IT-Risikomanagement insbesondere unter den Gesichtspunkten von Kleinst- und Kleinunternehmen

Inhaltsverzeichnis

Abkurzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einfuhrung
1.1 Problemstellung und Motivation
1.2 Zielsetzung
1.3 Grundlegende Definitionen und Abgrenzungen
1.3.1 Informationstechnologie und IT-Systeme in Unternehmen
1.3.2 Risiken und IT-Risiken
1.3.3 Risikomanagement
1.3.4 Kleinst- und Kleinunternehmen
1.4 Aufbau der Arbeit

2 IT-Risiken im Kontext der Anforderungen von Gesetzgebern und Regulatoren
2.1 Rechtliche Fundierung der kaufmannische Sorgfaltspflicht
2.2 Datenschutzgesetze
2.3 Gesetzgebung zum Fernmeldegeheimnis
2.4 Haftungs-, ordnungs- und strafrechtliche Konsequenzen aus der Verfehlung rechtlicher Vorgaben

3 Weitere IT-Risiken fur das Unternehmen (Parteieinwirkung)
3.1 IT-Risiken und ihre Dimensionen
3.2 Passive Angriffe
3.3 Aktive Angriffe
3.4 Sonstige Risiken

4 Einrichtung eines IT-Risikomanagements
4.1 Methoden zur Identifikation von IT-Risiken
4.1.1 Uberblick uber alternative und komplementare Methoden zur Risikoidentifikation
4.1.2 Generelle Schutzbedarfsermittlung
4.1.3 Grundschutz-Analysemethodik
4.1.3.1 Uberblick uber den Aufbau des MaRnahmenkatalogs ,,IT- Grundschutz" des BSI
4.1.3.2 Umsetzung der Grundschutz-Analysemethodik anhand des IT-Grundschutzes des BSI
4.1.3.2.1 Abbildung des IT-Systems anhand von vorhandenen Bausteinen des Grundschutzkataloges
4.1.3.2.2 Erfassen der Bausteine und deren mogliche Gefahren
4.1.3.2.3 Analyse der MaRnahmenbeschreibungen
4.1.3.2.4 Soll-Ist-Vergleich zwischen vorhandenen und empfohlenen MaRnahmen
4.1.4 Detaillierte Risikoanalyse
4.1.4.1 Abgrenzen des IT-Analysebereichs
4.1.4.2 Identifikation der bedrohten Objekte
4.1.4.3 Wertanalyse
4.1.4.4 Bedrohungsanalyse
4.1.4.5 Schwachstellenanalyse
4.1.4.6 Aufnahme der bestehenden SicherheitsmaRnahmen...
4.1.4.7 Risikobewertung
4.2 Methoden zur Quantifizierung von IT-Risiken
4.2.1 Risikoquantifizierung unter Unsicherheit: Korrekturverfahren
4.2.2 Risikoquantifizierung unter Unsicherheit :Sensitivitatsanalyse
4.3 MaRnahmen zur Steuerung von IT-Risiken
4.3.1 Risikovermeidung
4.3.2 Risikoreduktion
4.3.2.1 Personelle sowie organisatorische MaRnahmen
4.3.2.2 Technische MaRnahmen
4.3.3 Risikodiversifikation
4.3.4 Risikotransfer
4.3.5 Risikoakzeptanz
4.4 Risikokontrolle
4.5 Synthese aus Sicht von Kleinst- und Kleinunternehmen

Literaturverzeichnis

Abkurzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Organization size (number of employees) and number of “breaches”

Abbildung 2: Kategorisierung von Unternehmensrisiken

Abbildung 3: Operationelle Risiken nach ihren Ursachen

Abbildung 4: IT-Risikomanagement-Regelprozess

Abbildung 5: IT-Risikokubus

Abbildung 6: Passiver Angriff

Abbildung 7: Aktiver Angriffdurch Auftrennen

Abbildung 8: Hardwarefehler: Fehlerrate vs. Nutzungsdauer

Abbildung 9: Kategorisierung von Methoden zur Identifikation von IT-Risiken nach Prokein

Abbildung 10: KombinierterAnsatz aus Grundschutzmethodik und detaillierter Risikoanalyse

Abbildung 11: Netzplan fur die generelle Schutzbedarfsermittlung (Beispiel)

Abbildung 12: Ubersicht uber IT-Grundschutz-Publikationen des BSI

Abbildung 13: Vorgehensweise zur IT-Grundschutzanalyse nach den BSI- Standards

Abbildung 14: Baustein 2.10 Mobiler Arbeitsplatz (Beispiel)

Abbildung 15: Phasen derdetaillierten Risikoanalyse

Abbildung 16: Graphische Darstellung von quantifizierten Einzelrisiken und dem kumulierten Gesamtrisiko (Beispiel)

Abbildung 18: Technische Sicherheitsmechanismen zur Risikoreduktion und deren Verbreitung

Abbildung 19: Asymmetrische Verschlusselung

Abbildung 20: IT-Risikomanagementzyklus nach Ahrendts und Marton

Abbildung 21: IT-Risikomanagement-Leitfaden insbesondere fur Kleinst- und Kleinunternehmen

Tabellenverzeichnis

Tabelle 1: Die vier Phasen des Risikomanagements

Tabelle 2: Qualitative u. quantitative Kriterien fur Kleinst- u. Kleinunternehmen

