Verordnete Sicherheit
IT-Sicherheit gesetzlich verordnet
Unternehmen im Zwiespalt zwischen Zwang und Notwendigkeit
Von Olaf Lindner, Director Symantec Security Services
(19.10.06) - Verantwortliche in mittleren Unternehmen, die die IT-Sicherheit immer noch für eine Kür halten, irren: Sie ist längst Pflicht, seit der Gesetzgeber in Bereiche der Privatwirtschaft mit Gesetzen eingreift, die direkt oder indirekt auch die IT-Sicherheit betreffen. Doch welche Anforderungen an die IT-Sicherheit müssen deutsche Unternehmen qua Gesetz erfüllen?
Nicht erst die spektakuläre ENRON-Pleite im Winter 2001 hat die Aufmerksamkeit der Öffentlichkeit und der Legislative auf Wirtschaftsbereiche gelenkt, die nach verbreiteter Auffassung der Regulierung bedurften. Bereits 1998 trat in Deutschland mit dem KontraG ein Gesetz in Kraft, das börsennotierte Unternehmen dazu verpflichtet, ein Überwachungssystem zur Früherkennung existenzgefährdender Entwicklungen einzurichten. Zu den verschiedenen Beobachtungsbereichen gehört auch die IT und mit ihr die Sicherheitssysteme. Mit dem KontraG, dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, sollte Fehlentwicklungen in der Geschäftsführung von Unternehmen entgegengewirkt und das Vertrauen der Anleger in die Börsen wieder gestärkt werden. Flankierende Erlasse wie der Deutsche Corporate Governance Kodex (CGK), von Kritikern wegen seiner Unverbindlichkeit als goldenes Benimmbuch für Manager abgewertet, oder das TransPuG dienen dem gleichen Ziel. Aktiengesellschaften stehen mithin gestiegenen Anforderungen gegenüber: Sie müssen nicht nur die Bedrohungslandschaft „im Auge behalten“, sondern darüber hinaus die Gesetzgebung verfolgen, die sich daraus ergebenden Implikationen für die Datensicherheit erkennen und in entsprechende Maßnahmen umsetzen.
Verloren im Paragraphendickicht
Was Unternehmen von heute am meisten interessiert, ist die Frage, ob und inwieweit die verschiedenen gesetzlichen Bestimmungen direkten Handlungsbedarf im Bereich der IT-Sicherheit nach sich ziehen. Reicht ein einmal eingeführtes Sicherheitskonzept aus, um die gesetzlichen Forderungen nach Kontrolle und Transparenz auf Dauer zu erfüllen? Welche weiteren Bestimmungen außer der nationalen Gesetzgebung gibt es, die für deutsche Unternehmen relevant sein könnten?
EU-Richtlinien: die unbeachtete Macht
International oder gar global agierende Unternehmen tun gut daran, auch in rechtlichen Fragen einen Blick über den eigenen Tellerrand zu werfen: In der Tat sind es nicht mehr nur nationale Gesetze, die bei deutschen Unternehmen zur Anwendung kommen. Längst geben EU-Richtlinien die Marschrichtung vor, die – zwar zeitverzögert aber dennoch zuverlässig – in nationale Gesetze umgemünzt werden. Die EU-Datenschutzrichtlinie für elektronische Kommunikation beispielsweise, verkürzend auch die Anti-Spam-Richtlinie genannt, enthält grundlegende Bestimmungen, die die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU – einschließlich des Internet und mobiler Dienste – gewährleisten sollen. Vor dem Hintergrund der ausufernden Spam-Problematik verfügte die Richtlinie ein EU-weites Spamverbot. E-Mail-Werbung ist nur mit vorheriger Einwilligung des Empfängers gestattet. Verfahren, mit denen Informationen über Internetnutzer gesammelt werden können, wie etwa Spyware oder Adware, dürfen nur eingesetzt werden, wenn der Nutzer zuvor darüber aufgeklärt wird und die Möglichkeit hat, diese Verfahren abzulehnen.
„Privacy sells!“
Insbesondere Unternehmen, zu deren Geschäftstätigkeit das Halten von Kundendaten gehört, sind von der EU-Richtlinie betroffen. Hier wird Datenschutz als eine Sonderform des Verbraucherschutzes begriffen. Tatsächlich erwarten immer mehr Kunden, dass ihre persönlichen Daten sorgsam behandelt werden. Privacy wird somit zum gewichtigen Zusatznutzen. Bestimmungen zum Datenschutz sollten daher nicht als lästiges Übel angesehen werden, sondern als Ansporn für Unternehmen, Vertraulichkeit zum Wettbewerbsvorteil zu machen.
Wer sein Unternehmen zukunftsorientiert leiten will, ist gut beraten, die Diskussion um Gesetzesinitiativen im EU-Parlament aufmerksam zu verfolgen.
So lassen sich frühzeitig die Weichen stellen, wenn sich neue (für die IT-Sicherheit und Verfügbarkeit relevante) Entscheidungen auf europäischer Ebene anbahnen. Orientierungshilfe bieten hierbei sicherlich die Interessenvertretungen der einzelnen Branchen, die beobachten, welche der Brüsseler Entscheidungen für die eigene Klientel bedeutend sind.
Sarbanes Oxley Act: Verantwortliche zur Verantwortung ziehen
Aber auch jenseits der EU-Grenzen gibt es Gesetze, die für mittelständische deutsche Firmen von Interesse sein können: In den USA werden Maßnahmen zum Schutz der Unternehmens-IT zunehmend von staatlicher Seite geregelt. Der Sarbanes Oxley Act trat 2002 in Kraft und betrifft Unternehmen, die an US-amerikanischen Börsen gelistet sind. Die Bestimmungen spielen somit auch für deutsche Unternehmen eine Rolle, die an einer amerikanischen Börse notiert sind sowie für deren Tochterunternehmen (was den Kreis betroffener Unternehmen deutlich ausweitet). Das Gesetz verschärft die Offenlegungspflichten und verpflichtet Unternehmen, interne Kontrollsysteme einzurichten.
Was auch dem juristischen Laien als wesentlicher Unterschied zum deutschen KontraG ins Auge springt ist die persönliche Haftung des oberen Managements. Das Risiko, persönlich mit Schadensersatzforderungen konfrontiert zu werden, treibt Entscheidungsträger in deutschen Firmen um und hat in vielen Unternehmen einen unmittelbaren Handlungsbedarf deutlich gemacht. Auch Manager von Tochterfirmen börsennotierter Unternehmen könnten nach Sarbanes Oxley wegen Versäumnissen und Fehlern in der Unternehmensberichterstattung in den USA belangt werden. Das US-amerikanische Gesetz hat in Europa den Ruf nach größerer persönlicher Verantwortung der Top-Entscheider laut werden lassen. Auch hierzulande soll bei Managern das Bewusstsein entstehen, dass sie für Schäden durch schlechte oder fahrlässige Unternehmensführung geradestehen müssen. Mit dem Deutschen Corporate Governance Kodex (CGK) sollen die in Deutschland geltenden Regeln für Unternehmensleitung und -überwachung für nationale wie internationale Investoren transparent gemacht werden, um so das Vertrauen in die Unternehmensführung deutscher Gesellschaften zu stärken.
Verbindlicher ist das TransPuG von 2002, das Transparenz- und Publizitätsgesetz, dessen Ziel es ist, die Konkurrenzfähigkeit des deutschen Kapitalmarktes zu stärken. Durch die verbesserte Transparenz und Publizität soll eine Unternehmensführung und -kontrolle börsennotierter Unternehmen sichergestellt werden, die internationalen Standards entspricht. Von sicherheitsrelevanter Bedeutung ist vor allem die Zulassung neuer Kommunikationsmedien beispielsweise für die Einberufung oder Dokumentation der Hauptversammlung oder für die Veröffentlichung von Konzernabschlüssen auf elektronischem Wege.
Basel II: Wie kreditwürdig sind Unternehmen?
Basel II ist ein komplexes Regelwerk, das die Eigenkapitalanforderungen bei der Kreditvergabe verschärft, die Risiken im Kreditgeschäft besser erfasst und somit die Stabilität des internationalen Finanzsystems zu erhöhen sucht. Die erweiterten Offenlegungsvorschriften zwingen Banken dazu, für die unbeschränkte Verfügbarkeit relevanter Informationen zu sorgen. Zugleich spielen bei der Beurteilung der Kreditwürdigkeit von Unternehmen die IT sowie die Minimierung der mit der IT verbundenen Risiken eine Rolle.
Von großer Sicherheitsrelevanz für Finanzdienstleister ist auch der Gramm-Leach-Bliley-Act von 1999 (GLB). Er modernisiert die ältere US-Gesetzgebung und verpflichtet Finanzinstitute, die am US-amerikanischen Markt tätig sind, zur Einhaltung bestimmter Sicherheitsstandards sowie zu technischen Maßnahmen für die Netzwerksicherheit. Das Gesetz fordert ausdrücklich die Entwicklung von unternehmensweiten Sicherheitsrichtlinien und dient dem Schutz und der Vertraulichkeit von Kundendaten vor bekannten Bedrohungen und vor unautorisierten Zugriffen. Der Gramm-Leach-Bliley Act bezieht sich auf den gesamten Finanzsektor, also nicht nur auf Banken, Wertpapierhändler, Hypothekenmakler sondern auch auf Kreditkarten- und Versicherungsunternehmen, Bausparkassen und Finanzplaner.
Gemeinsamer Nenner Informationsintegrität
Ob KontraG, TransPuG, CGK, EU-Richtlinien mit den wohlklingenden Bezeichnungen 95/46/EG oder 2002/58/EG, SAO und GLB: hinter all diesen verwirrenden Kürzeln verbergen sich komplexe Regelwerke, die sich auf einen klaren, gemeinsamen Nenner bringen lassen: Alle diese gesetzlichen Bestimmungen streben letztlich nach einem idealen Zustand in Unternehmen, den Symantec als Informationsintegrität beschrieben hat. In unterschiedlicher Gewichtung berühren die Gesetze Datensicherheit sowie Datenverfügbarkeit. Ohne Datensicherheit kann es keine Kontrolle, ohne Datenverfügbarkeit keine Transparenz in der Unternehmensführung geben. Unternehmen egal welcher Branche, die zur Offenlegung verpflichtet sind, müssen sämtliche relevanten Daten verfügbar halten und gleichzeitig dafür sorgen, dass sie durch geeignete Sicherheitslösungen vor unautorisierten Zugriffen und Verfälschung geschützt sind. Dies macht deutlich, wie eminent wichtig Informationsintegrität, diese Balance aus Sicherheit und Verfügbarkeit, in Unternehmen ist. Die Gesetzgeber der unterschiedlichen Staaten haben somit zur gesetzlichen Pflicht erhoben, was verantwortungsvoll handelnde Manager ohnehin schon längst nicht mehr bloß als Kür angesehen haben.
Wie jedoch lässt sich die Balance zwischen Sicherheit und Verfügbarkeit von Daten in Unternehmen herstellen? Die erfolgreiche Abwehr komplexer Bedrohungen alleine bringt viele mittelständische Unternehmen bereits an die Grenzen ihrer personellen und finanziellen Belastbarkeit. Steigt mit den gesetzlichen Anforderungen nicht auch der Ressourcenbedarf für die Informationssicherheit?
Daten schützen und verfügbar halten
Es ist eine weit verbreitete Fehlannahme, dass umfassende Sicherheit gepaart mit verlässlicher Verfügbarkeit nur durch umfassende Investitionen zu erreichen sei. Auch kleine und mittlere Unternehmen können den gesetzlichen Anforderungen im Bereich IT-Sicherheit kosteneffizient entsprechen, wenn sie ihre Sicherheitssysteme von Grund auf richtig konzipieren.
Bei der Planung, Umsetzung und Kontrolle der Sicherheitsinfrastrukturen kann Expertenhilfe eine lohnende Investition sein. Die Consulting Services sowie die Managed Security Services von Symantec unterstützen Unternehmen bei der Aufrechterhaltung eines reibungslosen Geschäftsbetriebs.
