Nach welchen Maßstäben bemisst sich die IT-Sicherheit, wenn ein Unternehmen Cloud Services von einem Cloud-Anbieter nutzt und welche Rolle spielt in diesem Zusammenhang der jeweilige und anwendbare Stand der Technik?

Cyberangriffe haben weiterhin eine stark steigende Tendenz. In vielen Unternehmen werden solche Angriffe mittlerweile als ernstzunehmende Bedrohung wahrgenommen, weil die Schäden durch Malware und manuelle Hackerangriffe enorme Ausmaße annehmen können. Der sachgerechte Umgang mit Cyberrisiken beim Cloud Computing gehört zu den unabweisbaren Compliance- und Bestandssicherungs­pflichten jeder Unternehmensleitung. Die Schwierigkeit liegt jedoch darin, zum Schutz der Liquidität die richtige Balance zu finden zwischen einer zu hohen Kapitalbindung durch Risikorücklagen einerseits und der zu hohen Kapitalbindung durch unangemessen hohe Sicherheitsstandards andererseits. Um hier das richtige Maß zu finden, ist es erforderlich, die Gefahrenquellen und die Möglichkeiten zur Mitigation der Risiken in den einzelnen Komponenten der Cloud Services zu kennen. Bei genauerer Betrachtung ergeben sich, je nach Art der Nutzung (SaaS, PaaS, IaaS) unterschiedliche technisch kontrollierbare Verantwortungsbereiche für die Vertragspartner (shared responsibility). Nach der sog. „Sphärentheorie“ des BGH folgt den so festgestellten Risikosphären auch die rechtliche Verantwortung und damit die Haftung für Sicherheitslücken. Zu beachten ist, dass IT-Sicherheit nie zu 100% erreicht werden kann. Vielmehr richtet sich das vom Anbieter geschuldete Sicherheitsniveau während der gesamten Vertragslaufzeit nach dem jeweiligen und anwendbaren Stand der Technik. Eine Unterschreitung des Sicherheitsniveaus, ob beim Anbieter oder beim anwendenden Unternehmen, kann zu einer Haftung der Unternehmensleitung gegenüber den eigenen Kapitalgebern führen.