Tabelle 3: GroReneinteilung von KMU gem. EU

Tabelle 4: Die Haftung von Arbeitnehmern bei Sachschaden

Tabelle 5: Beispiel: Schutzbedarfe von Anwendungen

Tabelle 6: Schutzbedarfskategorien nach BSI

Tabelle 7: Voraussetzungen fur BSI-Schutzbedarfsklasse „niedrig bis mittel"

Tabelle 8: Voraussetzungen fur BSI-Schutzbedarfsklasse ,,sehr hoch"

Tabelle 9: Bausteine des IT-Grundschutz-Kataloges

Tabelle 10: Uberblick uber mogliche Methoden zur Quantifizierung von IT- Risiken unter Berucksichtigung der Unsicherheit (Beispiele)

Tabelle 11: Uberblick uber die grundsatzlichen Versicherungsmoglichkeiten fur IT / Rechenzentren

1 Einfuhrung

Die Statistiken uber Computer-Kriminalitat und -Missbrauch weisen hohe Inkon- sistenzen auf (Kshetri 2010, S. 7-8) . So variieren Statistiken zum Anteil der mit Schadsoftware befallenen Computer stark. Wahrend der Informatiker Vinton G. Cerf, haufig auch als „Vater des Internets" bezeichnet, den Anteil illegal instal- lierter Bots¹ im Jahr 2007 auf 25% schatzt, spricht der Antivirus-Hersteller Kas­persky Lab im selben Jahr davon, dass jeder zehnte PC Teil eines Botnets ware (Wikipedia 2011c). Ebenso drastisch unterschiedlich ist das statistische Zahlenwerk bei den erfassten Computer-Straftaten. Wahrend aus der polizeili- chen Kriminalstatistik in Deutschland hervorgeht, dass die Straftaten um zwolf Prozent auf rund 84.400 Falle im Jahr 2010 angestiegen sind (ONLINE et al. 2011), berichtet die Bitkom² fur denselben Zeitraum von einem Anstieg um 20 Prozent auf 250.000 Falle (HighText Verlag). Insgesamt findet sich jedoch in den Statistiken ein Trend bestatigt: Der Computer wird immer haufiger als Tat- werkzeug von Kriminellen genutzt.

Dem gegenuber blieb nach Meinung des Autors ein breites gesellschaftliches Bewusstsein fur die beschriebenen, standig zunehmenden IT-Risiken bislang aus. Erst der Hacker-Angrif auf den japanischen Sony-Konzern im April 2011, bei dem 77 Millionen Kundendaten gestohlen wurde, anderte dies etwas nachhaltiger. Seitdem vergeht kaum eine Woche, in der nicht von weiteren Attacken auf namhafte Organisationen und Unternehmen berichtet wird. Exemplarisch sei an dieser Stelle das Datenleck bei der UNESCO aufgefuhrt, das hunderttausende Bewerber im Web „entbloRte" sowie das der Rewe Group, bei dem Kundendaten im „mittleren Zehntausender-Bereich" eingesehen werden konnte. Auch bei deutschen Sicherheitsbehorden, (Bundespolizei , Zoll) wurden sensible Daten von der Hacker Gruppe „no name-crew" gestohlen, ohne das man letztlich nachvollziehen konnte, welche konkreten Daten abgeflossen waren (Online 2011).

Wahrend „IT-Pannen“ bei groRen Organisationen und Unternehmen derzeit schnell in die Offentlichkeit gelangen, erfahren in der Regel nur Insider von Ha- cker-Angriffen auf kleinere und mittlere Unternehmen. Jedoch ist es gerade je- ne Zielgruppe, die besonders haufig Opfer von Computersabotage wird. Dies belegt der ,,Data Breach Investigations Report“, der von der amerikanischen Verizon Communications Inc. in Zusammenarbeit mit dem U. S. Secret Service und der niederlandischen High Tech Crime Unit herausgegeben wird. Beson­ders gefahrdet seien demnach Organisationen mit einer Mitarbeiterstarke zwi- schen 11 und 100 Personen. Fast 60 Prozent der gezahlten Datenmissbrauchsfalle fielen auf diese Zielgruppe ab. Nach dieser Statistik sind auch ,,Kleinstunternehmen“ (zwischen 1 und 10 Mitarbeitern), fast genauso hau­fig Opfer von Missbrauchsfallen wie GroRunternehmen (mehr als 1.000 Mitar- beiter) (vgl. auch dazu Abb. 1). (Verizon RISK Tea, S. 15)

Abbildung 1: Organization size (number of employees) and number of “breaches”

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Verizon RISK Tea, S. 15

Konstatiert wird die hohe Anfalligkeit fur IT-Missbrauch bei deutschen kleinen und mittleren Unternehmen (KMU) ebenso durch eine Studie vom Bundesminis- terium fur Wirtschaft und Technologie aus 2011. Das Ergebnis lautet: Die KMU vernachlassigen die IT-Sicherheit. Eine Umfrage, die Teil der Studie ist, besagt exemplarisch, dass sich nur 44 Prozent der befragten Unternehmen mit dem Thema IT-Sicherheit beschaftigen. Das Ergebnis der Studie brachte das Bun- desministerium dazu, eine Task Force ,,IT-Sicherheit in der Wirtschaft" ins Le- ben gerufen. Diese Task Force soll ab sofort die KMU starker fur mogliche IT- Risiken sensibilisieren. (Bundesministerium fur Wirtschaft und Technologie und Offentlichkeitsarbeit 2011)

Das derzeit vielfach in den Schlagzeilen stehende sog. Hacking, also der aktive Angriff auf Computer von ,,Dritten", stellt nur eine Dimension von IT-Risiken dar. Es bestehen zahllose weitere Bedrohungen, die einer permanenten Verande- rungsdynamik, bei immer hoheren Komplexitaten und Vernetzungsgraden, un- terliegen.

Das Versagen von IT-Systemen oder der Verlust von Daten kann weitreichende Folgen haben, vom Aufwand der Neuerfassung der Daten uber den Produkti- onsausfall bis hin zu lebensbedrohlichen Situationen (z. B. im Gesundheitswe- sen). Bei steigender Bedeutung der Unternehmens-IT scheint also, ein IT- Risikomanagement im Unternehmen zu etablieren, fur kleine wie groRe Unter­nehmen von wachsender Bedeutung zu sein.

1.1 Problemstellung und Motivation

Die Informationstechnologie (IT) gehort zur zentralen Infrastruktur eines Unter- nehmens. Sie hat sich angesichts der zunehmenden Vernetzung zum zentralen Nervensystem eines jeden Unternehmens entwickelt. Durch die immer hohere Komplexitat von Informationssystemen sowie die Ausweitung von Geschafts- prozessen auf das Internet wird die Bedrohungslage von Organisationen daru- ber hinaus zusatzlich verstarkt. Durch den stetig steigenden Wettbewerbsdruck ist es gleichzeitig kaum einem Unternehmen mehr moglich, sich modernen In- formationstechnologien zu verschlieRen. Mit der damit groRer werdenden Be- deutung der IT sowie der nicht geringer werdenden Zahl von Sicherheitslucken, steigen die Risiken. (booz&co. 2010, S. 11).

Bei kleinen Unternehmen kommt erschwerend hinzu, dass sie in der Regel uber keine eigene oder nur eine schwach besetzte IT-Abteilung verfugen. Das Ma­nagement der Unternehmens-IT erfolgt also daher meist „nebenbei“ (Meyer et al. 2010, S. 1). Dabei scheint es selbst fur Spezialisten schwierig zu sein, stets ,,up-to-date“ zu bleiben. Selbst wenn diese schwierigen Rahmenbedingungen noch erkannt werden, werden die Schutzbedarfe der eigenen IT-Systeme un- terschatzt. Vielmehr hort man Aussagen wie ,,bei uns ist noch nie etwas pas- siert“, „so geheim sind unsere Daten nicht“, „unser Netz ist sicher“ oder „unseren Mitarbeiter kann man vertrauen“. Diese Einschatzungen erweisen sich jedoch in den meisten Fallen als zu oberflachlich; denn selbst wenn bisher noch nichts passiert ist, ist IT-Sicherheit kein statischer Zustand, sondern ein standi- ger Prozess. (Bundesamt fur Sicherheit in der Informationstechnik 2006, S. 6­7)

Vermutlich ist es die verbreitete Ansicht, dass IT-SicherheitsmaRnahmen zwangslaufig mit hohen Investitionen, wie Sicherheitstechnik und hoch qualifi- ziertem Personal, verbunden ist, die gerade Kleinunternehmen davon abhalt, sich mit dem Thema IT-Risikomanagement starker vertraut zu machen.

Der Autor dieser Arbeit halt ein IT-Risikomanagement auch fur kleine Unter­nehmen fur wichtig. Unternehmen sollten stets ihre IT-Risiken kennen und be- werten konnen. Eine fortlaufende, objektivierte Bewertung dieses Risikos sollte eine erganzende SteuerungsgroRe fur die Geschaftsfuhrung schaffen. (KPMG 1998, S. 9-10)

1.2 Zielsetzung

MaRnahmen zur IT-Sicherheit sind ein Kostentreiber, da Investitionen und lau- fende Kosten damit verbunden sind sowie die Produktivitat der IT-Anwender unter Umstanden gehemmt wird. Anderseits bleibt unklar, welchen IT-Gefahren und -Angriffsformen ein Unternehmen kunftig ausgesetzt sein wird und welche Konsequenzen diese haben. Insofern scheint es zentrales Anliegen eines ,,IT- Risikomanagements" zu sein, mogliche Risiken fruh zu erkennen und eine Ab- wagung zu erlauben, wie mit den Risiken umgegangen werden soil.

Diese Arbeit hat den Anspruch einen systematischen Uberblick uber die Grund- gesamtheit von relevanten IT-Risiken zu geben. Darauf basierend will diese Arbeit einen generellen Uberblick uber ein theoretisch-idealtypisches, aber auch ein konkretes IT-Risikomanagement liefern. Risikomanagement wird dabei ver- standen als Regelprozess aus den Phasen Jdentifizieren", ,,Beurteilen‘‘, ,,Steuern" und ,,Uberwachen" (Seibold 2006, S. 11-12). Das Durchlaufen dieser Phasen ermoglicht ein methodisches bzw. standardisiertes Vorgehen, um IT- Risiken zu identifizieren, zu bewerten, zu steuern und schlussendlich zu kontrol- lieren. Diese Arbeit will gerade Kleinst- und Kleinunternehmen dabei unterstut- zen, diesen Regelprozess zu etablieren. Hierzu wird einerseits das notwendige Grundlagenwissen im Spektrum des IT-Risikomanagement strukturiert und an- dererseits an einem Anwendungsfall, dem sog. Praxisprojekt, gezeigt, wie der theoretische Rahmen konkret angewendet werden kann.

