Bei IT-Gefahren fehlt den Firmen der Überblick

Gerade Mittelständler setzen zu sehr auf die Versicherer

Von Katrin Berkenkopf

Die Finanzkrise hat bei deutschen Unternehmen das Bewusstsein geschärft, dass ein umfassendes IT-Risikomanagement nötig ist. Doch gerade im Mittelstand ziehen die verantwortlichen Manager die falschen Konsequenzen, glaubt Hendrik Löffler, Geschäftsführer bei der Unternehmensberatung Funk RMCE, die zum Versicherungsmakler Funk gehört. Viele Betriebe versuchten, alle denkbaren Risiken mit einer Police abzudecken. „Es gibt maßgeschneiderte Versicherungsprodukte für fast alle Risiken“ sagt Löffler. Er ist nicht gegen eine Versicherungslösung, weist aber auf die beschränkte Wirkung hin: „Auf sich allein gestellt löst sie das Problem nicht.“

Wenn ein Autozulieferer wegen einer IT-Panne wochenlang nicht produzieren kann, zahlt die Betriebsunterbrechungsversicherung womöglich für den direkten Schaden. Der Automobilhersteller wird sich aus Verärgerung aber nach Ersatzlieferanten umsehen, und diese Gefahr deckt keine Police.

Die meisten Firmen wissen, dass eine IT-Panne im schlimmsten Fall ihre Existenz bedrohen kann. Doch sie tun zu wenig für die Vorbeugung. Das IT-Risikomanagement ist häufig nicht effektiv genug, weil die einzelnen Maßnahmen nicht koordiniert sind. „Der Bereich IT ist sicher mit am professionellsten aufgestellt, wenn es um Risikomanagement geht. Aber es gibt oft kein ganzheitliches System“, sagt Löffler.

Denn die Bandbreite der Gefahren ist enorm. Es gibt Mega-Callcenter, in denen Telefone und Software trotz Tests nicht zusammenpassen und für wochenlange Ausfälle sorgen. Da ist der Virus, den ein Mitarbeiter beim illegalen Herunterladen von Musik in die Betriebs-IT eingeschleust hat. Oder der plötzliche Ausfall des Servers, der bei einem externen Dienstleister steht. Der Schaden erreicht im Ernstfall schnell hohe Summen, zum Beispiel wenn ein Onlineversandhandel für Kunden nicht erreichbar ist.

Inzwischen gibt es sogar rechtliche Vorschriften, die zumindest größeren Unternehmen vorgeben, was ihr Risikomanagement können muss. Für einzelne Branchen wie Banken und Versicherer schreibt die Aufsicht explizit ein Risikomanagement einschließlich der IT-Risiken vor. Für alle Kapitalgesellschaften gilt, dass sie regelmäßig Anleger und Öffentlichkeit über Risiken unterrichten müssen. Wenn durch Versagen des Risikomanagements Schäden entstehen, kann eine Aktiengesellschaft einen IT-Leiter oder IT-Vorstand persönlich haftbar machen. Doch das geschieht in der Praxis eher selten, zumindest nicht öffentlich.

„Wir haben noch kein Unternehmen gesehen, in dem alle Anforderungen voll erfüllt wurden“, sagt Christian Welkenbach, Fachanwalt für Informationstechnologierecht in der Kanzlei Res Media. Oft sei die Bedrohung der IT-Systeme von innen, also etwa durch Mitarbeiter, höher als die Gefahr eines Angriffs von außen. Größere Unternehmen wüssten immerhin, was von ihnen erwartet wird. Kleinere oft nicht.

Den Unternehmen fehle der Anreiz, ihr IT-Risikomanagement zu verbessern, beklagt Alexander Tsolkas, Inhaber von Tsolkas Executive Consulting. „Vielen Managern ist an Sicherheit als Qualitätsmerkmal nicht gelegen.“ Auch er bemängelt ein fehlendes Gesamtkonzept. „Das IT-Risikomanagement wird zu immer noch mehr als 80 Prozent der Fälle in den Unternehmen in der IT abgehandelt. Das ist falsch.“ Das Thema sei Chefsache, meint Tsolkas, der selbst früher die IT-Sicherheit beim Logistiker Schenker verantwortete.

Quelle: Financial Times Deutschland


Kategorien: Archiv 2006-2012

Diskutieren Sie mit