"Executive Protection"-Strategien für IT-Entscheider

Der Bericht des BSI zur Lage der IT-Sicherheit in Deutschland besagt: Computerkriminalität hat mittlerweile organisierte Strukturen. Bezahlte Hacker oder böswillige Ex-Mitarbieter spionieren Geschäftsgeheimnisse. Groß angelegte Phishing-Attacken zwingen BankenBanken und VersicherungenVersicherungen dazu, ihre Online-Portale vorübergehend vom Netz zu nehmen, um ihre Kunden zu schützen. Top-Firmen der Branche Banken Top-Firmen der Branche Versicherungen

Chefsache IT-Sicherheit

Angesichts dieser Entwicklung haben viele Unternehmen IT-Sicherheit zur Chefsache erklärt – auch im persönlichen Interesse der Chefs. Denn CIOs und CEOs haften persönlich sowohl zivilrechtlich als auch strafrechtlich, wenn Mängel in der IT-Sicherheit zu Schäden bei Geschäftspartnern oder beim eigenen Betrieb führen. Unternehmen sollten daher IT-Sicherheit zukünftig nicht nur als Technik- sondern auch als Prozessproblem angehen.

Executive Protection für CEOs und CIOs

So genannte "Executive Protection“-Strategien bestehen daher aus zwei Elementen: Sowohl die Verteilung von Risiken in Arbeits-, Service- und Kundenverträgen muss überprüft werden als auch das Haftungsrisiko für das Unternehmen als Ganzes. Letzteres ist ein wichtiger Aspekt, der sich auch auf wirtschaftliche Entscheidungen auswirkt. Nicht jede Maßnahme, die technisch Sinn macht, führt auch tatsächlich zu einer Haftungsreduzierung. Speziell beim Aufbau von IT-Sicherheitsinfrastrukturen sollte daher Wert darauf gelegt werden, dass haftungsrelevante Maßnahmen bevorzugt umgesetzt werden und dadurch Risiken so schnell wie möglich reduziert werden.

IT-Sicherheitsbeauftragte und CIOs sollten überdies darauf achten, dass ihre Arbeitsverträge klare Aufgabenzuweisungen und angemessene Freizeichnungen enthalten. Sonst wird ihr Job zum unüberschaubaren Haftungsrisiko. Die Verantwortlichen sollten mit regelmäßig erstellten und archivierten Berichten beweisen können, dass sie das Thema IT-Sicherheit ernst nehmen.