You are here: Home » Themen » DV-Recht » Verantwortung durch und Rechtsvorschriften für den Betrieb von IT
Sorry, this page is not translated yet.

Verantwortung durch und Rechtsvorschriften für den Betrieb von IT

Dieses Dokument erläutert die Gefahren, die der Betrieb von IT-Systemen bzw. Verbünden birgt, sowie die Verantwortung, die sich daraus ergibt.

Inhalt

Verantwortung durch den Betrieb von IT

Entgegen der landläufigen Meinung beschränken sich Gesetzgebung und Rechtsprechung zur Informationstechnologie nicht nur auf die Verfolgung und Ahndung des darkside hackings (hier insbesondere mit §202a “Ausspähen von Daten”, §202b “Abfangen von Daten”, §202c StGB “Vorbereiten des Ausspähens und Abfangens von Daten”, §303b StGB “Computersabotage”).
Bereits der Betrieb von IT-Infrastruktur bedeutet für den Betreiber Verantwortung: Verantwortung gegenüber den eigenen Benutzern und Verantwortung gegenüber Dritten, deren IT-Infrastruktur von der IT-Infrastruktur des Betreibers über eine Netzwerkverbindung erreichbar ist. Bei an das Internet angeschlossenen IT-Verbünden gehören zur zweiten Gruppe sowohl die Gesamtheit der Internetnutzer als auch Betreiber anderer, ebenfalls an das Internet angeschlossenen IT-Verbünden. Die Verantwortung ergibt sich dabei aus verschiedenen rechtlichen Gesichtspunkten, insbesondere der Verkehrssicherungspflicht oder Halterhaftung (jeweils bezogen auf die IT) für die betriebene IT-Infrastruktur. Neben anwendbaren Paragraphen des Strafgesetzbuches sind hier vor allem die Datenschutzgesetze, verschiedene Paragraphen des Bürgerlichen Gesetzbuches und Staatsverträge zu beachten.

Verantwortung den eigenen Benutzern gegenüber

Neben den üblichen Pflichten, die die körperliche Unversehrtheit der Benutzer der IT-Infrastruktur betreffen (hier jedoch nicht weiter betrachtet werden sollen, da sie in den Bereich Arbeitssicherheit fallen), sind an dieser Stelle vor allem Pflichten im Umgang mit verarbeiteten Daten der Benutzer zu beachten. Zuvorderst sind hier natürlich die jeweils geltenden Datenschutzgesetze zu nennen, das Bundesdatenschutzgesetz bzw. die jeweiligen Landesdatenschutzgesetze. Diese schreiben vor, dass personenbezogene Daten nicht in die Hände Unbefugter gelangen dürfen, unter welchen Voraussetzungen und wie lange der (befugte) Betreiber der verarbeitenden IT-Infrastruktur von ihnen Kenntnis erlangen darf sowie dass der Betreiber technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen muss.

Vertraulichkeit
Der Betrieb von Kommunikationsdiensten wie z.B. elektronischer Post verpflichtet den Betreiber zur Einhaltung der Gesetze zum Brief-, Post- und Fernmeldegeheimnis (hier ist insbesondere an Straftatbestände z.B. nach §202 StGB und §206 StGB zu denken). Er muss sicherstellen, dass innerhalb der eigenen IT-Infrastruktur Vorkehrungen nach dem Stand der Technik zum Zweck der Unterbindung des unbefugten Zugriffs auf die verarbeitete und gespeicherte Kommunikation durch Unbefugte getroffen werden. Die Vertraulichkeit der Daten ist zu gewährleisten.

Verfügbarkeit
An einer Universität spielt den eigenen Benutzern gegenüber die Verfügbarkeit der durch die IT-Infrastruktur bereitgestellten Dienste und der Daten eine geringere Rolle, sind hier doch weniger Fälle zu erwarten, in denen ein juristischer Anspruch entstehen kann. Dennoch können solche Fälle nicht ausgeschlossen werden: Etwa, wenn Studierende zur Erbringung von geforderten Leistungen auf bestimmte Dienste oder Daten angewiesen sind. Diese Fälle können jedoch i.A. durch die ggf. temporäre Anpassung der entsprechenden Prozesse und Anforderungen seitens der Universität gelöst werden.

Integrität
Die Verpflichtung zur Gewährleistung der Unverändertheit der Daten (Integrität) ist ähnlich einzuschätzen, wie die der Verpflichtung zur Gewährleistung der Verfügbarkeit: Sie spielt eine geringere Rolle als die Gewährleistung der Vertraulichkeit, sie kann jedoch nicht in allen Fällen ausgeschlossen werden.

