Österreich
Secure Your Business
 

„Manager-Verantwortung bei Wirtschaftskriminalität
und Datenpannen“
 

Kommentar von RA Dr. Markus Frank, Trainer im Rahmen des CIS-Lehrgangs für IS-Manager
 

(NL Juni 2010) - Frank _ h130Sicherheitssysteme beugen Datenpannen vor und verringern die Erfolgsaussichten von kriminellen Attacken. Die Dokumentation gemäß eines zertifizierten Informationssicherheitssystems nach ISO/IEC 27001 liefert auch die Basis für die interne Rekonstruktion von Schadensursachen. Diese oft sehr schwierige Aufklärung benötigt das geschädigte Unternehmen für die Durchsetzung von Ansprüchen gegen Schädiger und für die Abwehr von Forderungen und Strafen.
 

Wirtschaftskriminalität

Kriminelle Attacken gegen Unternehmen sind vor allem Industriespionage und Produktpiraterie, Betrug, Untreue, Unterschlagung, Korruption, Bestechung, Fälschung, auch Versicherungsbetrug, Prozessbetrug, Missbrauch von Marktmacht, Geldwäsche, Insiderhandel usw. Solche Vorfälle werden häufig geheim gehalten, um das betroffene Unternehmen nicht noch weiter zu schädigen. In der Öffentlichkeit bekannt geworden sind in jüngster Zeit vor allem kriminelle Attacken gegen Kreditinstitute und Versicherungen: Die „Steuer-CDs“ in Deutschland oder die in Frankreich aufgetauchten Daten von Bankkunden der HSBC in der Schweiz. Geldstrafen von gesamt 3,7 Mio Euro wegen fahrlässigen Umgangs mit Kundendaten mussten drei HSBC-Töchter zahlen. Kunden haben Schadenersatz in Millionenhöhe gefordert. Die Reputation litt aufgrund monatelanger Medienberichterstattung.
 

Datenpannen durch Sorglosigkeit
Als Datenpannen definiere ich hier schädliche Datenübertragung, Datenverlust und Datenveränderung ohne kriminelle Absicht: Unvergesslich etwa das „Porno-Banker“-Video auf you-tube mit über vier Millionen Zugriffen. Bekannt wurde auch der Erpressungsversuch gegen die BKK, die größte deutsche Betriebskrankenkasse. Gesundheitsdaten von tausenden BKK-Kunden waren durch Sorglosigkeit in den Besitz eines Mitarbeiters eines externen Dienstleisters gelangt, der dann hohe Zahlungen für die „Unterlassung der Veröffentlichung der Daten“ gefordert hat. Gelegenheit macht den Dieb! Deshalb gilt es, gefährliche Gelegenheiten auszuschalten und mit entsprechender Vorsorge und Sorgfalt ist dies – weitgehend – tatsächlich möglich.
 


Zum Schutz von Daten in jedem Unternehmen in Österreich, gleichgültig aus welcher Branche, verlangt etwa § 14 Datenschutzgesetz die Einrichtung eines angemessenen IT-Sicherheitssystems.



Haftung der Manager
Wenn die „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsführers“ außer Acht gelassen wurde und das Unternehmen einen Großschaden erleidet, kann auch das oberste Management persönliche Konsequenzen erleiden – „Rausschmiss“, Reputationsverlust, persönliche Schadenersatzhaftung, sogar strafrechtliche Folgen. Manager sind dafür verantwortlich, eine geeignete Organisation in ihrem Unternehmen einzurichten, um es vor schweren Schäden zu schützen. Zum Schutz von Daten in jedem Unternehmen in Österreich, gleichgültig aus welcher Branche, verlangt etwa § 14 Datenschutzgesetz die Einrichtung eines angemessenen IT-Sicherheitssystems.


Vorbeugende Schutzsysteme 
Ein wirksames Sicherheitssystem beugt fahrlässig verursachten Schäden vor und verringert auch die Erfolgsaussichten von kriminellen Attacken. Soll das von einer kriminellen Attacke oder einer Panne getroffene Unternehmen Schadenersatz eintreiben oder weitere Schäden abwehren, muss es häufig beweisen, dass ein angemessenes Sicherheitssystem eingerichtet war. International anerkannte ISO-Richtlinien beschreiben geeignete Schutzsysteme. Mit einem entsprechenden ISO-27001-Zertifikat erbringt die Geschäftsleitung im Schadensfall den Beweis, dass ein Schutzsystem für Informationen eingerichtet war, dessen Angemessenheit von unabhängigen Spezialisten geprüft und bestätigt worden ist. Dieser Sorgfaltsnachweis kann neben der Abwehr von Rechtsfolgen auch den Imageschaden für das Unternehmen verringern. Dieser Nachweis der Sorgfalt hilft auch, das Management vor persönlichen Konsequenzen zu schützen.
 


Nicht selten weiß das geschädigte Unternehmen zwar, dass es „betrogen“ wurde, kann dies aber nicht konkret beweisen.


 

Aufklärung im Nachhinein
Um Forderungen gegen Schädiger durchzusetzen oder betrügerische Forderungen abzuwehren, kann es nötig sein, die Schadensursache zu klären und das Verschulden des Gegners zu beweisen. Nicht selten weiß das geschädigte Unternehmen zwar, dass es „betrogen“ wurde, kann dies aber nicht konkret beweisen. Dann muss der komplexe Sachverhalt detailliert rekonstruiert werden. Die Dokumentation aufgrund der ISO-konformen Prozesse – für den Bereich Informationssicherheit die ISO 27001 – liefert dazu häufig die wesentliche Basis-Information. Manchmal sind weitere Beweismittel zugänglich, die in den Händen Dritter oder des Schädigers sind. Häufig sind verschiedene unterstützende Fachbereiche gefordert wie Rechtsanwalt, Wirtschaftsprüfer, Techniker, Chemiker, Mediziner oder Detektiv. Vieles hängt dabei vom Koordinator des Untersuchungsteams ab. Er muss für die übrigen Spezialisten nicht nur die für sie jeweils wesentlichen rekonstruierten Sachverhalte aufbereiten, sondern ihnen auch die rechtlich wesentlichen Aufgaben und Fragen stellen.
 

„Lebensrettende“ Dokumentation für den Indizien-Beweis
Kann die Schadenursache oder die kriminelle Handlung trotz allem nicht voll bewiesen werden, so kann dennoch – auch im Gerichtsverfahren – eine Indizien-Beweisführung ausreichen. Der Indizien-Beweis erfordert akribische Vorbereitung und vor Gericht ein aufwändiges Beweisverfahren. Ausreichende Dokumentation gemäß ISO 27001 kann hier „lebensrettend“ sein.



Rechtsanwalt Dr. Markus Frank legt besonderes Schwergewicht auf die investigative (inter-disziplinäre) Rekonstruktion von Schadenshistorie und -ursachen bei Wirtschaftsdelikten und (behaupteten) Vertragsverletzungen, um Ansprüche durchzusetzen oder abzuwehren. Im Rahmen des CIS-Lehrgangs „IS-Manager nach ISO 27001“ vermittelt er rechtliche Aspekte in der Informationssicherheit. 
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB