Netzwerk-Wissensdatenbank
Internetsicherheit bei Unternehmen

Internetsicherheit bei Unternehmen

By on Internet&Sicherheit

DSL Speed-Test: Upload und Download Geschwindigkeit bei DSL testen

Während des Speedtests werden größere Datenpakete empfangen, ein Tarif mit Daten-Flatrate wird daher empfohlen. Auf das Messergebnis des Speedtests können störende Faktoren einwirken (z.B. installierte Soft- und Hardware wie Anti-Viren Software, Firewalls, WLAN etc.), eine Haftung für die Korrektheit des Ergebnisses ist generell ausgeschlossen. Mit der Durchführung des Speedtests erkennen Sie die Nutzungsbedingungen und Datenschutzerklärung an.

Internet per Speedtest messen: So funktioniert's

Schließen Sie alle Programme und lassen Sie sie geschlossen, bis der Speedtest fertig ist. Nur so erhalten Sie unverfälschte Messergebnisse.

Bei Messungen zu Hause: Achten Sie darauf, dass während der Messung keine anderen Geräte oder Nutzer im Heimnetzwerk Daten übertragen.

Wichtig vor allem bei schnellen Anschlüssen (250 Mbps oder mehr): Besonders zuverlässig ist die Messung im Heimnetz bei direkter Verbindung zum Router per LAN-Kabel. WLAN-Messungen sollten in der Nähe des Routers erfolgen, möglichst im selben Raum. Die Geräte sollten über modernes Wifi 5 (WLAN ac) oder Wifi 6 (WLAN ac) verfügen

Sollten Sie Sicherheits-Software mit integrierter Firewall (z.B. Avira, GData, ZoneAlarm und anderen) nutzen, kann es in manchen Fällen zu Messverfälschungen kommen. Sollten Sie bei installieren Sicherheitssoftware auffällig überhöhte Tempowerte nach der Messung beobachten, schalten Sie sie für die Dauer des Tests aus (oft bieten die Programme ein kurzes Pausieren an). Nach dem Test aber bitte wieder einschalten!

Speedtest für DSL, Kabel, Glasfaser und mehr

Bei dem Speedtest wird eine Reihe von Testdaten von einem Server heruntergeladen (Messung der Download-Geschwindigkeit) sowie zu einem Server hochgeladen (Messung der Upload-Geschwindigkeit). Dabei wird die Zeit gemessen, bis alle Testdaten übertragen wurden. Aus diesen Werten wird anschließend die Datenübertragungsrate Ihrer Internetverbindung berechnet. Der Speedtest kann für alle möglichen Arten von Internetverbindungen genutzt werden:

DSL-Tarife mit Datenübertragungsraten von bis zu 16 Mbps (ADSL2+), 50 Mbps (VDSL), 100 Mbps (VDSL Vectoring) oder 250 Megabit pro Sekunde (VDSL Supervectoring 35b)

Kabel-Internet-Tarife über den TV-Anschluss mit Geschwindigkeiten von bis zu 1000 Mbps

Mobile Internetverbindungen per LTE (4G) oder 5G.

Der Geschwindigkeitstest ist für Sie komplett kostenlos. Allerdings ist ein Tarif mit Internet-Flatrate zu empfehlen.

So sind Sie sicher im Internet unterwegs

Überall im Internet lauern Gefahren durch Viren, Schadprogramme und Betrug. Mit diesen einfachen Schritten schützen Sie Ihren Computer und Ihre persönlichen Daten.

Halten Sie Ihre Software und Ihr Betriebssystem immer auf dem neuesten Stand

Software-Aktualisierungen verbessern die Sicherheit Ihres Computers, verringern die Anfälligkeit der installierten Programme und schützen Ihre persönlichen Daten.

Firefox aktualisieren: , dann auf die Hilfe-Schaltfläche und wählen Sie Über Firefox . Klicken Sie zuerst auf die Menüschaltfläche, dann auf die Hilfe-Schaltflächeund wählen Sie Öffnen Sie in der Menüleiste das Menü Firefox und wählen Sie Über Firefox . Weitere Informationen erhalten Sie im Artikel Firefox auf die neueste Version aktualisieren.

Weitere Informationen erhalten Sie im Artikel Firefox auf die neueste Version aktualisieren. Windows aktualisieren OS X aktualisieren Betriebssystem aktualisieren : Stellen Sie sicher, dass Sie alle aktuellen Sicherheits- und Stabilitätsupdates installiert haben. Öffnen Sie das Menü Start , wählen Sie Alle Programme und klicken Sie dann auf Windows Update . Gehen Sie in das Menü Apple und wählen Sie Software Update… . Gehen Sie zum Menü System , hinunter zu Systemverwaltung und wählen Sie dort Aktualisierungsverwaltung .

Überprüfen Sie Ihre Firefox-Einstellungen

Firefox hilft Ihnen, sich im Internet sicher zu bewegen:

Schützen Sie sich online mit bewährten Methoden

Dabei helfen Ihnen folgende praktische Tipps:

Erstellen Sie sichere Passwörter.

Denken Sie daran, dass SIE selbst entscheiden, welche Informationen Sie wem, wann und wo anvertrauen: Geben Sie nicht vorschnell und unüberlegt persönliche Daten heraus, mit denen Sie identifiziert werden können; achten Sie auf die Privatsphäre-Einstellungen in den Konten Ihrer sozialen Netzwerke; misstrauen Sie Webseiten, die Ihnen eine Art Belohnung oder einen Gewinn für die Herausgabe Ihrer Kontaktinformationen oder anderer persönlicher Angaben versprechen.

Geben Sie nicht vorschnell und unüberlegt persönliche Daten heraus, mit denen Sie identifiziert werden können; achten Sie auf die Privatsphäre-Einstellungen in den Konten Ihrer sozialen Netzwerke; misstrauen Sie Webseiten, die Ihnen eine Art Belohnung oder einen Gewinn für die Herausgabe Ihrer Kontaktinformationen oder anderer persönlicher Angaben versprechen. Laden Sie Firefox (und andere Software) grundsätzlich nur von den offiziellen Herstellerseiten herunter: Achten Sie auf betrügerische Seiten, wie im Artikel Ich habe ein gefälschtes Firefox-Update gefunden beschrieben wird. Laden Sie Firefox nur von Mozillas offizieller Website herunter.

Achten Sie auf betrügerische Seiten, wie im Artikel Ich habe ein gefälschtes Firefox-Update gefunden beschrieben wird. Laden Sie Firefox nur von Mozillas offizieller Website herunter. Seien Sie sich der Sicherheitsrisiken bewusst: Übermitteln Sie keine Kreditkartennummern oder andere hochsensible Daten, ohne zu überprüfen, dass Ihre Verbindung verschlüsselt ist. Achten Sie auf mögliche "Spyware". Verwenden Sie sichere Passwörter. Schützen Sie Ihre Passwörter mit einem Hauptpasswort.

Übermitteln Sie keine Kreditkartennummern oder andere hochsensible Daten, ohne zu überprüfen, dass Ihre Verbindung verschlüsselt ist. Halten Sie eine E-Mail-Adresse „sauber“ : Verwenden Sie Pseudonyme oder Alternativadressen und geben Sie Ihre bevorzugte E-Mail-Adresse nur ausgewählten Personen, denen Sie vertrauen.

: Verwenden Sie Pseudonyme oder Alternativadressen und geben Sie Ihre bevorzugte E-Mail-Adresse nur ausgewählten Personen, denen Sie vertrauen. Antworten Sie grundsätzlich nicht auf Spam-Nachrichten.

Bedenken Sie, dass Sie am Arbeitsplatz beobachtet werden können: Versenden Sie dort möglichst keine privaten E-Mails und vermeiden Sie die Weitergabe vertraulicher Daten an Mailinglisten. Ihre sensiblen Daten und Dateien mit persönlichem Inhalt sollten Sie nur auf Ihrem privaten Computer zu Hause aufbewahren.

Versenden Sie dort möglichst keine privaten E-Mails und vermeiden Sie die Weitergabe vertraulicher Daten an Mailinglisten. Ihre sensiblen Daten und Dateien mit persönlichem Inhalt sollten Sie nur auf Ihrem privaten Computer zu Hause aufbewahren. Achten Sie auf die Sicherheit Ihres Computers zu Hause: Schalten Sie den Computer aus, wenn Sie ihn nicht verwenden; sichern Sie Ihr WLAN mit einer starken Verschlüsselung (WPA oder WPA2); nutzen Sie eine Firewall.

Schalten Sie den Computer aus, wenn Sie ihn nicht verwenden; sichern Sie Ihr WLAN mit einer starken Verschlüsselung (WPA oder WPA2); nutzen Sie eine Firewall. Überprüfen Sie Datenschutzbestimmungen und Verträge: Bietet die Webseite Offline-Kontaktinformationen? Hat die Website eine leicht zugängliche Datenschutzerklärung? Wenn ja, was steht darin? Gibt es Gründe, dieser zu vertrauen? Haben Sie schon einmal von der Firma gehört? Wie ist deren Ruf? Speichert sie Ihre Datenschutzbestimmungen in einem Gütesiegel-Programm? Wenn Sie ein Gütesiegel sehen, ist es echt? Einige Websites hinterlegen auf Ihren Seiten einen Link, mit dessen Hilfe der Webseitenbesucher das Siegel auf seine Echtheit prüfen kann, wodurch die Glaubwürdigkeit der Website erhöht wird.

Weitere Artikel (in deutscher und englischer Sprache)

Internetsicherheit bei Unternehmen

Sowohl Unternehmensleitung als auch die IT-Abteilung wissen, dass rechtliche Anforderungen von ihnen Maßnahmen der IT-Sicherheit fordern. Dennoch lässt feststellen, dass die Umsetzung häufig noch unvollständig ist. Zumeist wird darauf verwiesen, dass gerade andere wichtige Projekte laufen oder bei der vorhandenen Marge kein Geld für größere Maßnahmen zur IT-Sicherheit möglich sind.

Wenn man sich das Thema IT-Sicherheit in der Beratungspraxis und der Umsetzung bei den Unternehmen anschaut, so nimmt man eine gefühlte Sicherheit wahr. Viele Unternehmen tun etwas und verlassen sich auf ihre EDV-Abteilung, die schon die richtigen Maßnahmen ergreifen wird. Unternehmen trösten sich damit, dass bisher noch nichts Ernstes passiert ist und man auch im direkten Umfeld niemanden kennt, der aufgrund vernachlässigter IT-Sicherheit massive wirtschaftliche Probleme bekommen hat.

Sowohl die Unternehmensleitung als auch die IT-Abteilung wissen, dass rechtliche Anforderungen sie auch zu Maßnahmen der IT-Sicherheit anhalten. Trotzdem lässt sich bei objektiver Betrachtung feststellen, dass die Umsetzung häufig noch unvollständig erfolgt. Zumeist wird darauf verwiesen, dass gerade andere wichtige Projekte laufen oder bei der vorhandenen Marge kein Geld für größere Maßnahmen zur IT-Sicherheit möglich sind.

Bei allen Betrachtungen sollte sich jeder Unternehmer die Frage stellen: "Wie sieht mein Unternehmen aus, wenn ich einen oder zwei Tage ohne EDV arbeiten muss?" Es gibt durchaus Untersuchungen, die bei größeren Unternehmen schon bei einem Ausfall der IT-Infrastruktur für wenige Tage davon ausgehen, dass die Schäden nicht mehr reparabel sind. Aus diesem Grund sollte die Unternehmensleitung als auch die IT-Abteilung das Thema IT-Sicherheit mit einer höchsten Priorität versehen.

In dem nachfolgenden Beitrag soll auch aufgezeigt werden, dass mittlerweile die Gerichte sich vermehrt mit dem Thema IT-Sicherheit und Risikomanagement beschäftigen.

Entwicklungen

Beim Thema IT-Sicherheit lassen sich verschiedene Entwicklungsphasen aufzeigen. In der ersten Phase, die zum großen Teil bereits durchlaufen ist, ging es darum, die Unternehmen für das Thema zu sensibilisieren und wachzurütteln. In einer zweiten Phase, die nach Wahrnehmung des Autors derzeit ihren Höhepunkt hat, geht es um die Vermittlung von Informationen und Wissen rund um das Thema IT-Sicherheit. Die dritte Phase lässt dann wirtschaftlich und auch rechtlich spürbare Folgen auftreten. Diese Phase steht noch am Anfang. Es deutet sich aber an, dass diese Phase an Dynamik gewinnt. Erst in einer letzten Phase ist wohl davon auszugehen, dass Maßnahmen zur IT-Sicherheit zur Normalität gehören und entsprechende Budgets in den Unternehmen bereitgehalten werden.

Rechtsprechung - Es kann unangenehm werden

Bereits heute liegen Urteile vor, die nachdenklich stimmen und Tendenzen aufzeigen. Nachfolgend sollen einige Urteile betrachtet werden, die erhebliche praktische Relevanz haben.

In einem Beschluss des Oberlandesgerichts Karlsruhe vom 10. Januar 2005 (Az.: 1 Ws 152/04) ging es um die Frage, ob die Überwachung und Filterung von E-Mails strafrechtlich relevant ist. Ein wissenschaftlicher Mitarbeiter hatte gegen einen Prüfungsbescheid vor dem Verwaltungsgerichtshof geklagt. Im Rahmen der länger andauernden Auseinandersetzung mit der Hochschule wurde ihm dann im Jahre 2003 mitgeteilt, dass aus gegebenem Anlass ihm das Privileg entzogen werde, die Kommunikationseinrichtungen der Fakultät einschließlich der elektronischen Post zu benutzen. Ein konkreter Anlass für das Verbot wurde nicht ausgesprochen. Der wissenschaftliche Mitarbeiter musste dann feststellen, dass seine Mails nicht mehr zugestellt wurden. Auf telefonische Nachfrage nach dem Grund für die Sperre wurde ihm seitens der Hochschule erklärt, dass es keinen Anlass gebe, und dass man auch nicht angegriffen worden sei. Allerdings erachte man den Mitarbeiter für gefährlich und sehe ihn als Bedrohung an.

Überwachung von E-Mails

Die Hochschule ergriff dann noch eine zweite Maßnahme. Der wissenschaftliche Mitarbeiter musste feststellen, dass er mit Dozenten, anderen Wissenschaftlern und Freunden an der Fakultät nicht mehr per E-Mail kommunizieren konnte. Die Hochschule erklärte, es seien sämtliche E-Mails gesperrt und gefiltert worden, in deren Absenderadresse sein Name vorgekommen sei. Dies erfolge auch dann, wenn die E-Mails von einem anderen Account gekommen seien. Technisch wurden die E-Mails zunächst ordnungsgemäß angenommen und quittiert. Erst einige Minuten später seien sie dann fakultätsintern ausgefiltert worden. Dem wissenschaftlichen Mitarbeiter wurde dann die Meldung: "delivery cancelled" übermittelt. Der potentielle Empfänger habe die Nachricht gar nicht erst erhalten.

Es wurde dann Strafanzeige wegen Verletzung des Post- und Fernmeldegeheimnisses gem. § 206 Abs. 2 Nr. 2 StGB erstattet. Die Staatsanwaltschaft lehnte allerdings die Einleitung eines Ermittlungsverfahrens ab. Auf Beschwerde wies die Generalstaatsanwaltschaft darauf hin, dass nach ihrer Auffassung im Ausfiltern bzw. anderweitigen technischen Sperren eingehender E-Mails zwar ein Unterdrücken i.S.d. § 206 Abs. 2 Nr. 2 StGB liegen könne. Allerdings treffe die Norm nur Unternehmen. Die Hochschule sei kein Unternehmen im Sinne dieser Vorschrift. Nach Auffassung der Generalstaatsanwaltschaft sollte dann die Strafanzeige nicht weiter verfolgt werden. Dagegen wandte sich der wissenschaftliche Mitarbeiter und beantragte eine gerichtliche Entscheidung, die in seinem Sinne erging: Das Oberlandesgericht Karlsruhe verweist darauf, dass zu Unrecht die Einleitung eines Ermittlungsverfahrens wegen des Verdachts der Verletzung des Post- und Fernmeldegeheimnisses verweigert wurde. Zwar sind nach Auffassung des Gerichts in einigen Punkten noch Sachverhalte aufzuklären. Allerdings könne nicht generell insoweit eine Strafbarkeit abgelehnt werden. Im Gegensatz zur Generalstaatsanwaltschaft wird der Begriff des Unternehmens in § 206 StGB weit gefasst, so dass dieser auch auf Hochschulen anzuwenden ist. Das Oberlandesgericht verweist darauf, dass die strafrechtliche Vorschrift nicht nur für unverschlossene Postsendungen, sondern für jede Form der dem Fernmeldegeheimnis unterliegenden Telekommunikation gilt. Damit sind auch E-Mails entsprechend erfasst.

