IT-Sicherheit und Haftungsfrage

Die Themen Compliance und Risiko-Management werden trotz der Wirtschaftslage derzeit intensiv in den Unternehmen diskutiert, was auch den Bereich der Informationssicherheit mit einbezieht. Die Notwendigkeit zum Aufbau eines Informationssicherheits-Managementsystems wird zwar mittlerweile – zumindest in den EDV-Abteilungen – erkannt, es werden aber einerseits Probleme in der Umsetzung gesehen und andererseits ist die Sensibilisierung im Management trotz persönlicher Haftung oftmals unzureichend. Doch gerade die sichere Datenverarbeitung ist ein zentrales Element in der Verbesserung der Risikosituation und somit Teil der Senkung der Haftungsrisiken des Managements. Nicht nur in Großunternehmen muss sich die DV zunehmend mit Fragestellungen der Compliance (Ordnungsmäßigkeit/Rechtmäßigkeit) auseinandersetzen. Unternehmen unterliegen einer Vielzahl von von Außen herangetragenen Anforderungen (sei es aus gesetzlicher oder marktrelevanter Sicht), die unmittelbar und mittelbar die DV-Systeme betreffen. „Durch eine Vielzahl von Gesprächen in Unternehmen können wir feststellen, dass zunehmend erkannt wird, dass etwas getan werden muss. Auf der anderen Seite existiert aber vielfach noch Ratlosigkeit hinsichtlich dessen, was und wie etwas umgesetzt werden soll.“ so Dr. Jörn Voßbein, Geschäftsführer der UIMC und erfahrener Berater in der Informationssicherheit. Auch die allgemeine Forderung aus dem KonTraG, welches auf Nicht-AGs in Bezug auf eine Umsetzung von geeigneten Maßnahmen der Risikoüberwachung zum Fortbestand der Gesellschaft mittelbar ausstrahlt, stellt die Praktiker vor Probleme. Trotz persönlicher Haftung der Entscheider und den Erfahrungen aus der Finanzkrise ist das Wissen um den Aufbau eines zwingend erforderlichen Informationssicherheits-Managementsystems insbe-sondere bei den Entscheidern im Mittelstand und die Umsetzung nur gering. Dabei zeigt sich zunehmend, dass die ISO 27001 (IT-Sicherheitsmanagement) und auch andere Normen geradezu prädestiniert sind, um die Situation der IT-Sicherheit im Unternehmen zu analysieren und zu verbessern, was eine wesentliche Säule für eine verbesserte Compliance- und Risikosituation darstellt. Im Rahmen des Vortrags „Compliance, ISO 27001 oder IDW-Prüfungsstandards – Mode oder Hilfe bei IT-Sicherheit und Haftungsfragen?“ auf der IT-Trends „Sicherheit“ in der rewirpower-Lounge in Bochum am 31.03.2009 wird Tim Hoffmann, Berater für IT-Sicherheit der UIMC, Einblicke in die Hintergründe und Bedeutung des Aufbaus eines Informationssicherheits-Managementsystems bieten und darüber hinaus auch Empfehlungen für Umsetzung sowie Prüfung und Zertifizierung gegeben. „Wenn die Auditierung/Zertifizierung nicht nur als Selbstzweck verstanden wird, kann ein Mehrwert für das gesamte Unternehmen generiert werden: Die Sicherheit der IT wird verbessert und die Haftungsrisiken der Geschäftsführung werden gesenkt. Und auch die Fachbereiche profitieren davon.“