Gesetz­liche Anfor­de­rungen zu IT-Sicherheit für den Mittestand

Haf­tungs­fragen für Geschäfts­führer aus dem IT-Sicherheitsgesetz

Das IT-Sicher­heits­­­gesetz (SIG) ist eine Novelle und seit Juli 2015 in Kraft; vom SIG betroffene Gesetze sind u.a. das Gesetze über das Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSIG), das Tele­me­di­en­gesetz (TMG) und das Tele­kom­mu­ni­ka­ti­ons­gesetz (TKG). Ziel des SiG ist neben der Härtung der kri­ti­schen Infra­struktur die Ver­bes­serung der IT-Sicherheit bei Unter­nehmen und in der Bun­des­ver­waltung, sowie ein bes­serer Schutz der Bür­ge­rinnen und Bürger im Internet. Um diese Ziele zu erreichen, wurden auch die Auf­gaben und Befug­nisse des Bun­des­amtes für Sicherheit in der Infor­ma­ti­ons­technik (BSI) aus­ge­weitet. Für Betreiber von Web­an­ge­boten gelten über das TMG höhere gesetz­liche Anfor­de­rungen, bei­spiels­weise zum Schutz per­so­nen­be­zo­gener Daten (wir berich­teten).

Der aktuelle Koali­ti­ons­vertrag schrieb Anfang dieses Jahres dann fest, dass weitere Maß­nahmen zur Erhöhung der IT-Sicherheit in einem Ände­rungs­gesetz erfolgen sollen (einen Über­blick gaben wir bereits im Blog in einem frü­heren Artikel. Tat­sächlich steigt laut DsiN Sicher­heits­index 2018 die Ver­un­si­cherung unter Ver­brau­chern bei den Themen IT-Sicherheit und Daten­schutz; diese ist vor allem einem höheren sub­jek­tiven Gefähr­dungs­gefühl zuzu­schreiben. Auch der BSI Lage­be­richt 2017 zeigt, dass die Bedro­hungslage weiter zunimmt, und Angriffe wie Spear-Phishing (gezielte Phishing-Attacken) ver­mehrt genutzt werden; dadurch spielt auch die mensch­liche Awa­reness bei Mit­ar­beitern von Unter­nehmen eine wach­sende Rolle.

Das BSIG nor­miert in den §§ 8a bis 8e Hand­lungs­pflichten für Betreiber Kri­ti­scher Infra­struk­turen und Anbieter digi­taler Dienste, deren Miss­achtung schlimms­ten­falls zur per­sön­lichen Haftung der Geschäfts­leitung führen kann. Jede Geschäfts­leitung sollte daher prüfen, ob ihr Unter­nehmen in den Anwen­dungs­be­reich dieser Vor­schriften fällt und beja­hen­den­falls dafür sorgen, dass die Hand­lungs­pflichten ordentlich umge­setzt werden.

Unter­nehmen muss „Betreiber“ einer „Kri­ti­schen Infra­struktur“ sein 

Nach § 8a Abs. 1 BSIG sind Betreiber Kri­ti­scher Infra­struk­turen ver­pflichtet, ange­messene orga­ni­sa­to­rische und tech­nische Vor­keh­rungen zur Ver­meidung von Stö­rungen der Ver­füg­barkeit, Inte­grität, Authen­ti­zität und Ver­trau­lichkeit ihrer infor­ma­ti­ons­tech­ni­schen Systeme, Kom­po­nenten oder Pro­zesse zu treffen, die für die Funk­ti­ons­fä­higkeit der von ihnen betrie­benen Kri­ti­schen Infra­struk­turen maß­geblich sind. Zunächst gilt es daher fest­zu­stellen, ob das Unter­nehmen über­haupt Adressat dieser Hand­lungs­pflicht ist. Das ist es dann, wenn es eine Kri­tische Infra­struktur betreibt und kein Kleinst­un­ter­nehmen ist, da letztere nach § 8d Abs. 1 BSIG vom Anwen­dungs­be­reich aus­ge­nommen sind.

