|
Vorstände
und Geschäftsführer haben bei Ihrer Geschäftsführung die Sorgfalt eines
ordentlichen und gewissenhaften Kaufmannes anzuwenden. Hierzu sind sie
bereits seit Einführung des Aktiengesetzes gesetzlich verpflichtet (§93
Abs.1 AktG). Zu diesen Sorgfaltspflichten gehört neben der Festlegung
der Unternehmenspolitik auch die Implementierung der zugehörigen
funktionsfähigen Unternehmensüberwachung.
Mit dem
bereits im Mai 1998 verabschiedeten Artikel-Gesetz zur Kontrolle und
Transparenz im Unternehmensbereich (KonTraG) werden Unternehmen u.a.
verpflichtet, ein Überwachungssystem zur Früherkennung
existenzgefährdender Entwicklungen einzurichten. Damit wurde die
Verpflichtung der Geschäftsführung gesetzlich konstituiert, ein
unternehmensweites Risikomanagement zu implementieren.
Mit dem
KonTraG wurden die Unternehmen außerdem verpflichtet, im Lagebericht zu
den Risiken der künftigen Geschäftsentwicklung Stellung zu beziehen.
Diese Anforderung ist ohne ein Risikomanagementsystem nicht erfüllbar.
Versäumnisse bei der Einrichtung eines solchen Risikomanagementsystems
können bei prüfungspflichtigen Unternehmen zu einem Versagen des
Bestätigungsvermerks führen. Damit wären beispielsweise
Gewinnausschüttungen oder Kreditaufnahmen bei Banken unmöglich.
Zudem sind
die Geschäftsführer/Vorstände im Schadensfalle den Anteilseignern
persönlich schadensersatzpflichtig.
Nach dem (KonTraG)
ist jede Kapitalgesellschaft nicht nur zu einem Risikomanagement
verpflichtet, sondern die Geschäftsführer/Vorstände haften
persönlich für Schäden, die aus bekannten Risiken und damit
fahrlässig verursacht werden. Zu dieser Kategorie gehören z.B. auch
Netzausfälle, die aus fehlender oder unvollständiger Dokumentation von
Leitungsführungen bzw. Veränderungen an Leitungsführungen resultieren
(Britische Standard 7799).
Die
Prüfung von IT-Systemen auf ihre Sicherheit ist ein aktuelles und
wichtiges Problem. Bisher fehlte eine objektive Prüfgrundlage, die es
ermöglichte, die IT-Sicherheit an einem vorgegebenen Standard zu
beurteilen. Der British Standard 7799 (BS 7799) – in der jetzigen Form
der Öffentlichkeit im April 1999 vorgestellt – ist eine internationale
Norm, die der begutachtenden Wertung der Sicherheit von IT-Systemen
dient. Im Gegensatz zu anderen Wertungssystemen hat der BS 7799 das
Hauptziel, einen Prüfstandard für das Management der IT-Sicherheit zu
liefern. Dies bedeutet, dass nicht jede einzelne Anwendung, jedes
einzelne Subsystem oder jede Datei auf das spezifische Risiko,
hervorgerufen durch Bedrohungen und/oder Risikopotential abgeprüft wird,
sondern dass vielmehr untersucht wird, welche Schwächen ein System hat
und wie IT-Sicherheit gehandhabt wird, gemanagt wird.
Checklisten zur Sicherheitsanalyse für das Unternehmen, aber auch für
Partner und Lieferanten, führen zu einer kontinuierlichen Verbesserung
der Sicherheit von Informationsprozessen. Im Sinne des Risikomanagements
ist die Einführung von Balanced Score Cards eine praktikable Lösung, um
Prozesse über die Werthaltigkeit zu priorisieren.
Fokussiert
man die Betrachtung der Security auf IT- und TK-Netzwerke, fallen
zunächst schwerpunktmäßig Themen wie
dynamische Überwachung des Netzes in Bezug
auf
-
Qualität
-
Verbindungsleistung
-
Fehlerbehebung
-
automatische Konfiguration von Komponenten
-
Nutzungsmissbrauch
Verstärkt
durch die Ereignisse des 11. September 2002 wurde vielen Unternehmen
verstärkt ins Bewusstsein gerückt, dass es nicht nur um das logische
Netzwerkmanagement und dem Zugriffsschutz geht, sondern auch um das
physikalische Netzwerkmanagement. Damit ist Verwaltung aller
übertragungsfähigen Komponenten der Telekommunikations- und Datennetze
gemeint. Dadurch, dass sich logische Übertragungsstrecken nicht mit der
physikalischen Realität decken – und das gilt verstärkt unter dem Aspekt
von redundanten Leitungswegen und in sehr großen, komplexen Netzwerken –
führt dies zu einer möglichen Verquickung von Fehlerquellen.
In einem Workshop werden
folgende Themen behandelt:
-
Darstellung der Sicherheitsrisiken
- Fallbeispiele
- Identifikation und Klassifizierung von Informationen und
Informationsträgern
- Erarbeitung und Bekanntgabe von Sicherheitspolitik und –zielen
- Aufstellung und Pflege eines Risikoinventars
- Unternehmensorientierte Risikoanalyse und –bewertung
- Einführung eines Risikomanagementprozesses
-
Rechtliche Grundlagen
- Gesetzliche Grundlagen der Haftung der
Geschäftsführung/Vorstände
- KonTracGesetz
- Bundesdatenschutz
- Basel II
-
Vorstellung des BS 7799-Standards
- Informationssicherheitsmanagement nach BS 7799-2:2002
- Einführung eines ISMS nach BS 7799-2:2002
- Ansatzpunkte und Beispiele zur Integration in ein bestehendes
Managementsystem
- Erfolgsfaktoren für die Einführung
-
ITIL
-
Informationssicherheit nach ITIL
-
Einführung von ITIL
-
Erfolgsfaktoren für die Einführung
-
Fokussierung auf die Netzwerke
- Bedeutung der Migration von computergestützten Anwendungen für
den Netzbetrieb
- Reduzierung der Kosten des Netzbetriebs
-
Controllingwerkzeuge
-
Balanced Score Cards
-
Systemaudits
- Bewertung des Managementsystems (Managementreviews)
- Marktbetrachtung
Hat dieses Seminar Ihr Interesse
geweckt? Ich stehe Ihnen gerne für Ihre Fragen zur Verfügung. |