1.3 Grundlegende Definitionen und Abgrenzungen

Ziel dieses Unterpunktes ist es, die zentralen Begriffe der Arbeit, also IT- Risikomanagement und sowie Kleinst- und Kleinunternehmen vor dem Hinter- grund des Arbeitsziels zu definieren und damit das Spektrum der Arbeit abzu- grenzen.

1.3.1 Informationstechnologie und IT-Systeme in Unternehmen

Informationstechnologie (IT) ist ein Synonym fur den Begriff Informationstech- nik. Die Informationstechnologie stellt ein fundamentales Bindeglied zwischen der klassischen Elektrotechnik und der noch relativ jungen Informatik dar. IT bezeichnet im Allgemeinen die Datenverarbeitung, wozu die Erfassung, Verar- beitung und Auswertung von Informationen, die auf Datentrager gespeichert sind gehoren. Des Weiteren zahlt die Telekommunikation zur IT (Wiegmann 2010, S. 16).

Die Datenverarbeitung erfolgt auf IT-Systemen. Darunter fallen zum Beispiel Computer, Serversysteme, Datenbanksysteme, Informationssysteme, Mobiltele- fone, Handhelds und diverse andere Kommunikationssysteme und anderes mehr (Wikipedia 2011 b).

Nachfolgend wird unter dem Begriff IT-System der gesamte (haufig vernetzte) Verbund von einzelnen IT-Systemen eines Unternehmens verstanden, woge- gen der Begriff IT-Komponente verwendet wird, wenn von einem einzelnen Be- standteilen daraus die Rede ist.

1.3.2 Risikenund IT-Risiken

Unternehmen sind einer Vielzahl von Risiken ausgesetzt. Ein Unternehmensri- siko besteht dann, wenn Ereignisse oder Handlungen eintreten konnen, die al- leine oder in Summe den Erfolg oder den Fortbestand eines Unternehmens gefahrden. Insofern bezieht sich der Risikobegriff nicht nur auf die Gefahr, dass etwas Negatives eintreten konnte, sondern auch darauf, dass etwas Positives nicht realisiertwerden kann. (KPMG 1998, S. 7-8)

In der Literatur werden die Unternehmensrisiken unterschiedlich kategorisiert. Volker Stich (LuczakundStich2003, S. 157-158) unterscheidetbereitsim ersten Schritt zwischen internen und externen Risiken. Interne Risiken sind sol- che, die sich aus der unternehmerischen Tatigkeit ergeben, wahrend externe Risiken durch die Einwirkungen der Umwelt entstehen. Henner Schieren- beck und Michael Lister (Schierenbeck und Lister 2002, S. 331-334) systematisieren die Unternehmensrisiken mit Hilfe von dichotomischen Be- griffspaaren, wie z. B.: messbare versus nicht messbare Risiken, versicherbare versus nicht versicherbare Risiken oder auch Einzelrisiken versus Portfoliorisi- ken, um spater zielgenaue Steuerungsinstrumentarien einzusetzen zu konnen.

Diese Arbeit orientiert sich nachfolgend jedoch an der Unterteilung von Oliver Prokein (Prokein 2008, S. 9-11). Er unterscheidet grundlegend zwischen sog. Finanzrisiken und operationellen Risiken (vgl. auch Abb. 2).

Abbildung 2: Kategorisierung von Unternehmensrisiken

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Prokein 2008, S. 10

Finanzrisiken schlieRen alle Finanzstrome eines Unternehmens ein und umfas- sen samtliche Risiken des sog. Wertebereiches. Unter operationelle Risiken werden all die Risiken verstanden, die eine Gefahr von Verlusten, welche infol- ge einer Unzulanglichkeit oder des Versagens von internen Verfahren, Men- schen oder Systemen oder infolge externer Ereignisse eintreten.

In dieser Arbeit werden IT-Risiken, deren Ursachen intern oder extern liegen entsprechend den operationellen Risiken zugeordnet (vgl. auch Abb. 2 und 3). Dagegen werden diejenigen IT-Risiken, die Auswirkung auf die Finanzstrome des Unternehmens haben (Liquiditatsrisiken/ Marktpreisrisiken; bspw. die Pra- xisfragen ,,Wie optimiert das Unternehmer den kostenbewussten Einkauf von IT-Ausrustung?“, ,,Welchen Wert hat die aktuelle Unternehmens-IT- Ausrustung?“), sind bei kleineren Unternehmen vielfach nicht von entscheiden- der Bedeutung und werden in dieser Arbeit nicht berucksichtigt.

Abbildung 3: Operationelle Risiken nach ihren Ursachen

Abbildung in dieser Leseprobe nicht enthalten

Quelle:Prokein 2008, S. 10

Nach Seibold versteht man unter einem IT-Risiko die Unfahigkeit, anforde- rungsgerechte IT-Leistungen erbringen zu konnen (Harrach 2010, S. 27). So konnen die allgemein anerkannten IT-Schutzziele Verfugbarkeit, Vertraulichkeit, Integritat und Zurechenbarkeit nicht eingehalten werden.

- Verfugbarkeit: Nur wenn jederzeit auf Informationen und Systemressour- cen zugegriffen werden kann, ist die Verfugbarkeit von Daten gewahr- leistet.
- Vertraulichkeit: Hier geht es um den Datenschutz. Unberechtigte Dritte sollen von Daten- und Kommunikationsprozessen keine Kenntnis erlan­gen.
- Integritat: Unter Integritat fallt die Unversehrtheit von gespeicherten Da­ten und Programmen. Eine Veranderung darf also nur durch berechtigte Benutzer erfolgen.
- Zurechenbarkeit: Von Zurechenbarkeit kann gesprochen werden, wenn Kommunikationsinhalte und -prozesse verbindlich nachgewiesen und zugeordnet werden konnen.

In offenen Systemen mussen daruberhinaus moglicherweise noch weitere be- troffene Schutzinteressen anderer Beteiligter eingehalten werden. Man spricht hier auch von dem Konzept der ,,mehrseitigen Sicherheit", das auch soziale, organisatorische und rechtliche Anforderungen (Rechtsverbindlichkeit) einbe- zieht. (Wiebe 2002, S. 266-267)

1.3.3 Risikomanagement

Unter Risikomanagement versteht man in der Betriebswirtschaftslehre im All- gemeinen das systematische Erfassen, Bewerten und Steuern von Risiken. Dieses systematische Verfahren findet fur viele Risikofelder Anwendung, wie zum Beispiel fur Kreditrisiken, Umweltrisiken oder technische Risiken.

Im Idealfall erstreckt sich das Risikomanagement uber die gesamten betriebs- wirtschaftlichen Risiken eines Unternehmens. Der Vorteil gegenuber der Bewer- tung von Einzelbereichen ist, dass die sogenannten Verbundeffekte zwischen unterschiedlichen Risikobereichen Berucksichtigung finden. Die Verbundeffekte stellen einen wichtigen Unterschied zwischen der Betrachtung eines einzelnen Risikos und dem Zusammenwirken mehrerer Risiken dar. (Wolke 2008)

Fur Kleinst- und Kleinunternehmen scheint es kaum praktikabel zu sein, die gesamten betriebswirtschaftlichen Risiken abzudecken; vielmehr gilt es hier zu priorisieren. Die Wahl eines Detaillierungsgrades wird folglich zum erfolgsent- scheidenden Faktor des Risikomanagment-Systems.

In der Literatur wird das Risikomanagement haufig in vier Phasen (vgl. auch Abb. 4 und Tabelle 1) unterteilt (Prokein 2008, S. 15-18) , die repetitiv zu durchlaufen sind. Die Periodizitat kann dabei ebenso wie der Detaillierungsgrad frei, d.h. zielorientiert gewahlt werden.

Tabelle 1: Die vier Phasen des Risikomanagements

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Prokein 2008, S. 15-18 und W kipedia 2011d

Abbildung 4: IT-Risikomanagement-Regelprozess

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Prokein 2008, S. 16

1.3.4 Kleinst-und Kleinunternehmen

Fur die Begriffe „Kleinstunternehmen“ und „Kleinunternehmen“ gibt es in der Literatur keine einheitliche Definition. Begrundet liegt dies unter anderem darin, da ein Vergleich nach GroRe erst dann aussagekraftig ist, wenn Unternehmun- gen innerhalb derselben Branchen operieren (Bohm und Wenger, S. 17-18).

Als gangiges Raster zur GroReneinteilung der Unternehmen bietet sich die Zahl der Beschaftigten an. Auch andere eindimensionale Kriterien wie Bilanzsumme, der Gewinn, der Kapitaleinsatz etc. kommen haufig zum Tragen. Mit dieser Me- thode lassen sich relativ einfach klare Ergebnisse uber die groRenmaRige Struktur der jeweiligen Unternehmen erzielen. Die Komplexitat der Geschafts- vorfalle und die charakteristischen Anhaltspunkte bleiben dabei jedoch unbe- rucksichtigt. Dazu bedarf es eines mehrdimensionalen Merkmalskataloges, der sowohl quantitative als auch qualitative Merkmale beinhalten kann und damit einen genaueren Einblick in das Wesen der jeweiligen Unternehmungen ermog- licht. (Belz und Bieger 2006, S. 460-461)

lm Folgenden seien einige qualitative und quantitative Merkmale von Kleinst- und Kleinunternehmen genannt:

Tabelle 2: Qualitative u. quantitative Kriterien fur Kleinst- u. Kleinunternehmen

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Belz und Bieger 2006, S. 461

Es zeigt sich, dass es eine Vielzahl von ein- oder mehrdimensionalen MaRsta- ben, nach denen man Unternehmen entsprechend GroRe klassifizieren kann.

