![[Grafik]](10-1.jpg)
Vom Straf- über Zivil- und Unternehmensrecht bis hin zu Basel II: IT-Entscheider sehen sich vielen Anforderungen gegenüber.
Obwohl die Abhängigkeit von der Informationstechnik in den letzten Jahren stark zugenommen hat, wird sie vom Top-Management häufig noch immer als eine Grundversorgung angesehen, die so kostengünstig wie möglich zu erbringen ist und bei der Sicherheitsaspekte allenfalls eine nachgeordnete Rolle zu spielen haben.
Vom Straf- über Zivil- und Unternehmensrecht bis hin zu
Basel II: IT-Entscheider sehen sich vielen Anforderungen
gegenüber.
Dabei ist die Gesetzeslage in Deutschland eindeutig: Die Geschäftsführung haftet uneingeschränkt für Schäden gegenüber dem Unternehmen; und auch Arbeitnehmer können in gewissen Grenzen haftbar sein (vgl. Kasten). Wenn es jemals Unklarheiten über die Haftung bei IT-Risiken gab, so sind diese spätestens mit dem Inkrafttreten des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) am 1. Mai 1998 beseitigt worden.
----------Anfang Textkasten----------
Prinzipiell sind alle Arbeitnehmer über den Arbeitsvertrag verpflichtet, in ihrem jeweiligen Aufgabenbereich Schäden vom Unternehmen abzuwenden. Um ihnen jedoch nicht das volle Unternehmerrisiko aufzuerlegen, hat die Rechtsprechung für "gefahrgeneigte Arbeit" die Arbeitnehmerhaftung deutlich reduziert (gegenüber § 276 Abs. 1 BGB).
An die Tätigkeit leitender Angestellter wird ein erhöhter Sorgfaltsmaßstab angelegt, abhängig von der für eine leitende Position anzunehmende erforderliche Qualifikation und Ausbildung. Aus dem Zivilrecht ergibt sich daher für IT-Entscheider und Sicherheitsverantwortliche die Verpflichtung zur aktiven Mitwirkung sowie zur fundierten Beratung der Geschäftsleitung in allen Fragen des IT-Betriebs und der IT-Sicherheit. Dabei haftet der IT-Entscheider als Privatperson gegebenenfalls auch mit dem eigenen Vermögen.
Neben dem Zivilrecht greift jedoch auch das Strafrecht, besonders für leitende Angestellte: Wird ein Straftatbestand im Aufgabenkreis eines IT-Verantwortlichen festgestellt, so kann dieser als Unternehmensvertreter stellvertretend für das Unternehmen als Straftäter behandelt werden (§ 93 AktG bzw. § 43 GmbHG). Bei strafrechtlich relevanten Verstößen besteht auch die Gefahr von Haftstrafen gegen verantwortliche Mitarbeiter eines Unternehmens.
Bei den Regelungen zur Unternehmensführung hat sich die Rechtslage mit Inkrafttreten des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) am 1. Mai 1998 deutlich verschärft. Die starken Regelungen aus dem Aktiengesetz haben nun Ausstrahlungswirkung auch auf andere Unternehmensformen und der Aspekt der Risikobewertung und Kontrolle durch die leitenden Mitarbeiter wurde deutlich betont.
Im Einzelnen bewirkt oder fordert das KonTraG:
Dies bedeutet, dass Unternehmen Geschäfts- und Abschlussberichte durch plausibles Zahlenmaterial erhärten müssen. Abschlussprüfern muss direkter Zugang zu den Informationsquellen im Unternehmen eingeräumt werden.
Darüber hinaus erfordert die vollständige Erfassung und Bewertung von Risiken gemäß KonTraG:
----------Ende Textkasten----------
Dennoch zeigen die einschlägigen Studien schon seit Jahren massive Defizite in der Wahrnehmung und der Kontrolle von IT-Risiken auf (vgl. S. 16). Zwar gehören Firewalls und Virenschutz mittlerweile zur technischen Grundausstattung in den Unternehmen, ihre Wirksamkeit lässt jedoch vielfach zu wünschen übrig. Grund hierfür ist vor allem die wachsende Komplexität der Web-Applikationen, die es den Firewalls fast unmöglich macht, den Datenfluss wie früher bis hinauf zur Anwendungssebene zu überwachen.
Dabei sind die Probleme allerorten vergleichbar. Ziel muss es sein, auf allen IT-Komponenten zumindest einen IT-Grundschutz umzusetzen und diesen bei besonders sicherheitssensiitiven Systemen, Applikationen oder Geschäftsprozessen am jeweiligen Bedarf orientiert zu erweitern. Langfristige Sicherheit erreicht man jedoch nur durch die Integration einer wirkungsvollen Sicherheitsorganisation in die Aufbau- und Ablauforganisation des Unternehmens und die Verbindung der IT-Sicherheit mit unternehmensweitem Risikomanagement, Controlling und Revision.
Es gibt ausreichend Motivationsgründe, das häufig unzureichende Sicherheits- und IT-Risikomanagement sofort anzupacken und endlich zu einem guten Ende zu führen. Im Alltagsbetrieb jedoch bleibt oftmals wenig Spielraum für derartige "Sonderprojekte" und vielen IT-Leitern ist nicht klar, wie weitreichend ihre persönliche Haftung tatsächlich ist. Zwar ist das KonTraG nicht neu, aber immer noch viel zu wenigen IT- und Sicherheits-Verantwortlichen bekannt. In der aktuellen KES/KPMG-Sicherheitsstudie hat mehr als ein Fünftel der Befragten angegeben, das KonTraG nicht zu kennen – weniger als 40 % erachten dieses Gesetz als für ihre Tätigkeit relevant (s. S. 18).
Doch Unwissenheit schützt auch hier nicht vor Strafe. Die Verantwortlichen müssen sich daher mit der Gesetzeslage befassen und bei Defiziten im eigenen Zuständigkeitsbereich ihre Vorgesetzten umgehend informieren und bezüglich der erforderlichen Gegenmaßnahmen umfassend beraten (vgl. Kasten). Dabei stehen die Aspekte eines konsequenten IT-Sicherheitsmanagements klar im Vordergrund:
Ziel muss es sein, eine funktionsfähige Sicherheitsorganisation in die bestehende Aufbau- und Ablauforganisation zu integrieren.
Neben den rechtlichen Aspekten kommt in letzter Zeit der neue Baseler Akkord (Basel II) des Ausschusses für internationale Bankenaufsicht als weitere Motivation hinzu. Nach dem geltenden Baseler Akkord vom Juli 1988 sind die Finanzinstitute verpflichtet, Kredite im Unternehmenssektor prinzipiell mit 8 % Eigenkapital zu unterlegen.
Basel II sieht als wesentliche Veränderung die Einführung eines nach Ausfallwahrscheinlichkeiten differenzierten Systems der Eigenkapitalsicherung vor. Die Finanzinstitute müssen demnach bei hoher Bonität der kreditnachfragenden Unternehmen eine niedrigere und bei geringer Bonität eine höhere Eigenkapitalunterlegung leisten, was zu einer entsprechenden Differenzierung der Kreditkosten führen wird.
Dabei werden neben den betriebswirtschaftlichen Risiken besonders die IT-spezifischen Risiken in die Bewertung des Unternehmens einfließen. Es ist daher unbedingt erforderlich, das bestehende Risikomanagement um die Aspekte der potenziellen IT-Gefährdungen sowie um eine Bewertung der eingetretenen Schadensfälle zu ergänzen.
Wenngleich die Baseler Regeln nicht nach der Unternehmensgröße differenzieren, so ist doch zu erwarten, dass mittelständische Unternehmen unter den derzeit vorgesehenen Regelungen faktisch stärker betroffen sein werden: erstens weil sie meist einen deutlich höheren Fremdfinanzierungsanteil als größere Unternehmen aufweisen, sich zweitens nicht über den Aktienmarkt mit Geld versorgen können und ihnen drittens häufig höhere Basisrisiken unterstellt werden, beispielsweise wegen eines geringeren Diversifizierungsgrades. Zwei aktuelle Umfragen [1, 2] bestätigen, dass vor allem junge mittelständische Firmen mit höheren Finanzierungskosten rechnen müssen, während sich für Unternehmen mit einem guten Rating die Kreditkosten voraussichtlich verringern werden.
Schon aufgrund der umfassenden Haftung dürfte die Geschäftsleitung eigentlich kaum auf einen hauptamtlichen Sicherheitsverantwortlichen verzichten. Damit dieser jedoch wirkungsvoll arbeiten kann, sind Verantwortlichkeiten von vornherein zu klären und ausreichende personelle sowie finanzielle Ressourcen zur Verfügung zu stellen.
Aufgabe des Sicherheitsbeauftragten und seiner Mitarbeiter ist es dann auch, die Unternehmensleitung, das Controlling und die interne Revision kompetent in Fragen der Sicherheit zu unterstützen – und natürlich gemeinsam mit den einzelnen Fachabteilungen die erforderlichen technischen und organisatorischen Schutzmaßnahmen zu definieren, umsetzen und ihre Umsetzung im Nachgang zu kontrollieren. Die Sicherheit besteht also nicht neben der eigentlichen Aufbau- und Ablauforganisation, sondern ist eng mit ihr verzahnt oder – im besten Fall – integraler Bestandteil davon.
Primäres Ziel der Sicherheitsorganisation ist es, Schäden für das Unternehmen rechtzeitig zu erkennen und abzuwenden. Dabei unterscheiden sich die möglichen Schadensszenarien naturgemäß von Unternehmen zu Unternehmen, je nach der eingesetzten technischen und organisatorischen Infrastruktur. Hierzu stehen immer wieder die folgenden Fragen zur Debatte:
Um weder über das Ziel hinaus zu schießen noch grundlegende Schutzmaßnahmen sträflich zu vernachlässigen, ist eine, zumindest rudimentäre, Gefährdungsanalyse unumgänglich. Ein sehr wirkungsvoller Ansatz ist es, zunächst einen Basis-Sicherheitsschutz für das Unternehmen festzulegen. Dies erfolgt am besten über eine konkrete Handlungsanweisung der Geschäftsleitung mit gleichzeitigem Auftrag an den Sicherheitsverantwortlichen zur Festlegung und Umsetzung der erforderlichen Schutzmaßnahmen.
![[Grafik]](10-2.jpg)
IT-Sicherheit verlangt nach ausgewogenen
Schutzmaßnahmen.
Orientierung hierzu liefert unter anderem das IT-Grundschutzhandbuch [3] des Deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI). Da es sich beim BSI um eine unabhängige Instanz handelt, die neben dem öffentlichen Sektor auch privatwirtschaftliche Unternehmen in der IT-Sicherheit berät, gehören die empfohlenen Grundschutzmaßnahmen zum Basiswissen aller IT-Verantwortlichen. Ihre fehlende Umsetzung dürfte bei der Bewertung von – womöglich fahrlässigen – Versäumnissen meist nur schwer zu begründen sein.
Eingesetzte technische Schutzsysteme sind in jedem Fall um die entsprechenden organisatorischen Maßnahmen zu ergänzen. Beispiele hierfür sind Verantwortungsregelungen, Notfallmanagement (Incident Response, K-Fall Planung) sowie die Einrichtung einer Koordinierungsstelle für Computerstörfälle (Computer Emergency Response Team, CERT).
Dies gilt besonders bei der Auslagerung von Informationstechnik an externe Dienstleister. Bei der Verhandlung von Service Level Agreements (SLA) werden jedoch häufig die organisatorischen Details übersehen, wie zum Beispiel die Vorgabe verbindlicher Sicherheitsrichtlinien an den Outsourcing-Partner, die Implementierung ausreichender Notfallpläne unter Einschaltung der internen Fachabteilungen des Auftraggebers sowie das Recht auf Anpassung bei veränderter Gefährdungslage. Auch eine regelmäßige Auditierung durch interne oder externe Auditoren sollte man vereinbaren.
Erst ein regelmäßiges Auditieren stellt die Funktionsfähigkeit der Schutzmaßnahmen in Technik und Organisation sicher. Dabei bietet der Einsatz von IT-Sicherheits-Standards entscheidende Vorteile: besonders Transparenz und externe Akzeptanz, aber auch die Unabhängigkeit von einem einzelnen externen Dienstleister. Neben dem bereits erwähnten IT-Grundschutzhandbuch kommen hierzu das US-amerikanische CoBit oder das Britische BS7799 in Frage, aus dessen erstem Teil der ISO-Standard 17799 hervorgegangen ist. Andere Standards, wie etwa Common Criteria (CC) oder ITSec, orientieren sich mehr an (Teil-)Systemen und sind daher für die Bewertung komplexer IT-Strukturen weniger geeignet (vgl. KES 2002/1, S. 68).
![[Grafik]](10-4.jpg)
Pro-aktiver und re-aktiver Schadensschutz müssen sich
ergänzen.
Bei der Durchführung eines Sicherheitsaudits kann es sinnvoll sein, sich eines externen Auditors zu bedienen. Das Dienstleistungsangebot reicht hierbei von einem einfachen Systemaudit (Penetrationstest) bis hin zur vollständigen Analyse der umgesetzten technischen und organisatorischen Schutzmaßnahmen. Ergänzt werden kann eine Systemanalyse um die Bewertung der gesamten Sicherheitsorganisation: von der materiellen Sicherheit bis hin zu Informationssicherheit und Datenschutz.
| Management | Technik |
|---|---|
| • Absicherung gegen Haftungsansprüche | • Einfacher Soll-Ist-Vergleich bzgl. des sich selbst gesteckten Sicherheitsniveaus |
| • Bestätigung eines erfolgreichen Sicherheitsmanagements | • Vergleich mit "Best Practice" als Benchmark |
| • Erhebung von verlässlichen Basisdaten für das unternehmensweite Risikomanagement (vgl. KonTraG) | • Dokumentation des erreichten Sicherheitsniveaus nach außen |
| • Beurteilung der IT-Sicherheit von Partnern und Zulieferern | • Schnelle Bewertung der in Fachprojekten jeweils erforderlichen Schutzmaßnahmen |
Ein Vorgehen nach IT-Grundschutzhandbuch bietet zudem die Möglichkeit, sich das Erreichen des Grundschutz-Levels durch das BSI mit dem so genannten "IT-Grundschutz-Zertifikat" schriftlich bestätigen zu lassen (vgl. KES 2001/6, S. 36). Darin enthalten ist die Bestätigung der Umsetzung der technischen Schutzmaßnahmen laut ISO/IEC 17799 und damit BS7799-1.
Um den Weg zum IT-Grundschutz-Zertifikat zu erleichtern, besteht die Möglichkeit schrittweise über eine Einstiegs- und Aufbaustufe vorzugehen [4]. Diese Vorstufen können, etwas Übung im Umgang mit dem IT-Grundschutzhandbuch vorausgesetzt, auch ohne externe Hilfe angegangen werden.
Dr. Markus Schäffter ist Mitbegründer und co-Partner der secaron AG in Hallbergmoos (www.secaron.com).
![[externer Link]](../../../../images/link.gif)
http://www.boersenzeitung.de/online/redaktion/basel2/ http://bank.bwl.uni-mannheim.de/LS/Research/papers/GrunertKleffNordenWeber2002.pdf www.bsi.bund.de/gshb/ www.bsi.bund.de/gshb/zert/schema.htm© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/4, Seite 10
