Laut der Ponemon Institute – SAP Cybersecurity Studie haben 30% der befragten Teilnehmer Niemanden der sich um die Sicherheit der SAP-Systeme kümmert. Auf den weiteren Plätzen werden erst danach die IT-Basis und Security-Teams genannt.
Als Top-Verantwortlicher im Schadensfall sehen 30% Niemanden jedoch wird mit 26% der CIO an zweiter Stelle genannt.
Das wirft nun die Frage auf, wie die Verantwortung für die Sicherheit der SAP-Systeme wirklich aussieht und welche Rolle der CIO dabei spielt?
Dazu schaut man zunächst auf die Gesetzeslage in Deutschland.
Hier besteht die Rechtspflicht zur Gewährleistung einer effizienten IT-Sicherheit. Dies ergibt sich aus der geforderten Einrichtung, Dokumentation und Kontrolle eines aktuellen und effizienten Risikomanagementsystems. Fehlt dies, ist es unvollständig oder ungeeignet oder fehlt auch nur die Dokumentation so bestätigen diverse Gerichtsentscheide (Landgericht München I, Urteil vom 05.04.2007) hier schon einen erheblichen Gesetzesbruch.
Für einen CIO der zugleich auch Vorstand oder Geschäftsführer ist reicht so ein Fall bereits zur außerordentlichen Kündigung und für zivilrechtliche Haftungsansprüche aus.
Zusätzlich sind die viel zitierten Rechtsbestimmungen wie KonTraG, TransPuG, Sarbanes Oxley Act, EuroSOX, APAG, MO-REQ, Basel / Solvency, GoBD zu beachten. Diese fordern umgangssprachlich formuliert einen technisch sicheren Umgang mit Informationen.
In einem Schadensfall der auch wichtige Betriebsdaten betrifft bedeutet dies nun konkret für einen CIO, dass sich Haftungsrisiken nur durch den Nachweis des Einsatzes des jeweils aktuellen Stand der Technik und strikte Umsetzung von Kontroll- und Überwachungsmaßnahmen mindern lassen. Gerichtsurteile (OLG Hamm, 01.12.2003)hierzu verlangen eine zuverlässige IT-Sicherheit für Firmen- und Personendaten.
Die Haftung kann bei der Nutzung von Outsourcing-Angeboten nicht an den Dienstleister übertragen werden.
Der CIO hat somit präventiv und reaktiv bestandsgefährdende Risiken durch ein geeignetes Managementsystem für Informationssicherheit und Notfallmanagement zu gewährleisten. Kann ihm hier eine grob Fahrlässige Verletzung seiner Pflichten nachgewiesen werden, haftet er persönlich. Im Falle einer Vorstands oder Geschäftsführer Position ist die Beweislast sogar umgekehrt.
Datenschutz- und Datensicherheitsrechtliche Organisationspflichten liegen grundsätzlich beim CIO. Fehlende Kontrollmechanismen (wie Patchmanagement oder die sonstige Beseitigung von Sicherheitslücken) oder ein unzureichendes oder unvollständiges Datensicherheitskonzept können zu einer Haftung des CIO führen.
Weiterhin muss er generell für eine Umsetzung der IT-Sicherheit sorgen und effiziente Schutzmechanismen einrichten. Für SAP-Systeme beispielsweise die Härtung der Systeme, das Berechtigungskonzept, Absicherung der Netzwerkschnittstellen, Sicherheit der Custom-ABAP-Entwicklungen usw.
Bei einem Outsourcing der SAP-Systeme hingegen ist der CIO verpflichtet den Dienstleister bezüglich der Datensicherheit zu überwachen und zu kontrollieren.
Aufgrund der gestiegenen Anforderungen der IT-Sicherheit und dem ständig steigenden Bedrohungen (Spionage, Sabotage) muss ein CIO Risiken für die IT-Infrastruktur (und SAP-Systeme) sowie für das geistige Eigentum des Unternehmens frühzeitig erkennen können, um persönliche Haftungsrisiken ( auch Dritten gegenüber) ausschließen zu können.
Hierzu dient die Dokumentation seiner Managementsysteme und seine Berichte an das Top-Management. Zur Bewertung der aktuellen Sicherheit der unternehmenskritischen SAP-Systeme unterstützen den CIO automatisierte Prüfprogramme wie der Werth Auditor. Deren Prüfberichte dienen zugleich zur Dokumentation im Rahmen der Managementsysteme und dem Reporting des CIO an das Top-Management.
Dieser Beitrag stellt eine Zusammenfassung des Artikels Die Haftung des CIO und des IT-Sicherheitsbeauftragten dar.