"Weil doch nicht sein kann, was nicht sein darf."
„Compliance" bedeutet die Einhaltung von Verhaltensregeln, Gesetzen und Richtlinien. Sie ist häufig eine über die gesetzlichen Regelungen hinausgehende Selbstverpflichtung; IT-Compliance stellt aber auch sicher, dass die Geschäftsleitung nicht für Schäden haftet, die beispielweise durch unzureichende IT-Sicherheit entstehen; wenn also ein Netzwerk als Bot-Netz missbraucht wird und fremde Rechner mit Schadsoftware oder E-Mails überflutet werden, oder bei der Verletzung von Datenschutzregeln.
Um Compliance überhaupt möglich zu machen, implementieren viele Unternehmen ein Information Security Management beispielsweise auf Basis des ISO 27001. Dieses stuft, angelehnt an die Unternehmensprozesse, das Netzwerk nach verschiedenen Parametern ein. Dabei werden auch Rechnersysteme hinsichtlich ihrer Schutzklasse und Kritikalitätsstufe bewertet. Die Frage ist allerdings: wie wird überprüft, ob das geforderte Schutzniveau auch eingehalten wird? Wird die Einhaltung von Compliance anhand von Sollvorgaben mit einem Security Level Management überprüft?
Im deutschen Rechtsraum herrscht das Prinzip der Organisationsverpflichtung. Dieses besagt sinngemäß: „Du sollst keine Anlagen betreiben, von denen eine Gefahr für Andere ausgeht, wenn Du sie nicht beherrscht". Aus der Sicht von Juristen sind EDV-Systeme ebenso „gefährliche Anlagen" wie Kraftfahrzeuge oder Atomkraftwerke - grundsätzlich ist die Schwere der Bedrohung nicht relevant für die Einordnung als „gefährliche Anlage". Und deswegen gelten für IT-Systeme die gleichen Haftungsgrundsätze: Das Gesetz fordert vom Betreiber Zuverlässigkeit und die Beherrschbarkeit des Systems! Er muss also Maßnahmen ergreifen, um jederzeit sicherzustellen, dass von der Anlage keine Gefahr ausgeht.
Und auch §9 des Bundesdatenschutz-Gesetzes (BDSG) verpflichtet Unternehmen, „technische und organisatorische Maßnahmen" zu treffen, sobald sie personenbezogene Daten erheben, verarbeiten oder nutzen. Im Kommentar zum BDSG heißt es dazu, dass die Sicherheitsprogramme möglichst automatisch aktualisiert werden müssen, da ein veraltetes Schutzprogramm nur ein falsches Sicherheitsgefühl vortäuscht.
Nicht jedes Sicherheitsleck ist justiziabel. Im Falle eines Datenmissbrauchs oder eines Schadens wird sich die Rechtsprechung aber daran orientieren, was Sachverständige zum Stand der Technik zählen. Und diese sagen aktuell: Eine rein reaktive Verbesserung der Schutzsysteme in Fällen, in denen Schwachstellen durch Angriffe aufgedeckt wurden, oder die Überprüfung durch Stichproben, reicht für eine Haftungsbefreiung nicht aus. Unternehmen haben vielmehr aktuelles Wissen über Gefährdungen und die notwendigen Maßnahmen in der Organisation vorzuhalten, diese ständig zu aktualisieren und den Anwendern transparent zu machen. Zwar muss nach dem Grundsatz der Verhältnismäßigkeit ein kleines Unternehmen kein automatisches Monitoring-System verwirklichen, wenn es sich auch manuell über den Status informieren kann. In sehr großen Unternehmen mit komplexen Netzwerken ist eine entsprechende Qualitätssicherung zu betreiben.
Mit anderen Worten: Besonders bei der IT-Sicherheit gilt nicht das Bonmot von Christian Morgenstern „... dass nicht sein kann, was nicht sein darf." Durch die sich kontinuierlich verändernden Rahmenbedingungen, sprich: immer neue Schadsoftware, erfordert Compliance ein kontinuierliches Qualitätsmanagement, also die ständige Überprüfung, dass nicht nur theoretisch, sondern dass auch tatsächlich kein Verstoß gegen Verhaltensregeln, Gesetzen und Richtlinien vorliegt.