Im Zweifel gegen den CIO

Die Beachtung von IT-Sicherheitsrichtlinien schützt vor drastischen Strafen.

Der Gesetzgeber gibt der Unternehmens-IT mittlerweile zahlreiche Richtlinien zur Sicherheit und dem Risiko Management vor. Diese Regulierungen werden in den meisten Firmen vernachlässigt. Nur in jedem zweiten Unternehmen kennen Mitarbeiter überhaupt die bestehenden Sicherheitsvorschriften. Das geht aus einer Studie des IT-Beraters Timekontor hervor. Diese Lücken führen zu teilweise fatalen Folgen. Fast jede zweite Firma erlebte bereits einen Systemausfall aufgrund technischer Probleme.

Rechtliche Grundlagen

Dabei gibt es eine ganze Reihe rechtlicher Grundlagen, die zur Einhaltung der IT-Sicherheit verpflichten. Dazu zählen an erste Stelle gewerbeordnungsrechtlichte Vorschriften. Diese regeln, welche Pflichten Unternehmen in der IT über die notwendigen Sicherheitsmaßnahmen hinaus haben. Besondere Maßstäbe gelten dabei, wenn etwa das Bank-, Mandanten- Telekommunikations- oder Patientengeheimnis tangiert ist.

Auch das Datenschutzrecht hat immense Auswirkungen auf die Ausgestaltung der IT-Sicherheit. EU-, Bundes- und Landesgesetze , aber auch so genannte bereichspezifische Datenschutzgesetze, wie etwa das Sozialgesetzbuch oder das Telekommunikationsgesetz, finden hier Anwendung.

Von herausragender Bedeutung für Aktiengesellschaften ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTRaG). Die darin vorgeschriebene Pflicht zu Einrichtung eines Risikofrüherkennungssystems gilt nicht nur für den Finanzbereich des Unternehmens, sondern auch für die IT.