Kein Business ohne Risk Management

BSI-Gebauedeeingang

Die Digitalisierung von Geschäftsprozessen ist für die meisten Unternehmen längst ein fester Bestandteil der Unternehmensstrategie, deren Umsetzung sich an vielfältigen Rahmenbedingungen unterschiedlichster Art orientieren muss. Neben firmeninternen und vertraglichen Regelungen gibt es zur Transparenz der IT-Compliance auch gesetzliche Vorgaben. So sind deutsche Firmen verpflichtet, sich um den Aufbau und die Pflege eines Risikomanagements zu kümmern sowie in die Umsetzung von Maßnahmen zur IT-Sicherheit zu investieren. Die IT-Compliance muss erfüllen, was Gesetze an Rechten und Pflichten einem Unternehmen auferlegen. Dieser Beitrag stellt die wichtigsten Vorgaben zur IT-Compliance vor und erläutert auch die neueren Entwicklungen, wie sie etwa das IT-Sicherheitsgesetz mit sich bringt.

von Andreas Bachmann, CIO der ADACOR Hosting

Andreas-Bachmann-CIO-ADACOR-Hosting

Sichere und konforme IT-Systeme

Wer seine Geschäftsvorgänge digitalisiert, muss bei einer Prüfung der IT-Sicherheit des Unternehmens durch Aufsichtsbehörden alle zugehörigen Prozessketten nachweisen können. Das betrifft nicht nur datenschutzrechtliche Regelungen oder das relativ neue IT-Sicherheitsgesetz, sondern beispielsweise auch Vorgaben für den Zugriff auf Daten bei einer digitalen Steuerprüfung oder Auflagen durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich.

Eine wichtige Grundlage für IT-Compliance ist die IT-Sicherheit. Das Ziel absoluter IT-Sicherheit lässt sich zwar kaum erreichen, aber die mit der Nutzung von Informationstechnologien zweifellos verbundenen Risiken können mithilfe geeigneter Maßnahmen auf ein Mindestmaß verringert werden. Einschlägige Grundsätze, Normen und Gesetze, aber auch gängige Sicherheitsstandards und freiwillige Richtlinien wie ITIL, Cobit oder ISO 27001, geben den Unternehmen einen Leitfaden an die Hand, wie sie ihren Umgang mit der IT-Sicherheit am besten gestalten und ihren Haftungsverpflichtungen nachkommen können.

In der Zusammenarbeit mit spezialisierten Anbietern von Informationstechnologie stellt die Berücksichtigung der IT-Compliance daher für Unternehmenskunden eine der wichtigsten Aufgaben dar. Um alle relevanten Vorgaben zu erfüllen, stellt ADACOR seinen Kunden einen direkten Ansprechpartner bereit, der die IT-Systeme individuell und projektspezifisch für jeden Kunden erstellt.

 

Grundlegende Rechtsvorschriften zur IT-Sicherheit

Verschiedene, allgemeine Regelwerke und Standards legen das Minimum an Maßnahmen und Vorkehrungen fest, mittels dessen Unternehmensinformationen innerhalb Deutschlands in Bezug auf Integrität, Vertraulichkeit, Verfügbarkeit und Authentizität bestmöglich geschützt werden sollen. Für ein regelkonformes Verhalten müssen Unternehmen mit Sitz in Deutschland dabei insbesondere die folgenden Grundlagen berücksichtigen und deren Vorschriften erfüllen:

1.    Bundesdatenschutzgesetz (BDSG)

2.    IT-Sicherheitsgesetz: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

3.    KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

4.    GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen

5.    S-Ox: Sarbanes-Oxley Act

6.    COSO: Committee of Sponsoring Organizations of the Treadway Commission

7.    Basel II, Solvency II

8.    KWG: Kreditwesengesetz

 

  1. Bundesdatenschutzgesetz (BDSG)

Eine der Grundlagen der IT-Compliance ist das Bundesdatenschutzgesetz (BDSG), dessen Inhalt in einem Artikel auf http://ow.ly/rCgR303eMmd ausführlich erläutert wird.

  1. IT-Sicherheitsgesetz als rechtliche Basis der IT-Sicherheit

Mit welchen Maßnahmen IT-Systeme und alle darauf gespeicherten Daten kontinuierlich geschützt werden sollen, regelt seit dem 25. Juli 2015 das IT-Sicherheitsgesetz, das sich insbesondere an Organisationen aus den Bereichen Gesundheitswesen oder Energie, also Betreiber „kritischer Infrastrukturen“, richtet. In solchen Sektoren tätige Unternehmen sind gehalten, innerhalb von zwei Jahren die vom Gesetz vorgegebenen Mindeststandards an IT-Sicherheitsmaßnahmen aufzubauen und deren Umsetzung nachzuweisen. Bei aufkommenden Sicherheitsvorfällen erfolgt verstärkt die Kooperation mit externen Stellen. Im Fall von schwerwiegenden IT-Sicherheitsvorfällen oder Ausfällen von IT-Infrastrukturen besteht beispielsweise die Meldepflicht gegenüber der Aufsichtsbehörde (BSI). Handelt es sich dagegen um kleinere Ausfälle, reicht es, die betroffenen Nutzer zu informieren.

