Weshalb IT-Sicherheit auch den CEO betrifft

Immer mehr Gesetze und Vorschriften tangieren auch die IT-Security. Werden sie nicht eingehalten, drohen Bussen oder gar Gefängnisstrafen. Nur schon deshalb rückt die Informationssicherheit zunehmend auch in den Aufgabenbereich eines CEO.

Remo Rossi ist Regional Area Director Switzerland, Austria and Eastern Europe bei Network Appliance.

Kaum ein Tag, an dem nicht über Sicherheitsdelikte und Zwischenfälle berichtet wird. Dabei ist Datenmissbrauch nicht nur das Werk pubertärer Hacker. Er findet sich vermehrt auch in den eigenen Reihen. Publik gewordene Fälle belegen: Übergriffe auf Daten sind längst keine Science Fiction mehr, sondern handfeste Wirtschafts- und Computerkriminalität.

Sicherheit bedeutet heute nicht mehr nur den rein physischen Schutz der Daten gegen externe und interne Bedrohungen. Sie hat auch gesetzliche Implikationen zu berücksichtigen, wie sie im Schweizer Obligationenrecht Artikel 957 ff, in der Geschäftsbücherverordnung GeBüV und im Sarbanes-Oxley-Act (SOX) formuliert sind – um nur einige von zahllosen Vorschriften zu nennen. Die finanziellen Folgen von Sicherheitslücken oder zu laxem Umgang mit vertraulichen Daten können Unternehmen stark belasten und in ihrer Substanz schädigen. Die Datensicherheit ist kein reines IT-Thema mehr. Sie betrifft insbesondere auch die Unternehmensleitung.

Zu den Versäumnissen bei der Datensicherheit und Verletzungen der Datenschutzgesetze addieren sich Folgen wie Gefährdung der Geschäftsgrundlage bis hin zum Konkurs, hohe Kosten und nicht zuletzt Imageverlust. Bei bestimmten Verstössen müssen der Firmenchef, aber auch persönlich haftende Mitarbeiter oder Gesellschafter mit harten Konsequenzen rechnen. Verstösse gegen die Gesetze ziehen Bussgelder bis zu mehreren Tausend Franken oder Gefängnisstrafen nach sich.

Fünf Millionen Dollar sind Anreiz genug

Mangelnde Datensicherheit ist nicht nur die Folge schlechter oder fehlender IT-Security-Lösungen. Oft sind Mitarbeiter der Grund für Informationslecks. Auch wenn die meisten Angestellten vertrauenswürdig sind: Es existiert eine Minderheit, die bereit ist, wertvolle vertrauliche Daten und Informationen zu stehlen und zu verkaufen. Ein Beispiel ist ein Betrugsfall in New Jersey, in den mehrere Grossbanken verwickelt waren, darunter die Bank of America und die Commerzbank. Bankangestellte hatten Kundenunterlagen ausgedruckt und für 10 Dollar das Stück an ihre Auftraggeber verkauft – und zwar 500'000 Exemplare.

Aber auch Mitarbeitern ohne böse Absichten sollte der Zugriff auf bestimmte Daten verwehrt bleiben. Es muss ein Plan erarbeitet werden, der vorsieht, nur autorisierten Personen Zugriff auf gewisse vertrauliche Daten zu gewähren. Dieser schützt nicht nur vor Datendiebstahl, sondern auch vor versehentlichem Löschen oder Verschieben.