IT-Sicherheit Das müssen Sie wissen!
Transcrição
IT-Sicherheit Das müssen Sie wissen!
IT-Sicherheit Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte puresecurity ™ 2 puresecurity ™ Inhalt 3 Über den Autor ....................................................................2 3 1.0 Mit Sicherheit Recht behalten! .......................................3 1.1 Bedrohungsszenario .....................................................3 3 2.0 Haftungsfragen - Alles was Recht ist! ............................4 2.1 Verkehrssicherungspflichten ..........................................4 2.2 Störerhaftung im Netzwerk, offene W-LAN ....................6 2.3 Szenario und Rechtsfolgen............................................6 2.4 Eigenhaftung der IT-Verantwortlichen.............................7 2.5 TMG-Haftung ................................................................8 3 3.0 Risikomanagement und IT-Compliance..........................8 3.1 KonTraG - Haftung der Geschäftsleitung .......................8 3.2 Anerkannte Standards und Zertifizierung .......................8 3.3 Basel II und die Rechtsfolgen ........................................9 3.4 SOX-Compliance ..........................................................9 3.5 Euro-SOX ....................................................................10 3.6 NPSI - Nationaler Plan Schutz Über den Autor 3 Rechtsanwalt, Kanzlei esb in Stuttgart, spezialisiert auf IT-Recht 3 Seminarleiter Internetrecht, IT-Sicherheit, Datenschutz der Informationsinfrastrukturen ....................................10 3 4.0 Rechtskonformes SSL-Decryption ..............................11 4.1 Zulässigkeitsvoraussetzungen .....................................11 4.2 Best Practice-Beispiel .................................................11 3 Ausbilder für Datenschutzbeauftragte 3 Fachbuchautor „IT-Recht in der Praxis“, Vieweg, 2. Auflage, Juni 2007 3 Lehrbeauftragter der Universität Stuttgart für Medienrecht 3 E-Mail: [email protected] 3 Internet: www.kanzlei.de, www.speichert.de 3 5.0 Mitarbeiterkontrolle versus Datenschutz mit einem Bein im Gefängnis? .....................................12 5.1 Private Nutzung, Fernmeldegeheimnis.........................12 5.2 Dienstliche Nutzung, unerlaubte Privatnutzung ............12 5.2.1 Surfen im Internet ...............................................12 5.2.2 Versendung von E-Mails .....................................12 5.3 Interessenausgleich durch rechtliche Gestaltung .........13 5.4 Mitbestimmung der Betriebs- und Personalräte ...........13 5.5 Betriebs- oder Dienstvereinbarungen...........................13 3 6.0 Anhang .......................................................................15 6.1 Checkliste ...................................................................15 IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte. 3 1.0 Mit Sicherheit Recht behalten! 1.1 Bedrohungsszenario IT-Sicherheit ist eine von Haus aus technisch dominierte Diszi- 3 In einer Aktiengesellschaft mit 5.000 Mitarbeitern arbeitet plin, die jedoch in starkem Umfang organisatorische Maßnah- seit langen Jahren ein qualifizierter Mitarbeiter an einer neuen men erfordert und zwingend die rechtlichen Rahmenbedin- Technologie zur Produktion von Sonnenkollektoren, die dem gungen einhalten muss. Es handelt sich um eine ganzheitliche Unternehmen einen erheblichen Wettbewerbsvorsprung Aufgabe, deren technische, organisatorische und rechtliche sichern wird. Durch den Bau eines Eigenheims gerät der Komponenten in enger Wechselbeziehung miteinander ver- Mitarbeiter in finanzielle Schwierigkeiten, als ein Unbekannter zahnt sind. Die technische Sicherheit etwa durch Firewalls wird an ihn herantritt und ihm größere Geldbeträge für die Her- flankiert von organisatorischen Maßnahmen wie Policies, Nut- ausgabe wichtiger Unterlagen betreffend der neuen Techno- zungsrichtlinien oder Zertifizierungen. Technik und Organisation logie bietet. Der Mitarbeiter erbittet Bedenkzeit und prüft die wiederum werden in Verträgen oder Betriebsvereinbarungen Möglichkeiten, durch eine heimliche „Datensicherung“ über rechtlich gestaltet und umgesetzt. Überdacht wird das System das WAN des Unternehmens an die geforderten Unterlagen von einem verbindlichen Risikomanagement, dass durch die zu gelangen. Leitungsebene des Unternehmens umzusetzen ist. Insgesamt ergibt sich eine vielschichtige Pflichtenstruktur, die sich aus einer breiten Palette von Maßnahmen zusammensetzt. 3 Medienbericht vom 23.05.2006: „Staatsanwaltschaft Köln ermittelt gegen ca. 3.500 P2P-Nutzer. Rund 130 Durchsuchungen wurden im Rahmen einer koordinierten Aktion Daraus ergibt sich eine ausgeprägte Ganzheitlichkeit der Infor- gegen Tauschbörsennutzer heute zeitgleich im gesamten mationssicherheit. Filtersysteme, Firewall, Hard- und Software Bundesgebiet durchgeführt. Zahlreiche PC`s und andere für die IT-Sicherheit unterfallen der Mitbestimmung des Betriebs- Beweismittel wurden beschlagnahmt. Bei den Ermittlungen rates, sofern sie auch zur Mitarbeiterkontrolle geeignet sind. kam eine speziell zu diesem Zweck entwickelte Software Spätestens wenn der Betriebsrat den Einsatz der Sicherheits- zum Einsatz, die innerhalb von zwei Monaten über 800.000 technik sperrt, wird erkennbar, dass die technische Kompo- Datensätze und mehr als 14 Gigabyte Log-Dateien zusam- nente nicht alleine steht, sondern in ein juristisches Regelwerk menstellte. Mit diesen Daten ist es gelungen, die Nutzer zu eingebunden ist. identifizieren.“ 3 Der Mittelstand zeichnet sich durch ein hohes Maß an Die Beispiele lassen sich fortsetzen. Zur Vermeidung von Innovationskraft aus und ist deshalb der größte Know-how- Haftung und Schadensersatz etwa ist nicht allein der Einsatz Träger der deutschen Wirtschaft. „Keine Kleinstadt ohne von Technik, sondern sind insbesondere auch organisatorische Weltmarktführer“. Die notwendige Effizienz, um im globalen Maßnahmen wie Nutzungsrichtlinien, Schulung und Beaufsich- Wettbewerb zu bestehen, ist gewaltig. Der enorme Leistungs- tigung von Mitarbeitern sowie rechtliche Gestaltung in IT-Ver- druck führt oftmals zur Vernachlässigung notwendiger Sicher- trägen und Betriebsvereinbarungen erforderlich. Auch hier zeigt heitsbedürfnisse. Gerade der deutsche Mittelstand mit seinen sich die enge Verzahnung von Technik, Organisation und Recht. Sicherheitslücken gehört deshalb zu den leichten Zielen weltweiter Wirtschaftsspionage. Wenn man so will, optimale Wer diesen Strukturen gerecht wird und das Thema ganzheitlich Voraussetzungen für den Abfluss von Hochtechnologie. umsetzt, hebt die IT-Sicherheit auf die höhere Qualitätsstufe der 3 Ein langjähriger Abteilungsleiter ahnt, dass er zum Quartal- Informationssicherheit im Sinne der Standards nach BSI-Grund- sende aus betrieblichen Gründen die Kündigung erhalten schutz oder ISO 27001. wird. Seine Verärgerung hierüber ist verständlicherweise groß. Als „Abschiedsgeschenk“ möchte er deshalb seinem treulosen Arbeitgeber einen Trojaner hinterlassen, welcher zeitgesteuert einen Monat nach seinem letzten Arbeitstag einige Server lahm legen soll. 4 puresecurity ™ 2.0 Haftungsfragen Alles was Recht ist! 2.1 Verkehrssicherungspflichten Die IT-Verantwortlichen in Unternehmen und Behörden fragen Zum besseren Verständnis der Haftungssystematik ist die ober- sich immer häufiger und dringlicher, inwieweit illegale Vorgänge gerichtliche Rechtsprechung des Bundesgerichtshofes (BGH) und Inhalte zur Mitverantwortung des Arbeitgebers bzw. der zu den Verkehrssicherungspflichten sowie die Vorgaben des Mitarbeiter und Geschäftsleitung führen. KonTraG für ein verbindliches Risikomanagement zu betrachten. Der BGH spricht im Rahmen der Haftungssystematik von Ermittlungsverfahren und Auskunftspflichten Verkehrssicherungspflichten: Seit Anfang 2005 wurden allein ca. 25.000 Strafverfahren wegen illegaler Downloads aus P2P-Netzwerken eingeleitet. Es Wer eine Gefahrenquelle eröffnet oder sich an ihr betei- stellt sich die Frage nach einer möglichen Mitverantwortlichkeit ligt, muss Dritte schützen und hierfür geeignete Schutzmaßnahmen ergreifen. 3 des Unternehmens 3 Die Kommunikationsvorgänge in Intranet und Internet eröff- 3 der Geschäftsleitung nen vielfältige Gefahren, sind also Gefahrenquellen im Sinne 3 der IT-Verantwortlichen, Mitarbeiter für solch illegale und der Verkehrssicherungspflichten strafbare Inhalte und Vorgänge. 3 Die Verkehrssicherungspflichten bestehen im Wesentlichen aus: Bei strafbarem Verhalten ( z.B. illegale Pornografie, raubkopierte Inhalte) erstatten die Geschädigten verstärkt Strafanzeige. Die Behörden versuchen daraufhin die zur Strafverfolgung notwendigen Daten zu ermitteln. Nach der neueren Rechtsprechung werden Auskunftsansprüche der TK-Anbieter (Provider) nach § 89 VI, 113 TKG allgemein anerkannt. Auch der Arbeitgeber wird bei erlaubter Privatnutzung zum TK-Anbieter. Demnach müssen: · Organisationspflichten bezüglich betrieblicher (technischer) Abläufe · Aufsichtspflichten des Arbeitgebers gegenüber seinen Mitarbeitern 3 100%ige Sicherheit kann im Rahmen der Verkehrssicherungspflichten nicht verlangt werden, aber Maßnahmen nach der Verkehrserwartung, die wirtschaftlich zumutbar sind 3 Auch die vertraglichen Schutzpflichten orientieren sich an den Verkehrssicherungspflichten 3 die öffentlichen Provider, die IP-Adresse herausgeben 3 die Arbeitgeber, anhand der IP-Adresse die persönliche Zuordnung zum konkreten Mitarbeiter vornehmen. Solche Ermittlungen der Behörden bringen die Verantwortlichen in den Unternehmen nicht selten in schwierige Situationen, insbesondere wenn die Passwort- bzw. Identitätsverwaltung beim Arbeitgeber so unzureichend ist, dass die persönliche Zuordnung der IP-Adresse auch den Falschen treffen kann. Je sensibler der verfolgte Straftatbestand ist, desto empfindlicher wird ein zu Unrecht beschuldigter Mitarbeiter reagieren. Denn die persönliche Zuordnung der IP-Adresse und Herausgabe der Daten führt zu unmittelbaren Ermittlungsmaßnahmen gegen den Mitarbeiter. IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte. 5 Die Verkehrssicherungspflichten ergeben sich aus Die konkretisierenden Normen werden von der Rechtsprechung einer Vielzahl gesetzlicher und vertraglicher Be- als Maßstab für die angemessenen Sicherungserwartungen stimmungen sowie der Rechtsprechung. Nachfol- herangezogen. Der Umfang der Verkehrssicherungspflichten gend einige Beispiele. bestimmt sich insbesondere nach... 3 Besondere Verschwiegenheitsverpflichtung und eine strafbewehrte Garantenstellung für besonders sensib- 3 den Sicherheitserwartungen der beteiligten Verkehrskreise le Daten 3 der Marktüblichkeit der Sicherheits-Hardware und -Software, · bei Amts-, Berufs- und Privatgeheimnissen, § 203 StGB · bei Geschäfts- und Betriebsgeheimnissen, § 17 UWG · Garantenstellung nach § 13 StGB · begehbar auch durch Unterlassen von Sicherungsmaßnahmen, Verletzung von Sorgfaltspflichten 3 § 25a Abs. 1 Nr. 2 KWG: Kredit- und Finanzinstitute z. B. hinsichtlich der notwendigen Update-Intervalle eines Virenscanners 3 der Quantität der Datenverarbeitung 