Anforderungen an das IT-Sicherheitsmanagement hinsichtlich Basel II und Sarbanes-Oxley Act (SOX)

Inhaltsverzeichnis

Einleitung

1. Sarbanes- Oxley Act (SOX)
1.1 Grundgedanke
1.2 Anforderungen an IT- Sicherheitsmanagement

3. Basel II
3.1 Grundgedanke
3.2 Risiko-Rating der Unternehmen
3.3 EDV Risiko
3.3.1 Hardwarerisiken
3.3.2 Softwarerisiken
3.3.3 Unternehmensinterne Risiken
3.3.4 Unternehmensexterne Risiken
3.4 Anforderungen an IT- Sicherheitsmanagement
3.4.1 Technische Risikominderung
3.4.2 Organisatorische Risikominderung
3.4.3 Risikohandhabung
3.4.4 Sicherheitscontrolling

Literaturverzeichnis

Anhang
Anhang A: Chronologie der Einführung von Basel II
Anhang B: Begriffsdefinitionen
Anhang C: Systematisierung der Risikoarten
Anhang D: Risikopolitik und Handlungsstrategien
Anhang D: Risikopolitik und Handlungsstrategien
Anhang E: 3-Säulenmodell von Basel II
Anhang E: 3-Säulenmodell von Basel II

Einleitung

Längst kein Fremdwort mehr dürfte für die meisten mittelständischen Unternehmen der Begriff Basel II sein. Viele Firmen sind sich darüber im Klaren, dass künftig bei der Kreditvergabe die damit verbundenen Risiken viel genauer unter die Lupe genommen werden. Dabei hängt es entscheidend von der Rating-Note ab, ob und zu welchen Konditionen ein Unternehmen Fremdkapital erhält. In dieses Rating fließen eine Reihe unterschiedlicher Faktoren ein, nicht nur betriebswirtschaftliche Kennzahlen. Einen wesentlichen Punkt wird dabei oft nicht beachtet: die Absicherung gegenüber operationellen Risiken und damit den Schutz der IT-Infrastruktur vor vielfältigen Gefahren beispielsweise aus dem Internet. Immerhin registrierten zwei von drei deutschen Unternehmen im Jahr 2004 mehr oder wesentlich mehr Verstöße gegen ihre IT-Sicherheit als im Vorjahr (IT-Security 2004).

In dieser Seminararbeit sollen die Auswirkungen von Vorschriften wie dem Sarbanes- Oxley Act und Basel II auf das IT-Sicherheitsmanagement heutiger Unternehmen dargestellt werden. Ausführlich wird hierbei auf die Anforderungen, die sich insbesondere aus Basel II ergeben eingegangen.

1. Sarbanes- Oxley Act (SOX)

1.1 Grundgedanke

Der Sarbanes-Oxley Act of 2002 (SOX) ist ein US-Gesetz zur Verbesserung der Unternehmensberichterstattung in Folge der Bilanzskandale von Unternehmen wie Enron oder Worldcom. Benannt wurde es nach seinen Verfassern, dem Senator Paul S. Sarbanes und dem Abgeordneten Michael Oxley. Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen. Dies geschieht dadurch dass SOX die Führungsebene persönlich für die Richtigkeit bestimmter Erklärungen haftbar macht. Das Gesetz gilt für inländische und ausländische Unternehmen, die an US-Börsen oder der NASDAQ gelistet sind, sowie für ausländische Tochterunternehmen amerikanischer Gesellschaften. Im Rahmen der Section 404 des Sarbanes-Oxley Acts müssen Unternehmensprozesse beschrieben, definiert und Kontrollverfahren festgelegt werden, die das Risiko eines falschen Bilanzausweises minimieren sollen. Dies hat neben weitreichenden Folgen im Bereich der Corporate Governance (Aufstellen und Einhalten von Verhaltensregeln, nach denen ein Unternehmen geführt werden soll) auch Auswirkungen auf die IT in einem Unternehmen.