Spam- und Virenfilterung

Eine E-Mail wird dann unterdrückt, wenn durch technische Eingriffe in den technischen Vorgang des Aussendens, Übermittelns oder Empfangs von Nachrichten mittels Telekommunikationsanlagen verhindert wird, dass die Nachricht ihr Ziel vollständig oder unverstümmelt erreicht. Dies betrifft also jede Art der Filterung. Wichtig ist die Frage, ob dies unbefugt erfolgt. Die Befugnis kann sich zunächst aus einem ausdrücklichen Einverständnis ergeben. Das Einverständnis kann aber nur dann von Bedeutung sein, wenn es von allen an dem konkreten Fernmeldevorgang Beteiligten erteilt wird. Dies war in dem Fall des wissenschaftlichen Mitarbeiters nicht der Fall. Als weitere Rechtfertigungsgründe für eine Filterung kommen nur gesetzliche Vorschriften in Betracht., Ob allgemeine Rechtfertigungsgründe eingreifen können, bezweifelt das Oberlandesgericht aber. Nach Auffassung der Richter kann es unter Umständen gerechtfertigt sein, eine E-Mail herauszufiltern, wenn eine E-Mail mit Viren behaftet ist, so dass bei deren Verbreitung Störungen oder Schäden der Telekommunikations- und Datenverarbeitungssysteme eintreten. Allerdings ist hier der Verweis auf die Umstände sehr bedeutend und als einschränkend festzustellen. Da in dem zu entscheidenden Fall etwaige Anhaltspunkte nicht vorlagen, musste zunächst von einem unbefugten Filtern ausgegangen werden. In jedem Fall fordert das Oberlandesgericht einen konkreten Anlass, da anderenfalls nicht von einer Berechtigung zur Filterung von E-Mails ausgegangen werden kann.

In der Praxis bedeutet dieses Urteil, dass eine Spam- und Virenfilterung sowie eine Filterung von E-Mails ohne Regelung im Arbeitsvertrag oder ohne ausdrückliches Einverständnis strafrechtliche Relevanz hat. Die Verantwortlichen können dann wegen Verletzung des Post- und Fernmeldegeheimnisses belangt werden. Darüber hinaus ist zu bedenken, dass bei einer privaten E-Mail-Nutzung nach den telekommunikationsrechtlichen Vorschriften ein Unternehmen Telekommunikationsanbieter wird. Dies bedeutet erhöhte Sicherungsanforderungen an die Telekommunikation und auch an die datenschutzrechtlichen Maßnahmen zur Sicherung des Fernmeldegeheimnisses.

Datenverlust bei Warten der Festplatte

Auch die Entscheidung des Oberlandesgerichtes Hamm vom 01.12.2003 (Az.: 13 U 133/03) hat für die Praxis erhebliche Bedeutung. In der Entscheidung des OLG Hamm ging es um die Frage der Schädigung durch einen IT-Dienstleister beim Austausch einer Festplatte. In seinen rechtlichen Ausführungen verweist das Gericht auf folgende Eckpunkte:

- Das geschädigte Unternehmen habe nicht für eine zuverlässige Sicherheitsroutine gesorgt, sondern diese grob vernachlässigt.

- Die Sicherung der Unternehmensdaten hätte täglich erfolgen müssen, die Vollsicherung mindestens einmal wöchentlich.

- Es ist grob fahrlässig (blauäugig), wenn der nach dem Absturz festgestellte Stand der Komplottsicherung dem Stand vier Monate vor den Wartungsarbeiten entsprach.

Selbst wenn also dem IT-Dienstleister die Verletzung der Kontrollpflichten vor dem Austausch seiner Festplatte nachgewiesen werden konnte, hätte ein überwiegendes Mitverschulden des geschädigten Unternehmens vorgelegen. Im zu entscheidenden Fall ging es um die Frage, wer die Kosten für eine Rekonstruktion der verloren gegangenen Daten zu tragen hat. Aufgrund dieser Entscheidung wird durchaus die Auffassung vertreten, dass selbst bei deletantischen Wartungsarbeiten der Auftraggeber hätte damit rechnen müssen, für die Schäden der Wartungsarbeiten durch den Datenverlust selbst aufkommen zu müssen.