Folgende Vorschriften und Gesetze sind mindestens zu beachten (die Liste erhebt keinen Anspruch auf Vollständigkeit):

  • BDSG – Bundesdatenschutzgesetz (nur für den Bereich der Privatwirtschaft und öffentliche Einrichtungen und Behörden des Bundes)
  • LDSG – Landesdatenschutzgesetz Baden-Württemberg (für die Universität Stuttgart relevant)
  • TKG – Telekommunikationsgesetz
  • TMG – Telemediengesetz
  • §202 StGB – Verletzung des Briefgeheimnisses
  • §206 StGB – Verletzung des Post- oder Fernmeldegeheimnisses

Zum Inhaltsverzeichnis

Verantwortung gegenüber Dritten

Dritte, also Nichtmitglieder der Universität, können auf verschiedene Weise durch den Betrieb der IT der Universität betroffen sein. Die zwei wesentlichen Aspekte sind dabei:

1. Gefährdung der IT-Infrastruktur Dritter durch die eigene IT-Infrastruktur
Fast alle Rechnersysteme sind heute mit dem Internet verbunden und dadurch in der Lage, miteinander zu kommunizieren. Die Teilnahme am Internet ermöglicht jedoch auch den Angriff von Rechnersystemen auf andere Rechnersysteme. Angriffe erfolgen, um das Ziel entweder in einen unbenutzbaren Zustand zu versetzen und so z.B. von der Teilnahme an der Internetkommunikation auszuschließen (sog. Denial of Service, abgekürzt: DoS ) oder es unter die eigene Kontrolle zu bringen (sog. Kompromittierung).
Der erste Fall ist für die Universität Stuttgart dann problematisch, wenn Systeme der Universität solche Angriffe durchführen. Die Beteiligung an DoS-Angriffen kann als Computersabotage (§303b StGB) bewertet werden.
Der zweite Fall ist schwerer zu fassen, da er sehr viele Szenarien ermöglicht. Wenn ein Angriff auf ein System der Universität zu seiner Kompromittierung führt, kann es als Plattform verwendet werden, um andere Systeme innerhalb und außerhalb der Netze der Universität anzugreifen und u.a. deren Betrieb zu gefährden. Neben der oben genannten Teilnahme an DoS-Angriffen können dies auch Angriffe auf andere Systeme sein, mit dem Ziel diese ebenfalls zu kompromittieren. Daneben ist jeder andere Missbrauch der Systeme denkbar, vom Verteilen urheberrechtlich geschützter Werke, über den Diebstahl oder der Unbrauchbarmachung der verarbeiteten Daten bis zur Verbreitung jugendgefährdender Schriften.

2. Schädigung Dritter durch die eigene IT-Infrastruktur
Der Verlust von Daten, die auf betroffenen Systemen verarbeitet werden – oder der Verlust ihrer Vertraulichkeit – ist dann von besonderer Brisanz, wenn es sich um Daten handelt, die im Rahmen von Drittmittelprojekten verarbeitet werden. Insbesondere dann, wenn sie dem Drittmittelgeber gehören oder von ihnen der Erfolg des Projektes abhängt und/oder wenn im Rahmen des Projektes Geheimhaltungsvereinbarungen unterzeichnet wurden.
Je nach Art der verarbeiteten Daten können dann Regelungen zum Schadenersatz greifen. Hier ist die Vertraulichkeit der Daten zu gewährleisten. Auch vertraglich zugesicherte Mindestverfügbarkeit der durch die IT-Infrastruktur bereitgestellten Dienste (sog. Dienstgütevereinbarung) und der Daten fallen in diese Kategorie. Neben der bloßen Verfügbarkeit der Dienste und Daten ist auch deren Integrität zu gewährleisten: Was nützen Daten, wenn man nicht weiß, ob sie nicht unbefugt verändert wurden. Auch die Rechnersysteme und die durch sie angebotenen Dienste müssen integer sein, sich also wie vorgesehen verhalten.
Wenn personenbezogene Daten von Dritten, z.B. im Rahmen von Projekten oder einer Auftragsdatenverarbeitungsvereinbarung, verarbeitet werden, sind selbstverständlich ebenfalls die Datenschutzgesetze zu beachten.

Folgende Vorschriften und Gesetze sind mindestens zu beachten (die Liste erhebt keinen Anspruch auf Vollständigkeit):

Zum Inhaltsverzeichnis

Wie der Verantwortung gerecht werden?

Der Missbrauch der IT-Infrastruktur, der zur Schädigung Dritter führen kann, kann nicht sicher und in allen Fällen verhindert werden. Dies kann auch nicht verlangt werden, jedoch muss mindestens sichergestellt sein, dass er nicht fahrlässig ermöglicht wird.

Allen den in den vorangehenden Abschnitten beschriebenen Anforderungen ist gemeinsam, dass sie nur erfüllt werden können, wenn

  1. der IT-Verbund nach dem Stand der Technik betrieben wird und
  2. der Betreiber die administrative Kontrolle oder mindestens die uneingeschränkte Kommunikationskontrolle über die Systeme der IT-Infrastruktur hat.

Natürlich spielt hier, wie überall, die Verhältnismäßigkeit des zu betreibenden Aufwandes, sowohl für den Schutz als auch für den möglichen Angriff eine Rolle. Allerdings ist zu beachten, dass die Verhältnismäßigkeit ggf. durch eine dritte Instanz (z.B. ein Gericht und einem von diesem bestellten Gutachter) festgestellt wird, weshalb es günstig ist, die Abwägung nicht zu sehr zu Lasten des Aufwandes vorzunehmen.

Zusammengefasst kann man festhalten, dass zum Einen Schutzmaßnahmen nach dem Stand der Technik ergriffen werden müssen, die mindestens zur Abwehr trivial durchführbarer Angriffe (d.h. Angriffe, die mit im Netz verfügbaren technischen Hilfsmitteln durchgeführt werden können) taugen. Andernfalls setzt man sich dem Vorwurf aus, fahrlässig durch Unterlassung der Ergreifung der erforderlichen Sicherheitsmaßnahmen gehandelt zu haben. Zum Anderen stellt es eine (ggf. grobe) Verletzung der nach dem Stand der Technik anerkannten Prinzipien dar, wenn der Betreiber die administrative Kontrolle über seine Systeme aus Nachlässigkeit nicht hat oder sie willentlich aufgibt. Im Rahmen eines möglichen Gerichtsprozesses könnte man zu Ersatz für Schäden, die durch die eigene IT-Infrastruktur entstehen oder ermöglicht werden, verurteilt werden.

Für eine große Organisation, wie sie die Universität Stuttgart eine ist, kann der jeweils mögliche finanzielle Verlust, der durch Schadenersatz- oder Bußgeldzahlungen entstehen kann, sogar als verkraftbar (wenn auch ärgerlich) erscheinen, er ist aber in der Risikobetrachtung gar nicht ausschlaggebend. Viel schlimmer ist der Reputationsschaden, der durch die gerichtlich festgestellte Fahrlässigkeit beim Betrieb der IT-Infrastruktur entstehen kann. Insbesondere wenn diese auch in der Presse Erwähnung findet, kann ein solcher Imageschaden unbezifferbare Auswirkungen auf die künftige Einwerbung von Drittmitteln und Studierendenzahlen haben.

Daher ist es essentiell, die IT-Infrastruktur so zu betreiben, dass dieser Fall nicht eintritt. Dies heißt nicht, dass jedes denkbare Sicherheitsproblem von vorneherein verhindert werden muss – dieses Ziel wäre auch nicht erreichbar. Wichtig ist, strukturelle Sicherheitsprobleme zu erkennen und zu vermeiden oder zu beseitigen.

Zum Inhaltsverzeichnis

Fazit

Der Betrieb eines IT-Verbundes ist und wird immer mehr zu einer Angelegenheit, die dem Betreiber Verantwortung auferlegt. Für Fahrlässigkeiten oder technische Unzulänglichkeiten, die zum Missbrauch von Teilen der Infrastruktur durch Unbefugte führen und/oder Dritte schädigen, muss sich der Betreiber verantworten. I.A. kann er eventuelle Ansprüche Geschädigter und eine daraus resultierenden Rufschädigung nur abwenden, wenn er nachweisen kann, dass die technischen Sicherheitsmaßnahmen dem Stand der Technik entsprechen. Daher sind Maßnahmen zu ergreifen, um den Missbrauch des IT-Verbundes zu vermeiden.
Es ist essentiell, bei der Planung des Betriebes des Verbundes äußerste Sorgfalt walten zu lassen, vollständige und nachvollziehbare Dokumentation anzufertigen und die Maßnahmen ständig auf Wirksamkeit zu überprüfen und zu aktualisieren.

Zum Inhaltsverzeichnis