Als sogenanntes Artikelgesetz wirkt sich das IT-Sicherheitsgesetz außerdem auch auf andere Regelwerke aus, da es die Grundlage für Abänderungen und Anpassungen anderweitig vorhandener Vorgaben an entsprechende Zielsetzungen bildet.

Neben den oben genannten Branchen betrifft das IT-Sicherheitsgesetz daher auch Anbieter von Telekommunikationsmedien. So müssen auch sie bei jeder Änderung im § 13 TMG (Telemediengesetz) nachweisen, dass sie ihre IT-Systeme und darauf befindliche Daten sowohl technisch als auch organisatorisch angemessen nach dem Stand der Technik schützen.

  1. KonTraG: Beispielhafte Unternehmensführung

Das KonTraG legt ein einheitlich hohes Niveau für die grundlegenden Prinzipien der Unternehmensführung (Corporate Governance) fest. Darüber hinaus versteht sich dieses Gesetz als Motivation, damit sich Unternehmen verstärkt mit (IT)-Risikomanagement beschäftigen und Investitionen in ein weitreichendes System zur Früherkennung möglicher Risiken vornehmen. Ähnlich wie das IT-Sicherheitsgesetz, führte das KonTraG in seiner Eigenschaft als Artikelgesetz dazu, dass andere Gesetze, etwa im GmbHG, AktG und HGB, inhaltlich angepasst wurden.

  1. GoBD: Gesetzlicher Rahmen für die E-Ablage

Die GoBD regeln, wie unternehmensinterne Abläufe elektronisch zu dokumentieren sind. Die Vorgaben beziehen sich auf sämtliche Unternehmensteile, innerhalb derer sich aus betrieblichen Abläufen Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten ergeben. Entsprechend legen die GoBD dem Unternehmen diverse Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung der Informationen auf. Dazu gehören Nachvollziehbarkeit und Prüfbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordentlichkeit und Unveränderlichkeit. Voraussetzung dafür ist eine GoBD-konforme IT-Infrastruktur, die individuell an die Vorgaben angepasst ist.

Ein internes Kontrollsystem (IKS) stellt sicher, dass die gesetzlichen Regelungen umgesetzt werden. Als Nachweis des ordnungsgemäßen Systembetriebes ist zudem eine Verfahrensdokumentation notwendig. Außerdem müssen Unternehmen über ein durchdachtes Konzept zur Datensicherheit verfügen, um die Möglichkeit eines Datenverlusts so gering wie möglich zu halten und so die GoBD-Vorgaben zu erfüllen.

  1. S-Ox: Interne Überprüfung in US-Unternehmen

Das S-Ox beschreibt die Verantwortung im Schadensfall sowie die Anforderungen, denen sich Manager von US-amerikanischen Unternehmen stellen müssen. Analog zu den GoBD lässt sich aus Abschnitt 404 S-Ox die Notwendigkeit eines IKS ableiten, dessen Umsetzung allerdings ein vorhandenes IT-Risikomanagement voraussetzt. Dies umfasst auch eine wirksame Absicherung der Systeme und der darauf liegenden Daten – ein Aspekt, der – obwohl nicht direkt im S-Ox angesprochen – für Unternehmen unerlässlich ist, um die gesetzlichen Vorschriften zu erfüllen.

  1. COSO: Interne Kontrollstandards

Im Bereich Finanzen hat das „Committee of Sponsoring Organizations of the Treadway Commission“ ein Modell zur optimierten Berichterstattung geschaffen (COSO). Zu den Schwerpunkten zählen dabei ethisches Handeln, wirksame interne Kontrollen und eine faire Unternehmensführung. COSO ist kein Gesetz, sondern ein Modell, mit dem 1992 ein heute von der SEC anerkannter Standard für interne Kontrollen geschaffen wurde. Das COSO-Modell dient der Dokumentation, Analyse und Gestaltung eines IKS. Außerdem beschreibt dieses Rahmenwerk die Anforderungen an die Finanzberichterstattung und Buchführung sowie die Voraussetzungen für die Datensicherheit. So beinhaltet der COSO-Standard nicht nur die US-amerikanischen Grundsätze ordnungsgemäßer Rechnungslegung, sondern auch die dafür notwendigen IT-Maßnahmen.

