IT-Sicherheitstag IHK NRW IT-Security: Rechtliche Aspekte ... · Die Unternehmensleitung ist...
Transcript of IT-Sicherheitstag IHK NRW IT-Security: Rechtliche Aspekte ... · Die Unternehmensleitung ist...
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
IT-Sicherheitstag IHK NRW IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
1. Dezember 2016
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Vorstellung Warth & Klein Grant Thornton
1
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 2
Warth & Klein Grant Thornton im Profil Grant Thornton International Ltd. Grant Thornton International ist eine der weltweit führenden Organisationen
unabhängiger Wirtschaftsprüfungs- und Beratungsgesellschaften mit einem Jahresumsatz von US$ 4,5 Mrd.
Wir sind dort, wo Sie sind: Mit über 40.000 Mitarbeitern in 134 Ländern und 700 Standorten weltweit ist Grant Thornton in allen wesentlichen Wirtschaftszentren vertreten. Frankfurt am Main
Düsseldorf Viersen
Hamburg
München Stuttgart
Leipzig
Warth & Klein Grant Thornton AG Deutsches Mitgliedsunternehmen von Grant
Thornton International Ltd. Umsatz von € 85,9 Millionen 92 Partner, insgesamt ca. 800 Mitarbeiter 10 Niederlassungen deutschlandweit
Ranked most active corporate finance adviser 2012
(Thomson Reuters Small Cap)
Private Client Practitioner Top 25 Most Admired Companies
2012, 2011, 2010
International Accounting Bulletin Network of the
Year 2013
Aachen Dresden
Wiesbaden
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 3
Rechtliche Aspekte der Daten- und Informationssicherheit
Frage: Ist die Einhaltung der Daten- und Informationssicherheit eine Rechtspflicht?
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 4
Ausgangssituation
Rechtspflichten werden heute allgemein unter dem Begriff Compliance betrachtet: Compliance ist die Einhaltung aller Gesetze, Verordnungen und Richtlinien sowie von vertraglichen Verpflichtungen und freiwillig
eingegangenen Selbstverpflichtungen
Compliance Management System (CMS) Gesamtheit der im Unternehmen eingerichteten Maßnahmen und Prozesse, um Regelkonformität
sicherzustellen
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 5
Compliance Management (1/2)
Ziel eines Compliance Management Systems ist
die Rechtskonformität des Unternehmens sowie seiner Mitarbeiter und somit Vorsorge vor Straftaten wie Betrug, Veruntreuung, Korruption, etc.
die Einhaltung von Unternehmensrichtlinien und Direktiven, die der Risikominimierung dienen (z.B. im Bereich IT-Security)
die Beachtung von Unternehmenswerten (Verhaltenskodex)
mit dem Ziel eines möglichst geringen Schadens im Falle eines dennoch auftretenden Verstoßes
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 6
Stichwort: möglichst geringer Schaden als Zielsetzung
§ 43 GmbHG
(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.
Compliance Management (2/2)
Konsequenz: Wenn die Verletzung von Rechtspflichten zu Schäden führt und die Unternehmensleitung gleichzeitig verpflichtet ist, Schäden für das Unternehmen zu verhindern, bedeutet dies, dass die Unternehmensleitung die Verletzung von Rechtspflichten möglichst verhindern muss.
Geeignetes Instrument dafür: Ein Compliance Management System
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 7
Gesetzliche Rahmenbedingungen
Leitungsgremien sind verpflichtet, durch eine angemessene Compliance-Organisation dafür zu sorgen, dass die für ihr Geschäft wesentlichen Rechtspflichten beachtet werden
§ 93 AktG; § 43 GmbHG § 130 OWiG
zur Vermeidung von Compliance Risiken
Compliance - Organisation
eingebettet in die Betriebsorganisation, insbesondere Risikomanagement und Interne Revision mit wirksamen Compliance-Maßnahmen
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten.
IT Compliance
Allgemeine Vorgaben für Unternehmen, z.B.: IT-Sicherheitsgesetz (ITSiG) Informationssicherheit: § 257 HGB, TKG Datenschutz: BDSG, EU-Datenschutz-Grundverordnung (ab 2018) Software-Lizenzierung: § 69a UrhG Fristen für Datenaufbewahrung: § 257 HGB Steuerlich relevante Dokumente: §§ 146, 147 AO iVm. GoBD Branchenspezifische Regularien, z.B.: Basel II (iVm. MA Risk) MA Risk IT SOX
IT-Compliance ist die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft
8
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten.
IT Compliance – Einbettung im Unternehmen
Die Gewährleistung der IT-Compliance liegt in der Verantwortung der Unternehmensleitung. Die Ausführung übernehmen im Allgemeinen die Fachabteilung und die Compliance-Abteilung gemeinsam. Im Falle einer Übertragung der Aufgaben ist die Unternehmensleitung verpflichtet, den Beauftragten sorgfältig auszuwählen, ihn richtig zu instruieren und zu kontrollieren. Zudem muss sie sicherstellen, dass ihr rechtzeitig über alle relevanten Vorgänge berichtet wird.
9
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 10
Aufsichtspflichten nach OWiG Keine Strafbarkeit des Unternehmens, aber bei “nicht gehöriger Aufsicht” ordnungswidrigkeitsrechtliche
Haftung
Haupttat: Straf- oder bußgeldbewehrte Pflichtverletzung durch einen x-beliebigen
Betriebsangehörigen
Tat auf Unternehmensebene: Unterlassen der gehörigen Aufsicht + Kausalität zwischen Unterlassen der gehörigen Aufsicht und der Haupttat, durch eine verantwortlich handelnde
Leitungsperson (Organ / Beauftragter)
Haftungsfolge für das Unternehmen: Zurechnung der Aufsichtspflichtver-
letzung, Geldbuße bis zu 10 Mio. Euro (§30 Abs. 2 Nr. 1 OWiG)
Haftungsfolge für Organe / Beauftragte:
Geldbuße bis zu einer Mio. Euro (§130 Abs. 3 S. 1 OWiG)
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 11
Bedeutung für das Thema IT-Sicherheit:
Die Unternehmensleitung ist gesetzlich verpflichtet, etwaige Schäden, die sich im Zusammenhang mit IT-Security ergeben können, abzuwenden.
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 12
Risiken bei Compliance-Verstößen
Compliance-Risiko Drohen eines Schadenseintritts in einem von der
Compliance-Organisation zu verantwortenden Risikobereich
Risikoquelle kann grundsätzlich jeder Unternehmensprozess innerhalb des definierten
Risikobereichs sein
Unternehmen
Finanzieller Schaden
Operativer Schaden
Reputations-schaden
Individuum (Gesellschaftsorgane)
Schadensersatz-pflicht Bußgeld/Strafe
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Risikominimierung & Schadensabwendung: Notwendige Vorgehensweise
13
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 14
Notwendige Vorgehensweise 1. Durchführung eines Risk Assessments, Ziel: strukturierte Aufnahme der Bruttorisiken
2. Analyse der im Unternehmen bereits vorhandenen Maßnahmen zur Risikoreduzierung, Ermittlung des Nettorisikos
3. Analyse möglicher weiterer Maßnahmen zur Risikominimierung
4. Abwägung der Risiken und möglichen Gegensteuerungsmaßnahmen, Entscheidung der Unternehmensleitung („Business Judgement Rule“)
5. Umsetzung etwaiger weiterer Maßnahmen (z.B. Richtlinien, Schulungen etc.)
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Beispiel: Risk Assessment zur IT-Sicherheit
15
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten.
Beispielsunternehmen
Kuchenbäcker GmbH & Co. KG
35 Mitarbeiter in Verwaltung, Einkauf & Vertrieb
70 Mitarbeiter in der Produktion, Produktionsstandort Deutschland
Traditionsunternehmen mit rund 100-jähriger Geschichte
Besonderes Merkmal: Produktion eines europaweit bekannten Keksproduktes, hier Teil-Marktführer in Deutschland
16
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten.
Risk Assessment
17
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten.
Risk Assessment
18
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten.
Der reale Fall – was ist passiert? Die Produktionsingenieure der Keksfabrik sind ursprünglich gefragt worden:
− Was könnte bei einer Cyberattacke schlimmstenfalls passieren? − Antwort: „Versalzener Keksteig". Mehr als der Verlust einer Tagesproduktion sei durch
eine bösartige Manipulation nicht zu erwarten
Tatsächlich sind dann Unbekannte in das Netzwerk der Keksfabrik eingedrungen. Die von den Angreifern verwendete Software legte die SPS-Systeme (Speicherprogrammierbare Steuerung) der Fabrik lahm. Folge: Die Produktion brach zusammen, vorproduzierter Teig trocknete in den Transportrohren ein. Die Verstopfungen waren so hartnäckig, dass die Rohre schließlich herausgeschnitten und neue Rohre eingesetzt werden mussten
Konsequenz: − hoher finanzieller Schaden wegen Produktionsausfall, Reparaturmaßnahmen, Lieferverzö-
gerungen, spätere Mehrkosten durch Überstunden, um die Produktion nachzuholen − Hoher operativer Schaden wegen vollständigem Produktionsausfall und späteren
Überstunden − Reputationsschaden insbesondere bei den Kunden wegen der erheblichen
Lieferverzögerung
19
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten.
Erkenntnis Das Beispiel der Keksfabrik zeigt:
− IT-Experten und Produktionsfachleute gehen bei ihren Risikoanalysen unterschiedlich vor: Für Produktionstechniker gehören Fehlfunktionen zum Alltag, bösartige Manipulationen hingegen nicht. Konsequenz: Ein aus IT-Sicht unzureichendes Schutzkonzept
− Deshalb: Risikoanalysen sollten mit der gesamten 1. und 2. Führungsebene des Unternehmens gemeinsam durchgeführt werden
Laut FU Berlin waren Anfang August 2015 rund 28.000 SPS-Systeme für jedermann völlig ungeschützt im Internet erreichbar. Angreifer mit kriminellem Hintergrund können mit Hilfe sog. SPS-Rootkits eigene Kommandos an die Steuergeräte weitergeben und so ganze Fabriken manipulieren
ABER: Nach dem Eindringen in das System bedarf es in der Regel noch eines technischen / chemischen etc. Fachwissens zur Beeinflussung der Produktion
20
IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten.
Zusammenfassung Die Unternehmensleitung ist verpflichtet, Schaden vom Unternehmen abzuwenden
Eine nachlässige IT-Security birgt hohes Schadenspotential für das Unternehmen
Daher sollte dem Thema IT-Security mit einer strukturierten Risikoanalyse, z.B. im Rahmen eines funktionierenden Compliance Management Systems, begegnet werden
Nach der Risikoanalyse folgen:
die Analyse von Gegensteuerungsmaßnahmen
Umsetzung der beschlossenen Maßnahmen
Definition von Zuständigkeiten
Festlegung von Kontrollhandlungen und Prüfungsrhythmen
Bearbeitung von Hinweisen auf Complianceverstöße
Regelmäßiges Reporting an die Geschäftsleitung
Mindestens jährliche Wiederholung der Risikoanalyse
21
© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten.
Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft
Warth & Klein Grant Thornton AG ist ein Mitgliedsunternehmen von Grant Thornton International Ltd. (Grant Thornton International). Die Bezeichnung Grant Thornton bezieht sich auf Grant Thornton International oder eines ihrer Mitgliedsunternehmen. Grant Thornton International und die Mitgliedsunternehmen sind keine weltweite Partnerschaft. Jedes Mitgliedsunternehmen erbringt seine Dienstleistungen eigenverantwortlich und unabhängig von Grant Thornton International oder anderen Mitgliedsunternehmen.
wkgt.com
© 2015 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 22