmen wie Enron breit gemacht hat. Im Zentrum von SOX stehen die Qualität, Integrität und Genauigkeit der Finanzinformationen, die das Unternehmen publiziert. Dazu verlangt SOX vom Management eine regelmässige Beurteilung der internen Kontrollmechanismen (IKS). Für dieses Assessment muss ein bewährtes Framework benutzt werden; SOX nennt als eine Möglichkeit das Regelwerk der privatwirtschaftlich organisierten Selbstkontrollorganisation COSO. Korrekte Finanzinformationen hängen weitgehend von den IT-Systemen ab – sie stellen die benötigten Informationen bereit und sorgen für Integrität, Sicherheit und Datenschutz. SOX hat somit wie Basel II und ISO 15489 mehr oder weniger direkte Auswirkungen auf die Unternehmens-IT: Auf der IT-Seite lassen sich die fünf Komponenten des allgemeingültigen COSO-Framework auf das IT-Governance-Modell Cobit übertragen, das den Lebenszyklus von IT-Systemen von der Planung bis zum Monitoring abdeckt. Standards wie COSO und Cobit, ursprünglich in den USA für die US-Wirtschaft entwickelt, dürften mit der Zeit über den Umweg US-kotierter internationaler Unternehmen auch in Europa und in der Schweiz vermehrte Bedeutung erlangen. Europäische Standards wie ITIL, ISO 17799:2005, ISO 27001 werden heute vermehrt in der Schweiz verwendet. KonTraG das Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen wird in Deutschland bereits eingesetzt.
Archivierung
Dokumente vom E-Mail über Offerten bis zum Vertragswerk sind das Rückgrat jeder geschäftlichen Tätigkeit. Allerdings sehen sich die Firmen heutzutage immer grösseren Anforderungen an die Aufbewahrung jeder Art von Geschäftskorrespondenz gegenüber gestellt. Schweizer Gesetze wie das Obligationenrecht (OR) oder die Geschäftsbücherverordnung (GeBüV), aber auch internationale Normen wie ISO 15489 und halbgesetzliche Regelwerke wie Basel II oder Sarbans-Oxley-Act (SOX) verlangen bei der Speicherung und Archivierung von geschäftsrelevanten Daten allerhöchste Sorgfalt.
Es gibt gesetzliche Anforderungen an den Verwaltungsrat, die Geschäftsführung, die Revisionsstellen, usw. von Unternehmen, der Archivierungspflicht zwingend nachzukommen. Darunter fallen u.a. Verantwortlichkeiten, aber auch Vorschriften für die Aufzeichnung und Aufbewahrung von Geschäftsunterlagen. Archivierte Daten und Unterlagen müssen vor Veränderung geschützt werden. Die Integrität und Echtheit der Dokumente ist jederzeit sicherzustellen und notfalls nachzuweisen. Teils ähnliche Ziele verfolgt Microsoft mit den neuen Windows Rights Management Services (Windows RMS), auch wenn hier der Fokus auf der Verhinderung von Datendiebstahl und –Verlust und generell dem Schutz vor Informationsmissbrauch liegt.
Rechtsgrundlagen für die Aufzeichnung und Aufbewahrung von Geschäftsunterlagen befinden sich u.a. im Obligationen-, Handels- und Steuerrecht, Sozialversicherungsgesetz und Verwaltungsrecht. Ausserdem gibt es Obliegenheiten von Normierungsgremien wie DIN/ISO 9000 (Qualitätsmanagement), oder die EU Maschinenrichtlinie. Bei jeder Archivierung sind zudem nationale und internationale Richtlinien massgebend – ICA Guidelines, DLM-Vorschläge zur Archivierung elektronischer Aufzeichnungen, etc.
