IT-Risiken bedrohen alle Unternehmen

IT-Risikomanagement ist inzwischen eine der wichtigen Leitungsaufgaben jedes Unternehmens. Es dient der Sicherung des Bestands des Unternehmens, immer dort, wo die Unternehmensprozesse und Datenverarbeitung IT-basiert sind. IT-Lösungen sind kaum mehr weg zu denken – auch in kleinen und mittleren Unternehmen (KMU).

Anzeige

Stichworte wie IT-Risikomanagement und Einhaltung von Compliance-Anforderungen mögen klingen, als würden sie nur Konzerne und börsennotierte Unternehmen betreffen. Mitglieder der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (davit) helfen, diesen Irrtum aufzudecken.

Auf der IT Profits 5.0 in Berlin (24. – 25. Juni) geben Anwälte von davit einen Einstieg mit Impulsvorträgen und stehen in der IT Köpfe-Lounge für Informationsgespräche zur Verfügung. Sie geben Unternehmens- und IT-Leitern Tipps, welchen Themen vorrangig Aufmerksamkeit zu schenken ist. Mit gut verständlichen Beispielen aus Teilbereichen illustrieren sie zum Beispiel, mit welchen Maßnahmen das Kreditranking verbessert werden kann. Denn auch der Nachweis von IT-Riskomanagement-Regelungen ist ein Kriterium bei der Kreditvergabeentscheidung nach Basel II.

Abhängigkeit von IT steigt

Der Unternehmensalltag ist ohne IT-gestützte Anwendungen und Prozesse kaum mehr denkbar. Stetig steigt die Abhängigkeit von der IT und ihrem unterbrechungs- und fehlerfreien Funktionieren. Zentrale Themen sind die Daten- und die IT-Sicherheit: Datensicherung, Datenverarbeitung und Datenschutz, Schutz von Geschäfts- und Betriebsgeheimnissen, Buchhaltungsdaten, elektronische Archive, Schutz vor Angriffen, Lizenzwahrnehmung und Rechteverwaltung.

„Dabei denken viele nur an die Risiken, welche von außen für das Unternehmen und seine Daten drohen“, betont Dr. Astrid Auer-Reinsdorff, Vorsitzende davit. „Nicht zu vernachlässigen sind aber auch die Themen, die sich innerhalb des Unternehmens, etwa durch die Mitarbeiter, ergeben. Sind beispielsweise die Passwörter nicht komplex genug gewählt oder werden sie gegenüber Dritten bekannt gemacht, so sind die sensiblen Daten eines Unternehmens leichte Beute. Fehlen betriebsinterne Regelungen zum Umgang mit der IT, können Schadprogramme eingebracht werden. Regelungen zur Email-Nutzung sichern dem Unternehmen den Zugriff auf die unternehmensrelevante Kommunikation.“

Erhebliche Risiken schlummern auch in einem mangelhaften Lizenz- und Vertrags-Management für den IT-Bereich. Auch unzulängliche Vereinbarungen mit freien Mitarbeitern, die Programme für das Unternehmen erstellen, und der unkontrollierte Einsatz von Open-Source-Programmen sind zu vermeiden.

IT-Risikomanagement wird immer wichtiger

Diesen Risiken entgegenzuwirken empfiehlt sich vor allem im Hinblick auf die IT-Compliance. Sie zielt auf eine umfassende und dauerhafte Einhaltung gesetzlicher und unternehmensinterner Regelungen ab. Das Risikomanagement ist dabei ein wesentlicher Aspekt – die systematische Erfassung und Bewertung von IT-Risiken sowie die Steuerung der Reaktionen auf die festgestellten Risiken.

