IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...
IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...
IT-Sicherheit in NRW - Horst Görtz Institut für IT-Sicherheit - Ruhr ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Ausgestaltung der Systeme gibt. Die genaue Ausgestaltung richtet sich vielmehr<br />
nach den <strong>in</strong>dividuellen Eigenschaften und konkreten Erfordernissen des betreffenden<br />
Unternehmens. 22<br />
Gemäß KonTraG müssen <strong>in</strong> e<strong>in</strong>em Risikomanagementsystem sämtliche Risiken<br />
vollständig erfasst und bewertet werden. 23 Hierunter fallen <strong>in</strong>sbesondere die <strong>IT</strong>-<br />
Risiken, da diese den Fortbestand der Gesellschaft ernsthaft gefährden können. So<br />
haben e<strong>in</strong>er amerikanischen Studie zufolge 68 % aller Unternehmen <strong>in</strong> den USA, die<br />
e<strong>in</strong>en <strong>IT</strong>-Ausfall von mehr als sieben Tagen zu beklagen hatten, den Betrieb nie<br />
wieder aufnehmen können. 24 Angesichts dieser Zahlen ist es umso erstaunlicher,<br />
dass <strong>in</strong> den Unternehmen massive Defizite bei der Wahrnehmung und Kontrolle der<br />
<strong>IT</strong>-Risiken bestehen wie bspw. die /Microsoft-<strong>Sicherheit</strong>sstudie 2006 belegt. 25<br />
Dabei liegt es auch im Eigen<strong>in</strong>teresse der <strong>IT</strong>-Verantwortlichen <strong>für</strong> e<strong>in</strong> angemessenes<br />
<strong>IT</strong>-<strong>Sicherheit</strong>sniveau zu sorgen, da mit dem Inkrafttreten des KonTraG strafrechtlich<br />
relevante Verstöße im Aufgabenkreis e<strong>in</strong>es <strong>IT</strong>-Verantwortlichen neben der Haftung<br />
mit dem Privatvermögen auch e<strong>in</strong>e Haftstrafe nach sich ziehen können. 26<br />
Oftmals ist den <strong>IT</strong>-Verantwortlichen jedoch nicht bewusst, wie weit ihre persönliche<br />
Haftung tatsächlich geht. So haben 52 % der befragten <strong>IT</strong>-Entscheider im Rahmen<br />
der /Microsoft <strong>Sicherheit</strong>sstudie 2004 angegeben, dass ihnen die Inhalte des<br />
KonTraG bekannt seien aber nur 35 %, dass dieses Gesetz <strong>für</strong> ihren<br />
Aufgabenbereich relevant ist. Bei der <strong>Sicherheit</strong>sstudie von 2006 waren es immerh<strong>in</strong><br />
schon 70 % bzw. 54 % der Befragten. 27<br />
Um den Anforderungen des KonTraG zu genügen und die Gefahr der persönlichen<br />
Haftung auszuschließen, ist es <strong>für</strong> die <strong>IT</strong>-Verantwortlichen unumgänglich, sich mit<br />
der Gesetzeslage zu befassen, bei Defiziten im eigenen Zuständigkeitsbereich die<br />
Vorgesetzten zu <strong>in</strong>formieren und bezüglich erforderlicher Gegenmaßnahmen<br />
umfassend zu beraten. 28<br />
22<br />
Vgl. Romeike (2003c), S. 79; Schöne (2003), S. 93.<br />
23<br />
Vgl. Schäffter (2002), S. 10ff.<br />
24<br />
Vgl. Công Bùi (2005), S. 12.<br />
25<br />
Vgl. /Microsoft (2006a), S. 24ff.<br />
26<br />
Vgl. Schäffter (2002), S. 10ff.<br />
27<br />
Vgl. /Microsoft (2004b), S. 6ff.; /Microsoft (2006b), S. 40ff.<br />
28 Vgl. Schäffter (2002), S. 13.<br />
8