3 der Gefährlichkeit des Tuns 3 dem Prinzip der Verhältnismäßigkeit, also der Erforderlichkeit und Angemessenheit von Maßnahmen 3 der wirtschaftlichen Zumutbarkeit, also der Größe und Leistungsfähigkeit eines Unternehmens müssen über angemessene Sicherheitsvorkehrungen für die Datenverarbeitung verfügen, diese werden Nach der Rechtsprechung ist im gewerblichen Bereich eine konkretisiert durch Richtlinien des BaFin (MaRisk), zuverlässige, zeitnahe und umfassende Sicherung der IT-Sys- welche ein Risikomanagement für Banken und Fi- teme erforderlich. Ansonsten können betriebliche Brandherde, nanzdienstleister verlangen wie etwa raubkopierte Software oder der strafbare Download 3 Vorgaben der Finanzbehörden nach der GoBS oder von mp3-Files aus P2P-Netzwerken zur Mitverantwortlichkeit GDPdU: Risiken für die steuerlich relevanten Daten- in Unternehmen und Behörden führen. Umgesetzt werden die bestände sind zu vermeiden Pflichten zur Haftungsprävention durch ein Bündel von Maßnah- 3 § 9 BDSG plus Anlage: Die Vorschrift enthält die Grundsätze ordnungsgemäßer Datenverarbeitung, men, bestehend aus Technik, Nutzungsrichtlinien und rechtlicher Gestaltung: also Vorgaben für die technisch-organisatorische Datensicherheit. Es ist ein technisches Sicherheitskonzept zu entwickeln, dass unbefugten Zugriff auf personenbezogene Daten verhindert. Im Einzelnen bedeutet dies: · Zutrittskontrolle: räumliche, physische Sicherung, Authentifizierung · Zugangskontrolle: Passwort, Firewall, Festplattenverschlüsselung · Zugriffskontrolle: effektive, rollenbasierte Rechteverwaltung · Weitergabekontrolle: Datensicherung, Verschlüsselung · Verfügbarkeitskontrolle: Virenschutz, Backup, sichere Archivierung 3 Ganzheitlichkeit: abgestimmter Mix aus technischen, organisatorischen und rechtlichen Maßnahmen 3 Technisch: upgedateter Virenschutz, Archivierung, URL-Filter, Content-, Spam-Filter, etc. 3 Organisatorisch: Zuständigkeits-, Verantwortlichkeitsverteilung, Policy, Nutzungsrichtlinien, Kontrolle der Beschäftigten, etc. 3 Rechtliche Gestaltung: Betriebs-/Dienstvereinbarung, Steuerung durch Verträge, SLA, AGB, etc. 3 Transparenz der Regeln: erzeugt Vertrauen + Warnfunktion mit Lenkungswirkung 6 puresecurity ™ 2.2 Störerhaftung im Netzwerk, offene W-LANs 2.3 Szenario und Rechtsfolgen Das Landgericht Hamburg hat am 26.07.2006 entschieden, 3 Rechtswidrige E-Mail-Anhänge oder Download von dass der Betreiber eines offenen W-LAN für urheberrechts- Mitarbeitern, z. B. Raupkopien, illegale mp3-Files, widrige, strafbare Down- bzw. Uploads aus P2P zumindest im führen zu Strafverfolgungsmaßnahmen im Unterneh- Rahmen der Störerhaftung verantwortlich ist. Bei einem offenen men (Durchsuchung der Geschäftsräume, Beschlag- W-LAN ohne Passwortschutz ist die Datenübertragung nicht nahme von Firmenrechnern, etc.) gesichert. So können z.B. strafbare mp3-Files missbräuchlich 3 Eintragungen von außen im eigenen System, z. B. über das offene W-LAN durch externe Dritte heruntergeladen in Blogs, Gästebücher oder Foren: Gefahr illegaler werden. Im Rechtssinne handelt es sich dabei um ein öffent- Inhalte wie Beleidigungen, Obszönitäten, Persönlich- liches Zugänglichmachen von Musikfiles über P2P. Dem Betrei- keits-, Marken- oder Urheberrechtsverletzungen etc. ber eines W-LAN obliegen umfangreiche Verkehrssicherungspflichten. Wer seine Internetverbindung drahtlos betreibt, muss für die Sicherung des Netzwerkes sorgen, andernfalls verstößt er gegen zumutbare Prüfungspflichten. 3 Fremdinhalte von Dritten (z.B. Kundendaten oder Webspace für Dritte): ebenfalls Gefahr, dass die gehosteten Inhalte illegal sind 3 Jugendschutz bei Minderjährigen, z.B. Azubis oder Praktikanten: Verstoß gegen Jugendschutz, der Das Urteil reiht sich in eine mittlerweile Vielzahl von Entscheidungen ein, welche die Störerhaftung für unsichere Netzwerke Arbeitgeber hat hier eine Garantenstellung 3 Schutz des Persönlichkeitsrechts am Arbeitsplatz oder Plattformen bejahen. So haben etwa auch der BGH oder vor Belästigung, Beleidigung etwa durch Spam oder das OLG Brandenburg jüngst entschieden, dass für Markenpi- E-Mail-Anhänge, konkretisiert z. B. im Beschäftigten- raterie zu Schleuderpreisen auf Internetverkaufsplattformen das schutzgesetz (BeschSG) Auktionshaus haftet. 3 Viren und Spam in Kombination mit Hackerangriffen: Verletzung von… 3 Es besteht eine Vorsorgepflicht gegen bekannte Missstände 3 Der Einsatz von präventiver Filtersoftware ist zumutbare Prüfungspflicht (so auch LG Berlin vom 22.05.2005) 3 Bei eindeutigen Hinweisen (bedingter Vorsatz): Schadensersatzpflicht · Eigentum und Gewerbebetrieb durch Datenbeschädigung oder –verlust · Persönlichkeitsrecht, etwa wenn ein Virus personenbezogene Daten ausspioniert und versendet 3 Verlust von Arbeitszeit, Performance, Bandbreite, Die dargestellte Rechtsprechung ist auf unsichere Netzwerke, Systeme oder Plattformen gleichermaßen anzuwenden. So wird man in Zukunft auch bei offenen Mail-Relays, über die Spamattacken oder Hackerangriffe erfolgen, eine Haftung des Betreibers bejahen müssen. Überträgt man die dargestellten Haftungssysteme auf die spezielle Situation in der IT, so ergibt sich das nachfolgende Haftungsszenario. Verfügbarkeit 3 Bei Verstoß gegen die Pflichten: · mit Verschulden: Schadensersatz und möglicherweise Strafbarkeit des Unternehmens, der Geschäftsleitung und der Mitarbeiter · ohne Verschulden: Störerhaftung, Unterlassung, Abmahnung, Vertragsstrafe 3 Bei Erfüllung der dargestellten Pflichten: präventive Haftungsfreizeichnung, denn für Schäden, die trotz Pflichterfüllung eintreten (= Restrisiko), wird nicht gehaftet IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte. 7 2.4 Eigenhaftung der IT-Verantwortlichen Die Vermeidung persönlicher Eigenhaftung ist für die handeln- Für eine mögliche Strafbarkeit gilt dagegen der Grundsatz der den Mitarbeiter, wie etwa IT-Leiter, Sicherheitsbeauftragte, vollständigen Eigenverantwortung. Ein Arbeitnehmer macht sich Administratoren, sonstige IT-Verantwortliche, ein entscheidender also selbst strafbar, die arbeitsvertragliche Haftungserleichte- Faktor. Hierbei ist zwischen der rung ist nicht anwendbar. Auch gilt kein Befehlsnotstand, so dass ein Mitarbeiter, der auf Anweisung seines Vorgesetzten 3 zivilrechtlichen (Schadensersatz), handelt deswegen nicht gerechtfertigt ist. 3 arbeitsrechtlichen (Abmahnung, Kündigung) 3 und strafrechtlichen (Geld- oder Freiheitsstrafe) Strafbarkeit ist möglich, etwa nach § 206 StGB oder nach BDSG: Haftung zu unterscheiden. 3 fahrlässige Verletzung: Ordnungswidrigkeit, bis 250.000 EUR Bußgeld Aus dem Arbeitsverhältnis treffen grundsätzlich jeden Mitarbeiter sog. arbeitsvertragliche Nebenpflichten 3 Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten 3 als Sorgfaltsmaßstab gilt ein besonnener Mensch mit durch- 3 bei Übermitteln/Abrufen gegen Entgelt oder Bereicherungs-/ Schädigungsabsicht liegt eine Straftat vor Nicht von der Haftungserleichterung erfasst sind auch die Sanktionen der Abmahnung oder Kündigung, welche bei Pflichtverstößen des Mitarbeiters stets eintreten können. schnittlichen Fähigkeiten in der Situation des Arbeitnehmers 3 also individuell unterschiedlich: höhere Sorgfaltsanforderungen an leitende Mitarbeiter 3 Beweislast des Arbeitgebers, § 619a BGB Zur Vermeidung von Eigenhaftung kann ein verantwortlicher Mitarbeiter nachfolgende Eigenschutzmaßnahmen ergreifen Schadensersatzansprüche des Arbeitgebers wegen Verletzung 3 gewissenhafte Aufgabenerfüllung der arbeitsvertraglichen Nebenpflichten sind in der Praxis nicht 3 regelmäßige Information der Geschäftsleitung über häufig, aber möglich. mögliche Risiken 3 Lösungsvorschläge für Sicherheitsmängel erarbeiten, Aufgrund der Fremdbestimmtheit der Arbeitsleistung trägt der Arbeitgeber das Unternehmensrisiko. Für Tätigkeiten mit erhöhtem Risiko gelten deshalb nach der Rechtsprechung des Projekte vorschlagen, angemessenes Budget beantragen 3 Hinzuziehung externer Berater BAG die Grundsätze zur schadensgeneigten Tätigkeit: Reaktion der IT-Verantwortlichen bei Ablehnung 3 Für vorsätzliches/grobfahrlässiges Verhalten: volle Haftung des Mitarbeiters 3 Mittlere Fahrlässigkeit: Schadensteilung zwischen Arbeitgeber und Mitarbeiter 3 Leichte Fahrlässigkeit: keine Haftung des Mitarbeiters der vorgeschlagenen Maßnahmen durch die Geschäftleitung 3 Risiken erneut aufzeigen 3 Ablehnung und eigenes Verhalten protokollieren und dokumentieren, etwa durch Besprechungsprotokolle oder schriftliche Fixierung in Briefen Diese Haftungserleichterung für den Mitarbeiter gilt grundsätz- 3 Mitwisser schaffen oder E-Mail mit Cc lich nur im Verhältnis zum Arbeitgeber. Im Verhältnis zu geschä- 3 Schriftliche Bestätigung einfordern digten Dritten besteht ein Freistellungsanspruch des Arbeitneh- Konsequenz: Verlagerung der Verantwortlichkeit mers gegen den Arbeitgeber. auf die vorgesetzte Ebene 8 puresecurity ™ 2.5 TMG-Haftung Der Gesetzgeber unterscheidet im Telemediengesetz (TMG) zwischen eigenen und Fremdinhalten. Die gesetzliche Haftungssystematik bleibt allgemein und schablonenhaft, so dass sich die praktischen Fälle mit dem TMG allein nicht befriedigend 3 Risikomanagement = Risiko-Klassifizierung und -Controlling · Früherkennung von gefährlichen Schieflagen = Frühwarnsystem 3 Präventive Überwachung und Erkennung von Fehlentwick- lösen lassen. Eindeutig ist aber, dass ein Anbieter - wie z. B. ein lungen, z.B. Viren, illegale Inhalte, IT-Sicherheit Provider - für fremde Inhalte jedenfalls dann haftet, wenn er trotz · soll die Prüfung von Unternehmen erleichtern für Anleger Kenntnis bzw. trotz eindeutiger Hinweise nichts unternimmt. Im übrigen arbeitet die Rechtsprechung mit den geschilderten und Wirtschaftsprüfer 3 Organisations- und Sorgfaltspflichten des Vorstands nach Verkehrssicherungspflichten. Diese lassen sich wie gesehen aus § 91 Abs. 2 AktG „Der Vorstand hat geeignete Maßnahmen einer Vielzahl von gesetzlichen und vertraglichen Bestimmungen zu treffen, insbesondere ein Überwachungssystem einzurich- entnehmen. ten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ 3 Persönliche Haftung des Vorstands mit dem eigenen 3.0 Risikomanagement und IT-Compliance Compliance, also die Einhaltung fremdgesetzter (gesetzlicher) Vermögen 3.2 Anerkannte Standards und Zertifizierung und selbstgesetzter Standards (z.B. in der Policy), ist nicht nur ein Marketing-Schlagwort, sondern erfordert konkrete Maßnahmen. 