Aktuelles, Branche, Gastbeiträge - geschrieben von am Mittwoch, September 7, 2016 7:14 - noch keine Kommentare

Risk-Management: Pflichtfach für jedes Unternehmen

Digitalisierung von Geschäftsprozessen muss sich an vielfältigen Rahmenbedingungen unterschiedlichster Art orientieren

Von unserem Gastautor Andreas Bachmann

[datensicherheit.de, 07.09.2016] Wenn es um die Digitalisierung von Geschäftsprozessen geht, bietet die Informationstechnologie vielfältige Vorteile. Nicht umsonst stellt diese Aufgabe für die meisten Unternehmen längst einen festen Bestandteil der Unternehmensstrategie dar. Die Digitalisierung von Geschäftsprozessen muss sich dabei aber an vielfältigen Rahmenbedingungen unterschiedlichster Art orientieren. Neben  firmeninternen und vertraglichen Regelungen gibt es zur Transparenz der IT-Compliance auch gesetzliche Vorgaben. So sind deutsche Firmen verpflichtet, sich um den Aufbau und die Pflege eines Risikomanagements zu kümmern sowie in die Umsetzung von Maßnahmen zur IT-Sicherheit zu investieren. Die IT-Compliance muss erfüllen, was Gesetze an Rechten und Pflichten einem Unternehmen auferlegen. In diesem Beitrag werden die wichtigsten Vorgaben zur IT-Compliance vorgestellt, aber auch neuere Entwicklungen, die sich zum Beispiel aus dem IT-Sicherheitsgesetz ergeben.

Compliance und Sicherheit in der IT

Wenn Aufsichtsbehörden die IT-Sicherheit eines Unternehmens überprüfen, muss das Unternehmen alle Prozessketten nachweisen können, die mit der Digitalisierung von Geschäftsvorgängen in Verbindung stehen. Diese Beweispflicht gilt beispielsweise für die Grundsätze zum Datenzugriff in Zusammenhang mit der digitalen Steuerprüfung, für die Vorgaben nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, für das vergleichsweise neue IT-Sicherheitsgesetzt und natürlich auch für alle einschlägigen Regelungen zum Datenschutz.

Die IT-Sicherheit stellt dabei eine wichtige Basis der IT-Compliance dar. Das Ziel absoluter IT-Sicherheit lässt sich zwar kaum erreichen, die mit der Nutzung von Informationstechnologien zweifellos verbundenen Risiken können aber mithilfe geeigneter Maßnahmen auf ein Mindestmaß verringert werden. Leitlinien, wie Unternehmen das Handeln in der IT-Sicherheit am besten gestalten und auf adäquate Weise ihren Haftungsverpflichtungen begegnen können, ergeben sich nicht nur aus den einschlägigen Grundsätzen, Normen und Gesetzen; als Unterstützung stehen auch gängige Sicherheitsstandards und freiwillige Richtlinien zur Verfügung (ITIL, Cobit, ISO 27001 u.a.).

Die IT-Compliance bildet denn auch eine wichtige Aufgabe im Zusammenspiel zwischen Unternehmenskunden und spezialisierten Anbietern von Informationstechnologie. ADACOR begegnet diesem Erfordernis durch die Bereitstellung eines direkten Ansprechpartners, damit für jeden Kunden individuell und projektspezifisch IT-Systeme aufgebaut werden können, die allen relevanten Vorgaben der IT-Compliance gerecht werden.

Staatliche Vorgaben zur Informationssicherheit

Damit Unternehmensinformationen am Standort Deutschland in vollem Umfang hinsichtlich Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität geschützt werden, gibt der Gesetzgeber unterschiedliche Regelwerke oder Standards vor. Unternehmen mit Sitz in Deutschland müssen sich entsprechend regelkonform verhalten, wobei sich die wichtigsten Vorgaben aus den nachfolgend genannten Grundlagen ergeben:

