Anforderungen an das IT-Sicherheitsmanagement hinsichtlich Basel II und Sarbanes-Oxley Act (SOX)

Inhaltsverzeichnis

  Einleitung..................................................................................................................................3  

1.  Sarbanes- Oxley Act (SOX) 3  

1.1  Grundgedanke 3  

1.2  Anforderungen an IT- Sicherheitsmanagement 4  

3.  Basel  II..............................................................................................................................5

3.1  Grundgedanke 5  

3.2  Risiko-Rating der Unternehmen 5  

3.3  EDV Risiko 6  

3.3.1  Hardwarerisiken 6  

3.3.2  Softwarerisiken 7  

3.3.3  Unternehmensinterne Risiken 9  

3.3.4  Unternehmensexterne Risiken 10  

3.4  Anforderungen an IT- Sicherheitsmanagement 11  

3.4.1  Technische Risikominderung 11  

3.4.2  Organisatorische Risikominderung 13  

3.4.3  Risikohandhabung 14  

3.4.4  Sicherheitscontrolling 15  

  Literaturverzeichnis  16

Anhang ...................................................................................................................................17  NA  

Anhang A:  Chronologie der Einführung von Basel II 17  

Anhang B:  Begriffsdefinitionen 18  

Anhang C:  Systematisierung der Risikoarten 20  

Anhang :D  Risikopolitik und Handlungsstrategien 20  

Anhang :D  Risikopolitik und Handlungsstrategien 21  

Anhang E:  3-Säulenmodell von Basel II 21  

Anhang E:  3-Säulenmodell von Basel II 22  

  2  

Einleitung

Längst kein Fremdwort mehr dürfte für die meisten mittelständischen Unternehmen der Begriff Basel II sein. Viele Firmen sind sich darüber im Klaren, dass künftig bei der Kreditvergabe die damit verbundenen Risiken viel genauer unter die Lupe genommen werden. Dabei hängt es entscheidend von der Rating-Note ab, ob und zu welchen Konditionen ein Unternehmen Fremdkapital erhält. In dieses Rating fließen eine Reihe unterschiedlicher Faktoren ein, nicht nur betriebswirtschaftliche Kennzahlen. Einen wesentlichen Punkt wird dabei oft nicht beachtet: die Absicherung gegenüber operationellen Risiken und damit den Schutz der IT-Infrastruktur vor vielfältigen Gefahren beispielsweise aus dem Internet. Immerhin registrierten zwei von drei deutschen Unternehmen im Jahr 2004 mehr oder wesentlich mehr Verstöße gegen ihre IT-Sicherheit als im Vorjahr (IT-Security 2004).

In dieser Seminararbeit sollen die Auswirkungen von Vorschriften wie dem Sarbanes- Oxley Act und Basel II auf das IT-Sicherheitsmanagement heutiger Unternehmen dargestellt werden. Ausführlich wird hierbei auf die Anforderungen, die sich insbesondere aus Basel II ergeben eingegangen.

1. Sarbanes- Oxley Act (SOX)

1.1 Grundgedanke

Der Sarbanes-Oxley Act of 2002 (SOX) ist ein US-Gesetz zur Verbesserung der Unternehmensberichterstattung in Folge der Bilanzskandale von Unternehmen wie Enron oder Worldcom. Benannt wurde es nach seinen Verfassern, dem Senator Paul S. Sarbanes und dem Abgeordneten Michael Oxley. Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen. Dies geschieht dadurch dass SOX die Führungsebene persönlich für die Richtigkeit bestimmter Erklärungen haftbar macht. Das Gesetz gilt für inländische und ausländische Unternehmen, die an US-Börsen oder der NASDAQ gelistet sind, sowie für ausländische Tochterunternehmen amerikanischer Gesellschaften. Im Rahmen der Section 404 des Sarbanes-Oxley Acts müssen Unternehmensprozesse beschrieben, definiert und Kontrollverfahren festgelegt werden, die das Risiko eines falschen Bilanzausweises minimieren sollen. Dies hat neben weitreichenden Folgen im Bereich der Corporate Governance (Aufstellen und Einhalten von Verhaltensregeln, nach denen ein Unternehmen geführt werden soll) auch Auswirkungen auf die IT in einem Unternehmen.

