IT-Risiko-Management

IT-Compliance - alles, was Recht ist

Dr. Kevin Max von Holleben ist Fachanwalt für Informationstechnologierecht bei Lexton Rechtsanwälte in Berlin.
Wer glaubt, dass IT-Risiko-Management quasi Privatsache wäre, irrt gewaltig. Die Gesetzgebung stellt mehr oder weniger konkrete Anorderungen an die Unternehmen.

Seit die IT im Unternehmensalltag eine nicht mehr wegzudenkende Rolle spielt, steigt auch die Abhängigkeit von ihrem reibungslosen Funktionieren. Die Risiken sind vielfältig: Daten können vollständig oder teilweise verloren gehen, Systeme von außen angegriffen werden - etwa mit Viren, Trojanern oder Denial-of-Service-Attacken (DoS).

Der Arm des Gesetzes reicht bis in die IT-Systeme hinein - in Form von Compliance-Anforderungen.
Der Arm des Gesetzes reicht bis in die IT-Systeme hinein - in Form von Compliance-Anforderungen.
Foto: Pitopia/Harald Richter 2007

Nicht zu vernachlässigen sind aber auch die Risiken, die sich innerhalb des Unternehmens, etwa durch die Mitarbeiter, ergeben. Sind beispielsweise die Passwörter nicht komplex genug gewählt oder werden sie gegenüber Dritten bekannt gemacht, so sind die sensiblen Daten eines Unternehmens leichte Beute. Erhebliche Risiken schlummern auch in einem mangelhaften Lizenz- und Vertrags-Management für den IT-Bereich.

Diesen Risiken entgegenzuwirken empfiehlt sich vor allem im Hinblick auf die IT-Compliance. Sie zielt auf eine umfassende und dauerhafte Einhaltung gesetzlicher und unternehmensinterner Regelungen ab. Das Risiko-Management ist dabei ein wesentlicher Aspekt. Unter diesem Begriff ist die systematische Erfassung und Bewertung von IT-Risiken sowie die Steuerung der Reaktionen auf die festgestellten Risiken zu verstehen.

Schon aus rein betriebswirtschaftlicher Sicht haben viele Unternehmen erkannt, dass sie ihre spezifischen, mit der IT verbundenen Risiken aufspüren und geeignete Maßnahmen zur Schadensprävention und -minimierung ergreifen müssen. Aber auch der nationale und der europäische Gesetzgeber haben diesen Handlungsbedarf erkannt. Welche Anforderungen stellen sie konkret an IT-Compliance und IT-Risiko-Management?

IT-Sicherheit und Datenschutz

Wie der Gesetzgeber in Paragraf 2 des Gesetzes über das Bundesamt für Informationssicherheit formuliert, besteht das Ziel der IT-Sicherheit darin, durch die Einhaltung bestimmter Sicherheitsstandards Verfügbarkeit, Vertraulichkeit und Integrität aller Informationen zu gewährleisten. Integrität bedeutet in diesem Zusammenhang, dass die Daten vollständig und korrekt sind. Für personenbezogene Daten gelten aufgrund ihrer hohen Sensibilität besondere Maßstäbe.

Paragraf 9 Bundesdatenschutzgesetz und die zugehörige Anlage beziehen die Datensicherheit ausdrücklich in den Regelungsbereich des Datenschutzes ein. Hier werden als konkrete Maßnahmen etwa Zugangs-, Zugriffs- und Weitergabekontrollen gefordert. Sie können beispielsweise in der Kontrolle und Sicherung des physischen Zugangs zu den Datenverarbeitungsanlagen bestehen. Möglicherweise legen sie auch die Befugnisse über den Zugriff auf die Systeme oder bestimmte Daten fest und/oder betreffen Passwort-Regelungen sowie Anforderungen an das Versenden von Informationen (zum Beispiel nur durch verschlüsselte E-Mails).

Der Umfang der einzelnen Maßnahme hängt davon ab, was erforderlich ist, um dem Schutzzweck zu genügen. Dieses Verhältnismäßigkeitsprinzip findet sich auch in den anderen gesetzlichen Vorschriften wieder. Je größer das Risiko, desto umfangreichere Maßnahmen sind zu ergreifen. Das Risiko wiederum hängt von der konkreten Verwendung der Daten und der IT im jeweiligen Unternehmen ab. (Siehe auch: "Wieviel Sicherheit ist nötig?")

Die Pflicht zur ordnungsgemäßen Geschäftsführung eines Unternehmens umfasst auch die Einrichtung eines IT-Risiko-Managements. Deshalb ist das Risiko-Management Chefsache. Aber was ist konkret gefordert? Der Gesetzgeber hat hierzu Anordnungen in unterschiedlichen Gesetzen erlassen.