Arbeitsgerichte nehmen IT-Sicherheit ernst

Mittlerweile beschäftigt sich eine Vielzahl von Urteilen mit arbeitsrechtlichen Auseinandersetzungen, die den Bereich IT-Sicherheit berühren. In einer Entscheidung des Landesarbeitsgerichts Hamm vom 04.02.2004 (Az.: 9 Sa 502/03) ging es um eine fristlose Kündigung wegen des Abspeicherns von "Hacker"-Dateien auf einem Arbeitsplatz-PC. Das Gericht stellt zunächst klar, dass vom Arbeitnehmer auf einem Arbeitsplatz-PC gespeicherte Daten nicht seine "privaten" Dateien darstellen. Dies gilt auch dann, wenn der Arbeitgeber dem Arbeitnehmer einen Rechner zur Verfügung stellt, der nur unter Verwendung eines Passwortes in Betrieb genommen werden kann. Es müssten erst weitere Umstände hinzutreten, z.B. die ausdrückliche Erlaubnis oder zumindest die Duldung einer privaten Nutzung des Arbeitsplatz-PCs, bevor man zu der Auffassung kommt, dass abgespeicherte Daten private Daten des Arbeitnehmers sind. In der Konsequenz bedeutet das, dass der Arbeitgeber aus begründetem Anlass ohne Einverständnis des betroffenen Arbeitnehmers Zugriff auf dessen Dateien nehmen kann.

Der Arbeitgeber hatte dann festgestellt, dass auf dem Arbeitsplatz-PC insgesamt 17 "Hacker"-Dateien abgespeichert waren, unter denen sich eine Datei zum Entschlüsseln des "BIOS"-Passworts befindet. Das Gericht stellt ausdrücklich fest, dass dies grundsätzlich ein Grund zur fristlosen Kündigung des Arbeitnehmers darstellt. Der Arbeitnehmer hatte dann im gerichtlichen Verfahren in die Waagschale geworfen, dass ein Schaden nicht eingetreten sei und er seit 24 Jahren seine Arbeitsleistung unbeanstandet erbracht habe. Das Landesarbeitsgericht war dennoch der Auffassung, dass die fristlose Kündigung zu Recht ausgesprochen wurde. Dieses Urteil bestätigt eine Tendenz bei den Arbeitsgerichten, dass das Thema IT-Sicherheit ernst genommen wird. Auch bestätigt die Vielzahl der arbeitsgerichtlichen Entscheidungen, dass häufig Angriffe auf die IT-Infrastruktur von innen, sprich von den Mitarbeitern, kommen.

In der Konsequenz sollte ein Unternehmen auf jeden Fall arbeitsvertragliche Regelungen zur IT-Sicherheit vereinbaren.

Sorgfaltspflichten beachten

Aber auch die Unternehmensleitung gerät zunehmend in den Fokus der Rechtsprechung. Beispielsweise hat das Oberlandesgericht Zweibrücken bereits am 22.12.1998 zu dem Umfang der Sorgfaltspflichten eines Geschäftsführers Stellung genommen (Az.: 8 U 98/98). Das Gericht verweist darauf, dass die Sorgfaltspflichten eines GmbH-Geschäftsführers über die eines ordentlichen Kaufmanns hinausgehen. Das Gericht verlangt von einem GmbH-Geschäftsführer die Sorgfalt, die ein ordentlicher Geschäftsmann in verantwortlich leitender Position bei selbständiger, treuhänderischer Wahrnehmung fremder Vermögensinteressen zu beachten hat. Ein Geschäftsführer kann sich nicht darauf berufen, dass er seiner Aufgabe nicht gewachsen war. Weiterhin stellt das Gericht klar, dass oberstes Gebot für eine ordentliche Geschäftsführung die Abwendung von Schäden ist. Dabei sind die Gesetze, der Gesellschaftsvertrag und die für die Geschäftsführung verbindlichen Beschlüsse anderer Organe der Gesellschaft zu berücksichtigen. Zwar habe der Geschäftsführer einen weiten Ermessensspielraum. Insoweit haben die Gerichte bei der Prüfung nur darauf zu achten, ob die Gesetze und die Satzung und die darin enthaltenen Schranken und Regeln eingehalten sind. Eine Zweckmäßigkeitskontrolle erfolgt nicht. Allerdings zeigen diese Leitsätze, dass einem GmbH-Geschäftsführer umfangreiche Pflichten auferlegt werden.

