"IT-Sicherheit ist nach wie vor ein Stiefkind in den Unternehmen", sagt Derk Fischer, Partner bei der PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft, Düsseldorf. Den Grund sieht er darin, dass die Verantwortlichen die Bedeutung von IT-Sicherheit für den Unternehmenserfolg häufig falsch einschätzen, weil sie aus deren Sicht keinen Anteil zur Wertschöpfung beitrage. Dies sei falsch, denn "IT-Sicherheit hilft, die Wertschöpfung abzusichern."
Die Folge: Unternehmen investieren in Sicherheit nur punktuell, wo die Gefahren offensichtlich sind oder wenn entsprechend Druck aufgebaut wird - was häufig erst nach einem entstandenen Schaden erfolgt. "Investitionen werden dort getätigt, wo Risiken transparent sind und unterlassen, wo Risiken schwer greifbar sind", kritisiert Fischer. In den meisten Fällen fehle eine begründete Risikoeinschätzung, auf deren Basis Investitionsentscheidungen getroffen werden können - und die IT-Sicherheit wird ganz einfach als "technisches Problem" an die IT-Abteilung delegiert.
Die Verantwortung für die IT-Sicherheit liegt aber eindeutig bei der Unternehmensleitung. "IT-Sicherheit ist Chefsache", sagt Dr. Nikolaus Forgo, Professor an der Universität Hannover und Mitglied des Advisory Boards bei der europäischen Sicherheitsorganisation EICAR. Denn der Gesetzgeber verlange von der Unternehmensleitung, dass sie ein "angemessenes IT-Sicherheitsniveau" garantiere. Nun streiten Juristen zwar über die Auslegung dieser Begrifflichkeit und deren Tragweite. Allerdings ändert das nichts daran, dass die Verantwortung von der Rechtsseite her eindeutig beim Management angesiedelt ist.
Wer als IT-Mitarbeiter jedoch glaubt, er sei damit aus dem Schneider, irrt. Auch ihn belangt der Gesetzgeber, wenn auch erst bei grob fahrlässigem Handeln oder Vorsatz zu einer Straftat. Hinsichtlich der IT-Sicherheit gilt für ihn, dass er Sicherheitsvorkehrungen umzusetzen hat und seine Vorgesetzten auf Sicherheitsrisiken aufmerksam machen muss.
Im Zweifelsfall reicht es nicht darzustellen, dass ein Kontrollsystem vorhanden ist. Hier kann zum Beispiel der Arbeitskreis Externe und Interne Überwachung der Schmalenbach Gesellschaft als Expertengremium ins Spiel kommen: Dieser ist zwar nicht in die Gesetzgebung eingebunden, gibt aber als allgemein anerkanntes Forum von Wissenschaft und Praxis Hinweise zur konkreten Ausgestaltung von Kontrollsystemen. Ein Gericht wird sich also im Streitfall auch auf Vorgaben des AK Schmalenbach stützen: Und wenn dieser AK sagt, dass Funktionstests erforderlich sind, wird dagegen kaum ein Vorstand oder Aufsichtsrat etwas sagen. "Hier steht die IT mitten im Schussfeld, weil sie dafür Sorge tragen muss, dass die Kontrollmechanismen ineinandergreifen", sagt Fischer.
Moderne Bürolösungen
Ein Mittelständler wechselt zu IP
Whitepaper