Aktuell in der CR

Nutzung von Cloud Services im Unternehmen – Verantwortlichkeiten für die IT-Sicherheit (Schultz/Sarre, CR 2022, 281)

Cyberangriffe haben weiterhin eine stark steigende Tendenz. In vielen Unternehmen werden solche Angriffe mittlerweile als ernstzunehmende Bedrohung wahrgenommen, weil die (vor allem wirtschaftlichen) Schäden durch Malware und manuelle Hackerangriffe mittlerweile bestandsgefährdende Ausmaße annehmen können. Die einschlägigen gesetzlichen Regelungen stellen klar, dass der sachgerechte Umgang mit Cyberrisiken beim Cloud Computing zu den unabweisbaren Compliance- und Bestandssicherungspflichten jeder Unternehmensleitung gehört (I.). Die Schwierigkeit besteht jedoch darin, schon aus Kostengründen das richtige „Maß an Sicherheit“ umzusetzen, also eine angemessene Balance zu finden. Um diesbezüglich die richtigen Entscheidungen treffen zu können, ist eine technische Betrachtung dessen, was IT-Sicherheit in komplexen Cloud-basierten Systemen und Services“ bedeutet, unerlässlich (II).


INHALTSVERZEICHNIS:

I. Der Einsatz sicherer Informationstechnologie im Unternehmen als Compliance-Pflicht der Geschäftsleitung

1. Rechtliche Grundlagen

2. Compliance-Pflichten: Risikovorsorgepflichten in Bezug auf bestandsgefährdende Entwicklungen und Ermessensrahmen

a) Bestandsgefährdende Entwicklungen

b) Risikovorsorgepflicht und Ermessensrahmen

II. Was ist „sichere“ Informationstechnologie im Unternehmenskontext?

1. Praxisnahe Definition von „IT-Sicherheit“

2. Schutzbedarfsfeststellung

3. Schwellwertanalyse

4. Sicherheitslücken

5. Unsichere IT-Systeme und Sicherheitsvorfälle

III. Entstehung und Gewährleistung von Sicherheit

1. Baulich-physische Absicherung

2. „Sichere“ IT-Infrastruktur

3. Organisatorische Maßnahmen

4. „Sichere“ Software und deren Betrieb

IV. Cloud Services

1. Vertragstypologische Einordnung von Cloud Services

2. Shared Responsibility (geteilte bzw. gemeinsame Verantwortlichkeiten)

a) Technische Sicht

b) Rechtliche Sicht

aa) Verteidigungsargument „Höhere Gewalt“

bb) Sphärentheorie

3. IT-Sicherheit von Cloud Services nach dem Stand der Technik

a) Die Relativität des Gattungsbegriffs

aa) Vorrang des subjektiven Maßstabs

bb) Allgemeine und spezielle unternehmerische Vertragszwecke

b) Gattungsmerkmal „Jeweiliger und anwendbarer Stand der Technik“

aa) Stand der Technik

bb) Handelsbrauch

c) Qualitätsmaßstab innerhalb der bestimmten Gattung

d) Vertragliche Vereinbarungen

4. Erhaltungspflicht nach § 535 BGB

a) Abgrenzung eines Mangels vom Verwendungsrisiko

b) Fälligkeit von Sicherheitsaktualisierungen

c) Verantwortlichkeit zwischen dem Bekanntwerden einer neuen Angriffsmöglichkeit und der Bereitstellung der Sicherheitsaktualisierung

V. Fazit

 


Leseprobe:

"Eine tiefere Betrachtung ergibt, dass IT-Sicherheit nicht nur bestimmte Merkmale einer Software umfasst, sondern vor allem auch baulich-physische, organisatorische und personelle Aspekte (III.). Bei der Beschäftigung mit rechtlichen Aspekten ergibt sich, dass Anbieter entgegen weit verbreiteter Ansicht für die Sicherheit der von ihnen technisch verantworteten Komponenten haften. Eine Berufung auf die Üblichkeit von Sicherheitslücken verbietet sich ebenso, wie auf „von außen kommende Ereignisse“. (IV.). Zusammen mit der Tatsache, dass IT-Sicherheit nie zu 100 % gewährleistet werden kann, kann das Fazit gezogen werden, dass sich das geschuldete Niveau nach dem jeweiligen und anwendbaren Stand der Technik richten muss, wenn die Vertragspartner keine detaillierte Vereinbarung hinsichtlich der Umsetzung der IT-Sicherheit getroffen haben (V). Da dies auch über eine längere Vertragslaufzeit hinweg gelten muss, kann sich das Sicherheitsniveau nicht nur nach den Verhältnissen bei Vertragsbeginn richten, sondern ist ständig anzupassen.
 

I. Der Einsatz sicherer Informationstechnologie im Unternehmen als Compliance-Pflicht der Geschäftsleitung
 
1. Rechtliche Grundlagen
1

Aus den §§ 76, 91 Abs. 2, 93 Abs. 1 AktG ergibt sich die Verpflichtung des Vorstands einer AG zur Einhaltung der Gesetze und zur Risikovorsorge im Hinblick auf bestandsgefährdende Entwicklungen (Legalitätspflicht und Pflicht zur sorgfältigen Unternehmensführung).

2

Die mit Art. 1 Nr. 9 KontTraG im Jahr 1998 in das AktG eingeführte Risikovorsorgepflicht ist Ausdruck einer finanzökonomischen Perspektive 1 und auf den Fortbestand der AG und die Interessen der Aktionäre und Arbeitnehmer 2 gerichtet. Ergänzt werden diese Pflichten durch die Grundsätze zur Sorgfaltspflicht eines ordentlichen Kaufmanns 3 nach § 347 Abs. 1 HGB, die die allgemeinen Sorgfaltsanforderungen des § 276 BGB zugunsten der Vertragspartner des Unternehmers konkretisieren. 4 Auf andere Gesellschaftsformen haben die Vorschriften aus dem AktG nach wohl h.M. 5 eine „Ausstrahlungswirkung“, insbesondere für die GmbH über § 43 Abs. 1 GmbHG. Eine Konkretisierung der genannten Pflichten ist im Einzelfall unter Beachtung des unternehmerischen Ermessensspielraums gem. § 93 Abs. 1 Satz 2 AktG vorzunehmen. 6 Steigende Risiken in Bezug auf Cybersicherheit 7 beschränken diesen Spielraum jedoch bei der Auswahl informationstechnischer Systeme für das jeweilige Unternehmen zunehmend.
 

2. Compliance-Pflichten: Risikovorsorgepflichten in Bezug auf bestandsgefährdende Entwicklungen und Ermessensrahmen
 
a) Bestandsgefährdende Entwicklungen
3

Von einer bestandsgefährdenden Entwicklung ist auszugehen, wenn das Eigenkapital der Gesellschaft verzehrt wird (Überschuldung), oder bei drohender Illiquidität, die sich daraus ergibt, dass die für den Finanzmarkt erforderlichen Mindestanforderungen an das Rating nicht mehr gewährleistet sind. 8

4

Das Rating drückt die Ausfallwahrscheinlichkeit und damit die Bonität eines Unternehmens aus. Es beruht auf Ratingkriterien, zu denen neben der allgemeinen Finanzlage mittlerweile auch die IT-Sicherheit 9 des Unternehmens gehört. 10 Ein niedriges Niveau der IT-Sicherheit geht mit Risiken einher, zu deren Deckung Risikokapital vorgehalten werden muss, welches nicht gewinnbringend genutzt werden kann. Sehr ausgeprägte Sicherheitsmaßnahmen 11 reduzieren zwar die notwendige Risikodeckung, führen jedoch dazu, dass die dafür aufgewandten Mittel für die Wahrnehmung unternehmerischer Chancen nicht zur Verfügung stehen. Beide Varianten beeinträchtigen somit die Kapitaldienstfähigkeit des Unternehmens 12 und damit den Zugang zum Kapitalmarkt. Je ausgewogener das Verhältnis zwischen Risikodeckung und Chancenwahrnehmung ist, desto solider und profitabler ist ein Unternehmen mit den entsprechenden Auswirkungen auf seine Bonität und den Kapitalmarkt.

5

Aber nicht nur Banken, Cyberversicherungen und Investoren beobachten IT-Risiken bei Geschäftspartnern. Cyber-Sicherheits-Ratings gewinnen bei der Bewertung des Risikos bestehender und neuer Geschäftsbeziehungen zunehmend an Bedeutung 13 – nicht zuletzt, weil mit dem Fortschreiten der digitalen Transformation auch die mit komplexen Lieferketten 14 in Verbindung stehenden Risiken anwachsen. Auf niedrigem Cyber-Sicherheits-Rating oder entsprechenden Pressemitteilungen beruhender Rückgang der Geschäftstätigkeit (z.B. durch „Lieferanten-Delisting“) kann auf die Finanzlage des Unternehmens größeren Einfluss haben, als unmittelbare Schäden durch den erfolgreichen Angriff selbst. 15 Insgesamt haben sie das Potential, ein Unternehmen zu ruinieren. 16
 

b) Risikovorsorgepflicht und Ermessensrahmen
6

Unternehmen geben sich i.d.R. ein Zielrating, das ihnen den Zugang zum Kapitalmarkt (Finanzierungslinien und -konditionen) ermöglicht, den sie benötigen, um die gesetzten Unternehmensziele zu erreichen. 17 Daraus leitet sich die sog. Risikotoleranz ab. Dieser Wert beschreibt die grundsätzliche Bereitschaft des Unternehmens, zur Erreichung angestrebter Geschäftsziele und Wertsteigerungen die damit verbundenen Risiken einzugehen. 18 Daneben lässt sich ein Bonitätswert ermitteln, der den Zugang zu finanziellen Mitteln in existenzgefährdender Weise erschwert. Hieraus leitet sich die Risikotragfähigkeit des Unternehmens ab, also das maximale Risikoausmaß, welches das Unternehmen ohne Gefährdung seines Fortbestands tragen kann. 19 Basis eines jeden Risikomanagements zur Vorsorge im Hinblick auf bestandsgefährdende Entwicklungen ist eine Risikostrategie 20 unter Berücksichtigung der Risikotragfähigkeit und der Risikotoleranz. Innerhalb der Spanne zwischen Risikotragfähigkeit und Risikotoleranz („risk-adjusted comfort zone“ 21 ) bewegt sich der in § 93 Abs. 1 Satz 2 AktG kodifizierte Ermessensspielraum der Geschäftsleitung („Business Judgement Rule“ 22 ). Unternehmerische Entscheidungen müssen unter Abwägung der Chancen und der mit ihnen einhergehenden identifizierten, analysierten und bewerteten Risiken getroffen und dokumentiert werden. 23 Spätestens die aktuelle geopolitische Situation und zunehmende Cyberkriminalität 24 lassen die Einrichtung und Überwachung von Regelungen, die einen strukturierten Umgang mit Risiken im Zusammenhang mit der Nutzung von Informationstechnologie im Unternehmen (IT-Risk-Management) sicherstellen, auch jenseits dieser gesetzlichen Anforderungen für alle Unternehmensformen zu einer betriebswirtschaftlichen Selbstverständlichkeit werden. 25 Dabei genügt es nicht, unter Beachtung der Legalitätspflicht den Schutz personenbezogener Daten sicherzustellen. Auch operative Auswirkungen von IT-Sicherheitsvorfällen wie Eigenschäden, Reputationsschäden, Marktzugangsbarrieren und Fremdschäden sind zu berücksichtigen.
 

II. Was ist „sichere“ Informationstechnologie im Unternehmenskontext?
 
1. Praxisnahe Definition von „IT-Sicherheit“
7

Anwender würden bei der Nutzung von Cloud Services ganz allgemein erwarten, dass..."

Hier direkt weiterlesen im juris PartnerModul IT-Recht



Verlag Dr. Otto Schmidt vom 13.05.2022 11:59

zurück zur vorherigen Seite