  1. Bundesdatenschutzgesetz (BDSG)
  2. IT-Sicherheitsgesetz: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
  3. KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
  4. GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen
  5. S-Ox: Sarbanes-Oxley Act
  6. COSO: Committee of Sponsoring Organizations of the Treadway Commission
  7. Basel II, Solvency II
  8. KWG: Kreditwesengesetz
  1. Bundesdatenschutzgesetz (BDSG)
    Das Bundesdatenschutzgesetz (BDSG) stellt einen elementaren Eckpfeiler der IT-Compliance dar und wird in einem gesonderten Beitrag unter bdsg.adacor.de ausführlich beschrieben.
  2. IT-Sicherheitsgesetz als Rechtsgrundlage der IT-Sicherheit
    Seit dem Inkrafttreten am 25. Juli 2015 regelt das IT-Sicherheitsgesetz alle erforderlichen Maßnahmen zum fortlaufenden Schutz von IT-Systemen und darauf gespeicherten Daten.
    Das IT-Sicherheitsgesetzt richtet sich in erster Linie an Betreiber „kritischer Infrastrukturen“, beispielsweise aus den Bereichen Gesundheitswesen oder Energie. In solchen Sektoren tätige Unternehmen sind gehalten, innerhalb von zwei Jahren die vom Gesetz vorgegebenen Mindeststandards an IT-Sicherheitsmaßnahmen aufzubauen und deren Umsetzung nachzuweisen. Bei aufkommenden Sicherheitsvorfällen erfolgt verstärkt die Kooperation mit externen Stellen. Über IT-Sicherheitsvorfälle oder Ausfälle von IT-Infrastrukturen müssen nicht nur die betroffenen Nutzer informiert werden, je nach Schweregrad ergibt sich auch eine Meldepflicht gegenüber der Aufsichtsbehörde (BSI).
    Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz, auf dessen Grundlage vorhandene Vorgaben innerhalb anderer Regelwerke abgeändert und den Zielsetzungen entsprechend angepasst werden.
    Neben Branchen wie Energie und Gesundheitsweisen müssen sich auch Anbieter von Telekommunikationsmedien am IT-Sicherheitsgesetz orientieren. Änderungen im § 13 TMG (Telemediengesetz) führen zu der Verpflichtung, IT-Systeme und darauf befindliche Daten über geeignete Maßnahmen technischer und organisatorischer Art nach dem Stand der Technik präventiv zu schützen, was auch entsprechend nachgewiesen werden muss.
  3. KonTraG: Corporate Governance für GmbHs und Aktiengesellschaften
    Mit dem KonTraG sollen die Grundsätze der Unternehmensführung (Corporate Governance) auf einem einheitlich hohen Niveau geregelt werden. Darüber hinaus versteht sich dieses Gesetz als Motivation, damit sich Unternehmen verstärkt mit dem (IT)-Risikomanagement beschäftigen und Investitionen in ein weitreichendes System zur Früherkennung möglicher Risiken vornehmen. Ebenfalls als Artikelgesetz angelegt, hatte das KonTraG inhaltliche Anpassungen anderer Gesetz zur Folge, die sich unter anderem im GmbHG, im AktG und im HGB niederschlagen.
  4. GoBD: Sorgfaltspflicht für die E-Dokumentation
    Das GoBD umfasst Regelungen zur elektronischen Dokumentation unternehmensinterner Abläufe. Die Vorgaben beziehen sich auf sämtliche Unternehmensteile, innerhalb derer sich aus betrieblichen Abläufen Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten ergeben. Entsprechend legen die GoBD dem Unternehmen diverse Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung der Informationen auf. Dazu gehören Nachvollziehbarkeit und Prüfbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordentlichkeit und Unveränderlichkeit. Die jeweils eingesetzt IT-Infrastruktur muss den GoBD-Vorgaben gerecht und entsprechend individuell angepasst werden.
    Die Umsetzung der gesetzlichen Regelungen muss über ein internes Kontrollsystem (IKS) sichergestellt werden. Als Nachweis des ordnungsgemäßen Systembetriebes ist zudem eine Verfahrensdokumentation notwendig. Um den Verlust von Daten so umfassend wie möglich zu verhindern, müssen Unternehmen zur Erfüllung der GoBD-Vorgaben ein umfassendes Konzept zur Datensicherheit entwickeln und realisieren.
  5. S-Ox: Interne Kontrollsysteme für US-amerikanische Unternehmen
    Das S-Ox bezieht sich vorrangig auf den Haftungsumfang von Verantwortlichen US-amerikanischer Unternehmen sowie auf die Anforderungen, die sich daraus an das Management ergeben. Analog zu den GoBD, lässt sich aus Abschnitt 404 S-Ox die Notwendigkeit eines IKS ableiten, dessen Umsetzung allerdings ein vorhandenes IT-Risikomanagement voraussetzt. Die IT-Sicherheit wird im S-Ox zwar nicht direkt thematisiert; ohne umfassende Absicherung der Systeme und einen verantwortungsbewussten Umgang mit IT-gestützten Daten können Unternehmen den gesetzlichen Vorgaben aber kaum gerecht werden.
  6. COSO: Rahmenwerk für interne Kontrollsysteme
    Das Modell des „Committee of Sponsoring Organizations of the Treadway Commission“ (COSO) dient der optimierten Berichterstattung im Bereich Finanzwesen. Zu den Schwerpunkten zählen dabei ethisches Handeln, wirksame interne Kontrollen und eine faire Unternehmensführung. COSO ist kein Gesetz, sondern ein Modell, mit dem 1992 ein heute von der SEC anerkannter Standard für interne Kontrollen geschaffen wurde. Das COSO-Modell dient der Dokumentation, Analyse und Gestaltung eines IKS. Außerdem beschreibt dieses Rahmenwerk die Anforderungen an die Finanzberichterstattung und Buchführung sowie die Voraussetzungen für die Datensicherheit. Im Ergebnis stellt der COSO-Standard die US-amerikanischen Grundsätze hinsichtlich der ordnungsgemäßen Rechnungslegung dar, wobei aber auch die erforderlichen IT-Maßnahmen einbezogen werden.
  7. Mindestkapital für Banken und Versicherungen: Basel II, Solvency II
    In Zusammenhang mit der Vergabe von Krediten sowie im Abschluss von Versicherungsgeschäften sind Banken und Versicherungen auch verpflichtet, die IT-Risiken ihrer Kunden zu berücksichtigen, da sich diese direkt auf die Angebotskonditionen auswirken. Die Baseler Eigenkapitalvereinbarung (Basel II) verfolgt dabei zwei Ziele: das Erreichen einer angemessenen Eigenkapitalausstattung der Banken sowie einheitliche Wettbewerbsbedingungen für Kreditvergabe und -handel. Die Umsetzung der Vorschriften erfolgt in Deutschland durch das Kreditwesengesetz, die Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk). Risikomindernde, unternehmensinterne Kontrollen und (IT-)Sicherheitsmaßnahmen wirken sich angesichts der Basel-II-Vorgaben auf Kreditkonditionen positiv aus. Im Unterschied dazu stehen bei Solvency II nicht einzelne Risiken im Fokus, vielmehr geht es um ein übergreifendes System zur Gesamtsolvabilität.
  8. 8. KWG: Aufsicht über die Kredit- und Finanzbranche
    Mit dem Gesetz über das Kreditwesen wird die Aufsicht über Kredit- und Finanzdienstleistungsinstitute mit Sitz in Deutschland umfassend geregelt. Dabei geht es vor allem um zwei Schwerpunkte: um die Sicherung und Erhaltung einer funktionierenden Kreditwirtschaft sowie um den Gläubigerschutz vor Einlagenverlust. Neben der Instituts- und Missstandsaufsicht kontrolliert das BaFin als ausführende Behörde regelmäßig, ob Finanzdienstleister ihre Risiken mit genügend Eigenmitteln hinterlegen und verfolgt auch unerlaubte Bank- und Finanzdienstleistungsgeschäfte. Die Regelungen zwingen Banken und Versicherungen dazu, eine filigranere interne Risikoermittlung durchzuführen. Der verlangte Eigenkapitalanteil muss anhand des ermittelten Risikos abgesichert werden. In die Betrachtung fallen auch operative Risiken, die zum Beispiel beim Einsatz von Informationssystemen entstehen können. Die KWG-Vorschriften wirken sich mittelbar auf alle Unternehmen aus, die am Kapitalmarkt Geld aufnehmen wollen, da die Banken gehalten sind, die Kreditausfallrisiken ihrer Schuldner umfassend zu berücksichtigen. Auch wenn ein Unternehmen prinzipiell kreditwürdig ist, kann eine schlechte Risikoeinstufung dazu führen, dass der mit der Geldaufnahme verbundene Zinssatz vergleichsweise hoch ausfällt.

