Juristische Fallstricke und Lösungen

Wartungsvertrag und IT-Sicherheit

23.07.2014 von Thomas Feil
Bei der Wartung von IT-Anlagen können rechtliche Probleme auftreten, mit denen sich Auftraggeber und Dienstleister konfrontiert sehen. Wir klären über die Arten von Wartungsverträgen, die Haftung und den Schadensersatz auf.

Eine professionelle und effiziente Betreuung der unternehmenseigenen IT-Systeme erfordert spezialisierte Mitarbeiter, die über die nötige Kompetenz verfügen und sich stetig fortbilden. Dies ist zeit- und kostenintensiv. Viele Unternehmen fühlen sich aber mit der Pflege der eigenen Computersysteme überfordert und beauftragen externe Dienstleister mit der Wartung der Unternehmens-IT - verbunden mit der Hoffnung, sich künftig besser auf die eigene Kernkompetenzen konzentrieren zu können.

Der Teufel steckt im Detail: Der Leistungsumfang in Wartungsverträgen muss so präzise wie möglich definiert und abgesteckt werden, um etwaigen späteren Meinungsverschiedenheiten zwischen den Vertragspartnern vorzubeugen.
Foto: fotodesign-jegg.de - Fotolia.com

Faktisch gibt das Unternehmen durch den Abschluss eines Wartungsvertrags ein Stück Autonomie aus der Hand. Denn wenn eigene Mitarbeiter nicht mehr selbst die Computersysteme betreuen, geht über kurz oder lang Know-how verloren, und es besteht eine Abhängigkeit vom Dienstleister.

Dabei ist die Integrität der IT-Systeme für viele Firmen von existenzieller Bedeutung. Fehler in der IT können ein ganzes Unternehmen blockieren und zu massiven Vermögenseinbußen führen. Deshalb gilt es für beide Seiten, die zahlreichen Fallstricke und Unwägbarkeiten bei der Ausgestaltung und beim Abschluss eines Wartungsvertrags zu erkennen und zu beachten.

Leistungsumfang von Wartungsverträgen

Der Inhalt von Wartungsverträgen richtet sich nach den individuellen Bedürfnissen der Auftraggeber und variiert daher von Fall zu Fall stark. Der Serviceumfang reicht von einfachen fallbezogenen Beratungsleistungen über Datensicherheitslösungen und Notfall-Support, bis hin zu "Rundum-sorglos-Paketen".

Vor dem Vertragsabschluss sind wichtige Vorüberlegungen zu treffen, die den genauen Leistungsumfang betreffen. Dies klingt zwar banal, ist aber eine entscheidende Kernfrage. Der Leistungsumfang muss so präzise wie möglich definiert und abgesteckt werden, um etwaigen späteren Meinungsverschiedenheiten zwischen den Vertragspartnern vorzubeugen.

Hinzu kommt, dass Wartungsverträge als solche im Gesetz nicht typisiert sind. Je nach konkreter Ausgestaltung versteckt sich hinter einem Wartungsvertrag ein Werkvertrag (§ 631 BGB), ein Dienstleistungsvertrag (§ 611 BGB) oder ein Garantievertrag (§§311 Abs. 1, 241 Abs. 1 BGB). Diese Vertragstypen unterscheiden sich durch ihren intendierten Zweck und beeinflussen damit auch den Leistungsumfang.

Garantievertrag, Werkvertrag oder Dienstleistungsvertrag

Während bei einem Garantievertrag der Dienstleister für die Funktionsfähigkeit der Computersysteme garantiert, also verschuldensunabhängig haften will und der Vertrag demnach wie eine Mischung aus Service- und Schadensversicherungsvertrag ausgestaltet sein wird, verspricht der Dienstleister bei einem Werkvertrag immerhin noch einen konkreten Leistungserfolg – nämlich regelmäßig die Erhaltung oder Wiederherstellung eines fehlerfreien Zustands. Bei einem Dienstleistungsvertrag, der für den Auftraggeber schwächsten Form des Wartungsvertrags, schuldet der Auftragnehmer lediglich ernstliches Bemühen, einen möglichst fehlerfreien Zustand zu erhalten oder wiederherzustellen.

