IT-Security ist Chefsache

Das am 1.5.1998 erlassene Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG), durch welches unter anderem auch das Aktiengesetz geändert worden ist, verpflichtet den Vorstand einer Aktiengesellschaft, geeignete Maßnahmen zu treffen, damit Entwicklungen, welche den Fortbestand des Unternehmens gefährden, früh erkannt werden. Kurz gesagt: Pflicht des Vorstands ist das -Management (vgl. § 91 II Aktiengesetz). Unter Risiko im engeren Sinne wird die Schadensgefahr verstanden. Sie lässt sich so ausdrücken: „Risiko = zu erwartender Schaden * Eintrittswahrscheinlichkeit“.[1] 

Unter „“ fallen alle erforderlichen systematischen Maßnahmen zur rechtzeitigen Erkennung, Bewertung und Bewältigung von potenziellen Risiken.[2] Dabei ist es gerade nicht ausreichend, ein Controlling-System einzurichten, das ständig die Einhaltung der Ziele eines bereits laufenden Projekts überprüft und nachgelagert korrigierend eingreift. Erforderlich ist ein proaktives Handeln, eine Prognoseentscheidung, die künftige Probleme vor deren Eintreten betrifft.[3]

 

Unter Risiko-Gesichtspunkten betrachtet, beinhaltet ein Managed Security-Service sowohl viele Fallstricke als auch Gefahren und gehört daher zu den Aufgaben des Vorstands einer AG. Identifiziert und bewertet werden müssen vor allem potentiell nachhaltig wirkende negative Faktoren. Der Verlust von Unternehmensressourcen ist mittelfristig irreversibel, da durch das Outsourcing deinvestierte und abgebaute Ressourcen oft nur mit erheblich höherem finanziellen und zeitlichen Investitionsaufwand wieder bereitgestellt werden können. Ferner ist die Auslagerung häufig mit dem Verlust von Entscheidungsspielräumen verbunden und es besteht stets das Risiko einer technologischen Abhängigkeit vom Managed Security-Anbieter. Das kann zur Folge haben, dass wichtige Änderungen oder notwendige Umstrukturierungen im Unternehmen möglicherweise nur weniger flexibel in der IT-Sicherheitsstruktur abgebildet werden können und darunter der unternehmensinterne Workflow leidet. Diese und andere in Betracht kommende Risiken müssen stets gegenüber den Vorteilen abgewogen werden und erkannte Gefahren müssen minimiert werden. Dazu können die kritische Hinterfragung der Vertrauenswürdigkeit des Managed Security-Dienstleisters anhand von Referenzen gehören, sowie die Absicherung besonderer Risiken durch ein Versicherungsunternehmen. Auch sollte besonderer Wert auf die Ausgestaltung des Vertragswerks gelegt werden.

 

Zwar gilt das gesetzlich angeordnete Risiko-Management nach Wortlaut und Systematik lediglich für Vorstände von Aktiengesellschaften und entsprechende Vorschriften existieren für andere Gesellschaftsformen nicht. Die Annahme, dass die rechtliche Wertung daher nicht auf andere Gesellschaftsformen übertragbar wäre, griffe jedoch zu kurz, denn die Risikomanagement-Pflicht des § 91 II AktG soll lediglich eine gesetzliche Verdeutlichung der allgemeinen Leistungsaufgabe und Gesamtverantwortung des Vorstands gemäß § 76 AktG sein, die prinzipiell schon vor der ausdrücklichen Ausformulierung im Gesetz bestanden habe und nach dem Willen des Gesetzgebers auch Ausstrahlungswirkung für die Tätigkeit von Geschäftsführern anderer Gesellschaftsformen entfalten soll, insbesondere auch bei der GmbH.[4]

 

Da Risiko-Management Chefsache ist und Managed Security-Fragen potenziell besonders gefahrkritisch sind, lässt sich feststellen, dass Managed Security grundsätzlich Chefsache ist. Diese Verantwortung ist auch prinzipiell nicht delegierbar. Die wesentlichen Entscheidungen können daher weder auf eigene Angestellte oder den Aufsichtsrat, noch auf externe Dritte abgewälzt werden.[5]

 



[1] Spannagl/Häßler, Ein Ansatz zur Implementierung eines Risikomanagement-Prozesses, DStR 1999, 1826, 1827; Becker/Janker/Müller, Die Optimierung des Risiko-Managements als Chance für den Mittelstand, DStR 2004, 1578, 1579.

[2] Söbbing, Handbuch IT-Outsourcing, S. 95; /Janker/Müller, Die Optimierung des Risiko-Managements als Chance für den Mittelstand, DStR 2004, 1578, 1579.

[3] Gaulke, Risiko-Management in IT-Projekten, S. 1.

[4] BT-Dr. 13/9712, S. 15.

[5] Schaefer/Missling, Haftung von Vorstand und Aufsichtsrat, NZG 1998, 441, 442.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 1,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*