Zur Konkretisierung einige Beispiele: Das Risikomanagement im Rahmen der Bestimmungen des KontraG lässt sich mit einer Lösung für das Richtlinienmanagement wie dem Symantec Enterprise Security Manager realisieren, der die Konformität der Systeme mit den Unternehmensrichtlinien überwacht. Auch für Unternehmen, die den Anforderungen von Sarbanes Oxley unterliegen, ist ein effizientes Richtlinienmanagement unabdingbar. Ebenfalls dem Risikomanagement dienen Frühwarnsysteme wie Symantec DeepSight Threat Management System; die Lösung hilft, Gefahren abzuwehren, bevor sie Schaden anrichten.
Firewalls, Intrusion Detection Systeme und Virenschutz auf sämtlichen Ebenen des Netzwerks schützen sensible (Kunden)daten vor Missbrauch, Diebstahl und Manipulation. Nicht erst seit „Gramm-Leach-Bliley“ oder der „Datenschutzrichtlinie für die elektronische Kommunikation“ sollten die betroffenen Unternehmen für den Schutz und die Vertraulichkeit der ihnen anvertrauten Informationen sorgen. Ihren gesetzlichen Pflichten können sie mit Hilfe von Symantec AntiVirus Gateway Solution sowie Symantec AntiVirus Corporate Edition für Server und Desktops nachkommen. Mit integrierten Lösungen wie den Symantec Gateway Security Appliances, die Virenschutz, Firewall, Intrusion Detection und andere Sicherheitstechnologien verbinden, lassen sich Personal- und Zeitaufwand deutlich reduzieren.
Datensicherheit ohne Datenverfügbarkeit ist nicht nur sinnlos und unproduktiv, sie verhindert auch, dass Unternehmen ihren Offenlegungspflichten nachkommen und kann Bußgelder und andere finanzielle Nachteile nach sich ziehen. Sämtliche Sicherheitsmaßnahmen sollten daher von leistungsfähigen Lösungen für das Speicher- und Systemmanagement flankiert werden. Produkte wie Symantec LiveState Recovery oder Symantec ON iCommand dienen so der Verfügbarkeit von Daten in großen Unternehmensnetzwerken und auch in kritischen Situationen, wie sie beispielsweise in den Regelungen von Basel II vorgeschrieben ist. (Symantec: ra)
| Gesetz | Zweck | Handlungsrichtung im Unternehmen |
|
KontraG CGK TransPuG |
Risikomanagement in Aktiengesellschaften/börsennotierten Unternehmen: Fehlentwicklungen in der Geschäftsführung sollen rechtzeitig aufgedeckt, das Vertrauen der Anleger gestärkt werden | Sicherheit und Unverfälschbarkeit von Daten gewährleisten; Verfügbarkeit von Daten herstellen |
| Basel II | Verschärft die Eigenkapitalanforderungen für Banken, Kreditinstitute; soll Stabilität des internationalen Finanzsystems erhöhen | Verfügbarkeit aller Daten bei Kreditgebern herstellen; IT-Sicherheit in kreditnehmenden Unternehmen herstellen, da Bewertungskriterium bei der Kreditvergabe |
| Sarbanes Oxley | Erweitert die Offenlegungspflichten börsennotierter Firmen in den USA, verpflichtet sie zur Einrichtung interner Kontrollen; macht Manager persönlich haftbar | Verfügbarkeit herstellen und Sicherheit gewährleisten |
| Gramm-Leach-Bliley | Verpflichtet Finanzdienstleister zum sorgfältigen Umgang mit sensiblen Kundendaten | Konkrete technologische Maßnahmen für die Netzwerksicherheit; Umsetzung klarer Sicherheitsrichtlinien |
| EU-Datenschutz-richtlinie für die elektronische Kommunikation | Datenschutz als Verbraucherschutz; dient der Eindämmung von Spam und Spyware; soll letztlich die Akzeptanz elektronischer Medien fördern | Sicherheit im Sinne der Abwehr komplexer Bedrohungen und unerlaubter Zugriffe durch Virenschutz, Spamfilter, Firewall und Intrusion Detection |
|
|