| Regulator | Zweck | Betrifft | Anforderungen | |
| Schweizer Gesetze | Bund | Umfassende Vorschriften über das Informationshandling im Unternehmen | Alle in der Schweiz tätigen Firmen | Informationen müssen während der vorgeschriebenen Aufbewahrungszeit original und unverfälschbar gespeichert sowie bei Bedarf leicht zugänglich sein. |
| IKS | Bund, OR 728a | Ab 2008 tritt die Pflicht zur Risikobeurteilung und der Einführung eines internen Kontrollsystems (IKS) in Kraft. | Alle in der Schweiz tätigen Firmen mit einem bestimmten Umsatz. |
Eine individuelle Analyse von Schwachstellen für alle wesentlichen Geschäftsprozesse und damit verknüpften IT-Systemen und die Zusammenstellung der möglichen Schadensereignisse mit Zuordnung der Eintrittswahrscheinlichkeit und des Schadenausmasses erfordert hohes Fachwissen und die Verarbeitung einer grossen Datenmenge. |
| ISO 15489-1 | International Standards Organisation | Internationaler Standard für die Verwaltung und Aufbewahrung von Unterlagen | Gesamte Privatwirtschaft und öffentlichen Sektor; keine Gesetzeskraft, aber zunehmend anerkannt und gefordert | Detailregelungen rund um die Schriftgutverwaltung; gilt für Papier- und elektronische Dokumente |
| SOX | US-Börsenaufsichtsbehörde SEC | Verbesserung der Corporate Governance | Alle an US-Börsen kotierten Unternehmen | Klare interne Kontrollmechanismen, regelmässige Information über das Finanzgebaren |
Outsourcing und Verträge
80 Prozent aller Kundenmanagement-Outsourcing-Projekte scheitern. Gartner hat im Rahmen des Customer Relationship Management Summit in London (2005) all diejenigen wachgerüttelt, die in Outsourcing das Allheilmittel für ihre Sparbemühungen im Unternehmen gesehen haben. Als problematisch wird vor allem das Auslagern von Kundenservice und Support beurteilt. Zudem würden die Unternehmen für den ausgelagerten Kundenservice of einen Drittel mehr bezahlen als solche, die diesen Bereich inhouse abwickeln.
Link [205 KB]
zum Fachartikel in der Fachzeitschrift Computerworld vom 16. Sept. 2005
Ein Problem kann nicht ausgelagert werden! Das Problem muss zuerst gelöst werden.
Oftmals scheitern Projekte daran, dass sich die beteiligten Parteien über die Anforderungen und Bedingungen zerstreiten, da diese zuvor nicht richtig festgelegt wurden. In vielen dieser Streitfälle kommt noch erschwerend dazu, dass vor dem Projektstart kein, oder nur ein unvollständiger Vertrag abgeschlossen wurde.
Solche Situationen führen in vielen Fällen zu umfangreichen Gerichtsprozessen und einer Verzögerung, bis hin zum Stillstand des Projektes. Es werden dabei für beide beteiligten Parteien negative Folgen verursacht. Der Kunde bangt um sein Produkt und der Auftragnehmer um sein Entgelt. Im schlimmsten Fall können Streitigkeiten in einer stark verhärteten Situation zum Konkurs beider Firmen führen.
Verträge erlangen ihre wahre Wirkung erst bei Streitigkeiten und in Krisensituationen. Es wird oft die Frage gestellt, weshalb man in Friedenszeiten mühsam einen Vertrag ausarbeiten und aufsetzen muss, wenn normalerweise sowieso alles einwandfrei verläuft. Im Streitfall ist man jedoch auf einen vollständigen Vertrag angewiesen und sehr froh, wenn man alle Bedingungen bereits von Anfang ausgehandelt hat. Falls durch einen umfassenden Vertrag ein Streit oder ein Projektunterbruch vermieden werden kann, dann hat sich der Aufwand zur Vertragserstellung bereits bezahlt gemacht.
Outsourcing im Detail
Wenn der Leistungserbringer (Outsourcer) Zugriff auf hochsensitive Daten hat, dann gilt in besonderem Masse „Vertrauen ist gut, Kontrolle ist besser“.