Spezielle Regelwerke zur IT-Sicherheit

Neben den genannten Vorschriften gibt es zahlreiche weitere Regelwerke zur Informationssicherheit, zum Beispiel:

  • Produkthaftungsgesetz bzw. § 823 BGB (z. B. bei Software-Kauf)
  • Telemediengesetz (TMG)
  • Telekommunikationsgesetz (TKG)
  • Wassenar-Abkommen (europäische Kryptoregulierung) und zu berücksichtigende, länderspezifische Gesetze zu Einschränkungen hinsichtlich der einsetzbaren Verschlüsselungstechnik
  • Grundgesetz Art. 10 und G10-Gesetz
  • Urheberrechtsgesetz (UrhG)
  • IT-bezogene Straftaten des StGB: §§ 202a (Ausspähen von Daten), 202b (Abfangen von Daten), 263a (Computerbetrug), 303a (Datenveränderung), und 303b (Computersabotage)

IT-Sicherheit und IT-Compliance immer im Fluss

Auch ein gut aufgestelltes IT-Sicherheitskonzept braucht immer wieder Anpassungen an veränderte Rahmenbedingungen. Dabei stehen mehrere Fragen im Mittelpunkt: Wie kann die Sicherheit von Unternehmens- und Kundendaten fortlaufend optimiert werden? Welche neuen Compliance-Anforderungen gibt es? Welche Innovationen bietet uns die Technik beim Cloud-Hosting? Wie können Anwender bei der Erfüllung der eigenen Anforderungen zur IT-Compliance optimal unterstützt werden?

Im Zentrum steht stets die Thematik des Risikomanagements, zumal die meisten Geschäftsprozesse heute IT-unterstützt ablaufen. Datensicherheit stellt denn auch eine wichtige unternehmerische Aufgabe dar. Mittlerweile sind standardisierte Prozesse in unserer gesamten Wertschöpfungskette fest verankert. Auf Änderungen oder Neuerungen können wir im Rahmen unserer IT-Sicherheitsvorgaben denn auch schnell und mit geringem Aufwand reagieren. Daraus ergibt sich immer wieder ein Sicherheitsgewinn, der zugleich die Basis für nachhaltigen unternehmerischen Erfolg darstellt.

Andreas Bachmann ist CIO bei Adacor Hosting, www.adacor.com

 



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung