18.08.2015
IT-Sicherheit: Wenn Geschäftsführer persönlich haften

Fällt die IT nach einem Cyber-Angriff aus, kann die Existenz des gesamten Unternehmens bedroht sein. Entsprechen die IT-Sicherheit und die IT-Notfallplanung nicht den gesetzlichen Vorgaben, kann der Geschäftsführer für eine nicht ausreichende Risiko-Vorsorge haftbar gemacht werden.

Bei den am häufigsten eingesetzten Softwareprodukten treten jeden Tag durchschnittlich zwei neue kritische Schwachstellen auf, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Firewall und Antivirensysteme bieten hier keine ausreichende Sicherheit mehr. Untersuchungen zeigen, dass 93 % der Unternehmen bereits nach einem 10-tägigen Ausfall ihres Rechenzentrums innerhalb eines Jahres Insolvenz anmelden.

Verletzt der Geschäftsführer schuldhaft seine Pflicht zur Gewährleistung einer angemessenen IT-Sicherheit, hat die GmbH nach § 43 Abs. 2 GmbHG gegen ihn persönlich einen Schadensersatzanspruch. Häufig mangelt es an einem belastbaren IT-Sicherheitskonzept und IT-Notfallkonzepte sind oft sehr lückenhaft. „Das kann im Ernstfall zu großen Problemen führen, weil es dem Unternehmen durch die fehlende Vorsorge nicht gelingt, seinen Betrieb rechtzeitig wieder aufzunehmen“, berichtet Axel Roscher, Leiter Qualitäts- und Prozessmanagement bei der envia TEL, aus IT-Sicherheitsaudits, die er regelmäßig in Unternehmen durchführt. Die drei Säulen organisatorische Sicherheit, physische Sicherheit und Redundanz werden nicht genügend untersucht, Schwachstellen nicht erkannt und Risiken unterbewertet.

Die Make-or-Buy-Entscheidung

Fällt bei einem Unternehmen mit Zweigstellen in der Zentrale die IT aus, ist der gesamte Betrieb lahmgelegt. Ein Datacenter-Anbieter wie envia TEL kann hier als zentrale Station fungieren, um für die schnelle Anbindung, Hochverfügbarkeit und Sicherheit des Rechenzentrums jederzeit zu sorgen.

„Das neue Datacenter Leipzig ist für die organisatorische Absicherung nach internationalen Normen zertifiziert. Die Anlagen werden 24 Stunden pro Tag und an 365 Tagen im Jahr überwacht. Alle relevanten Infrastrukturkomponenten sind redundant ausgelegt und auch bei der physischen Sicherheit investieren wir erheblich mehr als dies für ein einzelnes Unternehmen wirtschaftlich wäre“, benennt Roscher die erweiterten Möglichkeiten eines Datacenter-Anbieters. Bei envia TEL verteilen sich die Kosten auf viele Anwender, während der Aufwand für Klimatisierung, Brandschutz und Notfallarchitektur für kleine und mittelständische Unternehmen unwirtschaftlich ist.

Ansprechpartner

Romy Naumann-Kluge