Informations-Sicherheits-System

Persönliche Haftungsrisiken bei Supportende


Informations-Sicherheits-System: Persönliche Haftungsrisiken bei Supportende Comment

In genau einem Jahr endet der Support für Windows 10. Wer das Betriebssystem über den Oktober 2025 hinaus nutzen möchte, muss dafür einen kostenpflichtigen Support bezahlen oder die Software aktualisieren. Das Problem: Viele Geräte verfügen nicht über ausreichend starke Hardware, um den Nachfolger Windows 11 zu betreiben. Den Unternehmen drohen daher erhebliche Haftungsrisiken, die bis zur Geschäftsführung durchschlagen können.

Windows ist mit einem Marktanteil von mehr als 70 Prozent das führende Betriebssystem, nicht nur in Deutschland, sondern weltweit. Viele Unternehmen, Bildungseinrichtungen und Behörden setzen auf Microsoft, um PCs und Laptops zu betreiben. Im Oktober 2025 ist zumindest für Windows 10 damit Schluss. Wer noch nicht auf die aktuelle Version 22H2 aktualisiert hat, bekommt bereits seit Juni 2024 keine Sicherheitsupdates mehr. Fast jedes Unternehmen dürfte davon betroffen sein, da Windows 10 fast dreimal so viele Nutzer hat wie sein Nachfolger. Zuletzt haben die Werte für das vom Supportende bedrohte System sogar noch zugenommen. Das könnte sich rächen, weil sich ab Oktober 2025 nur noch vier Optionen anbieten, um die Computer sicher zu betreiben:

  1. Auf ein anderes Betriebssystem wechseln, was häufig keine wirkliche Option darstellt, da wichtige Programme oder auch bloß die Nutzererfahrung auf Windows festgelegt ist.
  2. Kostenpflichtig den Support für Windows 10 um bis zu drei Jahre verlängern. Das schiebt den Moment der Entscheidung bloß hinaus, ohne das grundsätzliche Problem zu lösen.
  3. Windows 11 installieren, sofern die Hardware der Geräte dafür ausreicht. Problematisch ist ein bestimmter Chip (TPM-2), den nicht jeder Computer von Haus aus mitbringt.
  4. Neue Geräte mit vorab installiertem Windows 11 beschaffen.

Wer sich hingegen dafür entscheidet, Windows 10 weiter zu betreiben und nichts zu unternehmen, riskiert, sich Cyberangriffen auszusetzen, für die mitunter die Geschäftsführer persönlich und mit ihrem gesamten Privatvermögen haften können.

Pflichten verletzt mit Windows 10

Eine Studie geht davon aus, dass weltweit bis zu 240 Mio. Computer in Elektroschrott verwandelt werden, weil sie über keine ausreichende Hardware verfügen, um Windows 11 zu betreiben. Doch die Unternehmen haben gar keine andere Wahl. Sie sind gezwungen, sichere Betriebssysteme zu verwenden, damit Kriminelle keine Sicherheitslücken, die vom Hersteller nicht mehr geschlossen werden, ausnutzen, um Schaden anzurichten oder Daten abzuziehen. Dies können etwa sensible Geschäftsdaten sein, aber auch personenbezogene Daten. In jedem Fall droht ein finanzieller oder ein geschäftlicher Schaden, für den die Geschäftsführer unter Umständen selbst haften – und zwar laut Gesetz (§ 43 GmbHG) mit ihrem gesamten Privatvermögen.

Entscheidend dafür, dass die Haftung bis ins private Portemonnaie durchschlägt, ist der Vorwurf, seine Pflichten als Geschäftsführer verletzt zu haben. Beispielsweise haften Geschäftsführer dafür, dass das Unternehmen für die eigenen Mitarbeiter Sozialabgaben abführt. Wird das versäumt, gilt dies als Pflichtverletzung durch die Geschäftsführer – und übrigens als Straftat. Doch auch andere Versäumnisse können dazu führen, dass der Chef persönlich dafür einstehen muss. Eine versäumte Frist beispielsweise, die dem Unternehmen einen Auftrag oder eine Förderung kostet. In solchen Fällen kann das Unternehmen möglicherweise vom eigenen Geschäftsführer verlangen, den finanziellen Schaden ersetzt zu bekommen (sog. Innenhaftung bei einem Vermögensschaden).

Wenn Unternehmen veraltete Software einsetzen, lässt sich daraus ebenfalls ein Vorwurf ableiten, falls die Geschäftsleistung nicht dafür sorgt oder gesorgt hat, dass betroffene Geräte ausgetauscht oder das Betriebssystem auf dem aktuellen Stand gehalten werden. Angriffe aus dem Internet, die etwa eine Schwachstelle in einem nicht mehr mit Sicherheitsupdates versorgten Betriebssystem ausnutzen, muss sich der Geschäftsführer unter Umständen persönlich zur Last legen lassen. Zur Erinnerung: Falls sensible Daten verlorengehen, können die dafür fälligen Strafen so hoch ausfallen, dass sie die private Existenz bedrohen. Die Datenschutzgrundverordnung (DSGVO) sieht Strafzahlungen von bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes vor.

Von der Beschaffung bis zur Entsorgung

Geschäftsführer sollten vor diesem Hintergrund das bevorstehende Supportende von Windows 10 zum Anlass nehmen, ihre Sicherheitssysteme zu überarbeiten und genau festhalten, wie sie mit den betroffenen Geräten im aktuellen Fall und auch künftig verfahren wollen. Dies ist auch deshalb geboten, weil die Haftung des Geschäftsführers eine Beweislastumkehr vorsieht. Das bedeutet, dass nicht derjenige, der behauptet, jemand hätte Pflichten verletzt, das auch beweisen muss. Vielmehr fällt es dem Geschäftsführer zu, sich von entsprechenden Vorwürfen zu befreien. Bei Datenträgern, auf denen sensible Daten gespeichert sind, ist das mitunter aber gar nicht so einfach. Viele Firmen geben die genutzten Geräte beispielsweise einfach beim Händler zurück oder liefern sie bei einem Recyclinghof ab. Ein Fehler!

Korrekt wäre, ein Informationssystem aufzubauen, das lückenlos dokumentiert, wann ein Gerät beschafft worden ist und was mit dem verbauten Datenträger passiert ist. Denn Daten gelten erst dann als sicher vernichtet, wenn tatsächlich der Datenträger physisch zerstört worden ist. Eine etwaige Verschlüsselung reicht nicht aus, weil sich nicht ausschließen lässt, dass sie sich nicht doch irgendwann knacken lässt. Geraten Datenträger, die eigentlich hätten vernichtet werden müssen, in die falschen Hände, kann das wiederum auf den Geschäftsführer zurückfallen. Das gilt auch, wenn das Unternehmen einen Dienstleister damit beauftragt, die IT zu verwalten. Deshalb sollte jedes Unternehmen genau dokumentieren, welche Datenträger im Umlauf sind – von der Beschaffung bis zur Vernichtung (vgl. Abb. 01).

Abb. 01: Lifecycle-Management für Datenträger im Unternehmen [Quelle: Mammut Deutschland]Abb. 01: Lifecycle-Management für Datenträger im Unternehmen [Quelle: Mammut Deutschland]

Datenträger zu vernichten unterscheidet sich in der Praxis kaum von Akten, die zerstört werden sollen. In beiden Fällen geht es darum, die auf dem Medium gespeicherten Informationen sicher zu zerstören und damit vollkommen unbrauchbar zu machen. Dies sollten die Unternehmen entweder direkt mit einem Fachbetrieb klären oder als Service Level Agreement mit ihrem IT-Dienstleister vereinbaren. Denn Datenträger sind typischerweise in einem elektronischen Gerät verbaut. Um sie zu zerstören, müssen sie aus dem Gerät entfernt werden, um sicherzugehen, dass die übrigen Teile recycelt werden können. Akkus gelten zudem als Gefahrenstoffe. Deshalb brauchen Firmen, die solche Entsorgungen anbieten, eine Zertifizierung. Nicht jedem, der einen Schraubendreher in der Hand halten kann, ist das gestattet.

Beweislasten vorbeugen

Tatsächlich zeigt sich, dass viele Unternehmen übersehen, wie wichtig es ist, Datenträger sicher zu entsorgen, und regeln dies häufig unzureichend. Dabei setzen sie sich einem Risiko aus, falls Daten dadurch in die falschen Hände geraten. Wer als Geschäftsführer nicht belegen kann, ausreichend Vorsorge getroffen zu haben, haftet womöglich selbst und muss einen finanziellen Schaden aus eigener Tasche bezahlen. Datenschutz und Datenvernichtung sollten deshalb Hand in Hand gehen, denn das eine lässt sich ohne das andere nicht denken. Dies sauber zu dokumentieren hat zudem noch zwei weitere Vorteile:

  1. Wer dokumentiert, welche Datenträger wann beschafft und wieder zerstört worden sind, kann auch den Grund dafür erfassen. Beispielsweise das Supportende von Windows 10, das erzwingt, einen Datenträger zu zerstören und das Gerät neu zu beschaffen. Das ist deshalb wichtig, weil Unternehmen zunehmend gefordert sind, ESG-Berichte zu erstellen und darin zu erklären, warum sie ein an sich noch funktionstüchtiges Gerät austauschen mussten.
  2. Falls die Datenvernichtung professionell durchgeführt wurde, erhält das Unternehmen eine Vernichtungsbestätigung, auf Wunsch zusammen mit der Seriennummer des zerstörten Datenträgers. Dieses Zertifikat führt zudem auf, wie der Datenträger zerstört worden ist. Je nachdem, wie sensibel die Daten sind und um was für einen Datenträger es sich handelt, kommen unterschiedliche Verfahren zum Einsatz. Das zu dokumentieren, entlastet die Geschäftsführer im Ernstfall zusätzlich.

Zusammenfassend lässt sich sagen, dass ein gut sortiertes Informations-Sicherheits-System dem ersten Anschein nach einen Geschäftsführer entlasten kann. Dies gilt insbesondere dann, wenn in dem System festgehalten wird, wann ein Datenträger beschafft und vernichtet worden ist. Weil Datenschutz und Datenvernichtung selten zusammen gedacht werden, machen Firmen hier häufig auch die meisten Fehler. Die RWTH Aachen weist zudem darauf hin, dass auch der Verkauf oder die Übergabe eines Gerätes, etwa im Garantiefall, dazu führen kann, dass ein Unternehmen die Daten absichern muss. Neben der physischen Zerstörung des Datenträgers kommen demnach auch zertifizierte Löschmethoden in Frage, bei der ein Datenträger mehrfach überschrieben wird, um so zu verhindern, das die ursprünglichen Daten wiederhergestellt werden.

Wenn es um das Lebensende von elektronischen Geräten geht, bleibt die physische Zerstörung das einzige Verfahren, bei dem auch künftig keine technische Neuerung dazu führen kann, dass sich die Daten doch wieder herstellen lassen. Auch deshalb sehen die aktuellen Normen (DIN) vor, Daten auf einem Datenträger zu zerstören und nicht bloß zu verschlüsseln, auch wenn dadurch ein noch funktionsfähiges Gerät vorzeitig außer Betriebe genommen werden muss.

Autor
Klaus Dräger ist seit 2019 Geschäftsführer bei Mammut Deutschland, einem Unternehmen, das bundesweit die Aufträge für acht inhabergeführte Entsorgungsbetriebe koordiniert.
Klaus Dräger
ist seit 2019 Geschäftsführer bei Mammut Deutschland, einem Unternehmen, das bundesweit die Aufträge für acht inhabergeführte Entsorgungsbetriebe koordiniert. Davor hat der Volkswirt 20 Jahre in verschiedenen Rollen bei Otto Dörner gearbeitet, zuletzt als CFO.

 

[ Source of cover photo: Adobe Stock.com | PhotoGranary ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.