IT-Sicherheit und Basel II
IT-Sicherheit beschreibt den Zustand eines Systems in dem die Anforderungen an Datenintegrität, Verfügbarkeit, Verbindlichkeit und Vertraulichkeit für seine Objekte und Funktionen angemessen erfüllt sind. Darüber hinaus umfasst es die Sicherheit der gesamten IT-Infrastruktur vor Zerstörung, Angriffen & unerlaubtem Zugriff. Ohne IT-Security ist weder Datensicherheit noch Datenschutz zu gewährleisten. So die allgemeine Definition.
IT-Sicherheit und Basel II ist ein Thema das von IT-Verantwortlichen immer noch nicht mit der gebührenden Aufmerksamkeit behandelt wird. Über die technischen Risiken in einer IT-Landschaft sind wir uns alle im Klaren. Die sich bedingenden Abhängigkeiten von IT-Sicherheit und Basel II jedoch sind für viele noch böhmische Dörfer. Was nun ist Basel II?
Der Baseler Ausschuss für Bankenaufsicht ist ein Gremium der Bankenaufsichtsbehörden, das von den Zentralbankgouverneuren der G-10-Länder 1975 gegründet wurde. Es setzt sich aus leitenden Vertretern der Bankenaufsichtsbehörden und der Zentralbanken zusammen. Es trifft sich gewöhnlich in der Bank für internationalen Zahlungsausgleich in Basel, wo auch sein ständiges Sekretariat angesiedelt ist. Ziel des Ausschusses ist es, das Risiko bei der Kreditwirtschaft zu verringern und zur Stabilität des internationalen Bankenwesen beizutragen. Der Ausschuss unterbreitet Vorschläge zur Risikoabsicherung des Banksystems. Einer von diesen Vorschlägen ist Basel II. Der Großteil des neuen Regelwerks soll voraussichtlich zum 1. Januar 2007 in Kraft treten.
Auf Seite 157 der überarbeiteten Rahmenvereinbarung heisst es u.A: Operationelles Risiko: die Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein. Rechtsrisiken beinhalten unter anderem die potenzielle Verpflichtung zu Bußgeldern oder Geldstrafen. Bei der Einschätzung des operationellen Risikos spielt es eine großeRolle, wie sicher die verwendeten Systeme und Daten sind und ob das Unternehmen mit seinem Stand der Technik auf dem Markt mithalten kann. Die Bedeutung der IT-Infrastruktur hängt wiederum damit zusammen, dass heutzutage in allen wesentlichen Unternehmensprozessen IT-Systeme eingesetzt werden und diese somit das Rückgrat des Unternehmens bilden. Neben betriebswirtschaftlichen fließen daher auch IT-Sicherheitsspezifische Risikoeinschätzungen in das Rating ein. Der CIO ist daher verpflichtet, vorhersehbare Vermögensschäden für sein Unternehmen zu verhindern. Eine solcher Schaden droht beispielsweise dann, wenn sich dasUnternehmen nicht hinreichend ein Rating nach den Vorschlägen von Basel II vorbereitet und zu diesem Zweck für eine sichere unternehmensinterne IT-Infrastruktur sorgt.
CIOs, aber in Ausnahmefällen auch der Projektleiter und maßgebliche Mitarbeiter der IT-Abteilungen können bei Pflichtverletzung und Schadenseintritt persönlich haftbar gemacht werden. Und das gilt es zu verhindern.
Wolfgang Franklin
Vorsitzender des Vorstandes
cioforum e.V.