Risikomanagement ist kein Selbstzweck

Fulda, 08.07.2010 | IT spielt im Unternehmensalltag eine nicht mehr wegzudenkende Rolle. Sie leistet für uns hervorragende Dienste. Ohne IT ist ein betriebswirtschaftliches Arbeiten überhaupt nicht mehr denkbar. Die technologische Bindung birgt natürlich zahlreiche Risiken. Wie sehr wir vom Funktionieren der IT abhängig sind, zeigt sich spätestens dann, wenn irgendein Stück IT streikt. Druckt beispielsweise der Drucker nicht, mag das noch ein verhältnismäßig harmloser Ausfall sein. Doch was ist, wenn ein Virus die interne Kommunikation im Unternehmen völlig lahmlegt, oder Passwörter auspioniert werden? Spätestens hier kommt das Thema "Risikomanagement und Datensicherung" ins Spiel. Es behandelt die Verpflichtung der Unternehmen und deren Geschäftsleitung, Maßnahmen zu ergreifen, die die Sicherheit der IT stets gewährleistet. Doch das Daten- und IT-Sicherheit wesentliche Bestandteile der Unternehmensführung sind, hat sich unter den Verantwortlichen noch nicht überall rumgesprochen. Insbesondere kleine und mittlere Unternehmen stehen vor der Aufgabe sich mit den gesetzlichen, unternehmensinternen und vertraglichen Regelungen - auch unter dem Oberbegriff "IT-Compliance" zusammengefasst - ihrer IT-Landschaft zu beschäftigen. Bisher gehen die IT-Verantwortlichen davon aus, dass mit Risikomanagement der Schutz vor Datenverlust gemeint ist. Das Risikomanagement geht aber sehr viel weiter und bindet vor allem rechtliche Aspekte des Datenschutzes und der Datensicherheit mit ein. Der Gesetzgeber stellt mehr oder weniger konkrete Anforderungen an die Unternehmen, die IT-Compliance umzusetzen. Warum es wichtig ist, zu handeln, wird deutlich, wenn Straftatbestandteile der gesetzlichen Bestimmungen zur Sicherungspflicht berührt werden. Hierunter fallen beispielsweise die Verletzung von Privatgeheimnissen oder die Verschwiegenheitspflicht (§ 203 StGB). Der Verrat von Geschäfts- oder Betriebsgeheimnissen nach dem UWG (Gesetz gegen den unlauteren Wettbewerb), welcher empfindliche Strafen nach sich ziehen kann, gehört ebenfalls dazu. Ganz aktuell sind die Fälle von Missachtung des Datenschutzes zu sehen. Der Gesetzgeber achtet zunehmend auf den besonderen Schutz, den personenbezogene Daten erfahren. Er verpflichtet die Unternehmen zu entsprechenden Sicherungsmaßnahmen für die "Daten verarbeitende Stelle", wie es im Fachjargon heißt. Wird dies ignoriert, drohen seit 01.09.2009 empfindliche Bußgelder. Nutzen Unternehmen die Daten trotz Widerspruch des Betroffenen für Werbezwecke, wird der Verstoß mit einem Bußgeld von bis zu EUR 300.000,00 geahndet (gemäß Bußgeldtatbestand des § 43 Abs.2 Nr. 5a. BDSG). Gefahr droht jedoch nicht nur durch positives Tun, sondern auch durch das Unterlassen von Sicher-heitsmaßnahmen. Diese Situation tritt ein, wenn etwa keine ausreichenden Maßnahmen zum Schutz der personenbezogenen Daten im Unternehmen getroffen worden sind. Doch wie sieht es neben den rein rechtlichen Aspekten der IT-Sicherheit und den daraus resultierenden Haftungsfolgen, mit den Anforderungen an eine zuverlässige und ausfallsichere Informationsverarbeitung aus? Die Risiken der IT im Unternehmensalltag sind nicht unbedingt weniger geworden. Nach wie vor gehen Daten vollständig oder teilweise verloren. Systeme werden von außen durch Malware (Viren, Trojaner, SPAM) angegriffen oder durch feindliche Attacken gestört. Zugenommen haben die Risiken, die sich innerhalb des Unternehmens, etwa durch die (unwissenden) Mitarbeiter, ergeben. Immer noch sind Passwörter nicht komplex genug gewählt, werden bedenkenlos gegenüber Dritten bekannt gemacht. So werden sensible Daten eines Unternehmens zur leichten Beute. Und wie sieht es mit dem sicheren Umgang mit Internet und E-Mail aus? Sind die Mitarbeiter geschult worden? Was ist mit dem Lizenz- und Vertragsmanagement? Werden diese kontrolliert und Verstöße vermieden? Es zeigt sich, dass IT-Risiken minimiert und kontrolliert werden müssen und zwar auf Basis der bereits beschriebenen IT-Compliance. Sie zielt auf eine umfassende und dauerhafte Einhaltung gesetzlicher und unternehmensinterner Regelungen ab. Damit lassen sich schon im Vorfeld mögliche Gefahren im Unternehmen erkennen und entsprechende Gegenmaßnahmen vorschlagen. IT-Risikomanagement ist also weniger als Selbstzweck (Kür) zu sehen, sondern vielmehr ein strategischer (Pflicht-)Baustein eines jeden Unternehmens. Schon aus rein betriebswirtschaftlicher Sicht macht es Sinn in ein professionelles Risikomanagement zu investieren. Das spart IT-Kosten und kann Firmen sogar vor einem Ruin retten, weil schlimme Folgen bei einem möglichen Totalausfall, wie Umsatzeinbußen, Vertrauensverlust etc. gar nicht erst aufkommen. Gerade weil dieses Bewusstsein vielen kleinen und mittelständischen Unternehmen noch fehlt, besteht hier Aufklärungs- und Handlungsbedarf. Die Erfahrungen bei schweren IT-Zwischenfällen belegen: Die eigentliche Katastrophe ist die Unwissenheit über mögliche Risiken. Im Ernstfall fehlen eingespielte Prozesse, um auf kritische Situationen geeignet reagieren zu können. Dabei ist eine Notfallplanung unbedingt notwendig: Einbruch, Diebstahl oder ein Zusammenbruch der Stromversorgung, Störungen bei der Online-Anbindung von Datenbanken an die Zentrale, oder gezielte Online-Angriffe von außen, können unternehmenskritische Systeme langfristig lahmlegen oder sogar zerstören. Wer das von vornherein ein-plant, weis im Fall der Fälle mit möglichen Gefahren professionell umzugehen. Sind ein vollständig dokumentierter IT-Notfallplan vorhanden und die Verantwortlichen ent-sprechend vorbereitet, können alle im Unternehmen rasch wieder zum Tagesgeschäft zurückzukehren. Mit dem Notfallplan wird so die größtmögliche Sicherheit für kritische Geschäftsprozesse erreicht. Der Weg ein geprüftes Sicherheitsniveau festzustellen, ist die Durchführung der Zerti-fizierung von Abläufen und Geschäftsprozessen nach ISO- oder BSI-Standards. Aufgrund der Komplexität des Themas ist hierfür die Unterstützung von Experten unabdingbar. Nur ein Profiteam mit langjährigem Know-how hat genug Praxis, um die Verfügbarkeit der IT im täglichen Betrieb zu gewährleisten. Ziel dabei ist es die speziellen Anforderungen jedes Unternehmens bedarfsgerecht umzusetzen, und das zu einem bezahlbaren Aufwand. Fach- und Hintergrundinformationen über IT-Risikomanagement sind nachzulesen unter www.drimalski.de. Zum Thema "Risikomanagement in kleinen und mittleren Unternehmen" gibt es auch einen Vortrag am 5. Oktober 2010 im Fuldaer Informations-, Gründer- und Multimediazentrum (ITZ). Drimalski und Partner hat hierfür namhafte Referenten gewinnen können. Nähere Informationen stehen dazu auch auf der Website. Drimalski & Partner GmbH Nadine Romberger Ortesweg 11 36043 Fulda n.romberger@drimalski.de 0661-902030 http://www.drimalski.de