Am 1. Januar 2007 ist Stichtag für Basel II. Dann werden die Vorgaben aus dem Abkommen des Baseler Ausschusses für Bankenaufsicht durch den am 15. Februar 2006 vom Bundeskabinett verabschiedeten Gesetzentwurf zur ‚Umsetzung der Banken- und Kapitaladäquanzrichtlinie' Gesetz.
Die Banken halten sich schon längst daran. Aber spätestens danach sind sie sogar verpflichtet, bei kreditsuchenden Unternehmen eine Ermittlung des Ausfallrisikos vorzunehmen. Je schlechter es im Unternehmen um Organisation, technische Umsetzung und Berücksichtigung rechtlicher Rahmenbedingungen in Bezug auf IT-Sicherheit bestellt ist, umso höher ist der Risikowert.
Abhängig von diesem Ergebnis werden die Kreditbedingungen festgelegt. Die Konditionen können so im Vergleich zum Konkurrenten mit besseren Ratings erheblich schlechter ausfallen oder man bekommt erst gar kein Darlehen.
Weil die Unternehmensleitung dazu verpflichtet ist, das Unternehmen vor finanziellen Einbußen zu schützen, wird sie für eventuelle Folgen mangelnder Sicherheit sogar direkt haftbar gemacht.

Richtlinien müssen nicht nur erstellt, sondern ‚gelebt' werden
Es reicht also nicht mehr, das Thema "IT-Sicherheit" in die Fachabteilung zu delegieren. Die Geschäftsführung ist persönlich dafür verantwortlich.
Daher sollte neben der Erstellung von Sicherheitsleitlinien auf Führungsebene und der technischen Realisierung/Dokumentation durch die IT-Abteilung auch eine regelmäßige Aktualisierung und Überprüfung ihrer Umsetzung erfolgen.
Wie aber geht man das an? Hier einige generelle Hinweise.
Die Grafik verdeutlicht Inhalte, Detaillierungsgrad und Aktualisierungsbedarf der drei Ebenen einer Sicherheitsrichtlinie: Die Leitlinie umfasst die strategische Ausrichtung des Unternehmens in Bezug auf IT-Sicherheit. Diese leitet sich aus den Unternehmenszielen und den Geschäftsprozessen ab. Hier werden keine konkreten organisatorische Aufteilungen oder gar Produkte aufgeführt.
Die erste Aufgabe erfüllen untergeordnete Sicherheitsrichtlinien auf der mittleren Ebene, in denen Verantwortlichkeiten bestimmt und die technischen wie organisatorischen Rahmenbedingungen festgehalten werden. Erst auf der dritten Ebene sollten die in den Richtlinien beschriebenen Anforderungen an die IT-Sicherheit auch konkrete Anleitungen für Administratoren und Benutzer beinhalten.

Haben Sie noch den Überblick? Wir helfen gern.
Der Stichtag für Basel II ist eine Sache, die zum Handeln zwingt. Aber IT-Sicherheit ist auch noch in vielen anderen Bereichen von Bedeutung: Z.B. in Vertragsvereinbarungen (Datenschutz), in der Gewerbeordnung, dem GmbH Gesetz, im Telekommunikationsgesetz und im Teledienstedatenschutzgesetz. Für Aktiengesellschaften gilt zudem noch das KonTraG zur Kontrolle und Transparenz im Unternehmensbereich, das die Unternehmensleitung verpflichtet, ein Risiko-Früherkennungssystem einzuführen.
Die Spezialisten der Nemetschek Bausoftware GmbH unterstützen gern dabei, Sicherheitsrichtlinien zu definieren, Mitarbeiter und die Unternehmensleitung ihrer Kunden in Sachen IT-Security fit zu machen.
Haben Sie einen regelmäßig aktualisierten Virenscanner? Gibt es Notfallpläne für den Worst Case eines Daten-GAUs? Wie steht es mit Betriebsvereinbarungen für die private Nutzung des Internets und/oder privater E-Mails? Wurden Zugangs- und Zugriffsrechte geregelt?
Falls diese Fragen mit ‚Nein' beantwortet werden, dann drängt die Zeit!
Wir helfen gern --> www.bausoftware.de

Autor: Michael Böttjer, Experte der Nemetschek Bausoftware GmbH für IT-Sicherheit. Er ist auch zertifizierter Berater der Initiative ‚Deutschland sicher im Netz'. In Seminaren und persönlichen Konsultationen gibt er sein Fachwissen gern an Kunden weiter.