Alle Kapitalgesellschaften müssen ab Juli 2008 ein IT-Sicherheitskonzept vorweisen. Bei Versäumnissen haften die Geschäftsführer, es drohen Sanktionen von Banken und Versicherungen. Bei grober Fahrlässigkeit, zum Beispiel bei der Delegation von Aufgaben oder Projekten ohne Review, bei der Vernachlässigung von Überwachungspflichten oder bei fehlendem Security- und Notfallkonzept, haftet der Geschäftsführer beziehungsweise der Vorstand in vollem Umfang.
Werden die Bestimmungen nicht eingehalten, können Haftungsklagen (analog zum KonTraG), Marktzugangsbarrieren (wie nach SOX) oder Schwierigkeiten bei der Kreditaufnahme (siehe wegen Basel II) die Folge sein. Vor allem aber werden die Wirtschaftsprüfer das Testat verweigern. (Zum Thema Compliance siehe auch "Risiko-Management aus juristischer Sicht")
Es ist ja nicht so, dass die Unternehmen tatsächlich bei null anfangen müssten. Die meisten ERP-Systeme, beispielsweise die von SAP, haben bereits Sicherheitskonzepte integriert. Zudem kann die Mehrzahl der Unternehmen eigene Sicherheitsvorkehrungen vorweisen. Rudimentäre Security-Policies wie Logfiles, regelmäßige systemgesteuerte Aufforderung zur Passwortänderung oder Anweisungen zum Umgang mit Passwörtern sowie mit internen Daten und Informationen sind ebenfalls gang und gäbe. Dasselbe gilt beispielsweise für Berechtigungskonzepte mit zugehörigen Genehmigungs- und Freigabeprozessen. Nun gilt es, die fehlenden Teile zu entdecken, um Lücken in den Konzepten zu schließen.
