Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt Sicherheitsstandards vor. Geschäftsführer, die diese Sicherheitsvorgaben nicht beherzigen, gehen ein erhebliches Risiko ein. So drohen Schadensersatzforderungen, wenn beispielsweise gespeicherte Kundendaten an die Öffentlichkeit gelangen und das Unternehmen keine geeigneten Maßnahmen zur Risikovermeidung nachweisen kann. Dessen ungeachtet hat sich der Anteil der vorsorgenden Betriebe 2008 im Vergleich zum Vorjahr nicht erhöht. Zu diesem Ergebnis kommt die Studie "IT-Security 2008" der InformationWeek, die zusammen mit Steria Mummert Consulting ausgewertet wurde.
Der Anteil der Unternehmen, die über ein IT-Risikomanagement verfügen, das die Vorsorgegebote des BSI erfüllt, liegt unverändert bei knapp einem Drittel. Zwar besteht kein unmittelbarer Gesetzeszwang zum Aufbau einer unternehmensweiten IT-Sicherheitsarchitektur. Aus vielen neuen gesetzlichen Regelungen mit Bezug zur IT-Sicherheit lassen sich jedoch Handlungs- und Haftungsverpflichtungen der Geschäftsleitung ableiten. Dabei ist vor allem das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zu nennen. Diese Initiative änderte vornehmlich Regelungen des Handelsgesetzbuches (HGB) und des Aktiengesetzes (AktG) um beispielsweise die Etablierung eines internen Kontrollsystems einzufordern. Zusätzlich besteht im Bundesdatenschutzgesetz (BDSG) eine weitere Grundlage für Schadensersatzansprüche gegen Unternehmen.
So müssen alle erhobenen und genutzten Kundendaten mittels organisatorischer und technischer Schutzmaßnahmen gesichert werden.
"Betriebe, die ein internes Kontrollsystem eingeführt haben, reduzieren ihr Schadensersatzrisiko", so Wolfgang Nickel, Experte für IT-Sicherheit bei Steria Mummert Consulting. "Zusätzlich fördern IT-Sicherheitsmaßnahmen das Kundenvertrauen. Gerade in wirtschaftlichschwierigen Zeiten sollte alles getan werden, um Imageschäden zu vermeiden."