In der Rechtsprechung des Bundesgerichtshofes wird ebenfalls eine Tendenz zur schärferen Haftung sichtbar. Beispielsweise ist ein Aufsichtsrat gezwungen, Ansprüche gegen einen Vorstand geltend zu machen, sofern dies aufgrund einer sachgerechten Prüfung erfolgversprechend ist. Anderenfalls setzt sich der Aufsichtsrat selbst einer Haftung aus.

Unzureichendes Risikomanagement

In einer Entscheidung des Landgerichts Berlin vom 03.07.2002 (Az.: 2 O 358/01) ging es um die fristlose Kündigung eines Dienstverhältnisses mit einem Bankvorstand. Die Kündigung war u.a. damit begründet worden, dass der Bankvorstand ein unzureichendes Risikomanagement mitzuverantworten habe. Die Berliner Richter verweisen darauf, dass die fristlose Kündigung insoweit gerechtfertigt ist. Sei ein solches Risikomanagement in Einzelbereichen nur eingeschränkt funktionsfähig oder fehle es ganz, rechtfertigt dies eine Kündigung des Vorstandes einer Bank aus wichtigem Grund.

Zusammenfassend lässt sich also aus der Rechtsprechung vor allem die Tendenz entnehmen, dass das Thema IT-Sicherheit und Verletzungen der IT-Sicherheit zum einen rechtliche Konsequenzen nach sich zieht. Zum anderen ist vor dem Hintergrund der vielen arbeitsgerichtlichen Entscheidungen dringend anzuraten, insoweit die Arbeitsverträge mit entsprechenden Einschränkungen zu versehen.

Gesetzgeber - Sicherheit für alle

Leider gibt es kein Gesetz über die Grundlagen der IT-Sicherheit. Es finden sich Regelungen in vielen Gesetzes, u.a. im

- Bundesdatenschutzgesetz (BDSG)

- Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

- Transparenz- und Publizitätsgesetz (TransPuG)

- Teledienstegesetz (TDG)

- Signaturgesetz (SigG)

- Bürgerliches Gesetzbuch (BGB)

- Handelsgesetzbuch (HGB)

- Strafgesetzbuch (StGB).

Und dies ist auch nur ein Auszug der vielen gesetzlichen Regelungen. Nicht alle Gesetze geben klare Handlungsanweisungen. Zum Teil sind die gesetzlichen Regelungen auch nicht sorgfältig aufeinander abgestimmt. Daneben wird auch seitens der Banken bei den "Ratings" und der Kreditvergabe zunehmend darauf geachtet, dass dokumentierte Maßnahmen zur IT-Sicherheit vorhanden sind. Generell lässt sich sagen, dass neue Gesetze und weitere Urteile für klarere Anforderungen an die Unternehmen sorgen werden.

Ausblick - Einfach sicher

Die IT-Sicherheit stellt sowohl technische als auch rechtliche Anforderungen an die Unternehmen. Entsprechende Lösungen liegen bereits vor. IT-Sicherheit ist eine ständige Aufgabe für Unternehmensleitung und alle Mitarbeiter.

Schritte zu mehr IT-Sicherheit und zur rechtlichen Absicherung können wie folgt aussehen:

- Kritische Analyse des Ist-Zustandes im eigenen Unternehmen.

- Gespräche zwischen Unternehmensleitung und IT-Verantwortlichen, unabhängig, ob diese Interne oder Externe sind.

- Konkrete Maßnahmen beschließen (Projektplan).

- Techniker und Juristen erarbeiten ihr individuelles IT-Sicherheitskonzept.

Zum Schluss lässt sich aus leidvoller Erfahrung einiger Unternehmen sagen, dass man sich IT-Sicherheit als "Investition in Schadensminimierung" etwas kosten lassen soll und muss.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels