03805 Aufgaben und Haftung des IT-Risk-Managers
|
IT-Sicherheit und IT-Risikomanagement sind mittlerweile sowohl für den kurzfristigen als auch den langfristigen Unternehmenserfolg eine entscheidende Größe. Sämtliche technischen, organisatorischen und rechtlichen Komponenten im Geschäftsprozess sind hierbei mit Risiken behaftet. Vorstände und Geschäftsführer sind geneigt diese Risiken auf mehrere Schultern zu verteilen.
Die Mitarbeiter, die in Unternehmen oder Behörden mit Aufgaben des IT-Risikomanagements betraut werden, haften wie alle anderen Arbeitnehmer auch für eine ordnungsgemäße Erfüllung der ihnen übertragenen Aufgaben. Der Haftung sind jedoch in diesem Rahmen Grenzen gesetzt. Der Beitrag beschreibt die zu erfüllenden Aufgaben des IT-Risk-Managers und einhergehende Haftungsrisiken im Zusammenspiel mit der Unternehmensleitung.
Im weiteren werden die Auswirkungen und Chancen von Euro-SOX und Basel II auf das IT-Risk-Management erörtert sowie Anforderungen an die Dokumentation abgeleitet. von: |
Problembeschreibung
Das Bewusstsein für IT-Sicherheit und vor allem für Risiken, die die IT-Sicherheit von Unternehmen beeinträchtigen können, hat lange Jahre allenfalls ein Schattendasein geführt und ist zunächst nur im Schneckentempo gewachsen. In den letzten Jahren jedoch, in denen Unternehmen sich vermehrt global aufstellen, mit Kunden oder Lieferanten in Schwellenländern kooperieren und sich immer enger vernetzen und verzahnen, und dies alles letztlich nur möglich geworden ist, weil informations- und kommunikationstechnische Systeme in Unternehmen mehr und mehr die Rolle des bloßen Werkzeugs ablegen und zum „Business Enabler” geworden sind, wächst auch das Bewusstsein für die Anfälligkeit von informations- und kommunikationstechnischen Systemen (I&K-Systeme) in Unternehmen. Diejenigen, die sich fachlich mit I&K-Systemen befassen, haben aufgrund ihrer Ausbildung und ihrer Berufserfahrung eher einen Eindruck, welche Risiken für und aus I&K-Systemen entstehen können und wie man mit diesen Risiken umgehen könnte.
Das Bewusstsein für IT-Sicherheit und vor allem für Risiken, die die IT-Sicherheit von Unternehmen beeinträchtigen können, hat lange Jahre allenfalls ein Schattendasein geführt und ist zunächst nur im Schneckentempo gewachsen. In den letzten Jahren jedoch, in denen Unternehmen sich vermehrt global aufstellen, mit Kunden oder Lieferanten in Schwellenländern kooperieren und sich immer enger vernetzen und verzahnen, und dies alles letztlich nur möglich geworden ist, weil informations- und kommunikationstechnische Systeme in Unternehmen mehr und mehr die Rolle des bloßen Werkzeugs ablegen und zum „Business Enabler” geworden sind, wächst auch das Bewusstsein für die Anfälligkeit von informations- und kommunikationstechnischen Systemen (I&K-Systeme) in Unternehmen. Diejenigen, die sich fachlich mit I&K-Systemen befassen, haben aufgrund ihrer Ausbildung und ihrer Berufserfahrung eher einen Eindruck, welche Risiken für und aus I&K-Systemen entstehen können und wie man mit diesen Risiken umgehen könnte.
Zunehmendes Sicherheitsbewusstsein
Doch nicht selten haben die Entscheidungsträger in Unternehmen ganz andere Qualitäten und setzen daher auch in ihrem unternehmerischen Handeln andere Schwerpunkte. Je mehr jedoch I&K-Systeme in Unternehmen die Rolle als Business Enabler eingenommen haben, desto stärker sind die Auswirkungen von Risiken aus dem Bereich der I&K-Systeme für das Unternehmen und seine Gesamtrisikolage geworden. IT-Sicherheit und damit das Beschäftigen mit Risiken, die die IT-Sicherheit bedrohen, bezieht sich also schon lange nicht mehr nur auf die einzelnen Komponenten von I&K-Systemen und sie umgebende Infrastrukturmaßnahmen. Vielmehr ist IT-Sicherheit und IT-Risikomanagement inzwischen ein gesamtheitlicher, das ganze Unternehmen und sämtliche darin ablaufende Geschäftsprozesse von ihrem jeweiligen Anfang bis zum Ende umfassender Prozess, bei dem technische, organisatorische und rechtliche Komponenten eine Rolle spielen.
Doch nicht selten haben die Entscheidungsträger in Unternehmen ganz andere Qualitäten und setzen daher auch in ihrem unternehmerischen Handeln andere Schwerpunkte. Je mehr jedoch I&K-Systeme in Unternehmen die Rolle als Business Enabler eingenommen haben, desto stärker sind die Auswirkungen von Risiken aus dem Bereich der I&K-Systeme für das Unternehmen und seine Gesamtrisikolage geworden. IT-Sicherheit und damit das Beschäftigen mit Risiken, die die IT-Sicherheit bedrohen, bezieht sich also schon lange nicht mehr nur auf die einzelnen Komponenten von I&K-Systemen und sie umgebende Infrastrukturmaßnahmen. Vielmehr ist IT-Sicherheit und IT-Risikomanagement inzwischen ein gesamtheitlicher, das ganze Unternehmen und sämtliche darin ablaufende Geschäftsprozesse von ihrem jeweiligen Anfang bis zum Ende umfassender Prozess, bei dem technische, organisatorische und rechtliche Komponenten eine Rolle spielen.
1.1 Aufgabe des IT-Risikomanagements
Planvoller Umgang mit Risiken
Unter Risikomanagement (RM) versteht man den planvollen Umgang mit Risiken. Im Bereich der I&K-Systeme beinhaltet RM den planvollen Umgang mit Risiken für I&K-Systeme aber auch mit Risiken, die aus dem Einsatz und der Nutzung von I&K-Systemen resultieren können. Was gehört also alles zum Risikomanagement, wie betreibt man IT-Risikomanagement?
Unter Risikomanagement (RM) versteht man den planvollen Umgang mit Risiken. Im Bereich der I&K-Systeme beinhaltet RM den planvollen Umgang mit Risiken für I&K-Systeme aber auch mit Risiken, die aus dem Einsatz und der Nutzung von I&K-Systemen resultieren können. Was gehört also alles zum Risikomanagement, wie betreibt man IT-Risikomanagement?
