CIO-Online-Kolumne

"Executive Protection"-Strategien für IT-Entscheider

16.11.2005
Von Jyn Schultze-Melling

Dabei geht es nicht nur um Würmer, Viren und Cracker. Sichere IT-Systeme sind auch eine wichtige Voraussetzung, um die hohen Anforderungen an die Corporate ComplianceCompliance durch KonTraG, TransPuG, Sarbanes Oxley Act (SOX), Basel II und GDPdU zu erfüllen. Allen Vorschriften ist eins gemeinsam: sie verlangen vom Unternehmen die transparente Gewinnung und vor allem die sichere Aufbewahrung wichtiger Informationen und Geschäftsdaten. Sonst drohen teurer Mehraufwand beim Jahresabschlussbericht, Schadensersatzklagen von Anteilseignern und Probleme mit Betriebsprüfern - im Fall von SOX sogar Haftstrafen, wenn das Management in Berichten falsche Zahlen verwendet. Alles zu Compliance auf CIO.de

IT-Sicherheit auf allen Ebenen

Auch in scheinbar harmloseren Bereichen sollten Unternehmen Sorgfalt walten lassen. Dürfen Mitarbeiter das Internet am Arbeitplatz privat nutzen und private E-Mails unter der Firmenadresse empfangen? Dann läuft der Betrieb Gefahr, von den zuständigen Behörden als Telekommunikationsanbieter eingestuft zu werden. Als Konsequenz besteht dann die Verpflichtung, das Fernmeldegeheimnis zu wahren. Das Unternehmen darf E-Mails nicht mehr ohne weiteres filtern. Und besteht erst einmal eine betriebliche Übung, kann das Unternehmen seinen Mitarbeitern zukünftig das Internet am Arbeitsplatz nicht einfach wieder versagen.

Auch OutsourcingOutsourcing schützt vor Haftung nicht. IT-Sicherheits-Management lässt sich nicht delegieren. Kommt es zu Datenklau oder anderen Vorfällen, kann sich das Unternehmen nur mit dem Hinweis auf Kontroll- und Überwachungsmechanismen gegen den Vorwurf eines Organisationsverschuldens verteidigen. Ein einfaches ReportingReporting des Dienstleisters, wie es die meisten Verträge vorsehen, ist hierfür nicht zwingend ausreichend. Wichtig ist vielmehr, dass das Unternehmen auf gemeldete Sicherheitsvorfälle und zukünftig absehbare Bedrohungen konsequent reagiert und entsprechende Vorbeugung betreibt. Dies sicherzustellen, ist Sache der Vertragsgestaltung. Bestehende Verträge müssen überprüft und gegebenenfalls in einzelnen Teilbereichen nach verhandelt werden. Alles zu Outsourcing auf CIO.de Alles zu Reporting auf CIO.de

"Executive Protection“-Strategien gehen das Thema IT-Sicherheit daher auf allen Ebenen an. Angesichts der Haftungsgefahren lohnt sich diese Investition aber in jedem Fall. Schließlich darf nicht vergessen werden: Sicherheit schafft Vertrauen und stärkt damit die Kundenbindung – im Gegensatz zu Phishing-E-Mails unter dem Firmenbriefkopf, Virenschäden beim Geschäftskunden oder Berichte über Hacker-Parties auf den lokalen Netzwerkservern.

Jyn Schultze-Melling ist IT-Rechtsexperte im Münchner Büro der Sozietät Nörr Stiefenhofer Lutz.

Zur Startseite