Nach der EU-Kom­­mission wird ein Kleinst­un­ter­nehmen als ein Unter­nehmen defi­niert, das weniger als 10 Per­sonen beschäftigt und dessen Jah­res­umsatz bzw. Jah­res­bilanz 2 Mio. EUR nicht über­schreitet. Während diese Grenzen ver­hält­nis­mäßig leicht über­prüft werden können, kann die Prüfung, ob eine Kri­tische Infra­struktur betrieben wird, mit­unter recht komplex aus­fallen. Denn hierzu muss man sich zunächst durch die Irrungen und Wir­rungen des BSIG und der hierzu erlas­senen Ver­ordnung zur Bestimmung Kri­ti­scher Infra­struk­turen nach dem BSI-Gesetz (BSI-KritisV) kämpfen. Den Ein­stieg bietet die Defi­nition der Kri­ti­schen Infra­struk­turen in § 2 Abs. 10 KRITIS-Ver­­­ordnung. Danach sind Kri­tische Infra­struk­turen „Ein­rich­tungen, Anlagen oder Teile davon, die 1. den Sek­toren Energie, Infor­ma­ti­ons­technik und Tele­kom­mu­ni­kation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Ver­si­che­rungs­wesen ange­hören und  2. von hoher Bedeutung für das Funk­tio­nieren des Gemein­wesens sind, weil durch ihren Ausfall oder ihre Beein­träch­tigung erheb­liche Ver­sor­gungs­eng­pässe oder Gefähr­dungen für die öffent­liche Sicherheit ein­treten würden. Während die Zuordnung zu einem der genannten Sek­toren noch leicht fallen dürfte, da es sich um ein objek­tives Tat­be­stand­merkmal handelt, enthält das zweite Tat­be­stands­merkmal mit der Anknüpfung an die „hohe Bedeutung“ ein sub­jek­tives Merkmal, das nor­mativ aus­zu­legen wäre. Da dies in praxi zu unter­schied­lichsten Ergeb­nissen führen könnte und dadurch auch eine wett­be­werb­liche Ungleich­be­handlung ein­her­ginge, wird das nor­mative Merkmal durch die KRITIS-VO aus­ge­füllt. Diese enthält neben wei­teren wich­tigen Begriffs­be­stim­mungen Prüf­schemata für jeden Sektor in Form von Vor­schrift und Anhängen. Durch die Rechtsform der Ver­ordnung besteht dadurch auch eine hin­rei­chende Fle­xi­bi­lität, um je nach Bedarf rasch den Anwen­dungs­be­reich der Kri­ti­schen Infra­struk­turen aus­zu­dehnen oder wieder ein­zu­schränken. Die Musik spielt sozu­sagen in den Anhängen.

Damit trifft die Geschäfts­leitung zu allererst die Pflicht, prüfen und über­prüfen zu lassen, ob das Unter­nehmen, ver­ein­facht gesagt, eine Kri­tische Infra­struktur nach einem der Anhänge betreibt. Da es zur Beant­wortung dieser Frage mit wenigen Aus­nahmen auf Ver­sor­gungs­grade und Schwel­len­werte ankommt, die, je nach Wachstum des Unter­nehmens erreicht oder über­schritten werden könnten, beinhaltet § 8a BSIG auch eine wie­der­keh­rende Prüf­pflicht. Hinzu kommt, dass bei den tech­ni­schen Vor­keh­rungen auf den „Stand der Technik“ abzu­stellen ist, der sich bekanntlich regel­mäßig ändert. Sollten die Schwel­len­werte „so grade noch“ unter­schritten sein, dürfte sich damit die Fre­quenz und Inten­sität der Prüf­pflicht erhöhen und im Zweifel sollte von der Anwendung des BSIG aus­ge­gangen werden. Es handelt sich hier um kom­plexe Prü­fungen, die nur von Fach­leuten durch­ge­führt werden können. Im Rahmen dieser Prüfung darf nicht über­sehen werden, dass der Begriff des Betreibers nicht auf die Eigen­tums­stellung abstellt, sondern, wie die Geset­zes­be­gründung betont, auf die „tat­säch­liche Sach­herr­schaft über die Anlage.“

Unter­nehmen muss ange­messene orga­ni­sa­to­rische und tech­nische Vor­keh­rungen treffen

Wird der Anwen­dungs­be­reich des § 8a BSIG bejaht, stellt sich die nächste, dann eigent­liche Her­aus­for­derung. Das Unter­nehmen hat dann nämlich „ange­messene orga­ni­sa­to­rische und tech­nische Vor­keh­rungen“ zur Ver­meidung von Stö­rungen der Ver­füg­barkeit, Inte­grität, Authen­ti­zität und Ver­trau­lichkeit ihrer infor­ma­ti­ons­tech­ni­schen Systeme, Kom­po­nenten oder Pro­zesse zu treffen. Dabei soll der Stand der Technik ein­ge­halten werden. Das Gesetz hilft zunächst weiter, indem es in § 8a Abs. 1 S. 3 BSIG defi­niert: „Orga­ni­sa­to­rische und tech­nische Vor­keh­rungen sind ange­messen, wenn der dafür erfor­der­liche Aufwand nicht außer Ver­hältnis zu den Folgen eines Aus­falls oder einer Beein­träch­tigung der betrof­fenen Kri­ti­schen Infra­struktur steht.“ Nun wird es für die Geschäfts­leitung knif­felig, da sie einer­seits eine Abwägung treffen muss zwi­schen dem Aufwand, der Ein­tritts­wahr­schein­lichkeit und der Beein­träch­ti­gungs­in­ten­sität und ande­rer­seits dabei auch noch den jeweils aktu­ellen Stand der Technik zu beachten hat. Sollte es zu einem Vorfall mit erheb­lichen Schäden kommen, dann könnten sich Auf­sichts­be­hörde, Auf­sichtsrat, Gericht, Staats­an­walt­schaft und Ver­si­cherung mit der Frage befassen, ob die Abwä­gungs­ent­scheidung der Geschäfts­leitung unter diesen Prä­missen richtig war.

Haf­­tungs- und sonstige Risiken für die Geschäftsleitung

Nehmen wir als Bei­spiel einer Haf­tungsnorm § 93 Akti­en­gesetz (AktG). Danach haben die Vor­stands­mit­glieder bei ihrer Geschäfts­führung die Sorgfalt eines ordent­lichen und gewis­sen­haften Geschäfts­leiters anzu­wenden. Eine Pflicht­ver­letzung liegt nicht vor, wenn das Vor­stands­mit­glied bei einer unter­neh­me­ri­schen Ent­scheidung ver­nünf­ti­ger­weise annehmen durfte, auf der Grundlage ange­mes­sener Infor­mation zum Wohle der Gesell­schaft zu handeln. Hierin steckt die aus dem US-Recht stam­mende sog. Business Jud­gement Rule („BJR“), die im Ergebnis auch für Geschäfts­führer einer GmbH gilt; es handelt sich um einen gerichtlich nur ein­ge­schränkt über­prüf­baren Ermes­senspielraum bei unter­neh­me­ri­schen Ent­schei­dungen. Geschäfts­führer und Vor­stände haften dann nicht für negative Folgen unter­neh­me­ri­scher Ent­schei­dungen, „wenn die Ent­scheidung auf Grundlage ange­mes­sener Infor­ma­tionen, ohne Berück­sich­tigung sach­fremder Inter­essen, zum Wohl der Gesell­schaft und in gutem Glauben gefasst wurde“, so der Bundesgerichtshof.

Diese Regel gilt etwa bei Lei­tungs­pflichten, Sor­g­­falts- und Treue­pflichten und Über­­­wa­chungs- und Orga­ni­sa­ti­ons­pflichten, nicht aber bei sog. Lega­li­täts­pflichten, d.h. bei der Beachtung sämt­licher Rechts­vor­schriften, behörd­lichen Anord­nungen und der eigenen Satzung, da hilft die BJR nicht mehr. In unserem o.g. Fall der „ange­mes­senen Vor­keh­rungen“ handelt es sich zwar um eine Rechts­vor­schrift, aller­dings ist in dieser mit dem Abwä­gungs­gebot m.E. die BJR ent­halten und gilt auch dort. Daraus folgt, dass der Geschäfts­leitung ein gerichtlich nur ein­ge­schränkt über­prüf­barer Ent­schei­dungs­spielraum bei der Fest­legung der ange­mes­senen Vor­keh­rungen ver­bleibt. Wann der gerichtlich über­prüfbare Grenz­über­tritt erfolgt, muss die Recht­spre­chung aus­loten. Eben­falls möglich, sinnvoll und im BSIG angelegt ist, dass bran­chen­spe­zi­fische Sicher­heits­stan­dards fest­gelegt werden können, die den Ent­schei­dungs­spielraum dann ent­spre­chend ein­schränken oder sogar auf „Null” setzen können. Solche „Referenz-Sicher­heits­­stan­­dards“ ähnlich dem SDM bei der DSGVO dürften die Rechts­si­cherheit erhöhen und das Haf­tungs­risiko der Geschäfts­leitung ver­ringern, wenn sie denn beachtet werden.

Ganz ähn­liche Über­le­gungen zur Haftung der Leitung dürften auch für die „Anbieter digi­taler Dienste“ nach § 8c BSIG gelten, da diese „geeignete und ver­hält­nis­mäßige“ tech­nische und orga­ni­sa­to­rische Maß­nahmen zu treffen haben. Die §§ 8a bis 8e BSIG ent­halten noch einen Blu­men­strauß wei­terer Hand­lungs­pflichten des Unter­nehmens, wie etwa die Pflicht der Ein­richtung einer Kon­takt­stelle und weit­ge­hende Meldepflichten.

Haf­tungs­de­le­gation, Ent­haftung, Versicherung

Damit die Geschäfts­leitung mög­lichst nicht „mit einem halben Bein im Knast“ steht, ist es bis zu einem gewissen Grad zulässig und zweck­mäßig, dass sie ihre Pflichten dele­giert, etwa an einen unter­neh­mens­an­ge­hö­rigen „Com­­pliance-Officer“ oder IT-Leiter. Die Geschäfts­leitung hat freilich darauf zu achten, dass die aus­ge­wählte Person über die erfor­der­liche Qua­li­fi­kation und Erfahrung verfügt und diese auch bei­behält, die Geschäfts­leitung trifft daher eine Auswahl- und Über­wa­chungs­pflicht. Hier ist eine enge ver­trau­ens­volle Zusam­men­arbeit der Betei­ligten eine wesent­liche Vor­aus­setzung für die Ein­haltung der BSIG-Pflichten. Ein „fire and forget“ darf sich die Geschäfts­leitung hier nicht leisten. Im worst case Sze­nario eines Blackouts muss sie nach­weisen können, „alles richtig gemacht zu haben.“ Es sei daran erinnert, dass nach § 93 Abs. 2 AktG Vor­stands­mit­glieder, die ihre Pflichten ver­letzen, der Gesell­schaft per­sönlich zum Ersatz des daraus ent­ste­henden Schadens als Gesamt­schuldner ver­pflichtet sind – und zwar in unbe­schränkter Höhe. Ent­spre­chendes gilt nach § 43 Abs. 2 GmbHG für GmbH-Geschäfts­­­führer. Wei­terhin kann im Fall der Ver­letzung der Hand­lungs­pflichten aus dem BSIG der Geschäfts­leitung unter Umständen der Bestä­ti­gungs­vermerk des Abschluss­prüfers ver­weigert werden. Die Ver­letzung von Auf­sichts­maß­nahmen kann außerdem eine Ord­nungs­wid­rigkeit nach § 130 OWiG dar­stellen. Soweit das Unter­nehmen deshalb eine (mit­unter emp­find­liche) Geldbuße zu bezahlen hat, kommt ein Regress gegenüber dem Geschäfts­führer oder Vor­stand in Betracht.

Auf­grund der skiz­zierten Haf­tungs­ge­fahren sollten Geschäfts­führer und Vor­stand nach Ent­haf­tungs­mög­lich­keiten streben, die bei einer GmbH „ein­facher“ zu gestalten sind als bei der AG. Bei einem Com­­pliance-Officer gilt im Übrigen die arbeits­recht­liche Haf­tungs­pri­vi­le­gierung. Schließlich ist an eine D&O‑Versicherung für Geschäfts­führung, Vor­stand und lei­tende Ange­stellte zu denken, deren Prämien wie­derum von der Ein­tritts­wahr­schein­lichkeit und mög­lichen Scha­denshöhe abhängt. Da ohnehin zur Bewäl­tigung der Pflichten in § 8a bis § 8e BSIG Audits durch­zu­führen und Krisen- und Risi­ko­ma­nage­ment­pläne auf­zu­stellen sind, können diese Maß­nahmen mit einer Eva­lu­ierung der Ver­si­cher­barkeit, Ver­si­che­rungshöhe und Prämie ver­bunden werden.

Ab heu­tigen Montag bis zum mor­gigen Dienstag findet die Public-IT-Security (PITS) 2018, der Fach­kon­gress Deutsch­lands für IT- und Cyber­si­cherheit bei Staat und Ver­waltung in Berlin statt. Deutschland sicher im Netz prä­sen­tiert auf der PITS einen Impuls­vortrag durch Geschäfts­führer Herrn Dr. Michael Littger am ersten Kon­fe­renztag mit anschlie­ßender Mode­ration des Exper­ten­blocks “IT-Sicher­heits­­­gesetz 2.0 Und mit 2.0 wird alles besser?” am zweiten Kon­gresstag mit Dr. Ortner als einem der Experten auf dem Panel.