Das Problem

In kleineren Büros und Betrieben kommt oft noch die vom Internet Service Provider zur Verfügung gestellte Hardware (Modem/Router) zum Einsatz. Diese Geräte bieten oft nur rudimentärste Konfigurations- und Reportmöglichkeiten.

Dennoch gelten für die in einem Firmennetzwerk gespeicherten Daten in Deutschland etliche gesetzliche Vorschriften und Verhaltensregeln (Compliances). In Deutschland sind neben HGB, KomTraG, Bundesdatenschutzgesetz, EU-Datenschutzrichtlinien, Betriebsverfassungsgesetz und weiteren Vorschriften auch branchenspezifische Compliances oft zwingend zu beachten

Zu den Vorschriften gehören regelmäßig

  1. MDStVMDStV ist der Staatsvertrag über Mediendienste (Mediendienste-Staatsvertrag). Zweck des Staatsvertrages ist, in allen Ländern einheitliche Rahmenbedingungen für die verschiedenen Nutzungsmöglichkeiten der im folgenden geregelten elektronischen Informations- und Kommunikationsdienste zu schaffen.
  2. MiFIDDie MiFID (Markets in Financial Instruments Directive) ist eine Richtlinie der Europäischen Union (EU) zur Harmonisierung der Finanzmärkte im europäischen Binnenmarkt. Ziele sind ein verbesserter Anlegerschutz, ein verstärkter Wettbewerb und die Harmonisierung des europäischen Finanzmarktes.
  3. TDDSGDas Teledienstedatenschutzgesetz (TDDSG) regelte den Datenschutz der Nutzer von Telediensten. Betroffen vom Teledienstedatenschutzgesetz waren unter anderem das Impressum einer Seite, die Erhebung von Serverstatistiken, alle Arten von Prozessabwicklungen, wie z. B. Kontaktformulare, in die der Nutzer persönliche Daten eingibt.
  4. IFRSDie International Financial Reporting Standards (IFRS) sind internationale Rechnungslegungsvorschriften für Unternehmen,die vom International Accounting Standards Board (IASB) herausgegeben werden. Sie sollen losgelöst von nationalen Rechtsvorschriften die Aufstellung international vergleichbarer Jahres- und Konzernabschlüsse regeln.
  5. TKGDas Telekommunikationsgesetz (TKG) ist ein deutsches Bundesgesetz, das den Wettbewerb im Bereich der Telekommunikation reguliert und auch die angebotenen Dienstleistungen fortlaufend gewährleistet.
  6. SOXDas Sarbanes-Oxley Act of 2002 (SOX) ist ein US-Bundesgesetz, das als Reaktion auf Bilanzskandale von Unternehmen die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessern soll. Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen.
  7. KWGKreditwesengesetz – Die Regelungen des KWG beziehen sich auf Institute und Institutsgruppen. Institute im Sinne des KWG sind Kreditinstitute und Finanzdienstleistungsinstitute. Das KWG wird als „das Gesetz über das Kreditwesen“ bezeichnet.
  8. PCI-DSSDer Payment Card Industry Data Security Standard ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird.
  9. BaFinDie Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist eine rechtsfähige Bundesanstalt. Sie untersteht der Rechts- und Fachaufsicht des Bundesministeriums der Finanzen. Die BaFin beaufsichtigt und kontrolliert als Finanzmarktaufsichtsbehörde im Rahmen einer Altfinanzaufsicht alle Bereiche des Finanzwesens in Deutschland. -Verordnungen
  10. FINRADie Financial Industry Regulatory Authority (FINRA) ist als Genehmigungsbehörde in den USA hauptsächlich verantwortlich für die Beaufsichtigung von Personen, die in der Wertpapierbranche involviert sind. Die FINRA ist eine sich selbst regulierende Organisation und ist damit keine direkte Behörde der Regierung.
  11. Basel IIDie Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht zur Sicherung einer angemessenen Eigenkapitalausstattung von Instituten und zur Schaffung einheitlicher Wettbewerbsbedingungen sowohl für die Kreditvergabe als auch für den Kredithandel vorgeschlagen wurden. / Basel IIIDas Reformpaket der Bank für Internationalen Zahlungsausgleich (BIZ) für die bereits bestehende Bankenregulierung Basel II. Es stellt die ab 2013 gültige Reaktion auf die von der weltweiten Finanz- bzw. Wirtschaftskrise ab 2007 offengelegten Schwächen der bisherigen Bankenregulierung dar.
  12. HIPAAHealth Insurance Portability and Accountability Act“ schreibt vor, dass alle Organisationen im Gesundheitswesen strenge Regeln zum Schutz der Vertraulichkeit und Integrität von Patientendaten einhalten.

Schaden kann schnell entstehen. Viren und Trojaner gibt es zu Hunderttausenden, und es vergeht kein Tag, an dem nicht neue Malware im Internet auftaucht. Durch Trojaner beispielsweise können Kundendaten ausspioniert, E-Mails und Dateianhänge abgefangen oder auf die Buchhaltungs- und Lohndaten zugegriffen werden.

Durch den Einsatz von (oft privaten) Notebooks, Smartphones und Tablets öffnen sich weitere „Hintertüren“ in das Firmennetzwerk, da die Verbindungen zu diesen Endgeräten meist gar nicht oder unzureichend verschlüsselt sind.

Inhaber und Geschäftsführer können im Schadensfall persönlich haftbar gemacht werden, wenn die IT-Sicherheit die oben genannten Anforderungen nicht erfüllt und/oder ein lückenloser Nachweis des einwandfreien Status der Netzwerksicherheit zum Zeitpunkt des Schadeneintritts nicht erbracht werden kann.