Die aktuellen Themen des Jahres sind:

  • Datenschutz
  • Open Source Software
  • Gebrauchtsoftware
  • Sicherung von Softwarelizenzen im Insolvenzfall (ESCROW)
  • Compliance

Verletzung von Datenschutzbestimmungen sind derzeit Themen der großen Konzerne. Es geht um den Schutz von personenbezogenen Daten der Mitarbeiter und der Kunden. Dies sind Themen, die aber jedes Unternehmen gleichermaßen angehen:

  • Welche Daten dürfen erhoben, verarbeitet und sogar zu Werbezwecken weitergegeben werden?
  • Wann sind Daten zu löschen oder aber im Rahmen der Vorratsdatenspeicherung für die Ermittlungsbehörden vorzuhalten?
  • Welche Marketingmaßnahmen sind im Pool der Bestandskunden erlaubt? Welche Call-Center-Akquisemaßnahmen sind erlaubt? Was ist unerlaubte Email-Werbung?
  • Wie sind Daten zu schützen und wann benötigt ein Unternehmen einen Datenschutzbeauftragten?
  • Wer kann diese Funktion übernehmen?

Gebrauchtsoftware und Open Source

Die Bundesjustizministerin hat das Jahr der Kreativität ausgerufen und angekündigt, dass sie zwei große Themen des Urheberrechts fachlich aufarbeiten möchte: Gebrauchtsoftware und Open Source Software.

In Zeiten der Krise wird der Einsatz von gebrauchter Software noch stärker zu einem Thema der Kostenminimierung bei Lizenzen. Doch viele Unternehmen sind sich unsicher, wo die Risken liegen und ob der Einsatz von Software aus zweiter Hand erlaubt ist. Andere Unternehmen erwägen, Überhanglizenzen nach zum Beispiel Personalabbau oder Umstellung der Unternehmenslösung zu veräußern – was ist zu beachten?

Daneben wird der Einsatz von Open Source Software immer attraktiver, da kostengünstig und mehr und mehr ausgereift. Die Expertise von IT-Anwälten ist gefragt, ob zum Support von Open Source Lösungen oder zu den Rahmenbedingungen, unter denen Software weiterentwickelt und vertrieben werden darf. Diese Expertise liefern die Mitglieder der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwalt Verein.

In Krisenzeiten und bei Anstieg der Insolvenzen auch großer Unternehmen wird stärker die Frage relevant, wie sichere ich für mein Unternehmen die Einsatzbereitschaft der Softwarelösungen über die mögliche Insolvenz meines Anbieters hinaus. Hier hat sich auch in Deutschland eine Servicebranche entwickelt, welche technisch professionell Softwarequellcode verwahrt und im Ernstfall zur Weiternutzung und -entwicklung zur Verfügung stellen kann – Escrowagenten.

IT und Corporate Compliance

Die Begriffe Corporate Governance und Corporate Compliance sind fester Bestandteil der Meldungen der Tagespresse. Was ist dabei im Zusammenhang mit der IT zu beachten? IT-Compliance bedeutet die Einhaltung und Umsetzung von gesetzlichen oder gesetzesähnlichen Anforderungen mit der Zielsetzung eines verantwortungsvollen Umgangs in allen Aspekten der IT. IT Governance oder Compliance sind dabei alle Maßnahmen zur Organisation, Steuerung und Kontrolle der IT-Systeme eines Unternehmens.

Angesichts der stetig zunehmenden Komplexität von Geschäftsprozessen in einem Unternehmen sind diese ohne den Einsatz effektiver IT-Systeme nicht mehr vorstellbar. Neben der an sich selbstverständlichen Einhaltung der Gesetze ist daher für eine transparente Organisation und ein angemessenes Risiko-Management zu sorgen.

Auf der IT Profits ist davit mit mehreren Anwältinnen und Anwälten vertreten. Ansprechpartnerin ist Dr. Astrid Auer-Reinsdorff, Rechtsanwältin & Fachanwältin für Informationstechnologierecht und Vorsitzende davit (www.davit.de, www.dr-auer.de).

Über die IT Profits

Die IT Profits ist Fachmesse, Forum und Kongress für IT, Internet und Kommunikation. Sie findet am 24. und 25. Juni 2009 in Berlin statt. Das Leitthema der fünften IT Profits ist „Die vernetze Welt“. Das besondere Raumkonzept und die Ansprache der verschiedenen Zielgruppen durch maßgeschneiderte Formate gehören zu den Markenzeichen der Veranstaltung. Die Veranstalter rechnen in diesem Jahr mit rund 3.000 Teilnehmern und 80 teilnehmenden Unternehmen. Informationen zur IT Profits: www.it-profits.de