Im deutschsprachigen Raum wird haufig der Einteilung des Institutes fur Mittel- standsforschung, IfM Bonn, und der Europaischen Kommission gefolgt. Dem- nach handelt es sich um Kleinstunternehmen, wenn das Unternehmen 0 bis 9 Mitarbeiter beschaftigt. Beschaftigt das Unternehmen 10 bis 49 Mitarbeiter han­delt es sich um ein Kleinunternehmen. Aber auch die Merkmale UmsatzgroRe und Bilanzsumme sind fur die Einordnung von Bedeutung (vgl. Tabelle 3). (Brauweiler 2008, S. 115-116)

Tabelle 3: GroReneinteilung von KMU gem. EU

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Die Kommission der Europaischen Gemeinschaften 2002, S. 1-11

lm Fokus dieser Arbeit sollen die Anforderungen von Kleinst- und Kleinunter- nehmen nach der vom lfM und der EU herausgegebenen, quantitativen Gro- Reneinteilung stehen. Jedoch sei an dieser Stelle auch dafur sensibilisiert, dass der Detaillierungsgrad eines lT-Risikomanagements stark von qualitativen Gro- Renmerkmalen beeinflusst wird. Entscheidend sind damit neben der vorhande- nen IT-Umgebung auch die Komplexitat sowie der Risikogehalt der ausgefuhrten Geschaftsaktivitat.

1.4 Aufbau der Arbeit

Zu Beginn (Gliederungspunkte 2 und 3) erfolgt ein Uberblick uber die Risiken und Gefahren, die die Nutzung von Informationstechnologie nach sich zieht. Wahrend Kapitel 2 einen Uberblick uber die wichtigsten, vielfach strafbewehrten rechtlichen und regulatorischen Anforderungen (Kapitel 2) gibt, werden in Kapi­tel 3 die weiteren IT-Risiken systematisiert und mit Hilfe eines Risiko-Kubus dargestellt. Kapitel 2 und 3 sollen wie das Kapitel 2 dabei helfen, IT- Schwachstellen im eigenen Unternehmen zu identifizieren und damit das Ge- fahrdungspotenzial der eigenen Geschaftsprozesse durch den Einsatz IT- Systemen einschatzen zu konnen. Erst wenn man weiR, welche Gefahren dro- hen, kann man MaRnahmen zurSteuerung von IT-Risiken (Kapitel 4) einleiten!

Im Hauptteil (Kapitel 4) werden die vier Phasen des Risikomanagements dar­gestellt. Das Durchlaufen dieser Phasen ermoglicht ein methodisches bzw. standardisiertes Vorgehen, um IT-Risiken zu identifizieren, zu bewerten, zu steuern und schlussendlich zu kontrollieren. Kapital 4 stellt das Steuerungsin- strumentarium zur Verfugung und baut auf die Erkenntnisse aus den Kapiteln 2 und 3, die die zu lenkenden IT-Risiken erfassen, auf. Im Gliederungspunkt 4.5 fasst der Autor die wesentlichen Arbeitserkenntnisse aus dem Hauptteil noch einmal zusammen (Synthese).

IT-Risiken im Kontext der Anforderungen von Gesetzgebern und Regulatoren

Die rechtlichen Anforderungen an IT-Sicherheit sind vielfaltig. Laut einer Studie von AMR-Research muss in Unternehmen stetig, neben den betriebswirtschaft- lichen Zwangen zur Etablierung von IT-Sicherheit, mehr Geld eingesetzt wer- den, um mit den wachsenden gesetzlichen Anforderungen Schritt halten zu konnen (Ruter et al. 2010, S. 12-13). Allein Muller (Muller 2011, S. 490­495) verweist auf 30 Rechtsgrundlagen in Deutschland und spricht dabei nur von einem „Auszug“ von Gesetzen, Verordnungen und Richtlinien, die im Zu- sammenhang mit IT-Sicherheit- und IT-Risikomanagement ein Rolle spielen. Nicht enthalten sind dabei zahlreiche Ausfuhrungsbestimmungen, Grundsatze und Vorschriften, wie der GoB oder GDPdU, die er noch gesondert auflistet. Festzuhalten bleibt auch, dass es kein selbstandiges „IT-Sicherheitsgesetz“ gibt, sondern lediglich relevante Teile aus verschiedenen Rechtsquellen.

Eine systematische kompakte Zusammenfassung einschlagiger Rechtsvor- schriften wurde bei den Recherchearbeiten zu dieser Arbeit nicht gefunden - auch deshalb, weil diese letztlich nur geschaftsmodell- bzw. unternehmensindi- viduell zu identifizieren sind. Grundsatzliche Relevanz haben aber die Rechts- bereiche Sorgfaltspflicht, Datenschutz, Schutz des Fernmeldegeheimnisses sowie die dazu korrespondierende Regelungen aus dem Haftungs-, Ordnungs- und Strafrecht. Diese Bereich sollen nachfolgend detailliert diskutiertwerden.

1.5 Rechtliche Fundierung der kaufmannische Sorgfaltspflicht

Die Geschaftsfuhrung hat stets fur die Sorgfalt eines ordentlichen Kaufmannes einzustehen. Dies gilt grundsatzlich fur alle Unternehmensformen. Je nach Un- ternehmensform sind entsprechende Gesetzespassagen relevant (vgl. z. B. § 347 Abs. 1 HGB oder auch §. 43 Abs. 1 GmbHG).

Definition: Sorgfaltspflicht

Pflicht einer verantwortlichen Person, in Ubereinstimmung mit Gesetz, Gesell- schaftsbeschlussen und unter Vermeidung risikoreicher GeschaftsvorfaNe zu handeln (Witt 2006, S. 4).

Im Streitfall muss die Geschaftsfuhrung nachweisen, dass sie ihrer Sorgfalts­pflicht nachgekommen ist. Hier greift also die Umkehr der Darlegungs- und Be- weislast, da ein Anspruchsteller in aller Regel keinen Einblick in die Unternehmensinterna hat. Die Sorgfaltspflicht trifft im Ubrigen auch jeden Mi- tarbeiter eines Unternehmens, jeweils fur die ihm ubertragenen Aufgaben. Nach dem deutschen Zivilrecht wird bei der Frage nach dem Verschulden der Begriff der Fahrlassigkeit genutzt. Nach § 276 BGB Abs. 2 handelt fahrlassig, ,,wer die im Verkehr erforderliche Sorgfaltspflicht auRer Acht lasst.“ Sowohl die Ge­schaftsfuhrung als auch der betreffende, vorher entsprechend aufgeklarte Mi- tarbeiter konnen in Regress genommen werden. (Speichert und Fedtke 2007, S.251-255)

Die grundlegende Bedeutung der „Sorgfaltspflicht“ wird durch zahlreiche Ank- nupfungen deutlich:

(1) An die Sorgfaltspflicht geknupft sind die Regelungen Grundsatze ,,ord- nungsmaRiger Buchfuhrung“ (GoB) sowie ,,ordnungsgemaRer DV-gestutzter Buchfuhrungssysteme“ (GoBS). Diese Grundsatze sollen unter anderem si- cherstellen, dass die Buchfuhrung der Vollstandigkeit und Richtigkeit unterliegt. Ebenso sind dort die Aufbewahrungsfristen geregelt. Die GoB raumt ausdruck- lich ein, dass die Archivierung auch auf Datentragern zulassig ist. Jedoch grei- fen dann die Regeln der GoBS. Dies bedeutet, die eingesetzte Software und die verarbeiteten Geschaftsdaten sind gegen den Verlust und unberechtigte Veran- derung zu schutzen. Exemplarisch bedeutet dies konkret, dass wirksame Zu- griffs- und Zugangskontrollen zu gewahrleisten sind und dem Risiko der Datentragervernichtung durch geeignete Aufbewahrungsorte zu begegnen ist.

Als geeigneter Aufbewahrungsort erweist sich ein Platz, an dem ein Verlust durch Feuer, extreme Temperaturen, Feuchtigkeit oder Magnetfelder ausge- schlossen werden kann (Witt 2006, S. 3-5) . Auch fur nicht buchfuhrungspflicht- ige Kleinstunternehmen (z. B. mit weniger als 50.000 Euro Gewinn p.a.), die sich der EDV bedienen, ist nahezulegen, sich an den Regeln der GoBS zu orientieren, um im Streitfall ihre Sorgfaltsplichten gewahrt zu haben.

Fur steuerlich relevante Aufzeichnungen sind des Weiteren die §§ 145-147 der Abgabenordnung (AO) zu beachten. Demnach darf das Finanzamt im Rahmen einer Prufung auf derlei Unterlagen zugreifen, wodurch die vom Bundesfinanz- ministerium erlassen Grundsatze zum Datenzugriff und zur Prufbarkeit digitaler Unterlagen (GDPdU) zum Tragen kommen. Mit Hilfe der GDPdU hat der Prufer das Recht, die steuerrelevanten Daten auf einem Datentrager zu erhalten, um diese dann in seinem Prufprogramm auswerten oder im Datenverarbeitungs- system des Steuerpflichtigen nutzen zu konnen. Die Sorgfaltspflicht gebietet es, dass die steuerrelevanten Daten, wozu zum Teil auch E-Mails gezahlt werden, jederzeit verfugbar sind. Zudem mussen die Daten unverzuglich lesbar und auswertbar sein. Dies bedeutet jedoch nicht, dass die Daten in den Ursprungs- systemen gespeichert bleiben mussen. Auch in eine Archivierungslosung kann ausgelagert werden. (Datev eG 2011) Die GDPdU hat zuletzt durch den Bun- destagsbeschluss im Juni 2011 eine Vereinfachung erfahren. Dadurch sind ab 1. Januar 2013 auch elektronische Rechnungen, die etwa per Mail, als PDF oder Textdatei ubermittelt werden, zum Vorsteuerabzug berechtigt, ohne dass es - wie bisher - einer elektronischen Signatur notwendigerweise bedarf. (hsp Handels-Software-Partner GmbH)

(2) Welche Mindestanforderungen fur die Datensicherung von Unternehmens- daten bestehen, wurde durch ein Urteil des Oberlandesgerichts Hamm genau definiert. Um die Sorgfaltspflicht demnach nicht zu verletzen, mussen die Un- ternehmensdaten zuverlassig (also dauerhaft, reproduzierbar und rekonstruier- bar), zeitnah (mindestens eine Differenzsicherung pro Tag) und umfassend (eine Vollsicherung mindestens einmal wochentlich) gesichert werden. (Witt 2006, S. 6)

