Logo FASP Group

IT Sicherheit Teil 15/1 Rechtliche Maßnahmen


7.5 Umsetzung rechtlicher Maßnahmen

Um ein Höchstmaß an Sicherheit im IT-Bereich eines Unternehmens zu erhalten, genügt es jedoch nicht nur, für ausreichend technische Maßnahmen zu sorgen. Insbesondere müssen rechtliche Vorkehrungen getroffen werden für die Mitarbeiter ebenso wie die Unternehmensleitung und die Unternehmensaufsicht.

Der Umgang mit den technischen Einrichtungen sollte also geregelt und schriftlich fixiert sein. Die Inhalte der Regelungen ergeben sich teilweise direkt aus dem Gesetz, zum anderen Teil auch aus der Vielzahl von Verträgen des Unternehmens etwa mit Lizenzgebern. Letztlich besteht außerdem ein Verhandlungsspielraum für die Ausgestaltung der Verträge und Policies mit der Geschäftsführung und Angestellten.

Compliance ist ein Schlagwort, welches derzeit unter Unternehmern vielfach diskutiert wird. Dahinter verbirgt sich im weitesten Sinne die Übereinstimmung bzw. Einhaltung der Gesetze, Verordnungen, Richtlinien und Verträge. Im Bereich des Datensicherheitsrechts fallen hierunter insbesondere die Einhaltung von Arbeitsverträgen, Lizenzverträgen, Urhebergesetz, Handelsgesetz und der vielen weiteren Vorgaben im Unternehmeralltag. Die Überwachung der Vorgaben oder ein Compliance Management ist Chef-Sache, da gerade die Unternehmensführung die Gefahr der Haftung trägt. Dem Organisationsverschulden lässt sich insoweit tatsächlich nur durch entsprechende Regelungswerke begegnen. Die Einrichtung von Instrumenten eines Compliance Management ist auch erforderlich unter Berücksichtigung der Tatsache, dass sich das Recht und Rechtsprechung im IT-Bereich ständig fortentwickelt.

7.5.1 Hard- und Software-Regelung

Im Unternehmen gibt es eine Vielzahl von Hardwarekomponenten, Zugriffsmöglichkeiten auf Software und mobile Medien. Ist es erlaubt, mit dem geschäftlichen Notebook auch abends private Schreiben zu verfassen? Software, die etwa auf einem Datenträger im Büro verfügbar ist, darf genauso wenig auf dem Privatrechner landen wie eine Einspielung von Software, etwa aus dem Internet, auf dem Firmenrechner. Der Umgang mit Hard- und Software sollte klar geregelt sein.

Eine der größten Gefahrenquellen sind die mobile Speichermedien. 3,5-Zoll-Disketten sind als potentielle Virenträger kaum noch im Umlauf, dafür wird der USB-Stick mit ungeheurem Datenpotential beinahe überall ein- und ausgesteckt. Der Einsatz solcher mobilen Speichermedien sollte auf jeden Fall untersagt sein oder zumindest genaue Sicherheitsvorschriften im Umgang gelten. USB-Sticks sind nicht nur potentielle Virenträger, über die gegebenenfalls noch vor Öffnung der Dateien ein Virenscan ein gewisses Maß an Sicherheit bieten kann. Vielmehr sind sie auch potentiell geeignet, große Datenmengen einschliesslich Firmengeheimnisse aus der Firma heraus zu tragen.

7.5.2 Lizenzmanagement

Sämtliche PC-Arbeitsplätze arbeiten mit einem Betriebssystem und entsprechenden Anwendungen – doch stimmen die Einstellungen auch mit den Vorgaben der Lizenzgeber überein?

Ein Unternehmer sollte schlichtweg aus finanziellen Interessen die Einhaltung der Lizenzvereinbarungen überwachen. Einerseits drohen bei Verstoß gegen entsprechende Lizenzbestimmungen schlechterdings Abmahnungen, Vertragsstrafen und Schadensersatz in nicht geringem Umfang. Andererseits kostet eine Überlizensierung ebenfalls unnötiges Geld. Sind in einem Unternehmen mehr Lizenzen vorhanden als tatsächlich benötigt und eingesetzt, sind dies bei Überwachung der Lizenzen und Einsatz von Lizenzmanagement vermeidbare Kosten.

 

Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches

Links zu allen Beiträgen der Serie IT-Sicherheit


Kontakt: kontakt@fasp.de

Stand: Dezember 2025



Mehr Beiträge zum Thema finden Sie unter:

RechtsinfosDatenschutzrechtIT-Security
RechtsinfosIT-RechtInternetrechtViren
RechtsinfosUrheberrecht