isss Logo Bericht von der Fachtagung Herbst 1996
vom Donnerstag, 7. November 1996
im Hörsaal 109, Freiestr. 36, Zürich

"Sicherheit heute: Kriminalität - Haftung - Vertragsrecht" stand im Mittelpunkt einer Fachtagung der Fachgruppe Security. Behandelt wurden verschiedene juristische Aspekte der Informatiksicherheit. In seinen Begrüssungsworten stellte der Präsident der Fachgruppe Security, Adolf Dörig, die thematische Brisanz der Informatiksicherheit heraus. Neben den Mitgliedern der Fachgruppe Security konnte Herr Dörig zahlreich erschienene Studenten der Fachhochschule Luzern und der Universität Zürich begrüssen. Als Vortragende waren angekündigt: Dr. Christof Müller, Urs Suter, Beat Lehmann und Anthony Thorn. Der Vortrag von Anthony Thorn musste allerdings wegen eines Unfalls des Vortragenden leider entfallen.

Wirtschaftskriminalität: Risikozone Informatik

Dr. Christof Müller betrachtete in seinem Vortrag über Wirtschaftskriminalität besonders die Risikozone Informatik. Beginnend mit der Frage, was Wirtschaftskriminalität sei, vor allem, wie sie sich von herkömmlicher Kriminalität abgrenzt und welche verschiedenen Disziplinen sich mit dem Phänomen Wirtschaftskriminalität auseinandersetzen müssen, wurde nach Abklärung der Fragen das Augenmerk auf die spezifischen Probleme der Informatik innerhalb wirtschaftskrimineller Tatbestände eingegangen.

Dr. Müller umriss Wirtschaftskriminalität als einen Verstoss gegen externe (Gesetz) oder interne (Firmenrichtlinien) Normen, dessen Opfer, neben öffentlichen Einrichtungen, vor allem die Privatwirtschaft ist. Charakteristisch für wirtschaftskriminelle Handlungen ist üblicherweise ein Missbrauch übertragenen Vertrauens. Aufgrund der untschiedlichsten Aspekte von Wirtschaftskriminalität sind auch verschiedenste Disziplinen gefordert, sich mit diesem Phänomen auseinanderzusetzen. Zu nennen sind die Psychologie, die Ethik und Moral, die Soziologie, die Wirtschaftswissenschaften und das Strafrecht.

Nach einer Darstellung des wenigen statistischen Materials - durchschnittliches Täterprofil, Motivation, Verbreitung, etc. -, das über den Bereich der Wirtschaftskriminalität existiert, konzentrierte sich der Vortragende auf die Informatik. Die wesentlichen Tatbestände im informatischen Bereich sind die Sabotage, die Spionage, der Diebstahl von Rechenzeit und die Manipulation. Durch die steigende Verquickung von Informatik und Telekommunikation nehmen potentielle Angriffsszenarien zu; es ist auch immer stärker das Augenmerk auf anscheinend lapidare Aspekte bezüglich der Sicherheit informationstechnischer Anlagen zu richten. So nützt die beste technische und physische Absicherung eines zentralen Rechenzentrums nichts, wenn wenig ausserhalb des geschützten Objekts nur îein Kanaldeckel verschoben werden muss,” um Zugriff auf das Glasfaserkabel, das das Rechenzentrum an die Aussenwelt anbindet, zu erhalten. Die Infrastruktur, in die eine Datenverarbeitungsanlage eingebettet ist, ist oftmals wesentlich effizienter angreifbar als die Anlage selbst.

Mit dem Hinweis auf den potentiellen Schaden, den der Verlust oder die Manipulation von grossen Datenmengen für ein Unternehmen als auch die Volkswirtschaft eines Landes bedeuten kann, stellte Dr. Müller sehr nachdrücklich fest, dass, neben zweifelsohne notwendigen sanktionierenden Massnahmen, vor allem die Prävention, z.B. durch Mitarbeiterwahl, interne Kontrollen, entsprechend installierte Systeme und die Sensibilisierung des Führungspersonals, die Schlüsselfunktion im Umgang mit wirtschaftskriminellen Handlungen im Bereich der Informatik einnimmt bzw. einnehmen sollte.

Outsourcing - Haftung, Verantwortlichkeit

Über Haftung und Verantwortlichkeit beim Outsourcing berichtete Urs Suter als zweiter Vortragender. Insbesondere wurden Konsequenzen des Outsourcings, also der teilweisen, dauerhaften Übertragung von Geschäftsaktivitäten an Service erbringende Unternehmen, in bezug auf das Kundenverhältnis diskutiert. Kernaussage ist, dass Outsourcing an Dritte nichts an der ursprünglichen direkten Geschäftsbeziehung zwischen Kunden und Unternehmen ändert. Entstehen dem Kunden Nachteile aus den Aktivitäten eines Serviceerbringers, so ist weiterhin das Unternehmen, mit dem der Kunde in direkter Geschäftsbeziehung steht, schadensersatzpflichtig, mit der Möglichkeit, selbst den Serviceerbringer in Regress zu nehmen.

Probleme entstehen, wenn der Serviceerbringer für seine Arbeit vom auslagernden Unternehmen sensitive, d.h. vertrauliche Kundendaten erhalten muss. Dann ist Outsourcing nur nach ausdrücklicher Zustimmung des Kunden zulässig, oder wenn die Daten geeignet anonymisiert werden. Finden weder Einholung der Zustimmung des Kunden noch Datenanonymisierung statt, verstiesse Outsourcing gegen den Datenschutz. Von besonderer Brisanz ist es, wenn der Serviceerbringer seinen Sitz nicht in der Schweiz, sondern im Ausland hat. Dann muss vor der Dienstauslagerung geklärt werden, ob hierdurch relevante Daten über die schweizerische Volkswirtschaft ins Ausland transferiert würden. Gegebenenfalls wäre die Zustimmung des Datenschutzbeauftragten notwendig. Im Hinblick auf spätere potentielle Regressansprüche ist auch die Gleichwertigkeit der Rechtssprechung des betreffenden Landes zur schweizerischen Rechtsprechung zu prüfen.

Ist das Unternehmen, das Outsourcing durchführt, einer Revisionsstelle unterstellt, müsste auch für den Serviceerbringer die Aufsichtspflicht gefordert werden und das Serviceunternehmen müsste durch die gleiche Stelle revidiert werden. Daher ist Outsourcing bei Banken besonders kritisch, da Banken durch die Eidgenössische Bankenkommission (EBK) revidiert werden und dem Bankgeheimnis unterliegen.

Vertragliche Regelungen zur Informatiksicherheit

Thematisch in ähnlicher Richtung wie Urs Suter, trug Beat Lehmann über vertragliche Regelungen zur Informatiksicherheit vor: Welche gesetzlichen Regelungen bestehen im Umgang mit Speicherung und Verarbeitung sensitiver Daten und welche Konsequenzen ergeben sich daraus für die Abfassung von Verträgen, die sicherheitsrelevante Bereiche der Informatik tangieren?

An gesetzlichen Grundlagen gibt es zunächst die gesetzlich vorgeschriebene oder vertraglich vereinbarte Geheimhaltung von Daten, eine Thematik, die auch schon bei Fragen des Outsourcings betrachtet wurde. Desweiteren bestehen gesetzliche oder auch vertragliche Pflichten zur sicheren Aufbewahrung und Herausgabe von Daten. Aufgrund der existierenden Verjährungsfristen empfiehlt sich die Aufbewahrung von Datenbeständen bis zu 10 Jahren, um etwaige Entlastungsbeweise führen zu können.

Die vertraglichen Regelungen von Informatiksicherheit betreffend, präsentierte Herr Lehmann von den gesetzlichen Grundlagen, über Sanktionen bei der Verletzung von Sicherungspflichten, bis hin zu einer Checkliste über technische und organisatorische Massnahmen ein breites Spektrum wichtiger Informationen. Bezugnehmend auf neuere und noch bevorstehende Regelungen erläuterte er, dass der Einbruch in Datenbereiche nur dann strafbar ist, wenn die Daten durch entsprechende Sicherheitsmassnahmen geschützt sind. Ab 1998, im Juni, tritt ein Gesetzt in Kraft (Ablauf der Übergangsfrist), das fordert, dass die jeweiligen Sicherheitsmassnahmen dem jeweilig aktuellen Kenntnisstand entsprechen müssen; dann werden periodisch durchzuführende Anpassungen an die jeweils neuesten sicherheitstechnischen Erkenntnisse notwendig, um sich, durch Nachweis der entsprechenden Sicherheitsmassnahmen, möglichen Ansprüchen Dritter entziehen zu können.

Resümee

Aus allen drei Vorträgen ging hervor, dass das Feld der Informatiksicherheit aus der juristischen Perspektive zunehmend an Bedeutung gewinnt, trotz der Tatsache, dass die Aktualisierung der Rechtsgrundlagen nicht mit dem Tempo der Fortentwicklung des Informatikeinsatzes schritthalten kann. Personal in für Informatiksicherheit verantwortlicher Position wird in verschiedensten Unternehmen verstärkt Entscheidungen fällen und Sicherheitskonzepte vertreten müssen, die neben einer wesentlichen wirtschaftlichen auch eine erhebliche juristische Tragweite haben.

Dr. oec. HSG et lic. iur. HSG Christof Müller (Wirtschaftskriminalität: Risikozone Informatik) ist Dozent für Wirtschaftskriminalistik an der Betriebswirtschaftlichen Fakultät der Universität Sankt Gallen. Urs Suter (Outsourcing - Haftung, Verantwortlichkeit) ist Fürsprecher bei Suter Rechtsanwälte, Zürich. Beat Lehmann, lic. iur., (Vertragliche Regelungen zur Informatiksicherheit) ist Fürsprecher bei Alusuisse-Lonza Holding AG, Zürich.

Ulrich Nitsche
Institut für Informatik
Universität Zürich
Winterthurerstr. 190
8057 Zürich
Email: nitsche@ifi.unizh.ch


Literatur