Inwiefern sind Leitungsorgane von Unternehmen verpflichtet, Maßnahmen für die Einhaltung ausreichender IT-Sicherheitsstandards zu ergreifen und deren Befolgung zu überwachen?

Studienarbeit aus dem Jahr 2008 im Fachbereich Jura - Sonstiges, Note: 12 Punkte, Gottfried Wilhelm Leibniz Universität Hannover, Sprache: Deutsch, Abstract: Die heutige Bedeutung von Internet und Informationstechnik für die Gesellschaft und eine damit zusammenhängende Abhängigkeit bedarf keiner ausführlichen Erläuterung. Informationstechnik ist allgegenwärtig; sie ist aus dem wirtschaftlichen und gesellschaftlichen Leben nicht mehr wegzudenken. Insbesondere die Nutzung von Informations- und Kommunikationstechnologie in Unternehmen hat einen unaufhaltbaren, stetigen Zuwachs. Weniger bewusst ist man sich oft allerdings über die damit verbundenen Gefahren und Risiken. In der jüngsten Zeit sind Gefahren und Schäden durch Viren zwar rückläufig gewesen, aber es kam vermehrt zu Bedrohungen durch Spyware, Trojaner, sog. Phishing-Attacken oder Angriffe von Bot-Netzen. Sorgen solche Sicherheitsrisiken dann erst einmal für den Ausfall von Computern und den damit verbundenen Prozessen, so müssten viele Unternehmen ihren Betrieb zumindest für einen gewissen Zeitraum einstellen. Der Flug- und Bahnverkehr könnte zum Stillstand kommen, Finanzmärkte blieben geschlossen. Nach Vergegenwärtigung der genannten Szenarien scheint eine gesetzliche Pflicht der Unternehmen, solche IT-Schadensfälle durch ausreichende Sicherheitsmaßnahmen zu verhindern, selbstverständlich zu sein. Es fragt sich in diesem Zusammenhang allerdings, wie es zu erklären ist, dass nach einer Studie nur 50% der Unternehmen organisatorisch auf einen Hackerangriff vorbereitet sind und über einen entsprechenden Notfallplan verfügen. Nur 28% verfügen ferner über externe Ausweichsysteme, wenn ihre IT ausfällt. Durch die zunehmende Digitalisierung des Wirtschafts- und Gesellschaftslebens nimmt auch die digitale Datenmenge ständig zu. Geheimhaltungsbedürftige Entwicklungs-, Kunden- oder Patientendaten sind somit auch vermehrt den oben genannten Gefahren ausgesetzt. Diese Diskrepanz zwischen möglichen Schadensfolgen beim Ausfall von IT-Systemen und z.T. unzureichenden Sicherheitsvorkehrungen in den Unternehmen gegen Angriffe und Ausfälle, gibt den Grund für eine ausführliche Erörterung der aufgeworfenen Problemstellung. Es muss daher geklärt werden, inwiefern Unternehmen, in Form ihrer Leitungsorgane, überhaupt dazu verpflichtet sind Maßnahmen zu ergreifen, um ausreichende IT-Sicherheitsstandards zu installieren und somit oben genannte Szenarien zu verhindern. Ferner soll die Arbeit klären, ob die bestehenden gesetzlichen Regelungen überhaupt einen ausreichenden Schutz bieten können. [...]