Internet World Business, 07/06, S. 14

Das Amtsgericht Gelnhausen verurteilte einen Anbieter von Webhosting-Dienstleistungen, auf dessen Server es durch so genannte Distributed-Denial-of-Service-Attacken (DDOS) zu erhöhtem Traffic kam. Die Klägerin, die dem beklagten Webhoster für dessen Server eine Internet-Verbindung zur Verfügung stellte und nach Datenvolumen abrechnete, verklagte diesen auf Zahlung der durch den DDOS-Angriff verursachten Mehrkosten für den Datentransfer von zusätzlichen 57 Gigabyte.

Das Gericht stellte zutreffend fest, dass der Server im Risikobereich des beklagten Webhosting-Anbieters liegt. Es sei seine Aufgabe, den erhöhten Datentransfer zu unterbinden und die Attacken zu stoppen. Im Übrigen könne er auch Rückgriff auf die Verursacher der Angriffe nehmen (Az.: 51 C 202/05). Das Gericht unterstrich damit die Verantwortung des Betreibers eines eigenen Servers für dessen IT-Security.

Geschäftsführer haftet persönlich

Möchte ein Unternehmen den Vorteil eines komplett eigenen Servers nutzen, anstatt sich einfach irgendwo einen Webspace zu mieten, trägt es auch das Risiko fehlerhafter Sicherheitseinstellungen. Generell gilt, dass nicht nur ein Unternehmen für die Sicherheit seiner IT-Infrastruktur verantwortlich ist, sondern dessen Organe wie Geschäftsführer oder Vorstand auch persönlich in die Haftung genommen werden können. Eine solche Haftung kommt dann in Betracht, wenn ein Geschäftsführer/Vorstand sich nicht um die Sicherheit seines Unternehmens kümmert, insbesondere Organisationspflichten nicht beachtet. Da die Unternehmens-IT regelmäßig als geschäftskritisches System zu bewerten sein dürfte, haben Führungspersonen diese zu schützen und müssen vor allem technische Maßnahmen zumindest nach dem Stand der Technik umsetzen lassen.

Dazu gehört beispielsweise ein Sicherheitskonzept, das nicht nur den unmittelbaren Schutz von Systemen, sondern auch deren Wiederherstellung im Katastrophenfall beinhaltet. Herauszuheben ist, dass in Aktiengesellschaften die Beweislast für die Einhaltung der Organisationspflichten gemäß § 93 Abs. 2 S. 2 AktG den Vorstand trifft, sodass dieser den Entlastungsbeweis eines ordnungsgemäßen Risiko-Managements im Haftungsfall anzutreten hat. Sonst droht persönliche Haftung.

Outsourcing als Lösung

Einen Ausweg aus dieser Situation bietet Outtasking beziehungsweise Outsourcing. In diesem Fall wird die Sicherheitsadministration durch ein spezialisiertes Unternehmen durchgeführt. Der Vorteil einer Verlagerung an spezialisierte Dritte liegt darin, dass sich das Unternehmen auf sein Kerngeschäft konzentrieren kann und weniger Personal für die IT-Security vorzuhalten hat. Wichtig ist dann allerdings die jeweiligen Service-Level, unter denen eine solche Dienstleistung erfolgt, vertraglich genau zu definieren, sodass im Falle eines Angriffs, der durch Versäumnisse des IT-Security-Dienstleisters nicht unterbunden wird, bei diesem Regress genommen werden kann.

Zudem sind im Vertrag zwischen Unternehmen und IT-Dienstleister Regelungen festzulegen, die dem Management jederzeit die Kontrolle und im Falle von Finanzdienstleistungen außerdem auch Weisungsrechte nach § 25a Kreditwesengesetz garantieren.