Ein wesentlicher Unterschied zu dem bereits beschriebenen KontraG ist die persönliche Haftung des oberen Managements. Mit diesem Wissen im Hinterkopf muss die Chefetage täglich handeln. Schadensersatzforderungen sind die mögliche Folge von "offenen Hintertüren" im IT-System. In Deutschland sollen mit dem Corporate Governance Kodex (CGK) die geltenden Regeln für Unternehmensleitung und -überwachung transparent gemacht werden. Ziel sind vertrauensbildende Maßnahmen für nationale und internationale Investoren.
Banken fragen nach
Seit einiger Zeit sorgen auch die Vorgaben von Basel II für zunehmende Nervosität in deutsche Firmen. Davon sind nicht nur die Mitarbeiter der Finanz- und Controllingabteilung betroffen, sondern auch die IT-Abteilung. Kann das Unternehmen bei der Bank nicht nachweisen, dass seine IT-Sicherheit in ausreichendem Maße gewährleistet ist, erhält es ein schlechteres Rating und zahlt in Zukunft höhere Zinsen.
Wenn das Unternehmensgeschäft unmittelbar mit IT zu tun hat - beispielsweise dessen Implementierung oder Verkauf - und die Sicherheitsmaßnahmen nur unzureichend gegeben sind, können liquide Mittel sogar vollständig abgelehnt werden. Und nicht zu Unrecht heißt ein Sprichwort, dass der Schuster die schlechtesten Schuhe hat. Die Basel II-Regeln treten EU-weit 2007 endgültig in Kraft und machen bis dahin ist eine IT-Struktur notwendig, die Früherkennungs- und Abwehrmechanismen selbst gegen zukünftige Gefahren beinhaltet.
Sicherheit ist keine Privatangelegenheit
Die beschriebenen Szenarien bilden nur eine Auswahl zur bestehenden Gesetzeslage. Zusammengefasst lässt sich sagen, dass die vielfältigen gesetzlichen Regeln dazu dienen, das Vertrauen der Anleger, Investoren und Kunden zu stärken. Sicherheit geht dabei Hand in Hand mit Transparenz und führt zu einem Vorschriftendschungel für die IT-Verantwortlichen.
Am besten ist es wohl, wenn nur das zugelassen wird, was explizit autorisiert wurde. Alles andere wird abgelehnt. Dies klingt rigoros - ist jedoch höchst wirksam.
Letztendlich muss selbstverständlich jeder Kunden für sich entscheiden, wie gesetzliche Regeln in Abläufe umgewandelt werden, die von den Mitarbeitern gelebt werden können. Sicher ist nur eines: Es steht viel auf dem Spiel. (rw)