CIO-Online-Kolumne

"Executive Protection"-Strategien für IT-Entscheider

16. November 2005
Von Jyn Schultze-Melling
Pro Tag werden weltweit rund 72.000 Rechner von Crackern übernommen. Die Computer mutieren damit zu Zombie-Rechnern, die Viren-, Spam- und Phishing-E-Mails versenden. Handelt es sich um Unternehmensrechner, stehen nicht nur die Firmen selbst sondern auch Vorstände und Geschäftsführer in der Haftung. Ganzheitliche "Executive Protection“-Strategien, die rechtliche, technische und wirtschaftliche Aspekte verbinden, können ein wirksames Schutzschild für CIOs und CEOs bilden.
IT-Anwalt Schultze-Melling: "CIO-Arbeitsverträge sollte klare Aufgabenbeschreibungen enthalten."
IT-Anwalt Schultze-Melling: "CIO-Arbeitsverträge sollte klare Aufgabenbeschreibungen enthalten."

Der Bericht des BSI zur Lage der IT-Sicherheit in Deutschland besagt: Computerkriminalität hat mittlerweile organisierte Strukturen. Bezahlte Hacker oder böswillige Ex-Mitarbieter spionieren Geschäftsgeheimnisse. Groß angelegte Phishing-Attacken zwingen BankenBanken und VersicherungenVersicherungen dazu, ihre Online-Portale vorübergehend vom Netz zu nehmen, um ihre Kunden zu schützen. Top-Firmen der Branche Banken Top-Firmen der Branche Versicherungen

Chefsache IT-Sicherheit

Angesichts dieser Entwicklung haben viele Unternehmen IT-Sicherheit zur Chefsache erklärt – auch im persönlichen Interesse der Chefs. Denn CIOs und CEOs haften persönlich sowohl zivilrechtlich als auch strafrechtlich, wenn Mängel in der IT-Sicherheit zu Schäden bei Geschäftspartnern oder beim eigenen Betrieb führen. Unternehmen sollten daher IT-Sicherheit zukünftig nicht nur als Technik- sondern auch als Prozessproblem angehen.

Executive Protection für CEOs und CIOs

So genannte "Executive Protection“-Strategien bestehen daher aus zwei Elementen: Sowohl die Verteilung von Risiken in Arbeits-, Service- und Kundenverträgen muss überprüft werden als auch das Haftungsrisiko für das Unternehmen als Ganzes. Letzteres ist ein wichtiger Aspekt, der sich auch auf wirtschaftliche Entscheidungen auswirkt. Nicht jede Maßnahme, die technisch Sinn macht, führt auch tatsächlich zu einer Haftungsreduzierung. Speziell beim Aufbau von IT-Sicherheitsinfrastrukturen sollte daher Wert darauf gelegt werden, dass haftungsrelevante Maßnahmen bevorzugt umgesetzt werden und dadurch Risiken so schnell wie möglich reduziert werden.

IT-Sicherheitsbeauftragte und CIOs sollten überdies darauf achten, dass ihre Arbeitsverträge klare Aufgabenzuweisungen und angemessene Freizeichnungen enthalten. Sonst wird ihr Job zum unüberschaubaren Haftungsrisiko. Die Verantwortlichen sollten mit regelmäßig erstellten und archivierten Berichten beweisen können, dass sie das Thema IT-Sicherheit ernst nehmen.

Zur Startseite