  1. Basel II, Solvency II: IT-Risiko und Kapitalvergabe

Wenn Banken und Versicherungen heutzutage unter korrekten Voraussetzungen Kredite vergeben und Versicherungen abschließen wollen, dann müssen sie die IT-Risiken ihrer Kunden berücksichtigen. Die Baseler Eigenkapitalvereinbarung (Basel II) verfolgt dabei zwei Ziele: das Erreichen einer angemessenen Eigenkapitalausstattung der Banken sowie einheitliche Wettbewerbsbedingungen für Kreditvergabe und -handel. Die Umsetzung der Vorschriften erfolgt in Deutschland durch das Kreditwesengesetz, die Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk). Risikomindernde, unternehmensinterne Kontrollen und (IT-)Sicherheitsmaßnahmen wirken sich angesichts der Basel-II-Vorgaben auf Kreditkonditionen positiv aus. Eine Stufe weiter geht das Projekt Solvency II, das sich auf die Gesamtsolvabilität eines Unternehmens bezieht, anstatt den Fokus auf einzelne Risiken zu richten.

  1. KWG: Überwachung im Finanzsektor

Die Aufsicht über Kredit- und Finanzdienstleistungsinstitute mit Sitz in Deutschland wird durch das Gesetz über das Kreditwesen ausführlich geregelt. Dabei geht es vor allem um zwei Schwerpunkte: um die Sicherung und Erhaltung einer funktionierenden Kreditwirtschaft sowie um den Gläubigerschutz vor Einlagenverlust. Neben der Instituts- und Missstandsaufsicht kontrolliert das BaFin als ausführende Behörde regelmäßig, ob Finanzdienstleister ihre Risiken mit genügend Eigenmitteln hinterlegen und verfolgt auch unerlaubte Bank- und Finanzdienstleistungsgeschäfte. Die Regelungen zwingen Banken und Versicherungen dazu, eine filigranere interne Risikoermittlung durchzuführen. Der verlangte Eigenkapitalanteil muss anhand des ermittelten Risikos abgesichert werden. In die Betrachtung fallen auch operative Risiken, die zum Beispiel beim Einsatz von Informationssystemen entstehen können. Die KWG-Vorschriften wirken sich mittelbar auf alle Unternehmen aus, die am Kapitalmarkt Geld aufnehmen wollen, da die Banken gehalten sind, die Kreditausfallrisiken ihrer Schuldner umfassend zu berücksichtigen. So kann der Zinssatz bei Geldaufnahme vergleichsweise hoch ausfallen, weil ein Unternehmen zwar prinzipiell kreditwürdig ist, aber über eine schlechte Risikoeinstufung verfügt.

 

Weitere Regelungen zur IT-Sicherheit

Viele spezielle Regelwerke ergänzen die obigen allgemeinen gesetzlichen Vorschriften zur Informationssicherheit, beispielsweise:

  • Produkthaftungsgesetz bzw. § 823 BGB (z. B. bei Software-Kauf)
  • Telemediengesetz (TMG)
  • Telekommunikationsgesetz (TKG)
  • Wassenar-Abkommen (europäische Kryptoregulierung) und zu berücksichtigende, länderspezifische Gesetze zu Einschränkungen hinsichtlich der einsetzbaren Verschlüsselungstechnik
  • Grundgesetz Art. 10 und G10-Gesetz
  • Urheberrechtsgesetz (UrhG)
  • IT-bezogene Straftaten des StGB: §§ 202a (Ausspähen von Daten), 202b (Abfangen von Daten), 263a (Computerbetrug), 303a (Datenveränderung) und 303b (Computersabotage)

 

IT-Sicherheit und IT-Compliance in ständigem Wandel

Ein wirksames IT-Sicherheitskonzept wird nicht nur einmal aufgestellt, sondern muss laufend an wechselnde Rahmenbedingungen angepasst werden. Dabei stehen mehrere Fragen im Mittelpunkt: Wie kann die Sicherheit von Unternehmens- und Kundendaten fortlaufend optimiert werden? Welche neuen Compliance-Anforderungen gibt es? Welche Innovationen bietet uns die Technik beim Cloud-Hosting? Wie sieht die optimale Hilfestellung für Anwender aus, damit sie ihre eigenen Anforderungen an die IT-Compliance erfüllen können?

Mit der zunehmenden Unterstützung durch Informationstechnologien im Geschäftsalltag rückt heutzutage immer mehr die Problematik des Risikomanagements in den Mittelpunkt einer Unternehmensstrategie. Datensicherheit stellt denn auch eine wichtige unternehmerische Aufgabe dar. Mittlerweile sind standardisierte Prozesse in unserer gesamten Wertschöpfungskette fest verankert. Auf Änderungen oder Neuerungen können wir im Rahmen unserer IT-Sicherheitsvorgaben denn auch schnell und mit geringem Aufwand reagieren. Damit wird das Risiko auf ein Minimum begrenzt und die Sicherheit schrittweise optimiert – und auf diese Weise nachhaltig die Grundlage für unternehmerischen Erfolg geschaffen.

 

Andreas Bachmann

CIO Adacor Hosting
www.adacor.com