Vorsicht Haftungsgefahr

Schärfere Gesetze fordern eine tragfähige Risikostrategie

07.10.2010
Von 


Jörg Asma leitet den multinationalen Bereich Cyber Security & Privacy Europe bei der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Asma hat Elektrotechnik in Jülich und Aachen studiert. 

Frühwarnsystem für mögliche Risiken

Aber es reicht nicht aus, Sicherheitsstrukturen im Auftrag der Geschäftsführung nur in der eigenen Organisation einzuführen. Die Strukturen und zugehörigen Prozesse müssen Teil der Gesamtorganisation werden und im täglichen Business bestehen. Es kommt auf die ständige Überwachung der Unternehmensprozesse und die tagtäglich nachgewiesene Wirksamkeit der Strukturen im Informationssicherheits-Management an.

Deshalb raten Experten, die Wirksamkeit von Risiko-Management-Systemen regelmäßig von zentralen Instanzen wie der Unternehmensrevision prüfen zu lassen. Vorstände und Aufsichtsrat müssen über Ergebnisse und Fortschritte ständig informiert werden.

Auch ein bereits bestehendes Risiko-Management-System ist kontinuierlich an neue Gegebenheiten anzupassen und als eine Art Frühwarnsystem für mögliche Risiken zu etablieren werden. Der Vorteil eines solchen Systems liegt auf der Hand: Risiken werden nicht nur zeitnah erkannt, sondern vor allem bewertet und in zielgerichtete Maßnahmen gegen geschäftsschädigende Einflüsse umgemünzt. Im optimalen Fall hilft ein durchdachtes und systematisches Risiko-Management-System, die operativen und strategischen Ziele einer Organisation zu schützen.

Teil der Unternehmenskultur

Ein wichtiger Aspekt des Risiko-Managements ist der verantwortungsvolle Umgang mit den Unternehmensinformationen seitens aller Mitarbeiter. Dazu muss das Bewusstsein für Sicherheitsfragen in der Belegschaft geschärft und als Kernaufgabe in der gesamten Organisation begriffen werden.

Eine durchgängige Sicherheitsstrategie ist eine, die unternehmensintern gelebt wird. Das schließt die Notwendigkeit eines Kulturwandels ein. Risiko-Management ist als integralen Bestandteil der Unternehmenskultur zu verstehen. Dementsprechend sollte Informationssicherheit im Prinzip als Querschnittthema anerkannt sein, das alle organisatorischen und technischen Bereiche eines Unternehmens berücksichtigt.