)
PodcastGedenkdienst gegen das Vergessen
32 Minheute
Das Hacken der GIS-Kundendaten ist ein Musterbeispiel dafür, wie Unternehmen sich gegen Sicherheitslücken in ihrer IT wappnen sollten.
Hinweis: Der Inhalt dieser Seite wurde vor 13 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.
214.000 Datensätze, davon 96.000 mit Kontonummern, sind laut Medienberichten unlängst bei einem Hackerangriff auf die Website und die Kundendatenbank des Gebühren Info Service (GIS) gestohlen worden. Die Hacker wollten mit ihrer Aktion beweisen, dass Daten beim GIS nicht sicher gelagert seien, und drohten mit der (zensierten) Veröffentlichung derselben.
Datenschutzverletzungen und Datendiebstähle zum Zwecke der illegalen Nutzung sind bekannt. Hier gesellt sich zum Datendiebstal offensichtlich ein "erzieherischer" Zweck hinzu, der aufzeigen soll, dass Lücken und Fehler in der EDV-Sicherheit vorhanden sind.
Die Rechtsordnung sieht diverse straf- und zivilrechtliche Möglichkeiten gegen den Datendieb selbst vor. Es stellt sich aber die Frage, ob neben dem Datendieb auch die betroffene Gesellschaft oder deren Geschäftsführung und leitende Angestellte haften können, wenn die Hacker nicht nur Missstände aufzeigen wollen, sondern womöglich auch kriminelle Intentionen haben.
Der Grund für Datendiebstahl kann in technisch mangelhaften Systemen, aber auch bei nicht ausreichender Wartung der EDV liegen. Gehaftet wird, wenn dem Verantwortlichen eine Sorgfaltswidrigkeit vorgeworfen werden kann. Diese ist nach objektiven Maßstäben, nämlich dem Stand der Technik, zu bemessen, dem die Schutzmaßnahmen entsprechen müssen.
Die Geschäftsführung muss daher im Unternehmen interne IT-Kontroll- und Sicherheitsmechanismen einführen, die nach Möglichkeit Angriffe durch Hacker verhindern und die Geschäftsführung in die Lage versetzen müssen, die Etablierung von geeigneter Sicherheitstechnik im Unternehmen überprüfen zu können. Dies ist aus diversen Rechnungslegungsbestimmungen, dem Datenschutzgesetz sowie EU-Richtlinien ableitbar, die analog auf die IT anzuwenden sind.
Diese Kontrollsysteme und Sicherheitsmaßnahmen müssen dem Stand der Technik entsprechen, wobei auch die wirtschaftliche Vertretbarkeit - bezogen auf das konkrete Unternehmen und dessen Unternehmensgegenstand - in Betracht gezogen werden muss.
Die Kontrolle, ob im Unternehmen eine regelmäßige und professionelle Wartung der Hardware und Software stattfindet, ist daher unerlässlich. Weiters haftungsreduzierend wirkt die Zertifizierung durch einen IT-Auditor, der als Ziviltechniker die Sicherheit eines Systems prüfen und bestätigen kann.
Die Unterlassung der Etablierung von Kontrollsystemen zur IT-Sicherheit, die Unterlassung einer dem Stand der Technik entsprechenden Wartung beziehungsweise Sicherheitstechnik kann bei einem Schadenseintritt tatsächlich zu einer Haftung des Unternehmens gegenüber den Kunden führen, in besonderen Fällen sogar zur Haftung des Organs der Geschäftsführung.
Johannes Juranek ist Partner bei CMS Reich-Rohrwig Hainz und Experte in den Bereichen Technologie-, Datenschutz- und Wirtschaftsrecht.
Dieser Gastkommentar gibt ausschließlich die Meinung des betreffenden Autors wieder und muss sich nicht zwangsläufig mit jener der Redaktion der "Wiener Zeitung" decken.
)
)
)