IT-Haftung und E-Mail-Unauffindbarkeit

Norbert Funke, Symantec, veranschaulicht IT-Haftungsrisiken anhand des Problems der E-Mail-Unauffindbarkeit
Viele IT-Risiken sind vorhersehbare Risiken - Die Geschäftsleitung ist dafür verantwortlich, alles Notwendige und Angemessene zu tun

Von Norbert Funke, Industry and Business Solutions Marketing Manager, Symantec

(13.02.07) - Dass der Unternehmenserfolg zunehmend von der Informations-Technologie (IT) abhängig ist und dass Unternehmensdaten oft das eigentliche Kapital eines Unternehmens ist, sollte keinen mehr überraschen. Darüber hinaus haben sich heute wichtige Geschäftsprozesse in der IT abgebildet und laufen zunehmend automatisiert und autonom ab. Dies bedeutet aber auch, dass es nicht mehr ausreichend ist, nur die Daten zu schützen, sondern es müssen proaktive Maßnahmen für den Schutz der kompletten IT-Infrastruktur ergriffen werden müssen.

Jedoch können wir immer wieder feststellen, dass besonders auf Geschäftsführer- bzw. Vorstandsebene oft nur ein geringes Wissen über die Verwundbarkeit von IT-Systemen vorhanden ist. Hingegen liegt eine große Sensibilisierung über den Einfluss und die Reichweite von Gesetzen, Regularien, Richtlinien sowie Verordnungen vor. Die Schwierigkeit liegt darin, die Brücke zur IT zu schlagen.

Dabei kann davon ausgegangen werden, dass viele IT-Risiken vorhersehbare Risiken sind und somit die Geschäftsleitung dafür verantwortlich ist, alles Notwendige und Angemessene zu tun, um Haftungsrisiken vom Unternehmen abzuwenden. Im Ernstfall muss die Führungsebene den Beweis antreten, dass sie sich pflichtgemäß verhalten hat. Ist dies nicht der Fall oder wurden die IT-Risiken fahrlässig gehandhabt, müssen Geschäftsführer und Vorstände damit rechnen, dass sie persönlich haftbar gemacht werden. Um den Haftungsrisiken vorzubeugen, sollten Unternehmer für alle IT-gestützten Geschäftsprozesse sowie IT-Systeme ein proaktives Maßnahmenkonzept einführen und dessen Einhaltung kontinuierlich überwachen.

Verdeutlichen wir die Thematik Haftungsrisiko an der Applikation E-Mail (um die Komplexität zu reduzieren). Anzumerken ist, dass eine einzelne Anwendung nicht isoliert zu betrachten ist. Der Ansatz ist auf Geschäftsprozessebene zu suchen. Unternehmen sind zur geordneten Aufbewahrung ihrer Geschäftsunterlagen (hier E-Mails und deren Anhänge) für eine bestimmte Dauer verpflichtet. Wichtig hierbei ist, dass das Aktien- und Handelsgesetzbuch vorschreibt, dass die elektronisch abgelegten Unterlagen während der gesamten Aufbewahrungsfrist jederzeit vorgelegt und lesbar gemacht werden können. Ist dies nicht möglich oder erfolgt die Vorlage nicht rechtzeitig, kann dieses (Unauffindbarkeit) finanzielle oder sogar strafrechtliche Konsequenzen haben.

Beleuchten wir einmal das Problem der E-Mail-Unauffindbarkeit oder Nicht-Reproduzierbarkeit aus IT-Sicht. Der rasante Anstieg von E-Mails und deren Anhängen hat eine direkten Einfluss auf die benötige Speicherkapazität des zentralen E-Mail-Servers. Daher wird in der Regel die maximale Speicherkapazität pro Benutzer limitiert. Ist die Mailbox voll, ist es dem Benutzer nicht mehr möglich, E-Mails zu versenden bzw. zu empfangen. Er wird quasi gezwungen, seine E-Mails und dessen Anhänge vom zentralen Server zu entfernen. Dies geschieht meistens dadurch, dass E-Mails vom Server in ein lokales Repository (unter Microsoft sog. PST File) auf dem Desktop oder Laptop verschoben werden. Faktisch werden die E-Mails aber vom Server gelöscht und können somit auch nicht mehr über eine zentrale Suche identifiziert bzw. reproduziert werden (sie befinden sich außerhalb einer "geordneten" Aufbewahrung).

Eine technische Antwort auf diese Problematik wäre die Einführung eines E-Mail-Archivierungssystems.
Die Vorteile liegen klar auf der Hand, wie z.B.
>> automatische Migration von E-Mails und Anhänge auf ein oft kostengünstigeres sekundäres, zentrales Speichersystem;
>> kontrolliertes Löschen von E-Mails, welche nicht mehr benötigt werden (z.B. Aufbewahrungsfrist abgelaufen) und nicht wegen mangelndem Speicherplatz;
>> firmenübergreifende Suchfunktion mittels eines Index;
>> ermöglicht den Anwendern auf E-Mails zuzugreifen, als wären sie lokal gespeichert, Quoten werden nicht mehr benötigt.

Abschließend noch ein paar Worte zu Regularien und Richtlinien, sowie was aus IT-Sicht gemacht werden kann, um diese einzuhalten.
Tatsache ist, dass fast jedes Unternehmen einem oder mehreren Regularien entsprechen muss. Interessant ist aber, dass in allen Regularien mehr oder weniger drin steht, dass Vorstände und Geschäftsführer erkennbare Risiken im Vorfeld unterdrücken müssen. Sie haben also eine Sorgfaltspflicht.

Was können Unternehmen tun? Z.B. den folgenden vordefinierten Prozess durchlaufen:

1. Regularien auf Frameworks wie z.B. COBIT oder ISO 17799 überführen. Die Frameworks werden dem Anspruch eines IT-spezifischen Kontrollsystems gerecht und berücksichtigen bestehende Revisionsrichtlinien.
2. Danach erfolgt eine weiter "Übersetzung" auf die sog. internen Regeln, welche die zu überwachenden IT-Systeme definieren und die Angaben festhalten, welche Nachweise für die Einhaltung einer Richtlinie gesammelt werden müssen.
3. Im letzten Schritt erfolgt der Abgleich zw. Ist- (über die Nachweise) und Soll-Zustand (Regeln), sowie die Korrektur von Abweichungen. Hierfür kommen entsprechende technische Überwachungssysteme zum Einsatz.

Der Umkehrschluss ist selbstverständlich auch richtig. Das heißt, ausgehend von den Nachweisen kann mittels entsprechender Programme eine Regulariensicht erstellt werden.

Es kann festgestellt werden, dass es nicht an entsprechendem technischen "Werkzeug" fehlt, um den Nachweis für die Sorgfaltspflicht zu erbringen, sondern vielmehr am Bewusstsein dass und wie IT-Systeme sowie Geschäftsprozesse verwundbar sind.

Wo liegen nun die Vorteile bei der Richtlinienkonformität?
>> Die Geschäftsleitung kann durch ein IT-Überwachungssystem Transparenz garantieren und gefährliche Entwicklungen früh erkennen, da IT-Risiken eine bedeutende Teilmenge des gesamten operationellen Risikomanagements geworden ist.
>> Die Dokumentation und der Test von Kontrollen im IT-Umfeld kann weitestgehend automatisiert werden, was zu einem reduzierten Prüfaufwand führt und somit in einem kontrollierten Kostenrahmen abläuft.
>> Regelkonformität und die damit erhöhte Sicherheit ist ein klares Gütesiegel.

(Symantec: ra)