Integrated Assurance Services

Ausgestaltung des Informationssicherheits-Managements

In den vorigen Ausgaben haben wir die Erforderlichkeit einer ganzheitlichen Betrachtung der betrieblichen Prozesslandschaft verdeutlicht – und genau das macht den Kern der sogenannten Integrated Assurance Services aus. Zudem haben wir erläutert, dass sich die Implementierung eines Risikomanagementsystems (RMS) aus den Sorgfaltspflichten eines ordentlichen und gewissenhaften Kaufmanns ableiten lässt. So haben wir darauf hingewiesen, dass die dezentrale Steuerung und Behandlung von Risiken zu einer ineffizienten Unternehmens- und Governance-Struktur führen kann. Sämtliche Risiken - ob finanzieller, rechtlicher oder informationstechnischer Natur - werden in den Unternehmen zwar meist zentral beim Risiko-Manager aggregiert, das bereichsspezifische Risikomanagement liegt jedoch in der Regel bei den Mitarbeiterinnen und Mitarbeitern, die für die einzelnen Managementsysteme verantwortlich zeichnen.

So liegt beispielsweise die Verantwortung für das Management der Informationstechnischen Risiken beim Information Security Officer (ISO). Für ein wirksames und effizientes Informations-Sicherheits-Management-System (ISMS) sind daher funktionierende Schnittstellen in die jeweiligen Unternehmensbereiche, eine gute Zusammenarbeit sowie die Sensibilität der Mitarbeiterinnen und Mitarbeiter unverzichtbar.

In der Rechtsprechung gibt es einen Trend zur persönlichen Inanspruchnahme von Verantwortlichen bei Unternehmensschäden im IT-Bereich. Dies ist insbesondere beim Eintritt von Cyberrisiken zu beobachten (RA Grieger, 2021). Zusätzlich lassen sich auch Sorgfaltspflichten bezüglich der Behandlung aus Cyberrisiken aus § 93 Absatz 1 Satz 1 des Aktiengesetzes (AktG) ableiten. Je größer die Abhängigkeit von IT-gestützten Prozessen des Unternehmens ist desto höher sind auch die genannten Pflichten. Da heute kaum noch ein Geschäftsprozess ohne digitale Unterstützung funktioniert, kommt - wie bereits erwähnt - den Informations-Sicherheitsrisiken eine besondere Bedeutung zu, wobei hinzuzufügen ist, dass sich ein ISMS nicht nur mit digitalen Daten befasst, sondern vollumfänglich alle Unternehmensinformationen (zum Beispiel Ausdrucke, Wissen der Mitarbeiterinnen und Mitarbeiter etc.) berücksichtigt. Die Ausprägung und der Detaillierungsgrad eines ISMS sind abhängig von der Größe des Unternehmens und seinem Geschäftsmodell bzw. von der Branche des Unternehmens. Mittlerweile gibt es auch für Unternehmensgruppen gesetzliche Anforderungen, die eine Implementierung eines ISMS forcieren. Beispielhaft sind hier die sogenannten Kritischen Infrastrukturen (etwa Energieerzeuger, Finanzinstitute, Krankenhäuser) zu nennen, sofern sie die Grenzwerte der KRITIS-Verordnung überschreiten; siehe auch Gesetzentwurf der Bundesregierung über ein zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (Kabinettsfassung des IT-Sicherheitsgesetzes 2.0.

Unabhängig davon sollte es im unternehmenseigenen Interesse liegen, die Informations-Sicherheitsrisiken interdisziplinär und ganzheitlich im Rahmen des RMS zu betrachten, um eine vollständige Erfassung der unternehmensweiten Risiken zu gewährleisten.

Informationssicherheitsrisiken betreffen mittlerweile alle Unternehmensbereiche. Aus diesem Grund sollte ein ISMS zentral verwaltet und vom Management bzw. der Geschäftsleitung entsprechend unterstützt und mit Ressourcen ausgestattet werden. Aufgrund der unternehmensweiten Abhängigkeit von der IT ist von einer isolierten Betrachtung der Informations-Sicherheitsrisiken abzuraten.

Warum eine Einbindung der Informations-Sicherheitsrisiken in das RMS notwendig ist und welche Kernaspekte dabei zu berücksichtigen sind, verdeutlichen wir exemplarisch anhand der folgenden Prozesse der Informationssicherheit:

  • Incident Management: Das Incident Management umfasst im Sinne des ISMS alle Störungen der Informationssicherheit und beschreibt den technischen und organisatorischen Prozess der Reaktion auf solche Störungen. Das Ziel des Incident Managements ist die schnellstmögliche Eindämmung und Beseitigung eines IT-Sicherheitsvorfalls (Incident), um die von der Störung betroffenen Systeme oder Service-Leistungen wiederherzustellen und die Betriebsfähigkeit zu gewährleisten. Das Spektrum von IT-Sicherheitsvorfällen ist breit gefächert und reicht von normalen Betriebsstörungen (zum Beispiel durch Stromausfälle) bis hin zu gezielten Angriffen auf die unternehmenseigene IT-Infrastruktur. Es besteht ein zunehmender Handlungsbedarf für die Integration von Informations-Sicherheitsrisiken in das RMS, da IT-Sicherheitsvorfälle in vielen Fällen ernsthafte Compliance-Verstöße und erhebliche geschäftliche Störungen nach sich ziehen. So kann ein interner oder externer Angriff auf die IT-Infrastruktur zu Datendiebstahl (zum Beispiel Ausleiten von Geschäftsgeheimnissen) oder Datenabflüssen (zum Beispiel Abfluss von personenbezogenen Daten) führen und Datenschutzverletzungen verursachen, die für das Unternehmen mit schwerwiegenden juristischen und finanziellen Konsequenzen verbunden sein können.
  • Business Continuity Management (BCM): Bei Eintritt eines Risikos geht es vor allem darum, die Auswirkungen des Risikos auf den Geschäftsbetrieb so gering wie möglich zu halten. Darum ist es unerlässlich, effektive und vor allem zweckmäßige Notfallpläne und Wiederanlaufpläne der Prozesse zu implementieren. Notfallpläne sind aber nur ein wichtiger Baustein, um das Geschäft in einer besonderen Situation strukturiert zu steuern. Vollumfänglich betrachtet sollte ein Business Continuity Management System implementiert und als Teil des RMS betrachtet werden. Dies gibt dem Management und der Geschäftsführung die Ressourcen und Prozesse, um die Auswirkungen eines Risikos so gering wie möglich zu halten. Dabei sollten die folgenden Schlüsselressourcen im Hinblick auf ein wirksames BCM betrachtet werden.

Grafik: Schlüsselressourcen im Rahmen eines wirksamen Business Continuity Managements

informationssicherheit.jpg

In den nächsten Ausgaben des Navigators werden wir Ihnen weitere Bausteine unserer „Integrated Assurance Services“ näher vorstellen. Gerne stehen wir Ihnen als Ansprechpartner zu den einzelnen Themen zur Verfügung.

Literaturverzeichnis:
RA Grieger, F. (Januar 2021). Haftung des AG-Vorstands bei Schäden durch Cyberangriffe. Wertpapier-Mitteilungen - Zeitschrift für Wirtschafts- und Bankrecht (Heft 1/2021), S. 8-16.