Wesentliche Komponente bei einem Outsourcing-Projekt ist die detaillierte Vertragsgestaltung, in der Regel in Form eines Service Level Agreements (SLA). Dieses enthält alle Leistungsmerkmale bezüglich Qualität und Quantität der Leistungserbringung. Rechte und Pflichten der Vertragsparteien müssen klar aus dem Vertrag hervorgehen. Weitere wichtige Bestandteile sind die Entlöhnung, Kündigungsfristen sowie Schadenersatz und gegebenenfalls Konventionalstrafen.
Je nach Ausmass des Projekts sollte sich der Auftraggeber aber auch vertraglich zusichern lassen, in regelmässigen Abständen eine IT-Revision beim externen Leistungserbringer durchführen zu dürfen. Auf diese Weise lässt sich objektiv überprüfen, ob vertraglich vereinbarte Leistungs-, Qualitäts- und Sicherheitsstandards eingehalten werden.
Besonders sensitive Punkte im Rahmen von Outsourcing-Projekten sind IT-Sicherheit und Datenschutz. Unternehmen und Outsourcing-Partner sollten sich unbedingt auf gemeinsame Sicherheitsstandards einigen und vertraglich eine für beide Seiten verbindliche Sicherheits-Policy festlegen. Als Standardwerke für die Entwicklung einer solchen Vereinbarung können die Control Objectives for Information and related Technology (COBIT), der britisch Code of Practice for Information Security Management (BS 7799 / ISO 17799) oder das BSI-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) hinzugezogen werden. Zur Sicherheits-Policy gehört auch eine geeignete Katastrophen-Vorsorge beim Outsourcing-Anbieter, der unter anderem durch Alarm-Konzepte und Hardware-Backups sicherstellen muss, die vereinbarte Leistung kontinuierlich liefern zu können. Hinzu kommen detaillierte Vereinbarungen zum Datenschutz und über Zugangsregelungen zu sensitiven Daten.
Aktualisierungen der Sicherheits-Policy erfolgt in Übereinstimmung von beiden Vertragspartnern und werden rechtsgültig abgezeichnet. Um die Sicherheit beim IT-Outsourcing Projekt gewährleisten zu können, sind folgende Anforderungen nötig:
Haftung im Internet
Die Haftungsklagen haben in der Schweiz zum Glück noch nicht die Grössenordnungen wie in den USA erreicht, sie können jedoch für ein Unternehmen eine grosse finanzielle Belastung darstellen. Bei Nichterfüllen eines Vertrages, oder bei Schäden durch unerlaubte und fahrlässige Handlungen, kann eine Haftung geltend gemacht werden. Im Fall einer Haftung muss bestimmt werden, wer für den entstandenen Schaden haftet, der Mitarbeiter, der Geschäftsführer, oder der Verwaltungsrat.
Falls der Geschäftsführer die Auflagen aus dem Datenschutzgesetz nicht richtig umsetzt, so kann der Verwaltungsrat für den verursachten Schaden verantwortlich gemacht werden, wenn er seine unübertragbare Pflicht der Oberaufsicht über den Geschäftsführer, absichtlich oder fahrlässig, verletzt hat.
Ein weiterer wichtiger Punkt, der im Zusammenhang mit der Haftung beachtet werden muss, ist die Produktehaftpflicht, die geschädigte Privatpersonen gegen den Hersteller des Produktes geltend machen können.
Die Haftpflicht kommt erst bei einem Schaden zustande, der einem Dritten zugefügt wurde. Bei der Haftpflicht gibt es grundsätzlich zwei verschiedene Arten; die vertragliche und die ausservertragliche. Für eine Haftung müssen vier Voraussetzungen erfüllt sein. Es muss ein ziffernmässig nachweisbarer Schaden vorhanden sein, der aus einer Widerrechtlichkeit entstanden ist. Dazu muss ein adäquater Kausalzusammenhang zwischen der Ursache und dem Schaden bestehen und schliesslich muss ein Verschulden vorhanden sein.
