IT-Risiko-Management

Wo die IT-Risiken lauern

13.08.2008
Von Thomas  Schumacher

Sonderrisiko Compliance

Die Einhaltung behördlicher und sonstiger Vorschriften, sprich: Compliance, als IT-Risiko einzustufen, mag auf den ersten Blick wenig einleuchten. Vor dem Hintergrund, dass heute kaum ein Geschäftsvorgang ohne IT-Applikationen stattfindet, ergibt dies jedoch durchaus Sinn. Lang ist die Liste der Gesetze und Regeln, denen ein Unternehmen im Hinblick auf seine IT-Prozesse ausgesetzt ist: Sie beginnt mit den ganz normalen Aufbewahrungs- und Sorgfaltsanforderungen an die Buchführung, die in Deutschland durch das Handelsgesetzbuch geregelt sind. Verglichen mit dem im Jahr 2002 in den USA verabschiedeten Sarbanes-Oxley Act (SOX) mit seinen Vorgaben im Hinblick auf die Firmenberichterstattung ist das allerdings Kleinkram. Das Gesetz gilt für alle in den Vereinigten Staaten börsennotierten Unternehmen sowie deren Tochterfirmen, auch in der EU. Besonders brisant ist die Section 404, nach der jeder Jahresbericht eine Beurteilung der Wirksamkeit des internen Kontrollsystems durch die Geschäftsführung sowie ein entsprechendes Testat eines Wirtschaftsprüfers enthalten muss. Damit obliegt dem Management die Verantwortung für die Effizienz der internen Kontrollsysteme, was auch die bei der Rechnungslegung involvierten IT-Systeme umfasst. SOX hat damit gravierende Auswirkungen auf die IT, denn die Umsetzung erfordert die Implementierung, Dokumentation und Überprüfung der Kontrollmechanismen.

Erweiterte Haftung

Auch hierzulande wurde 1998 mit der Verabschiedung des "Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen erweitert. So ist die Firmenleitung gezwungen, ein unternehmensweites Risikofrüherkennungssystem einzuführen und zu betreiben sowie Aussagen zu Risiken und Risikostruktur im Lagebericht des Jahresabschlusses zu veröffentlichen. Dazu muss die Unternehmensführung sicherstellen, dass die IT-Infrastruktur alle Anforderungen erfüllen kann und sich im Idealfall auch neue Vorgaben rasch umsetzen lassen. Hier spielt auch die Struktur eine große Rolle: Ansätze wie Service-orientierte Architekturen oder firmenweite Datenintegrationslösungen helfen, Informationen jeder Art bereitzustellen und zu nutzen.

Es wäre aber zu kurz gegriffen, zu glauben, alle Probleme ließen sich allein mit technischen Mitteln lösen. Eine große Rolle spielt immer auch die Organisation. Im Zuge einer umfassenden IT-Risikobetrachtung ist daher besonderes Augenmerk auf die Prozesse zu richten. So kam die Studie "IT Risk Management Report 2" des Sicherheitsanbieters Symantec zu dem Ergebnis, dass mehr als die Hälfte aller IT-Zwischenfälle auf prozessuale Schwierigkeiten zurückzuführen sind. Dabei ist meist kein Prozess definiert, um den Vorfall zu bewältigen. Abhilfe schaffen hier Ansätze des IT-Service-Managements wie etwa die IT Infrastructure Library (Itil), Standards wie ISO/IEC 17799 (Security) und 20000 (Audits) oder die Control Objectives for Information and Related Technology (Cobit).

Fachliteratur zum Thema

  • Königs, Hans-Peter: "IT-Risiko-Management mit System". Praxisbezogener Leitfaden für das IT-Risiko-Management im Unternehmen. Systematisch werden hier die Risiken rund um IT-Systeme, IT-Projekte und IT-Dienstleistungen behandelt (2006, Vieweg+Teubner, 280 Seiten).

  • Seibold, Holger: "IT-Risikomanagement". Das Buch diskutiert grundsätzliche Inhalte, Verfahrensweisen und Möglichkeiten des IT-Risiko-Managements und zeigt, wie es in das bestehende Risiko-Management eines Unternehmens zu integrieren ist. Der Autor ist IT-Risiko-Manager bei der LBBW (2006, Oldenbourg Verlag, 283 Seiten).

  • Schmidt, Klaus: "Der IT Security Manager”. Dieses Buch legt den Schwerpunkt nicht auf die Technik, sondern auf die Management-Aspekte von IT-Security. Beschrieben wird unter anderem, wie sich IT-Risiken kontinuierlich managen lassen und notwendige organisatorische Maßnahmen getroffen werden können (2006, Hanser Fachbuchverlag, 308 Seiten).

  • Hempel, Jan Markus und Wiemken, Florian: "Managerhaftung im Wandel. Sarbanes-Oxley und Corporate Governance in Deutschland: IT-Risiko-Management und Compliance". Für Vorstände und Aufsichtsräte unter Umständen eine sehr aufschlussreiche Lektüre. Die Autoren arbeiten bei einer internationalen Prüfungsgesellschaft (2006, Salzwasser-Verlag, 225 Seiten).