IT-Compliance und IT-Governance sind für Unternehmen eine Dauerbaustelle

(Bonn, den 28.05.2013) Vor wenigen Jahren noch beschränkte sich IT-Sicherheit für Unternehmen auf die Abwehr von Hackerangriffen und den Schutz vor Computerviren durch die Spezialisten der IT-Abteilung. Doch spätestens seit klar ist, dass weitergeleitete Kontodaten das Potenzial haben, zwischenstaatliche Steuerabkommen zu Fall zu bringen, stehen Begriffe wie IT-Compliance und IT-Governance auf der Tagesordnung der Chefetage.

„Angesichts der Abhängigkeit faktisch aller Geschäftsprozesse von der Unternehmens-IT, ist IT-Sicherheit in zumindest größeren Unternehmen in der Regel zur Chefsache geworden, und da gehört sie organisatorisch auch hin“, resümiert Rechtsanwalt Nils Kassebohm von der Anwaltskanzlei Eimer Heuschmid Mehle in Bonn und ergänzt: „Ausschlaggebend für den Erfolg ist allerdings, dass die technische IT-Sicherheit nur als ein Aspekt einer umfassenden IT-Strategie des Unternehmens begriffen wird.“

Eingebürgert im Unternehmensalltag haben sich für die IT-Strategie die Begriffe IT-Compliance, also das Befolgen der gesetzlichen und vertraglichen Regelungen im Bereich der IT-Landschaft, und IT-Governance. Hierunter werden die Führung, Organisationsstruktur und Prozesse verstanden, die sicherstellen sollen, dass die IT-Technik die Unternehmensziele und Unternehmensstrategien unterstützt.

„Für die Standard-Sicherheitsmaßnahmen steht allen Unternehmen der Grundschutzkatalog des Bundesamtes für die Sicherheit in der Informationstechnik zur Verfügung“, erläutert Kassebohm. Allerdings, so der Fachanwalt für Strafrecht weiter, sei jedes Unternehmen anders, bedürfe also einer eigenen Risikoanalyse. So sind vertrauliche Patientendaten eines Krankenhauses anderen Gefährdungen ausgesetzt als etwa die Ergebnisse der Forschungsabteilung eines Hightech-Unternehmens.

„Mithilfe eines Katalogs von Leitfragen lassen sich bereits erste Rückschlüsse auf die Eintrittsgefahr eines Schadensereignisses ziehen“, erklärt Kassebohm. So könne etwa gefragt werden, welche Fähigkeiten ein Angreifer haben müsste, um unberechtigten Zugriff auf die Unternehmens-IT zu bekommen, welche Mittel er für seine Aktion bräuchte, welchen Schaden er anrichten könnte und welche Auswirkung dieser Schaden nach außen hätte, beispielsweise auf den Ruf des Unternehmens.

Vor allem ist bei der Risikoanalyse des möglichen Angreifers zwischen dem Außentäter und einem Innentäter zu unterscheiden. Kassebohm berichtet: „Grundsätzlich geht die größere Gefahr vom Innentäter aus, da er in der Regel geringere Hürden zu überwinden hat. Bei ihm tritt neben den klassischen kriminellen Motiven oft Unzufriedenheit als Motiv auf.“ Im Hinblick auf den Risikofaktor Innentäter sei insbesondere die Personalabteilung in die Risikoanalyse mit einzubinden.

„Beim Aufbau einer Sicherheitsstrategie hat es sich als sinnvoll erwiesen, ein eigenes Augenmerk auf kriminelle Handlungen zu haben“, führt der Strafrechtler aus. So mache es bei der Risikoanalyse durchaus einen Unterschied, ob zum Beispiel ein möglicher Serverausfall auf schlechte Wartung oder auf strafbare Sabotage zurückzuführen sei.

„Wichtig ist letztlich, dass IT-Compliance und IT-Governance vom Management als ständige Aufgabe begriffen werden“, stellt Kassebohm klar. Allein die enorme Vergrößerung des Speicherplatzes tragbarer Datenträger oder die gesteigerten Möglichkeiten der Datenübertragung durch Smartphones verlangen aktuelle IT-Compliance-Regelungen, die bei Mitarbeitern auch umgesetzt werden müssen. „Deshalb muss die Risikoanalyse ständig aktualisiert und die IT-Governance entsprechend angepasst werden“, fasst Kassebohm zusammen.

Infos: www.ehm-kanzlei.de

Fachfragen beantwortet gerne:

Eimer Heuschmid Mehle
überregionale Rechtsanwaltssozietät
Nils Kassebohm
Rechtsanwalt, Fachanwalt für Strafrecht
Friedrich-Breuer-Straße 112
53225 Bonn
Telefon: 0228 466025
Telefax: 0228 460708
kassebohm@ehm-kanzlei.de
www.ehm-kanzlei.de

Presse- und Öffentlichkeitsarbeit:

Rieder Media
Uwe Rieder
Zum Schickerhof 81
47877 Willich
Telefon: 02154 6064820
Telefax: 02154 6064826
u.rieder@riedermedia.de
www.riedermedia.de

Eimer Heuschmid Mehle ist eine überregionale Anwaltssozietät mit Sitz in Bonn. Die Kanzlei ist interdisziplinär ausgerichtet. Ein Team versierter Fachanwälte deckt alle relevanten Rechtsgebiete ab. Die individuelle Kompetenz und ein ausgeprägter Teamgeist bilden die Grundlage für eine ganzheitliche und persönliche Betreuung. Über das internationale Kanzleinetzwerk AVRIO haben die Mandanten zudem Zugriff auf renommierte Kanzleien in Europa, im nahen und mittleren Osten, in den USA und Kanada sowie in Asien und Australien.

Tags:

Über uns

Eimer Heuschmid Mehle ist eine überregionale Anwaltssozietät mit Sitz in Bonn. Die Kanzlei ist interdisziplinär ausgerichtet. Ein Team versierter Fachanwälte deckt alle relevanten Rechtsgebiete ab. Die individuelle Kompetenz und ein ausgeprägter Teamgeist bilden die Grundlage für eine ganzheitliche und persönliche Betreuung. Über das internationale Kanzleinetzwerk AVRIO haben die Mandanten zudem Zugriff auf renommierte Kanzleien in Europa, im nahen und mittleren Osten, in den USA und Kanada sowie in Asien und Australien.

Medien

Medien

Zitate

Ausschlaggebend für den Erfolg ist, dass die technische IT-Sicherheit nur als ein Aspekt einer umfassenden IT-Strategie des Unternehmens begriffen wird.
Nils Kassebohm, Fachanwalt für Strafrecht
Grundsätzlich geht die größere Gefahr vom Innentäter aus, da er in der Regel geringere Hürden zu überwinden hat.
Nils Kassebohm, Fachanwalt für Strafrecht
Wichtig ist letztlich, dass IT-Compliance und IT-Governance vom Management als ständige Aufgabe begriffen werden.
Nils Kassebohm, Fachanwalt für Strafrecht