© Jo.Sephine, Photocase.com

Zugangsbeschränkungen und -kontrollen gewinnen in Anbetracht steigender Anforderungen an IT-Compliance an Bedeutung. Sysadmins und Management müssen diverse Vorschriften beachten.

Rechtsfragen in Bezug auf Logins berühren hauptsächlich zwei Bereiche. Erstens das weite Feld der Compliance, also der Befolgung von (Rechts-)Vorschriften. Der zweite Bereich erstreckt sich noch weiter. Er betrifft alle Beweisfragen, die nach dem Zugriff oder der Änderung von Daten auftreten können.

Compliance umfasst die gesetzlichen Vorschriften, hier im Wesentlichen die steuerrechtlichen Aufzeichnungspflichten. Das Steuerrecht stützt sich in den deutschsprachigen Ländern einerseits auf das überlieferte Handelsrecht, das “ordentliche”, jederzeit nachvollziehbare Aufzeichnungen, die auch nicht nachträglich verändert werden, zur Voraussetzung für eine ordnungsgemäße Buchführung macht.

Andererseits kommen die Abgabengesetze ins Spiel, die das Gleiche verlangen. Weil heute Datenträger als Speichermedien das Papier weitgehend abgelöst haben, kommt es besonders darauf an, nachträgliche Änderungen zu verhindern. Bloßes Erschweren genügt hier nicht, Änderungen müssen technisch so weit wie möglich ausgeschlossen sein. Daraus entsteht der Bezug zu Zugangs- und Zugriffsberechtigungen.

Internes Kontrollsystem

Darüber hinaus finden sich in den Sondergesetzen über die Kapitalgesellschaften Bestimmungen, die ein internes Kontrollsystem fordern. Solche Systeme sind inzwischen aus Richtlinien und Rahmenbestimmungen der Europäischen Union in nationales Recht umgesetzt. Sie entstanden, weil zu viele Unternehmen beziehungsweise deren (leitende) Mitarbeiter Misswirtschaft betrieben haben, was Kapital und Arbeitsplätze vernichtete. Ein internes Kontrollsystem verlangt klare Zuordnung, wer im Unternehmen was machen darf und wer wann über die Maßnahmen informiert wird.

In den Bereichen wie Buchhaltung, Verkaufs- oder Vertragsabteilung geschieht die eigentliche Arbeit im Wesentlichen mittels Datenzugriff. Ein internes Kontrollsystem muss daher unberechtigte Zugriffe ausschließen und berechtigte im Idealfall umfangreich protokollieren. Die Protokollierung sollte sich auch auf unberechtigte Zugriffsversuche erstrecken – nicht nur, um den gesetzlichen Anforderungen an das Kontrollsystem zu genügen.

In jüngster Zeit gerieten freiwillige Verpflichtungen in den Blickpunkt der Öffentlichkeit, etwa die Basel-II-Übereinkommen der Kreditinstitute [1], deren Vorgaben auf Unternehmen abfärben. Danach müssen Banken Mindeststandards einhalten, wenn es um kreditrelevante interne Vorgänge, Kontrollsysteme und Reporting geht – und kreditrelevant ist bei Unternehmen fast alles.

Zertifizierungsdruck

In gleicher Weise drücken auch ausländische Standards inländischen Unternehmen ihre Stempel auf. Paradebeispiel ist der Sarbanes-Oxley Act [2], der Kontrollsysteme und Informationsoffenlegung für (wenige) US-börsennotierte Unternehmen regelt. Ähnlich wie bei den inzwischen verbreiteten ISO-Zertifizierungen wirkt der Zertifizierungsdruck auch auf Geschäftspartner oder verbundene Unternehmen.

Maßgeblich sind der SAS 70 [3], der von der AICPA [4] veröffentlicht wird und sich auf die USA oder Unternehmen beschränkt, die nach US-GAAP bilanzieren, sowie Normen des Instituts der Wirtschaftsprüfer [5]. Sie bestimmen, welche Kriterien gelten, um das Testat eines Prüfunternehmens (Wirtschaftsprüfer, Steuerberater und sonstige Prüfdienstleister) zu erhalten.

In diese Kerbe schlägt auch die 8. EU-Audit-Richtline, die das Vertrauen in Abschlussprüfer und deren Arbeit stärken soll. Sie verpflichtet Abschlussprüfer zur Einhaltung internationaler Prüfstandards, zu denen auch die Überwachung des internen Kontrollsystems (IKS) gehört. Die Richtlinie muss bis Juni europaweit in nationales Recht umgesetzt sein.