Ein Beispiel: Hat der Dienstleister bei einem Dienstleistungsvertrag zwar mehrere Reparaturversuche unternommen aber kein konkretes Ergebnis erzielt, hat er seine Pflicht dennoch erfüllt. Bei einem Werkvertrag dagegen wäre diese Leistung mangelhaft (§ 633 Abs. 2 BGB) und kann Gewährleistungsrechte auslösen (§ 634 BGB). Dazu gehört auch das Recht, die Wartung auf Kosten des Auftragnehmers von einem anderen Anbieter durchführen zu lassen (§ 637 BGB).

Garantieverträge geben dem Kunden zwar die meisten Rechte, kommen in der Praxis aber so gut wie nicht vor. Bei der Wahl seiner Formulierungen im Wartungsvertrag sollte ein Auftraggeber stets darauf achten, dass ein konkreter Leistungserfolg geschuldet und nicht lediglich pflichtgemäßes Bemühen vereinbart wird, denn so schlägt sich ein werkvertraglicher Charakter im Wartungsvertrag nieder, was die Rechtsposition des Auftraggebers erheblich stärkt.

Gerade wenn größere Dienstleister mit der IT-Wartung betraut werden, kann es zudem ratsam sein, sich generell oder in bestimmten schwierigeren Situationen Personal mit einer gewissen Qualifikation zu sichern. So macht es Sinn, einen zentralen Firmenserver, dessen Funktionsfähigkeit überragende Wichtigkeit für das gesamte Unternehmen zukommt, nicht von einem Auszubildenden, sondern eher von einem Techniker oder ausgebildeten Informatiker warten und reparieren zu lassen.

Reaktionszeiten und Haftung

Neben dem Leistungsspektrum, das der Wartungsvertrag abdecken soll, ist der Leistungszeitpunkt eine zentrale Kernfrage, die oft vernachlässigt wird. Auch hier sollte keine schwammigen Ausführungen oder schillernde Bezeichnungen auftauchen. Eine "Vorzugsbehandlung" oder ein "Premium-Support" enthält keine genaue Aussage, wie lange die Fehlerbeseitigung letztlich dauert.

Auch eine Vertragsklausel, welche die Arbeitsaufnahme binnen 24 Stunden verspricht, kann das Gewissen des Auftraggebers beruhigen, ist aber effektiv wertlos. Damit weiß der Auftraggeber zwar, wann der Dienstleister mit der Bearbeitung beginnt, über die Dauer der Bearbeitung ist damit aber noch nichts vereinbart worden.

Es sollte eigentlich eine Selbstverständlichkeit sein, in IT-Wartungsverträgen neben dem Leistungsumfang auch klare Absprachen zu Haftungsfragen zu treffen.
Foto: Lexmark

Etwas besser ist es, eine Bearbeitungsdauer von beispielsweise "durchschnittlich drei Tagen" zu vereinbaren. Zwar bleibt dem Dienstleister immer noch genügend Spielraum, die Leistungen im Einzelfall verzögern zu können, jedoch ist wenigstens ein grundsätzlicher Rahmen abgesteckt.

Am sichersten ist es, wenn neben einer durchschnittlichen Bearbeitungsdauer auch noch eine Bearbeitungshöchstdauer zugesichert wird. Wird bezüglich der Bearbeitungszeit nichts vereinbart, so muss diese durch Auslegung ermittelt werden (§§ 157, 133 BGB). Anhaltspunkte können sich aus den Formulierungen, dem Preis und dem Zweck des Vertrags ergeben. Zielt beispielsweise ein Serverwartungsvertrag darauf ab, die Arbeitsfähigkeit eines ganzen Unternehmens zu sichern, dürfte eine Reaktionszeit von zehn Werktagen zu lang bemessen sein.

Wo aber die genaue Grenze liegt, ist einzelfallabhängig. Im Zweifel müssen solche Fragen gerichtlich geklärt werden. Das kostet Zeit und Geld – und letztlich ist damit niemandem geholfen, weil das Problem mit Sicherheit schon vorher gelöst worden ist. Um solchen Schwierigkeiten vorzubeugen, ist es unbedingt ratsam, die Bearbeitungszeit schon vorab festzulegen.

Vereinbarungen zur Haftung

Es sollte eigentlich eine Selbstverständlichkeit sein, in IT-Wartungsverträgen neben dem Leistungsumfang auch klare Absprachen zu Haftungsfragen zu treffen. Oft wird bei Vertragsverhandlungen indes nicht an Schadensfälle gedacht oder der Auftraggeber gibt sich mit einer mündlichen Zusicherung des Vertragspartners zufrieden, man werde sich schon irgendwie einigen können. Keine Regelungen zu treffen kann aber nicht nur strategische, sondern auch rechtliche Nachteile mit sich bringen. Denn einerseits passen die allgemeinen gesetzlichen Regelungen zum Schadensersatz häufig nicht auf die konkreten Bedürfnisse eines speziellen IT-Wartungsvertrags und andererseits sind die gesetzlichen Regelungen undurchsichtig und für den rechtlichen Laien nur schwer zu durchschauen.

Das kann zur Folge haben, dass sich ein Vertragspartner aus Unwissenheit nicht an die gesetzlichen Haftungsregelungen gebunden fühlt und daher Schadensersatzforderungen häufiger als notwendig auf dem Rechtsweg durchgesetzt werden müssen. Viele schwierige Situationen lassen sich durch klare vertragliche Absprachen vermeiden, wie im ersten Teil des Beitrags beschrieben wurde.

Leistungsumfang und Pflichtverletzung

Sofern IT-Wartungsverträge nicht als Garantieverträge ausgestaltet sind, kann der Dienstleister grundsätzlich nur dann haftbar gemacht werden, wenn er wenigstens eine fahrlässige Pflichtverletzung begangen hat (vgl. § 280 Abs. 1 BGB). Eine Pflicht kann nur derjenige verletzen, dem vorher durch Vertrag eine solche auferlegt worden ist. Aus der Leistungsbeschreibung des Wartungsvertrags muss also im Schadensfall stets ermittelt werden, in welchem Umfang der Dienstleister überhaupt verpflichtet war.

Steht fest, dass der Dienstleister objektiv einer Pflicht aus dem Schuldverhältnis nicht nachgekommen ist, muss anschließend die Schuldfrage geklärt werden. Hat der Dienstleister nämlich bei seiner Arbeit die im Verkehr erforderliche Sorgfalt beachtet, bleibt der Geschädigte auf seinem Schaden sitzen. Allerdings wird eine Unachtsamkeit des externen Dienstleisters gesetzlich bis zum Beweis des Gegenteils vermutet, sodass es grundsätzlich ihm obliegt nachzuweisen, dass er die Pflichtverletzung nicht zu vertreten hat (§ 280 Abs. 1 S. 2 BGB).

Fünf Tipps für ein erfolgreiches IT-Servicemanagem
Die bestmögliche Unterstützung finden
Das Thema Zusammenarbeit zwischen IT-Abteilungen und Fachabteilungen ist stark strapaziert. Aber oft fehlt immer noch die Erkenntnis, dass IT ein zentraler Schlüssel für die Unternehmensentwicklung ist. Hendrik Lührs, Senior Business Consultant direkt gruppe, gibt fünf Tipps für ein erfolgreiches IT-Servicemanagement (ITSM).
Management Commitment
Gehen Sie als Verantwortlicher für das ITSM auf das Management zu. Erklären Sie, warum ein gut funktionierendes ITSM wichtig ist und was es kostet, auf ITSM zu verzichten. Besprechen Sie die Strategie und stimmen Sie einen Fahrplan ab. Eine Unterstützung von „oberster Stelle“ ist unabdingbar für den Erfolg des Vorhabens. Überlegen Sie genau, welche Organisationseinheiten noch mit einbezogen werden müssen, zum Beispiel die Abteilung für interne Kommunikation oder der Betriebsrat.
Alle Mann an Deck
Vergessen Sie die Mitarbeiter nicht! Mit ihnen steht und fällt der Erfolg. Denn die Erarbeitung oder Überarbeitung eines ITSM bedeutet Veränderung. Identifizieren sie die Mitarbeiter, die mitmachen würden, diejenigen, die sich sperren und die, die vorangehen. Ziel ist es, die Mitte zu gewinnen. Nur dann haben Sie die Mehrheit hinter sich und können Veränderungen erfolgreich umsetzen. Stimmen Sie Ihre Kommunikationsmaßnahmen entsprechend auf die Zielgruppen ab. Coaching und Teamtraining sind notwendig, um das ITSM-Boot in Fahrt zu bringen und in Fahrt zu halten.
Prozesse zuerst
Verschaffen Sie sich erst Klarheit über die Prozesse. Welche Prozesse haben Priorität? Definieren Sie Rollen, die für die eigene Organisation passen und lebbar sind (weniger ist mehr). Wie fließen die Daten zwischen den Prozessen? Arbeiten Sie mit wenigen, aber aussagekräftigen Messkriterien für die Prozesse. Was wollen Sie bis wann erreichen? Die Systemebene folgt dabei der Prozessebene.

Die Krux mit dem Schaden

Im Rahmen eines IT-Wartungsvertrags kann ein Schadensersatz nur dann gefordert werden, wenn tatsächlich auch ein Schaden entstanden ist. Ein Schaden wird definiert als "unfreiwillige Vermögenseinbuße", dessen Höhe juristisch mittels der sogenannten Differenzhypothese ermittelt wird. Dazu wird die Differenz zwischen der Vermögenslage des Geschädigten nach dem schädigenden Ereignis und der hypothetischen Vermögenslage ohne das schädigende Ereignis gebildet.

Gerade im IT-Bereich kann sich die Berechnung im Einzelfall aber als sehr komplex herausstellen, denn bereits kleinere Zwischenfälle können weitreichende Folgen haben. Beispielsweise kann der Ausfall eines zentralen Servers bewirken, dass unzählige Mitarbeiter nicht mehr auf ihre Daten zugreifen können und sich deshalb verschiedene Aufträge verzögern und einige von ihnen endgültig nicht abgewickelt werden können.

Die Höhe des Schadens muss grundsätzlich der Geschädigte beweisen (Oetker in: Münchener Kommentar zum BGB, § 249, Rn. 440f.). Doch wie das Beispiel des Serverausfalls zeigt, kann es bereits diffizil sein, überhaupt einmal die Auswirkungen eines Zwischenfalls zu ermitteln, von einer genauen Schadensberechnung ganz zu schweigen.

Die Höhe der Schadensersatzsummen

Bei IT-Wartungsleistungen bietet es sich an, solchen Rechen- und Beweisschwierigkeiten mit pauschalisierten Schadensersatzsummen vorzubeugen, die sich an typischerweise entstehenden Schäden orientieren. Es könnte beispielsweise festgelegt werden, dass für jeden Tag, um den sich eine bestimmte Wartungsleistung oder Fehlerbehebung verzögert, eine gewisse Summe zu zahlen ist. Der genaue pauschalisierte Schadensersatzbetrag muss allerdings vorher vertraglich festgelegt worden sein, da es sonst bei dem Grundsatz bleibt, dass der Geschädigte den entstandenen Schaden zu beweisen hat.

Eine solche Vereinbarung hat gleichzeitig den Vorteil, dass dem Dienstleister vermittelt wird, welchen Stellenwert und welche finanzielle Bedeutung die korrekte Ausführung der Wartungsleistungen für den Auftraggeber hat. Sollte der dem Auftraggeber entstandene Schaden im Einzelfall höher liegen, steht es ihm aber auch bei pauschalisierten Schadenssummen weiterhin frei, einen erhöhten Schaden nachzuweisen. Der pauschalisierte Schadensersatz gilt nämlich nur als Mindestschaden (vgl. §§ 341 Abs. 1, 340 Abs. 2 S. 1 BGB).

Schadensersatz mit Strafcharakter

In besonders kritischen Bereichen, beispielsweise wenn durch Fehler ein Imageverlust des Auftraggebers in der Öffentlichkeit droht, besteht regelmäßig ein besonderes Interesse daran, dass die IT-Wartungsleistungen pünktlich oder besonders gewissenhaft erbracht werden. Hier kann der pauschalisierte Schadensersatz vertraglich so hoch angesetzt werden, dass er den typischerweise eintretenden Schaden deutlich überschreitet und dadurch einen Strafcharakter bekommt.

Unproblematisch möglich ist das im kaufmännischen Bereich, also bei GmbHs, Aktiengesellschaften und jedem sonstigen Handelsgewerbe, denn ein Kaufmann kann eine Vertragsstrafe nicht mit dem Argument herabsetzen lassen, dass die Strafe unverhältnismäßig hoch sei (§ 348 HGB). Dagegen können Vertragsstrafen außerhalb des kaufmännischen Bereichs einer Verhältnismäßigkeitsüberprüfung unterzogen werden und gegebenenfalls gemindert werden (§ 343 BGB).

So erkennen Sie Optimierungsbedarf bei Druckern -
Ihr Kunde setzt veraltetete Drucker ein.
Alte Drucker sind oft wahre Stromschlucker und bieten keinerlei Möglichkeiten, Fehldrucke zu vermeiden. Moderne Output-Geräte hingegen verbrauchen weniger Energie und helfen zusätzlich durch Funktionen wie beispielsweise eine Druckvorschau, unnötige Ausdrucke zu reduzieren.
Ihr Kunde lagert jede Menge verschiedener Tonerkassetten ein.
Durch automatisiertes Verbrauchsmaterial-Management entfällt die Vorfinanzierung und Einlagerung der Tonerkassetten. Damit wird vermieden, dass Ihr Kunde im Vorfeld viel Geld in Verbrauchsmaterialien investiert, die ? vielleicht gar nicht mehr zum Einsatz kommen, da das zugehörige Output-Gerät längst entsorgt wurde.
Ihr Kunde verfügt über sehr viele Arbeitsplatzdrucker.
? Je mehr Geräte Ihr Kunde im Einsatz hat, desto höher seine Energie-, Wartungs- und Reparaturkosten - unabhängig davon, ob diese Geräte ausgelastet sind oder nicht. Wenn er statt der vielen Arbeitsplatzdrucker mit niedrigen Reichweiten auf einige wenige Abteilungsgeräte setzt, reduzieren sich nicht nur Strom- und Wartungs-, sondern auch die Druckkosten pro Seite.
Ihr Kunde setzt viele A3-Kopierer ein, obwohl er nur selten im A3-Format druckt oder kopiert.
Ein A3-Kopierer ist sowohl vom Anschaffungspreis als auch von den laufenden Kosten teurer als ein A4-Multifunktionsgerät. Er benötigt mehr Platz und hat einen höheren Stromverbrauch.
Ihr Kunde druckt viele Dokumente unnötig aus.
Durchschnittlich landet jede siebte gedruckte Seite ungelesen im Papierkorb. Moderne Output-Geräte bieten Druckfreigabelösungen an, die es ermöglichen, initiierte, aber nicht mehr benötigte Druckaufträge am Display des Geräts zu löschen. Außerdem lassen sich beispielsweise mehrere Seiten eines Dokuments verkleinert auf einem Blatt drucken.
Die Mitarbeiter kümmern sich selbst um den Austausch von Tonerkassetten.
Toner wechseln, Papierstau beheben, Druckerprobleme lösen - damit sind Mitarbeiter oft mehrere Stunden pro Monat beschäftigt. Zeit, die sie nicht ihren Kernaufgaben widmen können.
Ihr Kunde hat keine Ahnung, wie hoch seine Outputkosten sind
Je höher die Transparenz über die Output-Kosten, desto besser lassen sich diese kontrollieren und reduzieren. Wie hoch belaufen sich die Kosten pro gedruckte Seite? Wie häufig wird im A3-Format gedruckt oder kopiert? Was sieht es mit den Energie- und Wartungskosten aus? Erst der nötige Überblick über solche Details ermöglicht es, die Kosten insgesamt zu reduzieren.



Gewährleistungsrechte

Der Schadensersatz schützt das Integritätsinteresse, will also einen Vermögensverlust kompensieren. Dagegen kommt den Gewährleistungsrechten die vorrangige Aufgabe zu, das Äquivalenzinteresse zu schützen. Gewährleistungsrechte zielen damit darauf ab, dass ein Auftraggeber eine Gegenleistung in der vereinbarten Qualität bekommt.

Ob dem Auftraggeber bei einer Schlechtleistung Gewährleistungsrechte zustehen, richtet sich danach, wie der maßgebliche IT-Wartungsvertrag ausgestaltet ist. Wird in der Leistungsbeschreibung ein Erfolg versprochen, hat der Wartungsvertrag regelmäßig den Charakter eines Werkvertrags. Dem Auftraggeber stehen damit grundsätzlich Gewährleistungsrechte zu.

Schuldet der Auftragnehmer dagegen lediglich ernstliches Bemühen, hat der Wartungsvertrag zumeist einen dienstvertraglichen Charakter und dem Auftraggeber stehen dann keine Gewährleistungsrechte zu. Dass diese Unterscheidung nicht lediglich von akademischem Interesse ist, zeigt folgendes Beispiel:

Hat der Auftragnehmer bei einer Serverwartung einen Fehler nur unzureichend behoben, wird er bei einem dienstvertraglichen Charakter des Wartungsvertrags einen zweiten Fehlerbehebungsversuch regelmäßig erneut in Rechnung stellen. Demgegenüber hat der Dienstleister bei einem IT-Wartungsvertrag mit werkvertraglicher Prägung die bereits beim ersten Versuch geschuldete Reparatur kostenlos nachzuholen (§ 635 BGB) und bei unberechtigter Weigerung kann der Auftraggeber die Reparatur nach Fristsetzung regelmäßig auf Kosten des Auftragnehmers von einem Dritten durchführen lassen (§ 637 BGB).

Datenschutzrechtliche Implikationen

Datenschutz wird in der Praxis oft vernachlässigt. Teilweise liegt dies an der Nachlässigkeit der Verantwortlichen und oft auch schlicht an rechtlicher Unkenntnis. Ein fehlerhafter Umgang mit personenbezogenen Daten wird gemäß dem Bundesdatenschutzgesetz (BDSG) mit einem umfangreichen Bußgeldkatalog und Strafvorschriften geahndet (§§ 43, 44 BDSG).

In besonderem Maße betroffen sind Ärzte, Wirtschaftsprüfer, Anwälte, Amtsträger und verschiedene Versicherungen sowie Abrechnungsstellen, denn bei ihnen ist das Offenbaren eines fremden Geheimnisses mit Freiheitsentzug von bis zu einem Jahr unter Strafe gestellt (§ 203 StGB). Dabei werden unter einem Geheimnis solche Tatsachen verstanden, die sich auf den Betroffenen beziehen, nur einem begrenzten Personenkreis bekannt sind und an denen ein sachlich begründetes Geheimhaltungsinteresse besteht. Schon das Bestehen eines Vertragsverhältnisses kann unter Umständen als Geheimnis angesehen werden und muss in solchen Fällen vertraulich behandelt werden (Heghmanns/Niehaus, NStZ 2008, 57, 58).

Dienstleister gelangen an Geheimnisse

Oftmals wird von den Verantwortlichen übersehen, dass ein Offenbaren bereits darin liegen kann, dass ein externer Dienstleister bei seinen Wartungsaufgaben Zugriff auf relevante Datensätze eingeräumt bekommt und dadurch ohne Weiteres eine Kenntnisnahme des Geheimnisses möglich ist (BGH NJW 1995, 2915, 2916). Das ist insoweit bemerkenswert, als dies gegenüber beim Auftraggeber angestellten Arbeitnehmern anders beurteilt wird, denn zwischen dem Geheimnisträger und dessen Arbeitnehmern besteht eine Funktionseinheit.

Demgegenüber liegt bei IT-Wartungsverträgen keine Funktionseinheit vor, da es gerade dem Zweck der Beauftragung externer Dienstleister entspricht, einzelne Aufgaben außerhalb des eigenen Unternehmens wahrnehmen zu lassen (LG Bonn NJW 1995, 2419, 2420). An dieser rechtlichen Beurteilung würde sich auch dann nichts ändern, wenn der Dienstleister seinerseits vertraglich zur Geheimhaltung verpflichtet wäre (vgl. Weidemann in: von Heintschel-Heinegg, Beck’scher Online-Kommentar, § 203, Rn. 32).

Teilweise wird allerdings vertreten, dass bei der Kenntnisnahme von Geheimnissen durch sogenannte "berufsmäßig tätige Gehilfen" eine Strafbarkeit des primär Schweigepflichtigen nicht begründet wird, was im Einzelfall auch Auswirkungen auf IT-Wartungsverträge haben kann. In Rechtsprechung und Literatur ist bisher indes ungeklärt, unter welchen Voraussetzungen ein externer IT-Dienstleister berufsmäßig tätiger Gehilfen ist. Um eine Kenntnisnahme Dritter auszuschließen und den Straftatbestand zu umgehen, ist es daher Auftraggebern von IT-Wartungsleistungen in jedem Fall dringend angeraten, die maßgeblichen Daten unkenntlich zu machen oder einen zuverlässigen Verschlüsselungsmechanismus einzusetzen (Cierniak in: Münchener Kommentar zum StGB, § 203 StGB, Rn. 48). (oe)

Die fünf schlimmsten Admin-Typen
1. Der Kreuzzügler
Er weiß, wie IT organisiert gehört, und zögert nicht, im Dienste dieser guten Sache selbst tätig zu werden. Um das zu illustrieren, lässt Tynan einen Softwareentwickler namens Jon Heirmerl zu Wort kommen. Heirmerl kannte einen Netzwerkadministrator, der ständig durch die Büros schlich. Entdeckte er irgendwo einen verwaisten PC, dessen Nutzer sich nicht ausgeloggt hatte, löschte er sämtliche Dateien. Eines Tages flog der Admin auf – ein direkter Kollege von Heirmerl erwischte ihn an seinem Rechner. Der Übeltäter gab sofort alles zu, zeigte sich aber uneinsichtig – er habe den Leuten doch nur "eine Lektion erteilen" wollen, beteuerte er. Glaubt man Heirmerl, revanchierte sich sein Kollege mit einer sehr handfesten Lektion – er schlug den Netzwerkadministrator ins Gesicht. Seitdem war es vorbei mit dessen Kreuzzügen. Tynans Vorschlag für ein sanfteres Gegenmittel: Bestimmte Aufgaben sollten unbedingt mindestens zwei Personen verantworten. Das verhindert Alleingänge.
2. Der Gemischtwarenhändler
Mancher IT-Manager glaubt, Administratoren seien damit ausgelastet, Server am Laufen zu halten und Endanwender glücklich zu machen (oder zumindest ruhig zu halten). Das gilt jedoch offenbar nicht für alle Admins. Mancher betätigt sich nebenbei – im Unternehmen während der Arbeitszeit – per Internet als Händler. Das Portfolio reicht von Satellitenschüsseln bis zu Tarot-Karten. Winn Schwartau vom Sicherheitsanbieter Mobile Active Defense berichtet von einem Systemadministrator, der von seinem Arbeitsplatz aus eine gebührenpflichtige Porno-Seite betrieb. Seine Einschätzung: Diese Administratoren werden zu selten überwacht. Gegenmittel: Zugangs- und Netzwerkmanagement-Tools installieren.
3. Der Voyeur
Nach Darstellung von itworldcanada.com haben relativ viele Systemadministratoren entweder zu wenig Arbeit oder zu viel Neugier. Das kontern sie, indem sie auf den Bildschirmen der Belegschaft herumschnüffeln. Josh Stephens vom Anbieter Solarwinds erzählt von einem eigenen Erlebnis. Seine Firma vertreibt Netzwerkmanagement-Software. Stephens wollte 30 Führungskräften eines Interessenten demonstrieren, wie die Tools arbeiten. "Demonstrationsobjekt" war ein zufällig ausgewählter Angestellter. Der allerdings stellte gerade seinen Lebenslauf bei Monster.com ein. Danach fing er an, World of Warcraft zu spielen – vor aller Augen. Ihm habe das echt leid getan für den Mann, beteuert Stephens. Seines Wissens wurde der Mitarbeiter entlassen. Ob er selbst die Firma als Kunden gewinnen konnte, verschweigt er allerdings. Als Präventionsmaßnahme empfiehlt itworldcanada, privilegierte Administratoren psychologischen Checks zu unterziehen. Was beispielsweise Justizbehörden für ihre Bewerber und Angestellten anwenden, könne Sicherheitsexperten in Unternehmen als Beispiel dienen.
4. Der Spion
Diebstahl von Firmengeheimnissen und geistigem Eigentum zählen heutzutage zu den größten Risiken für ein Unternehmen. IT-Administratoren stellen eine echte Gefahr dar, weil sie auf so viele Daten zugreifen können. Dagegen sind auch kaum Vorsichtsmaßnahmen zu treffen. Natürlich kann und soll jedes Unternehmen Mitarbeiter zur Verschwiegenheit verpflichten. Gegen Admins mit krimineller Energie dürfte das allerdings nicht allzu viel nützen.
5. Der Rächer
Sie ändern heimlich Passwörter und sagen niemandem etwas davon. Sie schleusen Viren ein. Oder sie hacken die Systeme der Kunden ihres eigenen Unternehmens. Keine Rache sei so furchtbar wie die eines Administrators, der sich ungerecht behandelt fühlt, versichert Dan Tynan. Ungerecht behandelt kann heißen: Der Bonus ist zu klein, die Arbeit wird nicht gewürdigt – oder der Admin wird gekündigt. Zumindest im letzten Fall kann das Unternehmen gewisse Vorsorgemaßnahmen treffen. Laut Studien der Carnegie Mellon University passiert der Großteil interner Datenschäden in den zehn letzten Arbeitstagen eines bereits gekündigten Mitarbeiters. Das heißt: Muss jemand entlassen werden, sollte er von dem Moment an von wichtigen Systemen ausgeschlossen bleiben.
Kennen Sie auch solche Mitarbeiter?
In vielen mittelständischen Firmen gibt es unangenehme IT-Administratoren. Typen, die heimlich Dateien von Kollegen löschen oder Firmengeheimnisse verhökern. Dan Tynan hat auf unserer Schwesterpublikation itworldcanada.com von fünf Typen berichtet, die IT-Verantwortliche zur Weißglut bringen können. Lesen Sie selbst!