3 Effektivster Schutz vor persönlicher Haftung und Organisationsverschulden 3 Nachweis der geprüften Sicherheit nach außen, etwa für 3.1 KonTraG - Haftung der Geschäftsleitung Anforderungen von externen Dritten: · Wirtschaftsprüfer (KonTraG) · Kreditgeber (Basel II), denn IT-Sicherheit ist Rating-Faktor Die Unternehmensleitung von Kapitalgesellschaften (AG, GmbH) hat für ein wirksames Risikomanagement-System zu sorgen. im Rahmen von Basel II 3 Erwerb durch Audit eines zertifizierten Auditors Im KonTraG schreibt der Gesetzgeber Sicherungsmaßnahmen vor, nach denen ein Überwachungssystem einzurichten ist, das Anerkannte Standards bestandsgefährdende Entwicklungen frühzeitig erkennt. Dieses ISO/IEC 13335: Allgemeine Leitlinie für die Initiierung und 3 Frühwarnsystem erfordert u.a. eine präventive Überwachung und Erkennung von Fehlentwicklungen in der IT-Sicherheit. Umsetzung des IT-Sicherheitsmanagement-Prozesses 3 ISO/IEC 17799: Rahmenwerk für das IT-Sicherheitsmanage- Auch das BSI verweist in seinen Standards ausdrücklich auf die ment, kaum konkrete technische Hinweise, eine von meh- Vorgaben des KonTraG (etwa im „Leitfaden IT-Sicherheit“). reren Möglichkeiten, die Anforderungen des ISO-Standards 27001 zu erfüllen 3 KonTraG = Gesetz zur Kontrolle und Transparenz im Unternehmensbereich 3 Eingriff des Gesetzgebers in die „Corporate Governance“ (= Führung und Überwachung) des Unternehmens 3 Anwendungsbereich: mittlere und große AG, entsprechende Anwendung auf vergleichbar große GmbHs 3 Zweck des KonTraG · Verpflichtung des Vorstands zu Risikomanagement 3 ISO/IEC 27001: Der erste internationale Standard zum ITSicherheitsmanagement, der auch eine Zertifizierung ermöglicht, aber keine Hilfe für die praktische Umsetzung 3 BSI-Standards zur IT-Sicherheit, IT-Sicherheitsmanagement · 100-1 Managementsystem für Informationssicherheit (ISMS) · 100-2 IT-Grundschutz-Vorgehensweise · 100-3 Risikoanalyse auf der Basis von IT-Grundschutz · ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte. 9 3.3 Basel II und die Rechtsfolgen Am 26. Juni 2004 wurden die neuen Eigenkapitalanforderungen Aus der Sicht des Kreditgebers (Banken und Finanzdienstleister) für Banken, kurz Basel II, am Sitz der Bank für internationalen hat Basel II noch weitreichendere Auswirkungen, umgesetzt Zahlungsausgleich unter dem Namen „International Conver- in den sogenannten MaRisk (= Mindestanforderungen an das gence of Capital Measurement and Capital Standards: Risikomanagement des BaFin vom Dez. 2005). a Revised Framework“ verabschiedet. Am 14. Juli 2004 hat die Europäische Kommission einen Richtlinienentwurf veröffentlicht, Die MaRisk schreiben verbindlich vor: mit dem Basel II in Europa Gesetz wurde. Voraussichtlich Ende 3 IT-Sicherheit gehört zu den Adressausfallrisiken 2006/2007 treten die neuen Bestimmungen auch bei uns in 3 Gesamtverantwortung der Geschäftsleitung für Risikoma- Kraft. nagement 3 Internes Kontrollsystem (IKS) 3 Basel II regelt die Kreditvergabe und die Kreditbedingungen 3 Gesetzlich noch nicht verbindlich, wird aber im Hinblick auf · Regelungen zur Aufbau- und Ablauforganisation · Einrichtung von Risikosteuerungs- und -controllingprozessen die baldige gesetzliche Umsetzung bereits heute allgemein 3 Organisationsrichtlinien beachtet und angewendet 3 Dokumentation 3 technisch-organisatorische IT-Sicherheit Beherrschung der IT-Risiken gilt als wichtiger Rating-Faktor des 3 gängige Standards wie BSI oder ISO sind zu beachten Unternehmens im Rahmen der Kreditvergabe nach Basel II. Das 3 Test und Abnahme durch Verantwortliche BSI ausdrücklich in seinem Leitfaden IT-Sicherheit: 3 Notfallkonzept 3 Regelungen für Outsourcing „Auch Banken sind inzwischen gezwungen, bei der Kreditvergabe IT-Risiken des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird 3.4 SOX-Compliance (Stichwort: Basel II).“ In den letzten Jahren erfolgten weitreichende Eingriffe in die Ein hohes Sicherheitsniveau sowie ein effizientes Risiko- bzw. Corporate Governance von Kapitalgesellschaften durch ame- Sicherheitsmanagement-System, dass die Messung der verblei- rikanische Gesetze, die zum Teil auch bei uns Auswirkungen benden Rest-Risiken erleichtert, führt zu einer reduzierten Eigen- haben. kapitalunterlegung bei den Kreditgebern (Banken müssen ihre vergebenen Kredite mit Eigenkapital als Sicherheit unterlegen) 3 Sarbanes Oxley Act (SOX), US-Gesetz von 2002 3 Regelt persönliche Verantwortlichkeit und Haftung des Ma- 3 Das vorhandene Sicherheitsniveau kann z. B. durch Zertifizie- nagements (insbes. CEO, CFO) rungen (etwa BSI-Grundschutz oder ISO 27001) dokumentiert werden 3 Allgemein anerkannt, dass im Rahmen der Ratingfaktoren „Risiko-Management, -Bewertung und -Controlling“ die ITRiskien berücksichtigt werden 3 Insbesondere im Rahmen der operationellen Risiken von Unternehmen, welche die Eigenkapitalquote der Bank für die Anwendungsbereich - SOX gilt für... 3 US-börsennotierte Unternehmen 3 ausländische (also z.B. deutsche) Unternehmen, die an US-Börsen oder der NASDAQ gelistet sind 3 ausländische (also z.B. deutsche) Töchter von US-Gesellschaften Kreditsicherung erhöhen 3 was sich in einem erhöhten Zinssatz für den Kreditnehmer auswirkt SOX ist bereits seit 30.07.2002 in Kraft. Es gibt allerdings eine Schonfrist für ausländische Unternehmen, die US-börsennotiert sind, für die SOX erst ab dem 15.07.2006 verbindlich wird. 10 puresecurity ™ 3.5 Euro-SOX Zweck von SOX: Als Reaktion auf Finanzskandale wie Parmalat oder Ahold wird 3 Verschärfung der Rechnungslegungsvorschriften in Folge die EU Regelungen aus dem SOA in adaptierter Form einführen gravierender Bilanzskandale (z.B. Enron oder Worldcom) 3 Wiederherstellung des Vertrauens der Anleger 3 Section 404 des SOX: Unternehmensprozesse und Kontrollverfahren müssen definiert und festgelegt werden, um das Risiko einer falschen Bilanz zu minimieren 3 u.a. weitreichende Archivierungspflichten für E-Mail und elektronische Kommunikation 3 Richtlinie 2006/43/EG vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen, zur Anpassung der 8. EU-Prüferrichtlinie 3 Angestrebtes Ziel: Wirtschaftsprüfer werden verstärkt die Anforderungen an die IT-Sicherheit in den Unternehmen prüfen, weil sie selbst strengeren Kontrollen der Aufsichtsbehörden unterliegen Section 404 fordert 3 wirksames internes Kontrollsystem (IKS) 3 IT hat im IKS über die Finanzberichterstattung hohen Stellenwert 3 Datensicherheit und Backup 3 Erfüllung der Compliance-Anforderungen 3 Integration in operative Abläufe 3 SOX bedeutet Regelbetrieb, also jährlich wiederkehrende Prüfung 3 jährliche Bewertung durch eidesstattliche Versicherung (certification) des CEO und CFO 3 Abschlussprüfer 3 Anwendungsbereich: Unternehmen des öffentlichen Interesses 3 börsennotierte Unternehmen 3 Banken, Versicherungen 3 Monopolunternehmen: Energieversorger, Post, Bahn etc. · künftig höhere Anforderungen an das Interne Kontrollsystem (IKS) · Prüfungsausschuss (Audit Committee) · dient der Zusammenarbeit zwischen Audit Committee und Wirtschaftsprüfer · Abschlussprüfer muss das Audit Committee insbesondere über wesentliche Schwachstellen im IKS informieren · bewertet Vorgehen des Management · eigene Stellungnahme zu IKS 3 Offenlegungspflicht von Abschlussprüfer und Management bezüglich Fehler im IKS 3.6 NPSI - Nationaler Plan Schutz der Informationsinfrastrukturen 3 Dokumentationspflicht 3 Berechtigungsvergabe und Transaktionsmonitoring 3 Funktionstrennung, Schnittstellenüberwachung, allgemeine IT-Kontrollen 3 Wirtschaft, Verwaltung und Gesellschaft sind auf ausfallsichere Informationstechnik angewiesen. Im Hinblick auf die deutliche Verschärfung der Gefährdungssituation aller 3 Auswertungs- und Berichtsfunktionalitäten zwingend IT-Infrastrukturen ist Informationssicherheit eine nationale Überwachung durch US-Behörden Aufgabe. Dies erkannte bereits Ex-Innenminister Otto Schily 3 SEC = Securities and Exchange Commission = Börsenauf- und veranlasste deshalb einen „Nationalen Plan zum Schutz sicht in den USA 3 PCAOB = Public Company Accounting Oversight Board = US-Aufsichtsbehörde für Wirtschaftsprüfer 3 SEC und PCAOB veröffentlichen Leitfäden und Richtlinien für die Umsetzung von SOX der Informationsinfrastrukturen“. 3 Das BSI in seinem „Bericht zur Lage der IT-Sicherheit“: · Die Gefährdung von nationalen Informationsinfrastrukturen hat erheblich zugenommen · Steigende Zahl von Computerviren, Phishing- und Hacker Angriffen, sowie die Zunahme IT-basierter Wirtschaftsspionage · Immer öfter nutzen kriminelle Banden und Täter aus dem Bereich der organisierten Kriminalität Nutznießer von IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte. 11 4.1 Zulässigkeitsvoraussetzungen Viren, Würmern oder Trojanischen Pferden für ihre kriminellen Aktivitäten/Straftaten. 3 Der NPSI verfolgt drei strategische Ziele: · Prävention: Informationsinfrastrukturen in Deutschland angemessen schützen · Reaktion: Wirkungsvoll bei IT-Sicherheitsvorfällen handeln · Nachhaltigkeit: Deutsche IT-Sicherheitskompetenz stärken · international Standards setzen 3 Anlass für das Scannen ist ein konkretes Gefährdungspotential, worunter in erster Linie der Virenschutz fällt, sowie Abwehr vergleichbarer Malware, sonstige Filtermaßnahmen sind kein ausreichender Anlass 3 Die Maßnahme muss erforderlich zur Gefahrenabwehr sein, z.B. um das Eindringen von Viren zu verhindern 3 Möglichkeit zu optionalen Ausnahmen, besonders sensible https-Verbindungen, etwa Online-Banking, können vom Scanvorgang ausgenommen werden 3 Der Scanvorgang der Verschlüsselung, die Virenfilterung und 4.0 Rechtskonformes SSL-Decryption das erneute Verschlüsseln müssen in einem geschlossenen System ablaufen 3 Scanvorgang und Anti-Viren-Software arbeiten in einer Die gleichzeitige gesetzliche Forderung nach Verschlüsselung Blackbox, führen also nicht zur Kenntnisnahme von Inhalten auf der einen und Virenschutz auf der anderen Seite, etwa in durch Administratoren oder sonstige Dritte Anlage zu § 9 BDSG, erzeugt einen technischen Widerspruch, da verschlüsselte Verbindungen nicht ohne weiteres auf Viren Zusätzliche optionale Maßnahmen, oder Malware untersucht werden können. welche die juristische Sicherheit erhöhen: Deutliche Hinweise gegenüber dem Nutzer 3 3 Spannungsfeld zwischen Datenschutz und Systemschutz vor dem Scanvorgang 3 beides wesentliche Eckpfeiler zur Umsetzung der daten- 3 Einwilligung des Nutzers schutzrechtlichen Anforderungen 3 https gewährleistet die Vertraulichkeit der übertragenen Daten 3 Scannen der Verschlüsselung steht der Vertraulichkeit · schriftlich nach § 4a BDSG in Nutzungs- oder Betriebsvereinbarung · in elektronischer Form nach § 4 Abs. 2, 3 TDDSG, etwa durch Popup-Fenster scheinbar entgegen, gewährleistet aber den vergleichbar wichtigen Virenschutz 4.2 Best Practice-Beispiel Immer mehr Missbrauch und Malware erfolgt über https und erzeugt so ein Sicherheitsvakuum. Das technisch unbestritten 3 Schutz des Berliner Landesnetzes vor Viren notwendige https-Scanning muss datenschutzkonform betrie- 3 Datenschutzrechtliche Abwägung des Landesdatenschutz- ben werden. beauftragten (LDSB) Berlin fiel zugunsten des Virenschutzes und https-Scannings aus Dies erfordert zunächst die Vermeidung von möglichen 3 Unter den dargestellten Voraussetzungen hatte der LDSB Straftatbeständen Berlin keine rechtlichen Bedenken geäußert und empfohlen, § 202a StGB Ausspähen von Daten 3 das https-Scan-Verfahren wieder einzusetzen 3 § 206 StGB Bruch des Fernmelde-/Telekommunikationsgeheimnisses 3 Ordnungswidrigkeit nach § 43 BDSG Insbesondere darf der Scanvorgang nicht zur Kenntnisnahme der Inhalte führen, muss also in einer Blackbox ablaufen 12 puresecurity ™ 5.0 Mitarbeiterkontrolle versus Datenschutz - mit einem Bein im Gefängnis ? Der Arbeitgeber hat ein vitales Interesse daran, dass private Sur- der dienstlichen Nutzung ist nach den Vorgaben des BDSG fen, Chatten oder Mailen am Arbeitsplatz sinnvoll zu begrenzen. nur zulässig, wenn aufgrund einer Güterabwägung nach dem Neben dem Verlust von Arbeitszeit und Bandbreite lauern hier Verhältnismäßigkeitsprinzip die Kontrollmaßnahme erforderlich vielfältige Haftungsrisiken. Die legale Kontrolle der Mitarbeiter, und angemessen ist. In diese Gesamtabwägung der relevanten um Missbräuche einzuschränken, ist deshalb überall in den Belange sind alle beteiligten Interessen mit einzubeziehen. Dar- Unternehmen und Behörden ein Thema mit hoher Priorität. aus ergibt sich die grobe Faustformel, dass .... 3 äußere Verbindungsdaten wie URL, Empfänger- oder Ab- 5.1 Private Nutzung, Fernmeldegeheimnis senderadresse eingesehen werden dürfen, 3 Inhaltskontrollen, wie das Mitlesen von E-Mails oder den Eintragungen des Arbeitnehmers auf den Webseiten, aber Bei Kontrollmaßnahmen stellt sich zunächst die Ausgangsfrage, unzulässig sind. ob der Arbeitgeber die private Nutzung erlaubt oder verboten hat. Bei erlaubter Privatnutzung wird der Arbeitgeber zum Tele- Unterscheidet man nach den Hauptnutzungsarten, so ergibt kommunikationsanbieter, da die Möglichkeit des Arbeitnehmers sich für die dienstliche Nutzung im Überblick die nachfolgende zur Privatnutzung von E-Mail und Internet als Dienstleistung ihm Kontrollsituation... gegenüber einzustufen ist. Daraus resultiert die Geltung des Fernmeldegeheimnisses, da sich der Arbeitnehmer auf die Vertraulichkeit der privaten Kommunikation verlassen darf. Kontroll- 5.2.1 Surfen im Internet maßnahmen unter dem Regime des Fernmeldegeheimnisses sind weitgehend unzulässig. Die reine „Erhebung“ von Daten zur technischen Datensicherheit, Notfallprävention, Störungs- 3 Trotz Verbot der Privatnutzung keine unbeschränkte Kontrolle möglich beseitigung, Datenschutzkontrolle ist möglich. Die Auswertung 3 Betroffen ist in erster Linie die Überwachung der Logfiles dieser Daten ist dagegen nur ausnahmsweise nach § 89 TKG 3 Faustformel: Kontrolliert werden können die besuchten möglich..... URLs, Dauer des Surfens, Umfang der Downloads, nicht aber die auf den Seiten vorgenommenen Eintragungen 3 zur Abrechnung, etwa der privaten Nutzung 3 bei Gefahr im Verzug, z.B. akuter Virus 3 bei Vorliegen einer Einwilligung aufgrund einer rechtferti- 5.2.2 Versendung von E-Mails genden Nutzungsvereinbarung 3 Vollständiges Verbot privater E-Mails von Arbeitnehmern anders als bei der Telefonnutzung möglich 5.2 Dienstliche Nutzung, unerlaubte Privatnutzung 3 Aber: Private E-Mails können trotz Privatnutzungsverbot nicht vollständig verhindert werden, da auch ein Eingang von außen möglich, der vom Arbeitnehmer nicht beherrscht wird Ist dagegen die Privatnutzung verboten und nur eine dienstliche Nutzung möglich, kommt das Fernmeldegeheimnis nicht zur Anwendung. Die dienstliche Nutzung steht dann jedoch unter dem Schutz des Bundesdatenschutzgesetzes (BDSG). Zwar 3 Faustformel: Nur Kontrolle der Adressdaten zulässig, das ständige Mitlesen der E-Mails - wie in den USA üblich - ist nicht erlaubt 3 denn es existiert ein gegenüber der Inhaltskontrolle milderes sind hier weitergehende Kontrollen als unter dem Fernmel- Mittel: die Herausgabe der geschäftlichen E-Mails durch den degeheimnis möglich, trotzdem besteht kein schrankenloser Arbeitnehmer an den Arbeitgeber Freibrief zur Einsicht in E-Mails oder Webinhalte. Eine Kontrolle IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte. 13 5.3 Interessenausgleich durch rechtliche Gestaltung 5.4 Mitbestimmung der Betriebs- und Personalräte Unabhängig davon, ob Fernmeldegeheimnis oder Bundes- Da die Fragen der Mitarbeiterkontrolle der Mitbestimmungs- datenschutzgesetz gelten, bedeuten ungeregelte Zustände pflicht im Sinne des Betriebsverfassungsgesetzes unterliegen, hinsichtlich der Mitarbeiterkontrolle einen ständigen rechtlichen müssen Betriebs-/Personalräte am Entscheidungsprozess in Graubereich und Unsicherheit, da die Bestimmungen in TKG Form von Vereinbarungen beteiligt werden. Hier kommen insbe- und BDSG unklar sind. Es herrscht große Verunsicherung bei sondere die Anpassung der Arbeitsverträge und der Abschluss Arbeitgeber, Administrator und Arbeitnehmer, da die notwen- von Betriebs-/Dienstvereinbarungen mit entsprechenden dige Güterabwägung der beteiligten Interessen im Einzelfall alle Nutzungs- und Kontrollregelungen für die E-Mail- und Internet- Betroffenen überfordert. Das Datenschutzrecht eröffnet jedoch Nutzung in Betracht. Im Bereich Fernmeldegeheimnis, das auf nach dem Grundsatz „präventives Verbot mit Erlaubnisvorbe- ein Grundrecht zurückgeht, ist neben Kollektivvereinbarungen halt“ einen Gestaltungsspielraum, um durch Vereinbarungen die individuelle Zustimmung der beteiligten Arbeitnehmer von legale Handlungsgrundlagen zu schaffen. Nach dem Gesetzes- Vorteil. Ergänzend zu entsprechenden Betriebs-/Dienstvereinba- wortlaut besteht zwar zunächst ein generelles Verbot, das aber rung kann deshalb eine zusätzliche Legitimation und Information durch Vereinbarungen, die als Erlaubnisvorbehalt wirken, in durch eine persönliche Zustimmung des betroffenen Arbeitneh- Grenzen modifiziert werden kann. Solche Vereinbarungen brin- mers erfolgen. Im Einzelnen ist die Situation wie folgt: gen Vorteile für alle Beteiligten. 3 Mitbestimmungsrechte des Betriebs-/Personalrates Im Überblick stellt sich die Situation bei der Mitarbeiter- 3 Anpassung der Arbeitsverträge kontrolle wie folgt dar: 3 Betriebs-/Dienstvereinbarung mit Nutzungsrichtlinien 3 Präventives Verbot mit Erlaubnisvorbehalt eröffnet Gestal- 3 Ergänzend: Individuelle Zustimmung: dadurch zusätzliche tungsspielraum 3 Vereinbarungen als legale Handlungsgrundlage entsprechen dem Wunsch des Gesetzgebers, solange ein klärendes Arbeitnehmerdatenschutzgesetz nicht exisitert 3 Klare Verhältnisse für Admin: Keine illegale Kontrolle/Keine Strafbarkeit wegen Verstoß gegen das Fernmeldegeheimnis 3 Transparenz für Arbeitnehmer: Schafft Vertrauen, hat aber auch Warnfunktion und damit Lenkungswirkung 3 Haftungsprävention für den Arbeitgeber durch legale Kontrolle, da die Beaufsichtigung der Arbeitnehmer zur Erfüllung der Verkehrssicherungspflichten gehört Legitimation und Information (z.B. durch Verwendung als Info-Broschüre) 14 puresecurity ™ 5.5 Betriebs- oder Dienstvereinbarungen Bei der Betriebs-/Dienstvereinbarung handelt es sich um einen schriftlichen Vertrag zwischen Arbeitgeber und Mitarbeiterver- Insbesondere die Missbrauchskontrolle und Ab- tretung, der zur Lösung des Kontroll- und Nutzungsproblems wesenheitsproblematik bedarf einer detaillierten geschlossen wird. In Betrieben ab einer Größe von fünf Mitarbei- Regelung. Zur inhaltlichen Gestaltung von Be- tern sind Betriebsräte und damit Betriebsvereinbarungen möglich. triebs-/Dienstvereinbarung der nachfolgende Ge- Während der Arbeitgeber den Missbrauch einschränken will, samtüberblick, wonach Regelungen zu folgenden befürchtet der Betriebsrat die Ausforschung der Arbeitnehmer. Punkten enthalten sein sollten: Die Betriebs-/Dienstvereinbarung hat rechtssetzenden Charakter und wirkt modifizierend auf die Inhalte der Arbeitsverträge ein. 3 Umfang einer erlaubten Privatnutzung, beispielsweise Beschränkungen nach Umgang, Dauer oder Art und Im Überblick gilt für die Betriebsvereinbarung: 3 Zweck: Lösung gemeinsamer Probleme 3 Internet/E-Mail-Nutzung durch Arbeitnehmer: · Arbeitgeber befürchtet Missbrauch · Mitarbeitervertretung befürchtet Ausforschung 3 Mitbestimmungsrecht der Mitarbeitervertretung/des Betriebsrates gemäß §87 Abs. 1 Nr. 1 und 6 BetrVG für die Bereiche: Weise der E-Mail- und Internet-Nutzung 3 Verbotene Nutzungen, Aufzählung im Einzelnen, z.B. sexistisch, rechtsradikal, gewaltverherrlichend, etc. 3 Welche Daten werden zur Kontrolle erfasst: · Protokollierung von E-Mail- und Internetaktivitäten · Gesamtdatenvolumen, etc. 3 Technische Einrichtungen, die optional der Kontrolle · Ordnung des Betriebes, Arbeitnehmer-Verhalten dienen: · technische Kontrolleinrichtungen · Firewall, Proxy, Spamfilter etc. 3 Schriftlicher Vertrag zwischen Arbeitgeber und Mitarbeitervertretung · Reporting-Tool URL-Filter · https-Scanning 3 In Betrieben ab fünf Mitarbeitern, §1 BetrVG 3 Monitoring-Funktionen, etc. 3 Rechtssetzender Charakter, der den Arbeitsvertrag abändert 3 Abwesenheitsregelung: Umgang mit der Mailbox im 3 Endet durch Kündigung oder Fristablauf Falle von Urlaub, Krankheit, Kündigung, etc. 3 Kontrollprozedere: aus Gründen der Verhältnismäßigkeit, welche ständige personenbezogene Inhaltskontrollen verbietet, ist ein abgestuftes Kontrollverfahren erforderlich: · zunächst nur anonymisierte Stichprobenkontrolle · nur bei grobem Missbrauch oder Straftat: personenbezogene Kontrolle, möglichst unter Beteiligung des Betriebsrates/Datenschutzbeauftragten nach dem Vier-Augen-Prinzip 3 Regelung der Beteiligung von Betriebsrat, Datenschutzbeauftragter 3 Löschungspflichten 3 Konsequenzen bei Nichteinhaltung 3 Kündigung, Evaluierung IT-Sicherheit – Das müssen Sie wissen! Ein rechtlicher Leitfaden für Unternehmer und IT-Beauftragte. 15 6.0 Anhang 6.1 Checkliste 3 Existiert ein Notfallszenario/Zuständigkeitsverteilung in Fällen wie Virenbefall, Plattencrash, Systemzusammenbruch? 3 Haben die Anwender einen definierten Ansprechpartner beim Auftauchen gefährlicher oder illegaler Inhalte (Viren, Trojaner, mp3s, etc.)? 3 Haben sie eine datenschutzkonforme Abwesenheitsregelung (Krankheit, Urlaub, Kündigung) für den Fortbetrieb der Mailboxen? 3 Haben Sie Spam/URL/Contentfilter im Einsatz? 3 Haben Sie einen Spamfilter mit einer niedrigen false-positive-Rate? 3 Hat der Enduser Zugriff auf die ausgefilterten Spam-Mails? 3 Haben Sie eine rechtliche Gestaltung (Betriebsvereinbarung, Arbeitsvertrag), die den rechtssicheren Einsatz der Filtersysteme gewährleistet? 3 Betreiben Sie ein datenschutzkonformes Lizenzmanagement? 3 Haben Sie eine datenschutzkonforme Regelung zur Missbrauchskontrolle der Mitarbeiter getroffen? 3 Sind die Passwörter am Monitor gepostet oder im Kollegenkreis bekanntgemacht? 3 Kann jeder Mitarbeiter beliebige Software auf seinem PC installieren? 3 Kann die Geschäftssoftware für den privaten Gebrauch kopiert werden? 3 Gibt es Richtlinien zur Wahrung der Vertraulichkeit von Daten/E-Mails? 3 Kann jeder Mitarbeiter auf alle vorhandenen Daten zugreifen? 3 Wird die Virenschutzsoftware ständig und automatisiert upgedatet ? 3 Wird ein brandschutzsicheres Backup-System betrieben? 3 Sind die Firmen-Laptops in das Sicherheitskonzept integriert? 3 Werden als Passwörter die Namen enger Angehöriger oder allgemeine Begriffe verwendet? 3 Sind gefährliche Dateianhänge wie .exe, .bat, .vbs, etc. verboten? 3 Wurden die Mitarbeiter/Innen durch Schulung in die Internet-Nutzung eingewiesen? 3 Kommt eine Firewall zum Einsatz? 3 Existiert eine Regelung zur Archivierung von E-Mails? 3 Kann sichere Verschlüsselungstechnik für die externe und interne Kommunikation eingesetzt werden? 3 Ist das Patchmanangement auf dem letzten Stand der Dinge?