IT-Risiko-Management ist eine juristische Pflicht

Risiko für den Vorstand

Durch die Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurden unter anderem die Anforderungen an das Risiko-Management für Kapitalgesellschaften verschärft. So hat der Vorstand einer Aktiengesellschaft "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden", so Paragraf 91 Absatz 2 Aktiengesetz (AktG).

Der Vorstand muss also für ein umfassendes und wirksames Risiko-Management sorgen. Eine Verletzung dieser Pflicht kann die Mitglieder teuer zu stehen kommen. Sie sind der Gesellschaft nach Paragraf 93 Absatz 2 AktG persönlich zum Schadensersatz verpflichtet. Für andere Kapitalgesellschaften (zum Beispiel die GmbH) gelten ähnliche Regelungen (Paragraf 43 Absatz 1, 2 GmbH-Gesetz). Die Verletzung der Pflicht zum Risiko-Management kann einem Urteil des Landgerichts Berlin zufolge ein Grund zur fristlosen außerordentlichen Kündigung eines Vorstandsmitgliedes sein.

Risikoanalyse und Maßnahmenkatalog

Ein unternehmensbezogenes IT-Risiko-Management wird in der Praxis schrittweise implementiert: Zunächst erfolgt eine Risikoanalyse (Risk Assessment) zum Zweck der Ermittlung und Definition von Risikofeldern. Im Anschluss werden die Risikoquellen strukturiert und systematisiert. Dabei ist jeweils der Grad der Gefährdung in Relation zu den Kosten zu setzen, die durch die Gefahrenvermeidung entstünden.

Die Ergebnisse der Risikoanalyse dienen als Grundlage für eine Risikostrategie (Kontrolle und Steuerung). Dafür müssen konzeptionelle und strategische Maßnahmen getroffen werden, zum Beispiel die Ernennung eines Chief Information Security Officer (CISO) oder der Erlass verbindlicher Unternehmensregelungen (Code of Conduct). Zudem empfiehlt es sich zumindest in größeren Unternehmen, eine unternehmensweite Sicherheitsrichtlinie (Security Policy) zu formulieren, zu erlassen und zu etablieren.

Anschließend müssen operative Schritte unternommen werden. Hierzu gehören die Einrichtung von Virenschutz, Firewalls, Content-Filtern, Verschlüsselungen sowie Einbruchs- und Brandschutzvorrichtungen in den eigenen Rechenzentren, weiter Zugangsregelungen zu Systemen und Räumen sowie Sicherheitsüberprüfungen bei der Personalauswahl. Ein wichtiger Bestandteil der Risikostrategie ist auch die vertragliche Absicherung der Verfügbarkeit durch Service Level Agreements (SLAs). Darüber hinaus ist eine wirksame Fall-Back-Strategie für Systemausfälle empfehlenswert.

Die Funktionsfähigkeit des Risiko-Management-Systems muss ständig überwacht werden, um auf eventuell entstehende Sicherheitslücken schnell und flexibel reagieren zu können. Dafür wird ein Risiko-Monitoring-System installiert. Darüber hinaus ist eine fortwährende Anpassung der Sicherheitsmaßnahmen an die veränderten Rahmenbedingungen erforderlich.