Die möglichen Störungen rei­chen von der unerlaubten privaten Nutzung (unbefugter E-Mail-Versand durch Arbeitnehmer) über das Aus­forschen von Betriebsgeheimnissen bis zur zielgerichteten Datenmani­pulation zum Nachteil des Unterneh­mens. Nicht zu unterschätzen sind auch Verletzungen urheberrecht­licher und markenrechtlicher Vor­schriften. Täter können eigene Mitar­beiter und betriebsfremde Dritte sein. Folge ist unter anderem eine Straf­barkeit wegen des unbefugten Aus­spähens von Daten (»elektronischer Hausfriedensbruch«), Betriebsspio­nage oder Computersabotage. Hinzu treten Schadensersatzansprüche des geschädigten Unternehmens.

Noch gravierender ist die Haftung der Geschäftsleitung. Sie ist zuletzt durch das »Gesetz zur Kontrolle und Trans­parenz im Unternehmensbereich« (KonTraG) erheblich verschärft wor­den. Das KonTraG findet Anwen­dung auf alle Gesellschaftsformen. Hiernach sind Organe und leitende Angestellte umfassend verantwort­lich für ein funktionierendes Risiko­-Management gegenüber Gefahren, die den Bestand des Unternehmens gefährden könnten. Eine Verletzung dieser Pflicht kann für die Unterneh­mensleitung existentielle Folgen ha­ben. Neben dem Verlust der eigenen Organstellung kann sie zu empfind­lichen Schadensersatzforderungen der geschädigten Gesellschaft führen.

Zum Pflichtenkatalog nach dem Kon­TraG zählt auch die IT-Sicherheit. Der Schutz gegen externe und interne Einwirkungen auf die unternehmenseigenen Datensysteme wird damit angesichts des drohenden Super­GAUs »zur Chefsache«. Speziell im Hinblick auf die eigenen Angestell­ten sind umgekehrt die Maßgaben zu berücksichtigen, die die Rechtspre­chung zum Schutz von deren Privat­sphäre entwickelt hat. Jedes Unter­nehmen sollte deshalb den Umfang der zugelassenen privaten Nutzung des Internets genau regeln und vorab die Einwilligung zur Löschung von E-­Mails einholen, bei denen aufgrund filterbedingter Erkenntnisse der Ver­dacht auf einen Virus oder rechtswid­rige Inhalte besteht.

Ein effektives Risikomanagement setzt voraus, dass in allen operativen Bereichen rechtzeitig die Bedro­hungspotenziale identifiziert werden. Im Konzern haben die Vorstände der Muttergesellschaft sicherzustellen, dass alle Töchter in das bestehende Sicherheitssystem eingebunden sind. Die Beschäftigten sind durch Dienst­anweisungen, Schulungen und ein entsprechendes Controlling auf die Einhaltung der Maßgaben der Geschäftsleitung zu verpflichten.

Dabei zahlt sich aus, alle erteilten Weisungen schriftlich zu dokumen­tieren. Zudem ist eine ständige, auch unangekündigte Prüfung erforderlich, ob der Mitarbeiter seine Arbeiten ordnungsgemäß ausführt, um das Überwachungsverschulden zu wider­legen. In technischer Hinsicht emp­fiehlt sich die rechtzeitige Installation besonderer Filtertechnologien, WEP­Verschlüsselung etc., um das Risiko externer Störungen so weit wie mög­lich auszuschließen.