Gastkommentar: Forensik und ISO 27001 Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


25.08.2010 Markus Frank*

Gastkommentar: Forensik und ISO 27001

Kriminelle Attacken gegen Unternehmen haben viele Gesichter: Industriespionage und Produktpiraterie, Betrug, Untreue, Fälschung, auch Versicherungsbetrug, Missbrauch von Marktmacht, Geldwäsche oder Insiderhandel.

Im Visier der Öffentlichkeit standen in jüngster Zeit vor allem kriminelle Attacken gegen Kreditinstitute und Versicherungen: Die »Steuer-CDs« in Deutschland oder die in Frankreich aufgetauchten Daten von Bankkunden der HSBC in der Schweiz. Geldstrafen von 3,7 Mio. Euro wegen fahrlässigen Umgangs mit Kundendaten mussten drei HSBC-Töchter zahlen. Zudem haben auch die Kunden Schadenersatz in Millionenhöhe gefordert. Der größte Schaden aber betrifft oft die Reputation. Nicht weniger unangenehm können Datenpannen sein. Fälle wie schädliche Datenübertragung, Datenverlust und -veränderung ohne kriminelle Absicht: Unvergesslich etwa das Porno-Banker-Video auf Youtube mit über vier Millionen Zugriffen. Oder der Erpressungsversuch gegen die BKK, die größte deutsche Betriebskrankenkasse: Gesundheitsdaten von tausenden BKK-Kunden waren durch Sorglosigkeit in den Besitz eines Mitarbeiters eines externen Dienstleisters gelangt, der hohe Zahlungen für die »Unterlassung der Veröffentlichung der Daten« gefordert hat.

Doch wie steht es um die Manager-Verantwortung bei Datenpannen? Denn Sicherheitssysteme vermindern nicht nur das Risiko von Pannen und Attacken. Die Dokumentation gemäß eines zertifizierten Informationssicherheitssystems nach ISO/IEC 27001 liefert auch die Basis für die Rekonstruktion von Schadensursachen. Stichwort: Forensik. Diese diffizile Aufklärung ist der Schlüssel zur Durchsetzung von Schadenersatzansprüchen und zur Abwehr von Forderungen und Strafen.

HAFTUNG DER MANAGER Wenn die »Sorgfalt eines gewissenhaften Geschäftsführers« außer Acht gelassen wurde und das Unternehmen einen Großschaden erleidet, haftet auch das oberste Management. Rausschmiss, persönliche Schadenersatzhaftung bis hin zu Strafverfahren können die Folgen sein. Manager sind dafür verantwortlich, eine geeignete Organisation im Unternehmen einzurichten, um es vor schweren Schäden zu schützen. Zum Schutz von Daten in jedem Unternehmen in Österreich, gleichgültig aus welcher Branche, verlangt etwa § 14 des Datenschutzgesetzes die Einrichtung eines angemessenen IT-Sicherheitssystems. »Angemessene Schutzsysteme« werden in international anerkannten ISO-Richtlinien beschrieben. Mit einem ISO-27001-Zertifikat erbringt die Geschäftsleitung im Schadensfall den Beweis, dass ein Schutzsystem für Informations- und Datensicherheit eingerichtet war, dessen Angemessenheit von unabhängi- gen Spezialisten einer staatlich akkreditierten Zertifizierungsorganisation bestätigt wurde. Dieser geprüfte Nachweis der Sorgfalt hilft auch, das Management vor persönlichen Konsequenzen zu schützen.

AUFKLÄRUNG IM NACHHINEIN Ein Sicherheitssystem beugt nicht nur Schäden vor, sondern liefert auch Beweismaterial. Um Forderungen durchzusetzen oder betrügerische Forderungen abzuwehren, sind Schadensursache und Verschulden zu klären. Oft weiß ein Unternehmen zwar, dass es betrogen wurde, kann dies aber nicht konkret belegen. Dann muss der komplexe Sachverhalt rekonstruiert werden. Sind Dokumentation und technische Protokollierung nach ISO 27001 im Unternehmen vorhanden, liefern diese wesentliche Basis-Informationen für das Untersuchungsteam, das sich oft aus verschiedenen Experten zusammensetzt wie Rechtsanwalt, Wirtschaftsprüfer, Techniker, Chemiker oder Detektiv. Vieles hängt dann auch vom Koordinator des Teams ab, der die rekonstruierten Sachverhalte aufbereitet und die rechtlich wesentlichen Aufgaben und Fragen an das Team stellt.

Kann die Schadensursache oder die kriminelle Handlung trozallem nicht voll bewiesen werden, so kann dennoch – auch im Gerichtsverfahren – eine Indizien-Beweisführung ausreichen. Der Indizien-Beweis erfordert akribische Vorbereitung und vor Gericht ein aufwändiges Beweisverfahren. Ausreichende Dokumentation und Protokollierung gemäß IS O 27001 kann hier lebensrettend sein.

* Dr. Markus Frank ist Rechtsanwalt und auf interdisziplinäre Ermittlung von Schadenshistorien und Schadensursachen bei Wirtschaftsdelikten und Vertragsverletzungen spezialisiert.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr

Hosted by:    Security Monitoring by: