IT-Outsourcing

Ohne Datensicherheit droht CIOs der Knast

11.11.2008
Von Martin Jung
Die rechtlichen Anforderungen an die IT steigen ständig. CIOs mittelständischer Firmen laufen deshalb nicht nur strafrechtliche Gefahr, sondern drohen auch, ihr Hauptaugenmerk - die strategische IT-Planung - aus den Augen zu verlieren. Externe Dienstleister können Abhilfe schaffen: Sie nehmen dem CIO nicht nur den alltäglichen IT-Betrieb ab, sondern sorgen auch für die Einhaltung erforderliche Compliance-Richtlinien.

Ein bekanntes Szenario? Der Wirtschaftsprüfer ist im Haus und stellt mit Blick auf den Server im IKEA-Regal die Frage nach der Datensicherheit der betriebsinternen IT im Brandfall. Oder die Aufmerksamkeit des befreundeten Rechtsanwaltes fällt auf die unterschiedlichen Software-Lizenzen, die im mittelständischen Unternehmen zum Einsatz kommen, und damit auf die unsichere Rechtslage, wer an welchem Arbeitsplatz was nutzen darf. Oder bei der Überprüfung der Kreditlinien stellt die Bank konkrete Forderungen nach dem Risikomanagement für die IT des mittelständischen Unternehmens und macht die Erfüllung verschiedener Eckpunkte zur Bedingung. Diese und ähnliche Situationen können Verantwortliche in mittelständischen Unternehmen in diesen Tagen im Zuge der Finanzkrise vermehrt erleben. Denn im Rahmen der bestehenden Regularien - etwa GDPdU oder Basel II - werden sie zunehmend vor Aufgaben gestellt, die sehr spezielle Anforderungen an die IT richten.

CIOs haften für steuerrelevante Daten

Die im Unternehmen verantwortlichen Personen sind mit gesetzlichen Vorschriften wie dem KontraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) konfrontiert, das das Bestehen und den Betrieb eines Risikomanagements erfordert. Die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) bedingen das Vorliegen steuerrelevanter Daten in digitaler Form. Weiter werden vom Gesetzgeber Notfallpläne zur Sicherung und Verfügbarkeit der IT gefordert, Unbefugten muss der Zugriff auf sensible Informationen verwehrt werden, und die Daten müssen vor Manipulation, Verlust oder Zerstörung geschützt werden. Das Fehlen einer nachweisbaren Kontrolle der EDV-Strukturen führt zur strafrechtlichen Verantwortung und zur zivilrechtlichen Haftung des Managements. Noch schwieriger wird es für den Unternehmer angesichts der gestiegenen Anforderungen für die Vergabe von Krediten durch Basel II, die ganz klar eine Risikominimierung und Risikotransparenz in allen Bereichen des Unternehmens, auch in der EDV, einfordern.

Die Kapitalgeber fragen nach dem strategischen IT-Plan, wie lange das Unternehmen im Notfall ohne IT-Unterstützung auskommen kann, und ob alle Anforderungen aus rechtlichen Verpflichtungen erfüllt sind, zum Beispiel ob ein aktives Lizenz-Management betrieben wird. In dieser Situation müssen sich alle im Unternehmen Verantwortlichen - Leitung wie CIO - die Frage stellen: "Wird der Betrieb unserer IT dieser Verantwortung gerecht?" "Kann er es überhaupt?" Der Betrieb der EDV ist für die meisten mittelständischen Unternehmen nicht das Kerngeschäft, der Fokus ist nicht darauf ausgerichtet, und es werden häufig keine speziell ausgebildeten Mitarbeiter für die Betriebsthemen eingesetzt. Trotz allem muss die IT "einfach funktionieren". Im Störungsfall bringt sie erhebliche negative Einflüsse mit sich, die den Unternehmenserfolg nachhaltig schädigen können. Die wachsenden Anforderungen führen dazu, dass der Betrieb einen erheblichen Beitrag für den wirtschaftlichen Erfolg des Unternehmens leisten kann und auch sollte.