Strafrechtlich könnte dies auch den Vorwurf der Untreue gegen das Management nach sich ziehen – mit den entsprechenden Schadensersatzansprüchen. Denn das Nichteinschreiten gegen Straftaten von Mitarbeitern legt eine Strafbarkeit wegen Untreue mehr als nahe, weil das Management eine Gefahrenquelle gerade im Hinblick auf eine erfolgreiche Cyberattacke geschaffen hat. Für diesen Fall würden das Management und damit das Unternehmen für sämtliche Schäden haften und zwar unabhängig davon, ob das Unternehmen unter das IT-Sicherheitsgesetz fällt oder nicht.
Folgen für die zukünftige IT-Compliance
Die Herstellung und Wahrung angemessener IT-Sicherheit im Unternehmen ist eine zwingende Aufgabe der Unternehmensführung. Die gilt insbesondere auch für den Mittelstand, der die IT-Sicherheit zu verschlafen droht. Grundsätzlich haben alle Unternehmen, nicht nur die Betreiber der sog. Kritischen Infrastruktur, in regelmäßigen Abständen anhand durchzuführender Überprüfungen sicherzustellen, dass die getroffenen IT-Sicherheitsmaßnahmen dem aktuellen Risikoprofil des Unternehmens entsprechen.
Die Erstellung und Implementierung von Richtlinien zur IT-Sicherheit, die regelmäßige Durchführung von Schulungsmaßnahmen für Mitarbeiter und die Sicherstellung der tatsächlichen Einhaltung der geltenden Maßstäbe sind zentrale Bestandteile der Herstellung und Wahrung der IT-Sicherheit eines Unternehmens. Die Unternehmensleitung hat im Fall von sicherheitsrelevanten Pflichtverletzungen die erforderlichen Reaktionsmöglichkeiten zu definieren. Der Arbeitgeber ist nicht zuletzt auch aufgrund des Datenschutz- und des IT-Strafrechts verpflichtet, die erforderlichen Maßnahmen zu ergreifen.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
Das Management hat hier auch die Mitarbeiter im Bereich der gesamten IT – unter Berücksichtigung des Rechts auf informelle Selbstbestimmung bzw. der Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (sog. IT-Grundrecht) und des Datenschutzrechts – angemessen zu überwachen.
Eine objektive Analyse der mit dem Einsatz von Informationstechnologie zusammenhängenden Risiken ist daher zwingend Bestandteil einer ordnungsgemäßen Unternehmensorganisation und dürft schlussendlich auch die positive Geschäftsentwicklung fördern. Für börsennotierte Unternehmen dürfte eine umfassende IT-Compliance daher Kür und Pflicht zugleich sein!