3

1.2 Anforderungen an IT- Sicherheitsmanagement

4

3. Basel II

3.1 Grundgedanke

Basel II bezeichnet die Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Die Regeln werden offiziell in der Europäischen Union Ende 2006 in Kraft treten, finden aber bereits heute in der täglichen Praxis Anwendung. Ziel ist, wie bereits bei Basel I, die Sicherung einer angemessenen Eigenkapitalausstattung von Banken und die Schaffung einheitlicher Wettbewerbsbedingungen sowohl für die Kreditvergabe, als auch für den Kredithandel. Basel II besteht aus drei sich gegenseitig ergänzenden Säulen. Den Mindesteigenkapital- anforderungen, dem bankaufsichtlichen Überprüfungsprozess und der Erweiterten Offenlegung. (Abbildung des 3- Säulenmodells siehe Anhang E). Basel II wird sich für alle Unternehmen durch eine verstärkte bzw. weiterentwickelte und standardisierte Risikoprüfung durch die Banken bei der Aufnahme von Fremdkapital auswirken. Das heißt u.a., dass sich jede Unternehmung, die zusätzliches Fremdkapital aufnehmen will bzw. sich bereits einer laufenden Fremdkapitalfinanzierung bedient, nach Basel II einem so genannten Rating – sprich einem besonderen Bonitätsurteil bzw. einer besonderen Bewertung der Kreditwürdigwürdigkeit – unterziehen muss. Je besser das Rating ausfällt, desto weniger Eigenkapital müssen die Banken für den beantragten Kredit aufwenden und umso günstiger können sie dann ihre Konditionen für das kreditnehmende Unternehmen gestalten. Bisher sind Geldinstitute im Firmenkundenbereich – unabhängig von der Bonität des Kreditnehmers – verpflichtet, acht Prozent der Kreditsumme als Sicherheit zu unterlegen. Mit Basel II wird sich dieser Prozentsatz je nach Bonität bzw. Risiko im Einzelfall erhöhen oder senken. Unternehmen mit einer schlechten Bonität werden somit letztendlich höhere Zinsen zahlen als Unternehmen mit einer dickeren Kapitaldecke.

3.2 Risiko-Rating der Unternehmen

Ziel der ersten Säule von Basel II Mindesteigenkapitalanforderungen, ist die genauere Berücksichtigung der Risiken einer Bank bei der Bemessung ihrer Eigenkapitalausstattung. Dazu werden drei Risiken herangezogen. Das Kreditrisiko, das Marktrisiko und das operationelle Risiko. Neu ist die Einbeziehung des operationellen Risikos. Es stellt das Risiko direkter oder indirekter Verluste infolge unzulänglicher oder ausfallender interner Verfahren, Mitarbeiter und Systeme, oder infolge bankexterner Ereignisse dar. Alle Unternehmen, die zukünftig bei Banken einen Kredit beantragen erhalten wie eingangs dieses Abschnitts bereits erwähnt, ein bankinternes oder externes Rating, das Auskunft über ihre Kreditwürdigkeit gibt. Die Bewertung der Kreditwürdigkeit kann dabei beispielsweise von AAA (sehr gute Bonität) bis CCC (sehr schlechte Bonität) reichen. Über das Rating soll

5

Transparenz und somit Vergleichbarkeit für Investoren und Gläubiger hinsichtlich des Risikos einer Finanzanlage geschaffen werden, d.h. das Rating wird eine objektive Grundlage für die adäquate Preisgestaltung bspw. eines Kredits darstellen.

Abb. 1: Kreditkonditionen vor und nach Basel II

Je mehr nun der Geschäftsbetrieb auf die IT-Infrastruktur angewiesen ist, desto stärker hängt die Bonität und somit die Kreditentscheidung von einem effektiven IT- Sicherheitsmanagement ab. Umgekehrt: Wer bei der IT-Sicherheit spart, muss auch ein schlechteres Rating beziehungsweise höhere Zinssätze fürchten.

3.3 EDV Risiko

3.3.1 Hardwarerisiken

Hardwareschäden

Gemäß DIN 50320 ist Verschleiß definiert als „der fortschreitende Materialverlust aus der Oberfläche eines festen Körpers , hervorgerufen durch mechanische Ursachen, d.h. Kontakt- und Relativbewegung eines festen, flüssigen, gasförmigen Gegenkörpers“ Im IT Bereich geht es um eine, durch den alltäglichen Gebrauch hervorgerufen Abnutzung der Hardware. Besonders anfällig sind hierbei mechanisch/technisch beanspruchte Bauteile wie z.B. Diskettenlaufwerk, Drucker (Tintenpatrone), Mouse, Tastatur, CD-ROM, Bildschirm etc. Aber auch mobile Geräte wie z.B. Laptop, Beamer, usw. sind starken Beanspruchungen durch häufigen Transport und Gebrauch ausgesetzt. Diese zwar auf den ersten Blick weniger relevant erscheinenden Risiken haben zwar keine große Tragweite, dürfen jedoch im Zuge des Risikomanagements nicht ignoriert werden.

Verlust

Ein Risikopotential besteht auch bei Verlust von Hardware. Der Verlust kann bedingt sein durch Unaufmerksamkeit des Anwenders (Vergessen, Liegenlassen) oder durch Diebstahl.

6