Kontrollsystemkontrolle

Interessant sind auch die Kriterien für eine Prüfung des Kontrollsystems. Die Prüfung etwa der kaufmännischen Software für die Buchhaltung ist der Prüfung des internen Kontrollsystems gleichgestellt. Hiernach wird zwar nicht die Effizienz der Software geprüft, wohl aber Kriterien wie Integrität, Vertraulichkeit, Verfügbarkeit oder Wartbarkeit. Damit sind effektive Zugangsbeschränkungen beziehungsweise deren Nachvollziehbarkeit (Protokollierung) wichtig für das Abgabenrecht.

Doch auch strafrechtlich werden sie immer wichtiger. Nicht nur im eigentlichen Strafrecht, sondern auch im Ordnungswidrigkeitenrecht. Die Umsetzung weiterer EU-Vorgaben zur Eindämmung von Straftaten und der Gefährdung (nicht nur) wirtschaftlicher Interessen von gesellschaftlicher Bedeutung führte zu Sanktionsmöglichkeiten gegen Unternehmen und deren Organe, die Unternehmenspflichten verletzen oder das Unternehmen bereichern.

Die Geldbuße, die Paragraf 30 OWiG (Ordnungswidrigkeitengesetz, [6]) vorsieht, reicht immerhin bis zu einer Million Euro. Mit einer gleich hohen Geldbuße muss nach Paragraf 130 OWiG ein Unternehmer rechnen, der die Aufsichtspflichten unterlässt, die nötig sind, um Pflichtverstöße zu verhindern.

Die Besonderheit des Ordnungswidrigkeitenrechts ist, dass es – anders als das Strafrecht – keine Frage nach der Schuld stellt. Die OWiG-Tatbestände gelten sogar für Unternehmen, auch wenn sonst im Strafrecht (noch) der Grundsatz gilt “Unternehmen begehen keine Straftaten”. Nebenbei ertönt der Ruf nach einem echten Unternehmensstrafrecht angesichts der jüngsten Skandale immer lauter. In Österreich ist bereits mit dem Verbandsverantwortlichkeitsgesetz [7] ein Strafrecht speziell für Unternehmen geschaffen worden. Seine Vorschriften unterscheiden zwischen Mitarbeitern und Entscheidungsträgern, auch hinsichtlich der anzurechnenden Schuld.

Gefahr erkannt

Zugangsbeschränkungen und -kontrollen dienen auch der Prävention der zunehmenden Wirtschaftskriminalität und erleichtern die forensische Auswertung von IT-relevanten Straftaten. Obwohl die meisten Unternehmen Wirtschaftskriminalität als ernst zu nehmendes Problem erkennen, sieht sich nur ein geringer Prozentsatz selbst in Gefahr. Was überrascht, halten sich doch in ganz Europa externe Täter, also unternehmensfremde, und interne Täter die Waage. Die Hauptdelikte sind – neben Geldwäsche – Betrug, Unterschlagung und Produktpiraterie. In fast der Hälfte der bekannten Fälle ist die EDV das Tatwerkzeug, begünstigt vor allem durch fehlende Kontrolle.

Abbildung 1: Der typische Datenklau ist männlich, zwischen 40 und 50 und schon länger im Betrieb.

Täterprofil: Männlich, unauffällig

Untersuchungen zeigen als typisches Täterprofil den unauffälligen männlichen Mitarbeiter, etwa 40 bis 50 Jahre alt, mit höherer Schulbildung und mehrjähriger Betriebszugehörigkeit. Etwa ein Viertel der Täter soll diesen Erhebungen zufolge im leitenden Management sitzen.

Natürlich ist generelles Misstrauen gegenüber den Mitarbeitern unangebracht, doch wirkungsvolle Zugangsbeschränkungen haben abschreckende Wirkung. Unveränderliche Protokolle erlauben es darüber hinaus, nachträglich Gegebenheiten abzufragen, an die der Täter selbst bei erfolgreicher Spurenbeseitigung nicht gedacht hat. Typische Tatvorbereitungen wie das Lesen von internen Dokumenten, auf die der Täter zwar Zugriff hat, die aber nicht zu seinem Verantwortungsbereich gehören, haben schon manchen Cyber-Kriminellen zur Strecke gebracht.

Es wird künftig für Unternehmen immer wichtiger, effektive Zugangskontrollen und -beschränkungen in den IT-Services einzuführen und alle Zugriffe nachvollziehbar und unveränderlich zu protokollieren. Außerdem bedeutet das Einhalten der handels- und steuerrechtlichen Standards auch stets die Einhaltung der gebotenen Sorgfalt.

Auf diese Weise ist im Falle eines wirtschaftlichen Schadens auch die Haftung wegen Fahrlässigkeit ausgeschlossen. Wichtig ist das gerade bei Sekundär-Haftungsansprüchen Dritter, etwa einem Kunden, der infolge gestohlener Betriebsgeheimnisse ebenfalls geschädigt ist und nun das eigentliche Opfer in Regress nimmt. (uba)