(openPR) (Bonn, den 28.05.2013) Vor wenigen Jahren noch beschränkte sich IT-Sicherheit für Unternehmen auf die Abwehr von Hackerangriffen und den Schutz vor Computerviren durch die Spezialisten der IT-Abteilung. Doch spätestens seit klar ist, dass weitergeleitete Kontodaten das Potenzial haben, zwischenstaatliche Steuerabkommen zu Fall zu bringen, stehen Begriffe wie IT-Compliance und IT-Governance auf der Tagesordnung der Chefetage.
„Angesichts der Abhängigkeit faktisch aller Geschäftsprozesse von der Unternehmens-IT, ist IT-Sicherheit in zumindest größeren Unternehmen in der Regel zur Chefsache geworden, und da gehört sie organisatorisch auch hin“, resümiert Rechtsanwalt Nils Kassebohm von der Anwaltskanzlei Eimer Heuschmid Mehle in Bonn und ergänzt: „Ausschlaggebend für den Erfolg ist allerdings, dass die technische IT-Sicherheit nur als ein Aspekt einer umfassenden IT-Strategie des Unternehmens begriffen wird.“
Eingebürgert im Unternehmensalltag haben sich für die IT-Strategie die Begriffe IT-Compliance, also das Befolgen der gesetzlichen und vertraglichen Regelungen im Bereich der IT-Landschaft, und IT-Governance. Hierunter werden die Führung, Organisationsstruktur und Prozesse verstanden, die sicherstellen sollen, dass die IT-Technik die Unternehmensziele und Unternehmensstrategien unterstützt.
„Für die Standard-Sicherheitsmaßnahmen steht allen Unternehmen der Grundschutzkatalog des Bundesamtes für die Sicherheit in der Informationstechnik zur Verfügung“, erläutert Kassebohm. Allerdings, so der Fachanwalt für Strafrecht weiter, sei jedes Unternehmen anders, bedürfe also einer eigenen Risikoanalyse. So sind vertrauliche Patientendaten eines Krankenhauses anderen Gefährdungen ausgesetzt als etwa die Ergebnisse der Forschungsabteilung eines Hightech-Unternehmens.
„Mithilfe eines Katalogs von Leitfragen lassen sich bereits erste Rückschlüsse auf die Eintrittsgefahr eines Schadensereignisses ziehen“, erklärt Kassebohm. So könne etwa gefragt werden, welche Fähigkeiten ein Angreifer haben müsste, um unberechtigten Zugriff auf die Unternehmens-IT zu bekommen, welche Mittel er für seine Aktion bräuchte, welchen Schaden er anrichten könnte und welche Auswirkung dieser Schaden nach außen hätte, beispielsweise auf den Ruf des Unternehmens.
Vor allem ist bei der Risikoanalyse des möglichen Angreifers zwischen dem Außentäter und einem Innentäter zu unterscheiden. Kassebohm berichtet: „Grundsätzlich geht die größere Gefahr vom Innentäter aus, da er in der Regel geringere Hürden zu überwinden hat. Bei ihm tritt neben den klassischen kriminellen Motiven oft Unzufriedenheit als Motiv auf.“ Im Hinblick auf den Risikofaktor Innentäter sei insbesondere die Personalabteilung in die Risikoanalyse mit einzubinden.
„Beim Aufbau einer Sicherheitsstrategie hat es sich als sinnvoll erwiesen, ein eigenes Augenmerk auf kriminelle Handlungen zu haben“, führt der Strafrechtler aus. So mache es bei der Risikoanalyse durchaus einen Unterschied, ob zum Beispiel ein möglicher Serverausfall auf schlechte Wartung oder auf strafbare Sabotage zurückzuführen sei.
„Wichtig ist letztlich, dass IT-Compliance und IT-Governance vom Management als ständige Aufgabe begriffen werden“, stellt Kassebohm klar. Allein die enorme Vergrößerung des Speicherplatzes tragbarer Datenträger oder die gesteigerten Möglichkeiten der Datenübertragung durch Smartphones verlangen aktuelle IT-Compliance-Regelungen, die bei Mitarbeitern auch umgesetzt werden müssen. „Deshalb muss die Risikoanalyse ständig aktualisiert und die IT-Governance entsprechend angepasst werden“, fasst Kassebohm zusammen.
Infos: www.ehm-kanzlei.de
