IT-Sicherheitstag IHK NRW IT-Security: Rechtliche Aspekte ... · Die Unternehmensleitung ist...

IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit

IT-Sicherheitstag IHK NRW IT-Security: Rechtliche Aspekte der Daten- & Informationssicherheit

1. Dezember 2016


Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Vorstellung Warth & Klein Grant Thornton

1


© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten. 2

Warth & Klein Grant Thornton im Profil Grant Thornton International Ltd. Grant Thornton International ist eine der weltweit führenden Organisationen

unabhängiger Wirtschaftsprüfungs- und Beratungsgesellschaften mit einem Jahresumsatz von US$ 4,5 Mrd.

Wir sind dort, wo Sie sind: Mit über 40.000 Mitarbeitern in 134 Ländern und 700 Standorten weltweit ist Grant Thornton in allen wesentlichen Wirtschaftszentren vertreten. Frankfurt am Main

Düsseldorf Viersen

Hamburg

München Stuttgart

Leipzig

Warth & Klein Grant Thornton AG Deutsches Mitgliedsunternehmen von Grant

Thornton International Ltd. Umsatz von € 85,9 Millionen 92 Partner, insgesamt ca. 800 Mitarbeiter 10 Niederlassungen deutschlandweit

Ranked most active corporate finance adviser 2012

(Thomson Reuters Small Cap)

Private Client Practitioner Top 25 Most Admired Companies

2012, 2011, 2010

International Accounting Bulletin Network of the

Year 2013

Aachen Dresden

Wiesbaden



Rechtliche Aspekte der Daten- und Informationssicherheit

Frage: Ist die Einhaltung der Daten- und Informationssicherheit eine Rechtspflicht?



Ausgangssituation

Rechtspflichten werden heute allgemein unter dem Begriff Compliance betrachtet: Compliance ist die Einhaltung aller Gesetze, Verordnungen und Richtlinien sowie von vertraglichen Verpflichtungen und freiwillig

eingegangenen Selbstverpflichtungen

Compliance Management System (CMS) Gesamtheit der im Unternehmen eingerichteten Maßnahmen und Prozesse, um Regelkonformität

sicherzustellen



Compliance Management (1/2)

Ziel eines Compliance Management Systems ist

die Rechtskonformität des Unternehmens sowie seiner Mitarbeiter und somit Vorsorge vor Straftaten wie Betrug, Veruntreuung, Korruption, etc.

die Einhaltung von Unternehmensrichtlinien und Direktiven, die der Risikominimierung dienen (z.B. im Bereich IT-Security)

die Beachtung von Unternehmenswerten (Verhaltenskodex)

mit dem Ziel eines möglichst geringen Schadens im Falle eines dennoch auftretenden Verstoßes



Stichwort: möglichst geringer Schaden als Zielsetzung

§ 43 GmbHG

(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.

Compliance Management (2/2)

Konsequenz: Wenn die Verletzung von Rechtspflichten zu Schäden führt und die Unternehmensleitung gleichzeitig verpflichtet ist, Schäden für das Unternehmen zu verhindern, bedeutet dies, dass die Unternehmensleitung die Verletzung von Rechtspflichten möglichst verhindern muss.

Geeignetes Instrument dafür: Ein Compliance Management System



Gesetzliche Rahmenbedingungen

Leitungsgremien sind verpflichtet, durch eine angemessene Compliance-Organisation dafür zu sorgen, dass die für ihr Geschäft wesentlichen Rechtspflichten beachtet werden

§ 93 AktG; § 43 GmbHG § 130 OWiG

zur Vermeidung von Compliance Risiken

Compliance - Organisation

eingebettet in die Betriebsorganisation, insbesondere Risikomanagement und Interne Revision mit wirksamen Compliance-Maßnahmen


© 2016 Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft - Alle Rechte vorbehalten.

IT Compliance

Allgemeine Vorgaben für Unternehmen, z.B.: IT-Sicherheitsgesetz (ITSiG) Informationssicherheit: § 257 HGB, TKG Datenschutz: BDSG, EU-Datenschutz-Grundverordnung (ab 2018) Software-Lizenzierung: § 69a UrhG Fristen für Datenaufbewahrung: § 257 HGB Steuerlich relevante Dokumente: §§ 146, 147 AO iVm. GoBD Branchenspezifische Regularien, z.B.: Basel II (iVm. MA Risk) MA Risk IT SOX

IT-Compliance ist die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft

8



IT Compliance – Einbettung im Unternehmen

Die Gewährleistung der IT-Compliance liegt in der Verantwortung der Unternehmensleitung. Die Ausführung übernehmen im Allgemeinen die Fachabteilung und die Compliance-Abteilung gemeinsam. Im Falle einer Übertragung der Aufgaben ist die Unternehmensleitung verpflichtet, den Beauftragten sorgfältig auszuwählen, ihn richtig zu instruieren und zu kontrollieren. Zudem muss sie sicherstellen, dass ihr rechtzeitig über alle relevanten Vorgänge berichtet wird.

9



Aufsichtspflichten nach OWiG Keine Strafbarkeit des Unternehmens, aber bei “nicht gehöriger Aufsicht” ordnungswidrigkeitsrechtliche

Haftung

Haupttat: Straf- oder bußgeldbewehrte Pflichtverletzung durch einen x-beliebigen

Betriebsangehörigen

Tat auf Unternehmensebene: Unterlassen der gehörigen Aufsicht + Kausalität zwischen Unterlassen der gehörigen Aufsicht und der Haupttat, durch eine verantwortlich handelnde

Leitungsperson (Organ / Beauftragter)

Haftungsfolge für das Unternehmen: Zurechnung der Aufsichtspflichtver-

letzung, Geldbuße bis zu 10 Mio. Euro (§30 Abs. 2 Nr. 1 OWiG)

Haftungsfolge für Organe / Beauftragte:

Geldbuße bis zu einer Mio. Euro (§130 Abs. 3 S. 1 OWiG)



Bedeutung für das Thema IT-Sicherheit:

Die Unternehmensleitung ist gesetzlich verpflichtet, etwaige Schäden, die sich im Zusammenhang mit IT-Security ergeben können, abzuwenden.



Risiken bei Compliance-Verstößen

Compliance-Risiko Drohen eines Schadenseintritts in einem von der

Compliance-Organisation zu verantwortenden Risikobereich

Risikoquelle kann grundsätzlich jeder Unternehmensprozess innerhalb des definierten

Risikobereichs sein

Unternehmen

Finanzieller Schaden

Operativer Schaden

Reputations-schaden

Individuum (Gesellschaftsorgane)

Schadensersatz-pflicht Bußgeld/Strafe


Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Risikominimierung & Schadensabwendung: Notwendige Vorgehensweise

13



Notwendige Vorgehensweise 1. Durchführung eines Risk Assessments, Ziel: strukturierte Aufnahme der Bruttorisiken

2. Analyse der im Unternehmen bereits vorhandenen Maßnahmen zur Risikoreduzierung, Ermittlung des Nettorisikos

3. Analyse möglicher weiterer Maßnahmen zur Risikominimierung

4. Abwägung der Risiken und möglichen Gegensteuerungsmaßnahmen, Entscheidung der Unternehmensleitung („Business Judgement Rule“)

5. Umsetzung etwaiger weiterer Maßnahmen (z.B. Richtlinien, Schulungen etc.)


Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Titel durch Klicken hinzufügen Beispiel: Risk Assessment zur IT-Sicherheit

15



Beispielsunternehmen

Kuchenbäcker GmbH & Co. KG

35 Mitarbeiter in Verwaltung, Einkauf & Vertrieb

70 Mitarbeiter in der Produktion, Produktionsstandort Deutschland

Traditionsunternehmen mit rund 100-jähriger Geschichte

Besonderes Merkmal: Produktion eines europaweit bekannten Keksproduktes, hier Teil-Marktführer in Deutschland

16



Risk Assessment

17



Risk Assessment

18



Der reale Fall – was ist passiert? Die Produktionsingenieure der Keksfabrik sind ursprünglich gefragt worden:

− Was könnte bei einer Cyberattacke schlimmstenfalls passieren? − Antwort: „Versalzener Keksteig". Mehr als der Verlust einer Tagesproduktion sei durch

eine bösartige Manipulation nicht zu erwarten

Tatsächlich sind dann Unbekannte in das Netzwerk der Keksfabrik eingedrungen. Die von den Angreifern verwendete Software legte die SPS-Systeme (Speicherprogrammierbare Steuerung) der Fabrik lahm. Folge: Die Produktion brach zusammen, vorproduzierter Teig trocknete in den Transportrohren ein. Die Verstopfungen waren so hartnäckig, dass die Rohre schließlich herausgeschnitten und neue Rohre eingesetzt werden mussten

Konsequenz: − hoher finanzieller Schaden wegen Produktionsausfall, Reparaturmaßnahmen, Lieferverzö-

gerungen, spätere Mehrkosten durch Überstunden, um die Produktion nachzuholen − Hoher operativer Schaden wegen vollständigem Produktionsausfall und späteren

Überstunden − Reputationsschaden insbesondere bei den Kunden wegen der erheblichen

Lieferverzögerung

19



Erkenntnis Das Beispiel der Keksfabrik zeigt:

− IT-Experten und Produktionsfachleute gehen bei ihren Risikoanalysen unterschiedlich vor: Für Produktionstechniker gehören Fehlfunktionen zum Alltag, bösartige Manipulationen hingegen nicht. Konsequenz: Ein aus IT-Sicht unzureichendes Schutzkonzept

− Deshalb: Risikoanalysen sollten mit der gesamten 1. und 2. Führungsebene des Unternehmens gemeinsam durchgeführt werden

Laut FU Berlin waren Anfang August 2015 rund 28.000 SPS-Systeme für jedermann völlig ungeschützt im Internet erreichbar. Angreifer mit kriminellem Hintergrund können mit Hilfe sog. SPS-Rootkits eigene Kommandos an die Steuergeräte weitergeben und so ganze Fabriken manipulieren

ABER: Nach dem Eindringen in das System bedarf es in der Regel noch eines technischen / chemischen etc. Fachwissens zur Beeinflussung der Produktion

20



Zusammenfassung Die Unternehmensleitung ist verpflichtet, Schaden vom Unternehmen abzuwenden

Eine nachlässige IT-Security birgt hohes Schadenspotential für das Unternehmen

Daher sollte dem Thema IT-Security mit einer strukturierten Risikoanalyse, z.B. im Rahmen eines funktionierenden Compliance Management Systems, begegnet werden

Nach der Risikoanalyse folgen:

die Analyse von Gegensteuerungsmaßnahmen

Umsetzung der beschlossenen Maßnahmen

Definition von Zuständigkeiten

Festlegung von Kontrollhandlungen und Prüfungsrhythmen

Bearbeitung von Hinweisen auf Complianceverstöße

Regelmäßiges Reporting an die Geschäftsleitung

Mindestens jährliche Wiederholung der Risikoanalyse

21


Warth & Klein Grant Thornton AG Wirtschaftsprüfungsgesellschaft

Warth & Klein Grant Thornton AG ist ein Mitgliedsunternehmen von Grant Thornton International Ltd. (Grant Thornton International). Die Bezeichnung Grant Thornton bezieht sich auf Grant Thornton International oder eines ihrer Mitgliedsunternehmen. Grant Thornton International und die Mitgliedsunternehmen sind keine weltweite Partnerschaft. Jedes Mitgliedsunternehmen erbringt seine Dienstleistungen eigenverantwortlich und unabhängig von Grant Thornton International oder anderen Mitgliedsunternehmen.

wkgt.com


IT-Sicherheitstag IHK NRW IT-Security: Rechtliche Aspekte ... · Die Unternehmensleitung ist...

Documents

Transcript of IT-Sicherheitstag IHK NRW IT-Security: Rechtliche Aspekte ... · Die Unternehmensleitung ist...