(3) Zur Sorgfaltspflicht kann es auch gehoren, dass die Unternehmensleitung das Gesetz zur Kontrolle und Transparenz (KonTraG) einhalten muss. Dieses Gesetz schreibt zwingend ein Risikofruherkennungssystem vor. Da dieses Ge­setz jedoch keine Kleinstunternehmen und in der Regel auch keine Kleinunter- nehmen betrifft, wird an dieser Stelle auf weitere Ausfuhrungen verzichtet. (modulo3 GmbH)

1.6 Datenschutzgesetze

Sobald sog. Personenbezogene Daten erhoben, verarbeitet oder genutzt wer- den, greifen datenschutzrechtliche Bestimmungen, etwa das Bundesdaten- schutzgesetz (BDSG). Durch das „VolkszahlungsurteN“ des Bundesverfassungsgerichts genieRt jeder Burger ein sog. Informationelles Selbstbestimmungsrecht. Dies bedeutet, jeder Betroffene kann grundsatzlich selbst uber die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen. Dieses Recht der Selbstbestimmung kann nur durch eine Rechts- grundlage durchbrochen werden. (Witt 2006, S. 7-9)

Definition: Personenbezogene Daten

Personenbezogene Daten sind Einzelangabe uber personliche (z. B. Name, Anschrift, Geburtstag) oder sachliche Verhaltnisse (z. B. Einkommen, angebo- tene Dienstleistung) einer bestimmten oder bestimmbaren Person (,,Betroffe- ner“). (Brandl2011, S. 6)

Definition: Datenschutz

Schutz des Einzelnen davor, dass er durch den Umgang mit seinen personen­bezogenen Daten in seinem Personlichkeitsrecht beeintrachtigt wird. (Bundes- ministerium der Justiz 2011)

Insbesondere hat jedes Unternehmen darauf zu achten, dass jedes Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch gesetzliche Vor- schriften legitimiert ist, ein Vertragsverhaltnisse bzw. ein vertragsahnliches Ver- trauensverhaltnis besteht oder die EinwiNigung des Betroffenen vorliegt. Daru- berhinaus ist die innerbetriebliche Organisation so zu organisieren, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Bereits Klein- unternehmen sind daruberhinaus nach § 4f BDSG in der Regel dazu verpflich- tet, einen Datenschutzbeauftragten zu bestellen. Dieser hat die Pflicht, auf die Einhaltung der datenschutzrechtlichen Vorschriften hinzuwirken. Dazu raumt BSDG dem Datenschutzbeauftragten umfassende Kontrollrechte ein. Zu den Aufgaben des Datenschutzbeauftragten gehort es auch, Transparenz in die be- triebliche Datenverarbeitung zu bringen. Exemplarisch ist festzuhalten, zu wel- chem Geschaftszweck die Daten erforderlich sind, welche Personengruppen und Personen auf die Daten zugreifen durfen und wann die Daten wieder ge- loscht werden. Die Personengruppen und Personen, die die personenbezoge- nen Daten verarbeiten, sind daruberhinaus nach § 5 BDSG auf das Datengeheimnis zu verpflichten. (Brandl 2011)

In § 9 BDSG wird geregelt, dass jedes Unternehmen angemessene technische und organisatorische MaRnahmen zur Einhaltung des Datenschutzes zu ergrei- fen hat. Die meisten Detailvorgaben - zu den technisch-organisatorischen Not- wendigkeiten - sind in der Anlage zu § 9 Satz 1 BDSG zu finden. Dieser nennt acht Kontrollziele:

- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfugbarkeitskontrolle
- Zweckbindung der Datenverarbeitung

Relevant fur Kleinst- und Kleinunternehmen im Hinblick auf den Datenschutz ist uberwiegend das BDSG. Daruber hinaus gibt es rechtliche Spezialregelungen, die neben- oder vorrangig anzuwenden sind (Subsidiaritatsprinzip). Branchen- spezifische Anforderungen sind haufig der Ausloser fur diese spezialrechtlichen Vorgaben. So unterliegen beispielshaft der Arzt, der Anwalt und der Apotheker, als sogenannte Geheimnistrager (§ 203 StGB), dem Strafgesetzbuch und die Finanzdienstleistungsbranche unter anderem auch dem Kreditwesengesetz (§ 25 a KWG). (Picot et al. 2011, S. 64-65)

Zu bemangeln ist insgesamt, dass die gesetzlichen und aufsichtsrechtlichen Vorgaben insgesamt relativ unprazise bleiben und kaum dem Stand der heuti- gen Informationstechnik genugen. Besonders auffallend ist das dann, wenn Un- ternehmen auf noch junge Dienstleistungen, wie das IT-Outsourcing und/oder Cloud-Computing zuruckgreifen. Bei den Anforderungen des Datenschutzes soll immer der Grundsatz der VerhaltnismaRigkeit berucksichtigt werden. Die SchutzmaRnahmen und der dazu notwendige technische und organisatorische Aufwand mussen in einem angemessenen Verhaltnis zum Schutzzweck stehen. Bei Kleinst- und Kleinunternehmen kann selbst diese „skalierte“ Einhaltung der Datenschutzregelungen aber einen verhaltnismaRig hohen Aufwand zur Folge haben.

[...]

---

¹ Bots laufen auf vernetzten Rechner und konnen durch einen Botnetz-Operator uberwacht werden und Befehle empfangen.

² Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.