Dr. Gerrit Hötzel und Oliver Völkl
Lehren aus CrowdStrike
Mit der Implementierung von IT-Kontrollen können Geschäftsführer und Unternehmen der Gefahr vorbeugen, für Versäumnisse im IT-Bereich haftbar gemacht zu werden. Dabei ist IT-Sicherheit nicht nur für Großunternehmen, sondern auch für mittelständische Unternehmen von höchster Relevanz. Wie wichtig das ist, zeigte sich erst kürzlich wieder am 19.7.2024, als ein fehlerhaftes Update eines Softwareprodukts der Firma CrowdStrike weltweit zu Ausfällen an mehr als 8,5 Mio. Windows-Geräten führte.
Praxis-Info!
Problemstellung
Die Notwendigkeit zur Einrichtung lässt sich am Beispiel des CrowdStrike-Schadens schnell belegen, da dieser durch das Testen von Software-Updates im Kundenunternehmen hätte vermieden werden können. Es wäre danach keine fehlerhafte Software ohne weitere Kontrolle ausgerollt worden. Ein zweites Beispiel ist der jüngeren Rechtsprechung zu entnehmen: Der Geschäftsführer eines Familienunternehmens mit nur rund 60 Mitarbeitenden wurde persönlich zur Zahlung von 800.000 € Schadensersatz verurteilt (OLG Nürnberg vom 30.3.2022, Az.: 12 U 1520/19). Er hatte es unterlassen, ein Vier-Augen-Prinzip für seinen Prokuristen bzgl. der Tankkartenverwaltungssoftware vorzugeben.
Beide Beispiele stehen für fehlende IT-Kontrollen im Rahmen eines internen IT-Compliance-Management-Systems (IT-CMS). Nur allzu oft wird die IT immer noch häufig nach dem Motto betrieben: „Es läuft, somit wird es schon gut sein.“ Erfahrungsgemäß laufen in der Praxis aber nahezu sämtliche Umstellungen von ERP-Systemen (SAP, Navision etc.) nicht on budget, on time oder erfüllen nicht die gesetzlichen Anforderungen.
Lösung
Dies sollte durch ein Internes Kontrollsystem für die Einführung von IT-Systemen abgefangen werden, damit das neue ERP-System ordnungsgemäß implementiert, überwacht, dokumentiert und später betrieben werden kann. Wird ein IT-CMS eingesetzt, kann bei einer dennoch erfolgenden Rechtsverletzung ein Verschulden (und damit eine Schadensersatzpflicht) ausgeschlossen werden. Dies folgt insbesondere aus Tz. 2.6 Satz 6 des Anwendungserlasses zur Abgabenordnung (AEAO) zu § 153 AO.
Neben den Verschärfungen aufgrund von Gesetz (siehe unten unter Praxishinweise) und Rechtsprechung ergibt sich eine indirekte Verpflichtung, die sich unmittelbar auf Akquisetätigkeiten und auf die Pflege von Kundenbeziehungen auswirkt. Denn immer mehr Kunden erwarten von ihren Zulieferern, dass diese ein CMS vorweisen können. Wenn in einem konkreten Fall die Entscheidung zwischen zwei Zulieferern zu treffen ist, von denen nur der eine ein Information Security Management System (ISMS) nach ISO/IEC 27001 vorweisen kann, dürfte dieser Anbieter vorzuziehen sein, da dieses System einen Nachweis für wichtige Maßnahmen im Rahmen des IT-CMS darstellen kann. Entsprechendes wird gelten, wenn mehrere Cloud-Anbieter zur Auswahl stehen, von denen nur einer den C5-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI; Cloud Computing Compliance Criteria Catalogue) erfüllt (Nachweis IT-CMS).
Praxisbeispiel: Ein Softwareanbieter mit 10.000 Kunden ermöglicht über seine Software die Generierung von E-Rechnungen. Einige Zeit später führt die Finanzverwaltung bei ersten Kunden Prüfungen durch und ist der Auffassung, dass der Softwarehersteller bestimmte Anforderungen der GoBD nicht eingehalten hat. Für den Softwarehersteller „multipliziert“ sich der Fehler, weil jeder Kunde einen Regress geltend machen kann. Der Softwarehersteller wäre gut beraten gewesen, eine Prüfung nach IDW PS 880 zur Erlangung eines Softwarezertifikats durchzuführen (unabhängige externe Bescheinigung des IT-CMS bzgl. Softwareentwicklung). Der Fehler wäre dann zum einen frühzeitig identifiziert worden; zum anderen wirkt ein solches Zertifikat gegenüber Kunden vertrauensbildend und hilft bei der Vermarktung, um sich von anderen Produktanbietern abzuheben. |
Cyber- und D&O-Versicherungen (Directors-and-Officers-Versicherung, auch Organ- oder Manager-Haftpflichtversicherung) sind nicht geeignet, ein unzureichendes IT-CMS abzufedern, sondern sollten allenfalls flankierend zum Einsatz kommen. Um einen ersten Eindruck von der Situation im Unternehmen zu gewinnen, ist vielmehr ein IT-CMS Quick Check zu empfehlen. Hierdurch kann sich die Geschäftsführung mit einem überschaubaren Aufwand einen Überblick über den Status Quo verschaffen. Weiterhin können Hinweise gegeben werden, welche kurzfristigen Maßnahmen ergriffen werden sollten, um Defizite mit Haftungspotenzial auszugleichen.
Der angemessene Umfang (Scope) des IT-CMS-Quick-Check hängt letztlich vom Einzelfall ab. Insbesondere sollten dabei die unter (1) bis (8) in der Tabelle checklistenartig aufgeführten Fragestellungen in den Fokus genommen werden.
| Checkliste |
| (1) Zugriffsschutz | Werden für die Anwendungen u.a. hinreichende Verfahren der Rechtevergabe angewendet, und sind Super-Rechte strikt vergeben?
|
| (2) Änderungsmanagement | Sind die durchgeführten Änderungen an Programmen nachvollziehbar getestet, oder wird hier auf die Zuarbeit von Dienstleistern vertraut, ohne der gesetzlichen Nachweispflicht nachzukommen?
|
| (3) Digitale Transformation | Stehen dem Unternehmen bei der Einführung einer neuen ERP-Lösung (ein Projekt mit hohem Risiko, sie beeinflusst das komplette Finanz-IT-Rückgrat, um in Zukunft die Business-Prozesse ohne Fehler betreiben zu können) neben dem Dienstleister auch erfahrene, unabhängige Fachleute zur Verfügung, die das IT-Projekt-IKS im Blick haben?
|
| (4) IT-Basisprozesse | Besteht ein Notfallkonzept inkl. Backup oder Systemjobs mit Massenverarbeitung, und werden diese u.a. regelmäßig auf ihre Robustheit überprüft?
|
| (5) Datenschutz und Meldepflichten | Sind die Meldewege im Unternehmen so eingerichtet, dass Datenpannen und sonstige meldepflichtige Ereignisse innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden?
|
| (6) Resilienz | Sind mit Dienstleistern ausreichende Service Level Agreements (SLA – Dienstleistungsvereinbarungen) abgeschlossen, um Verfügbarkeitslücken in den eigenen – ggf. kritischen – Angeboten zu vermeiden, und dürfen Daten überhaupt den eingebundenen Dienstleistern überlassen werden, oder wird gegen Geheimhaltungsvereinbarungen, Schweigepflicht oder Datenschutz verstoßen?
|
| (7) Lizenzcompliance | Ist ein Lizenzmanagementsystem so etabliert, dass Dritte keine Unterlassungsansprüche gegen die eigenen Produkte wegen unerkannter Lizenzlücken (auch in Lizenzketten) durchsetzen können?
|
| (8) Aufstellung im Cybersicherheitsfall | Besteht eine ausreichende Cyberversicherung, oder sind Maßnahmen ergriffen worden, die den Umfang von doch auftretenden Vorfällen geringhalten?
|
- Unter IT-CMS wird hier die Gesamtheit der in einem Unternehmen (oder einer sonstigen Organisation) eingerichteten IT-Maßnahmen/Kontrollen, Strukturen und Prozesse verstanden. Das IT-CMS basiert als Teil des unternehmensweiten CMS auf einem Risikomanagementsystem (RMS), zu dem z.B. auch die Bereiche Tax, Arbeitsrecht und Arbeitssicherheit gehören. Zielsetzung eines jeden CMS sollte es sein, Vorgänge mit einem Schadenrisiko zu identifizieren, um über entsprechende Analysen rechtzeitig risikoeingrenzende Maßnahmen ergreifen zu können. Ohne entsprechende Maßnahmen können sich aus einfachen Fehlern massive Schäden ergeben.
- Handlungsbedarf ergibt sich auch aus neuen gesetzlichen Vorgaben: Der Entwurf des Cybersicherheitsgesetzes (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) wurde am 24.7.2024 von der Bundesregierung angenommen und befindet sich damit im Gesetzgebungsverfahren. Bislang war lediglich die NIS1-Richtlinie für „Kritische Infrastrukturen“ zu beachten. Mit dem neuen Gesetz werden nun – wesentlich weitreichender – zahlreiche Unternehmen ausdrücklich zur Einrichtung, Billigung und Überwachung eines RMS im Bereich IT-Sicherheit verpflichtet.
- Ein Delegieren dieser Überwachungsaufgaben weg von der Geschäftsführung wird dabei ausdrücklich ausgeschlossen. In den Anwendungsbereich fällt beispielsweise derzeit ein Maschinenbauer mit mehr als 50 Mitarbeitenden. Auch Forschung und rein digitale Dienste können erfasst sein, z.B. Anbieter von Online-Plattformen. Eine persönliche Haftung kann sich z.B. auch bei einer fehlenden Compliance-Absicherung von selbst entwickelten Software-Produkten ergeben, etwa wenn diese ohne die zukünftig notwendige CE-Kennzeichnung auf den Markt gebracht werden.
|
RA Dr. Gerrit Hötzel/Oliver Völkl, beide in Stuttgart tätig bei der VOELKER und Partner mbH bzw. bei der PKF WULF & PARTNER Partnerschaft mbB
BC 9/2024
BC20240904