Geschäftsleitung - Administrator - Arbeitnehmer

Wer ist für die Sicherheit der Firmen-IT verantwortlich?

17.12.2009
Von 


Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.

Administrator

Natürlich kann die Geschäftsleitung eines Unternehmens nicht alle im Zusammenhang mit der IT-Sicherheit stehenden Aufgaben persönlich wahrnehmen. Dazu fehlt es vor allem in größeren Unternehmen meist nicht nur an der Zeit, sondern auch am technischen Wissen. Eine Delegation der Pflichten ist stets möglich, sofern der Aufgabe ihrem Wesen oder ihrer Wichtigkeit nach nicht eine überragende Bedeutung für das Unternehmen darstellt.

In der Regel werden können wesentliche Teile der IT-Verantwortlichkeit auf einen Chief Information Officer (CIO) übertragen werden, der die wesentlichen Entscheidungen im EDV-Bereich trifft. Bei der Delegation der Verantwortlichkeit ist insbesondere auf eine klare Aufgabenverteilung zu achten, da nur so auch eine Reduzierung der persönlichen Haftungsrisiken bewirkt werden kann. Darüber hinaus ist auf eine ausreichende Qualifikation des Verantwortlichen Wert zu legen und auch nach einer Delegation ist die Geschäftsleitung verpflichtet, Arbeitsweise und Ergebnisse zumindest stichprobenartig zu kontrollieren und zu überwachen.

Sofern der CIO für die IT-Sicherheit verantwortlich ist, muss er eine Risikoanalyse durchführen. Dazu kann beispielsweise eine Bestandsaufnahme der IT-Infrastruktur gehören, die Dokumentation der Verbindungen einzelner EDV-Systeme untereinander oder eine Auflistung und Analyse der Zugriffsrechte. Ferner sollte die Art der Datenflüsse, der Sicherheitsprotokolle und der Datensicherungsroutine schriftlich festgehalten werden. Als Hilfestellung können die umfangreichen IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik dienen (www.bsi.bund.de/gshb).

Gestattet die Unternehmensleitung die Nutzung von mobilen Endgeräten außerhalb des Unternehmens und möglicherweise auch im privaten Bereich, muss auch dies in die Risikobewertung mit einfließen und sich in den Planungen niederschlagen. Je nach Gefahrenlage sind verbindliche Verhaltensregeln für die Mitarbeiter geboten. Beispielsweise die Anweisung, keine Programme aus dem Internet herunterzuladen oder keine sonstige private Software zu installieren. Der Einsatz regelmäßig aktualisierter Virenscanner, richtig konfigurierter Firewalls und sonstiger Sicherheitstools sollte ohnehin zum Standard gehören. Wenn trotz aller möglichen Vorsichtsmaßnahmen dennoch signifikante Risiken durch den Privateinsatz bleiben, muss notfalls ein Verbot der Privatnutzung ausgesprochen werden.