Haftungsfalle IT-Security

IT-Sicherheit wird angesichts einer zunehmenden Zahl von Angriffen aus dem Internet immer wichtiger. Jedoch zeigt sich in der Beratungspraxis, dass Unternehmen und deren CIOs typische Fehler bei der Sicherung der betrieblichen IT machen. Einige Beispiele:

(1) Die notwendige laufende Kontrolle (Monitoring) und Aktualisierung der Sicherungsmaßnahmen ist weder vertraglich kontrollfähig vereinbart noch in der Praxis sichergestellt. Es fehlt an klaren Regelungen, welche Security-Kontrollmaßnahmen vom Provider spätestens wann geschuldet sind. (2) Bisher unzureichend beachtet ist die technische Absicherung etwa gegen Umwelteinflüsse oder Stromausfall. Dringend erforderlich ist eine Risikoanalyse, für welchen Zeitraum auf eine Notstromversorgung zurückgegriffen werden kann. (3) Das Unternehmen trifft keine Vorkehrungen, um verteilte Denial-of-Service-Angriffe abzuwehren (DDoS), etwa durch Absicherung von Ports und Root-Zugriffen oder sequentielles Abarbeiten von Anfragen. Die Verzögerung der Bearbeitung berechtigter Anfragen wird meist eher akzeptabel sein als das Lahmlegen der Systeme. (4) Die Abläufe zur Abwehr von Angriffen auf das IT-System/-Netzwerk sind nicht klar definiert. Auch sind die Zuständigkeiten im Unternehmen nicht selten nur vage abgegrenzt, sodass niemand weiss, wer wann welche Mitteilungen machen und dokumentieren muss. (5) Das Vorgehen im Falle externer Angriffe wird eher spontan-zufällig entschieden und nicht dokumentiert. Unklar bleibt hier oft, wer wann zu welcher Mitteilung an den Provider verpflichtet gewesen wäre. Mitarbeiter -und insbesondere CIOs - müssen an eindeutigen Regelungen interessiert sein, um ihr Haftungsrisiko zu begrenzen. (6) Der Ablauf von Angriffen und der Systemstatus vor dem jeweiligen Angriff werden nicht ausreichend protokolliert. Solche Protokolle lassen sich nachträgli…