Seit die IT im Unternehmensalltag eine nicht mehr wegzudenkende Rolle spielt, steigt auch die Abhängigkeit von ihrem reibungslosen Funktionieren. Die Risiken sind vielfältig: Daten können vollständig oder teilweise verloren gehen, Systeme von außen angegriffen werden - etwa mit Viren, Trojanern oder Denial-of-Service-Attacken (DoS).

Nicht zu vernachlässigen sind aber auch die Risiken, die sich innerhalb des Unternehmens, etwa durch die Mitarbeiter, ergeben. Sind beispielsweise die Passwörter nicht komplex genug gewählt oder werden sie gegenüber Dritten bekannt gemacht, so sind die sensiblen Daten eines Unternehmens leichte Beute. Erhebliche Risiken schlummern auch in einem mangelhaften Lizenz- und Vertrags-Management für den IT-Bereich.

Diesen Risiken entgegenzuwirken empfiehlt sich vor allem im Hinblick auf die IT-Compliance. Sie zielt auf eine umfassende und dauerhafte Einhaltung gesetzlicher und unternehmensinterner Regelungen ab. Das Risiko-Management ist dabei ein wesentlicher Aspekt. Unter diesem Begriff ist die systematische Erfassung und Bewertung von IT-Risiken sowie die Steuerung der Reaktionen auf die festgestellten Risiken zu verstehen.

Schon aus rein betriebswirtschaftlicher Sicht haben viele Unternehmen erkannt, dass sie ihre spezifischen, mit der IT verbundenen Risiken aufspüren und geeignete Maßnahmen zur Schadensprävention und -minimierung ergreifen müssen. Aber auch der nationale und der europäische Gesetzgeber haben diesen Handlungsbedarf erkannt. Welche Anforderungen stellen sie konkret an IT-Compliance und IT-Risiko-Management?

IT-Sicherheit und Datenschutz

Wie der Gesetzgeber in Paragraf 2 des Gesetzes über das Bundesamt für Informationssicherheit formuliert, besteht das Ziel der IT-Sicherheit darin, durch die Einhaltung bestimmter Sicherheitsstandards Verfügbarkeit, Vertraulichkeit und Integrität aller Informationen zu gewährleisten. Integrität bedeutet in diesem Zusammenhang, dass die Daten vollständig und korrekt sind. Für personenbezogene Daten gelten aufgrund ihrer hohen Sensibilität besondere Maßstäbe.

Paragraf 9 Bundesdatenschutzgesetz und die zugehörige Anlage beziehen die Datensicherheit ausdrücklich in den Regelungsbereich des Datenschutzes ein. Hier werden als konkrete Maßnahmen etwa Zugangs-, Zugriffs- und Weitergabekontrollen gefordert. Sie können beispielsweise in der Kontrolle und Sicherung des physischen Zugangs zu den Datenverarbeitungsanlagen bestehen. Möglicherweise legen sie auch die Befugnisse über den Zugriff auf die Systeme oder bestimmte Daten fest und/oder betreffen Passwort-Regelungen sowie Anforderungen an das Versenden von Informationen (zum Beispiel nur durch verschlüsselte E-Mails).

Der Umfang der einzelnen Maßnahme hängt davon ab, was erforderlich ist, um dem Schutzzweck zu genügen. Dieses Verhältnismäßigkeitsprinzip findet sich auch in den anderen gesetzlichen Vorschriften wieder. Je größer das Risiko, desto umfangreichere Maßnahmen sind zu ergreifen. Das Risiko wiederum hängt von der konkreten Verwendung der Daten und der IT im jeweiligen Unternehmen ab. (Siehe auch: "Wieviel Sicherheit ist nötig?")

Die Pflicht zur ordnungsgemäßen Geschäftsführung eines Unternehmens umfasst auch die Einrichtung eines IT-Risiko-Managements. Deshalb ist das Risiko-Management Chefsache. Aber was ist konkret gefordert? Der Gesetzgeber hat hierzu Anordnungen in unterschiedlichen Gesetzen erlassen.

Regelungen für den Finanzsektor

Die höchsten Anforderungen an das IT-Risiko-Management gelten im Finanzsektor. Das Kreditwesengesetz (KWG) findet Anwendung auf Kredit- und Finanzdienstleistungsinstitute. Die Anforderungen wurden durch die Umsetzung der europäischen Richtlinie MiFID (Market in Financial Instruments Directive) weiter erhöht und im Hinblick auf das Risiko-Management bereits in deutsches Recht umgesetzt.

Nach dem neuen Paragraf en25a KWG reicht es nicht mehr aus, ein angemessenes Risiko-Management-System einzurichten. Vielmehr muss das Institut auch nachweisen können, dass dieses System wirksam ist, also tatsächlich dazu beiträgt, Risiken zu identifizieren, zu beurteilen, zu steuern und zu kommunizieren.

Die MiFID fordert weiter eine angemessene personelle wie technisch-organisatorische Ausstattung. Diese Anforderungen beziehen sich vor allem auf die Einrichtung angemessener IT-Systeme. Verlangt werden in diesem Zusammenhang aber auch aufbau- und ablauforganisatorische Regelungen mit einer klaren Abgrenzung der Verantwortungsbereiche.

Eine weitere Neuerung ist die Vorgabe, dass zum Risiko-Management auch ein angemessenes Notfallkonzept - insbesondere für IT-Systeme - gehört. Welche Maßnahmen angemessen sind, hängt auch hier im Wesentlichen von der Größe des Unternehmens und der Bedeutung der IT ab. Die in Paragraf 25 a KWG enthaltenen unbestimmten Rechtsbegriffe hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in den Mindestanforderungen an das Risiko-Management (MaRisk) konkretisiert, die im Zuge der MiFID-Umsetzung erst kürzlich neu gefasst wurden.

Die BaFin kann einzelne Maßnahmen zur Schaffung eines wirksamen IT-Risiko-Management-Systems anordnen. Befolgt das Kreditinstitut diese Anordnung nicht, drohen ihm empfindliche Bußgelder.

Branchenübergreifende Regelungen

Branchenübergreifende Regelungen zum Risiko-Management gelten für Kapitalgesellschaften seit der Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Durch das KonTraG wurde unter anderem der Paragraf 91 Absatz 2 des Aktiengesetzes (AktG) eingeführt. Er fordert die Einrichtung eines mehrstufigen IT-Risiko-Management-Systems. Die erste Stufe verlangt, dass geeignete Maßnahmen zur Früherkennung von IT-Risiken, die den Fortbestand des Unternehmens gefährden können, implementiert werden. Auf der zweiten Stufe ist die Ausführung dieser Maßnahmen zu überwachen.

Doch damit ist die Arbeit noch nicht getan. Danach ist ein umfassendes IT-Risiko-Management-System einzurichten. Denn eine Früherkennung ist nur bei dauerhafter und umfassender Beobachtung möglich. Das ist umso wichtiger, als sich selbst geringe Risiken in der Kumulation bestandsgefährdend auswirken können. Konkretere Vorgaben macht der Gesetzgeber an dieser Stelle allerdings nicht. Bemerkenswert ist in diesem Zusammenhang eine Entscheidung des Verwaltungsgerichts Frankfurt am Mainaus dem Jahr 2004. Hierin werden die wesentlich detaillierteren Kriterien des KWG auch für Kapitalgesellschaften anderer Branchen herangezogen - unter Berufung auf die gleichgerichtete Intention beider Vorschriften. Dieser Entscheid hatte bislang keine Auswirkung auf andere Urteile.

Der Vorstand ist direkt betroffen

Die Pflicht zur Einrichtung eines IT- Risiko-Management-Systems trifft direkt den Vorstand der AG beziehungsweise die Geschäftsführung der GmbH. Kommen die Verantwortlichen der Pflicht zur Einrichtung nicht in ausreichendem Maße nach, schafft das unter Umständen den Grund für eine außerordentliche Kündigung. Wird das IT-Risiko nicht ordnungsgemäß überwacht oder die Überwachung nicht ausreichend dokumentiert, kann dies dazu führen, dass der Vorstand nicht entlastet wird. So entschieden in einem Urteil des Landgerichts München aus dem vergangenen Jahr.

Die "EuroSOX"-Richtlinien (Bilanzrichtlinie in der Fassung der Änderungsrichtlinie und Abschlussprüferrichtlinie) haben für die Vorstände von Aktiengesellschaften im Hinblick auf das IT-Risiko-Management vor allem zwei Änderungen gebracht: Zum einen sind nunmehr im Lagebericht der Gesellschaft die wesentlichen Merkmale des IT-Risiko-Management-Systems zu beschreiben. Zum anderen kann der Vorstand der Aktiengesellschaft einen Prüfungsausschuss damit betrauen, die Wirksamkeit des Systems zu überwachen. Die Verantwortlichkeit verbleibt aber unverändert beim Vorstand. Inhaltlich werden in diesen Richtlinien keine über die bereits bestehenden Anforderungen hinausgehenden Pflichten begründet.

Basel II wird oft nur im Zusammenhang mit den Finanzdienstleistern gesehen. Tatsächlich haben diese Richtlinien aber nicht nur Auswirkungen auf das Risiko-Management im Finanzsektor, sondern auch auf Unternehmen anderer Branchen. Die Entscheidung über die Kreditvergabe wird hierin an eine umfassende Bonitätsprüfung geknüpft. Dazu bewertet das Kreditinstitut die operationellen Risiken. Ein gut dokumentiertes IT-Risiko-Management senkt das operationelle Risiko, kann also die Kreditkonditionen günstig beeinflussen.

Was beim Outsourcing zu beachten ist

Aus der Auslagerung der IT an einen externen Dienstleister ergibt sich zwangsläufig eine hohe Abhängigkeit von dessen Leistungsfähigkeit. Die hieraus entstehenden Risiken sind vertraglich abzusichern. Beim Outsourcing sollte die Verfügbarkeit der IT in Service-Level-Agreements (siehe auch: "Starthilfe für SLAs") so genau wie möglich festgelegt werden. Für den Fall der Nichtverfügbarkeit von IT-Services sind Haftungsfolgen (beispielsweise Vertragsstrafe oder Schadensersatz) zu vereinbaren. Anderenfalls bleibt das Anwenderunternehmen auf den häufig empfindlichen Schäden sitzen.

Selbstverständlich ist der Outsourcing-Partner auch im Hinblick hierauf besonders sorgfältig auszuwählen und zu überwachen. Darüber hinaus muss er zur Einhaltung der eigenen IT-Sicherheitsvorgaben verpflichtet werden.

Last, but not least: Lizenz-Management

Zu den Maßnahmen des Risiko-Managements und der IT-Compliance gehört auch ein funktionierendes Lizenz-Management. Seine Aufgabe ist es, die korrekte Lizenzierung der eingesetzten Software sicherzustellen (siehe auch: "Schutz vor Strafe").

Software darf nur mit den entsprechenden Lizenzen und innerhalb des in diesen Lizenzen eingeräumten Rahmens genutzt werden. So ist unter anderem darauf zu achten, dass Server-Software für eine ausreichende Datenkapazität lizenziert wurde und für Client-Software die der Anwenderzahl entsprechende Menge von Nutzungsrechten erworben wurde.

Wenn mehr Lizenzen gekauft wurden, als tatsächlich benötigt werden (Überlizenzierung), liegt der wirtschaftliche Schaden auf der Hand. Ungleich größer ist allerdings das Risiko im Fall einer Unterlizenzierung. Aus der damit begangenen Urheberrechtsverletzung entsteht ein Anspruch auf Unterlassung und Schadensersatz.

Im schlimmsten Fall drohen auch Strafen für die verantwortlichen Personen So wurde in einem noch nicht veröffentlichten Urteil vom Juli 2008 ein Systemadministrator zu einer Bewährungsstrafe von acht Monaten verurteilt, weil er es versäumt hatte, Lizenzen für Neuinstallierungen zu erwerben.

Das Lizenz-Management gleicht die eingesetzte Software mit den erworbenen Lizenzen ab. Es zielt darauf ab, Deckungsgleichheit herzustellen. Hierzu sind technische und organisatorische Maßnahmen zu ergreifen sowie eindeutige Regelungen zu treffen, wer Software installieren und deinstallieren darf.

Fazit

Die individuellen Anforderungen der IT-Compliance und des IT-Risiko-Managements sind für jedes Unternehmen unterschiedlich und müssen deshalb jeweils spezifisch ermittelt werden. Den erheblichen wirtschaftlichen und rechtlichen Risiken des IT-Einsatzes ist mit einer konsequenten Umsetzung eines maßgeschneiderten Compliance- und Risiko-Management-Konzepts zu begegnen. (qua)