1.2 Anforderungen an IT- Sicherheitsmanagement

Sarbanes-Oxley (SOX), legt besonderen Wert auf die Sicherheit und Zuverlässigkeit finanzieller Berichte von öffentlich gehandelten US-Unternehmen und hat somit einen merklichen Einfluss darauf, wie betroffene Organisationen die interne IT-Sicherheit aufbauen müssen. Der Abschnitt 404 schreibt dem Management aber lediglich die Einrichtung angemessener Kontrollen vor, ohne aber die Rolle der Informationstechnologie zu spezifizieren. Zusätzliche IT-Rahmenvorgaben wie die vom weltweiten Berufsverband ISACA empfohlene COBIT (Control Objectives for Information and Related Technology) sind zwar verfügbar, aber selbst die definieren nicht exakt die Umsetzung der IT Sicherheit. Der wichtigste Punkt nach SOX stellt die Datensicherheit dar. Wenn es beispielsweise um die Verwendung von mobilen Rechnern und tragbaren Speichergeräten geht, erfordert Sarbanes-Oxley, dass die Organisationen die effektiven Richtlinien, Prozesse und Kontrolle der folgenden Punkte demonstrieren können: Die verwendbaren Gerätetypen, Wer welche Gerätetypen verwenden kann, Wem die Geräte gehören, Welche Arten von Informationen auf Geräten gespeichert werden können und welche nicht. Welche Maßnahmen eingesetzt werden, um die Geräteverwendung zu verwalten. Allgemein ist davon auszugehen, dass sich für alle Unternehmen steigende Anforderungen an die Ausgestaltung ihrer internen Kontrollsysteme und den Nachweis derer Funktionalität ergeben wird. Somit erfordert SOX nachhaltig den Einsatz von IT gestützten Kontroll- und Reportingsystemen.

3. Basel II

3.1 Grundgedanke

Basel II bezeichnet die Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Die Regeln werden offiziell in der Europäischen Union Ende 2006 in Kraft treten, finden aber bereits heute in der täglichen Praxis Anwendung. Ziel ist, wie bereits bei Basel I, die Sicherung einer angemessenen Eigenkapitalausstattung von Banken und die Schaffung einheitlicher Wettbewerbsbedingungen sowohl für die Kreditvergabe, als auch für den Kredithandel. Basel II besteht aus drei sich gegenseitig ergänzenden Säulen. Den Mindesteigenkapital-anforderungen, dem bankaufsichtlichen Überprüfungsprozess und der Erweiterten Offenlegung. (Abbildung des 3- Säulenmodells siehe Anhang E). Basel II wird sich für alle Unternehmen durch eine verstärkte bzw. weiterentwickelte und standardisierte Risikoprüfung durch die Banken bei der Aufnahme von Fremdkapital auswirken. Das heißt u.a., dass sich jede Unternehmung, die zusätzliches Fremdkapital aufnehmen will bzw. sich bereits einer laufenden Fremdkapitalfinanzierung bedient, nach Basel II einem so genannten Rating – sprich einem besonderen Bonitätsurteil bzw. einer besonderen Bewertung der Kreditwürdigwürdigkeit – unterziehen muss. Je besser das Rating ausfällt, desto weniger Eigenkapital müssen die Banken für den beantragten Kredit aufwenden und umso günstiger können sie dann ihre Konditionen für das kreditnehmende Unternehmen gestalten. Bisher sind Geldinstitute im Firmenkundenbereich – unabhängig von der Bonität des Kreditnehmers – verpflichtet, acht Prozent der Kreditsumme als Sicherheit zu unterlegen. Mit Basel II wird sich dieser Prozentsatz je nach Bonität bzw. Risiko im Einzelfall erhöhen oder senken. Unternehmen mit einer schlechten Bonität werden somit letztendlich höhere Zinsen zahlen als Unternehmen mit einer dickeren Kapitaldecke.

3.2 Risiko-Rating der Unternehmen

Ziel der ersten Säule von Basel II Mindesteigenkapitalanforderungen, ist die genauere Berücksichtigung der Risiken einer Bank bei der Bemessung ihrer Eigenkapitalausstattung. Dazu werden drei Risiken herangezogen. Das Kreditrisiko, das Marktrisiko und das operationelle Risiko. Neu ist die Einbeziehung des operationellen Risikos. Es stellt das Risiko direkter oder indirekter Verluste infolge unzulänglicher oder ausfallender interner Verfahren, Mitarbeiter und Systeme, oder infolge bankexterner Ereignisse dar. Alle Unternehmen, die zukünftig bei Banken einen Kredit beantragen erhalten wie eingangs dieses Abschnitts bereits erwähnt, ein bankinternes oder externes Rating, das Auskunft über ihre Kreditwürdigkeit gibt. Die Bewertung der Kreditwürdigkeit kann dabei beispielsweise von AAA (sehr gute Bonität) bis CCC (sehr schlechte Bonität) reichen. Über das Rating soll Transparenz und somit Vergleichbarkeit für Investoren und Gläubiger hinsichtlich des Risikos einer Finanzanlage geschaffen werden, d.h. das Rating wird eine objektive Grundlage für die adäquate Preisgestaltung bspw. eines Kredits darstellen.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Kreditkonditionen vor und nach Basel II

Je mehr nun der Geschäftsbetrieb auf die IT-Infrastruktur angewiesen ist, desto stärker hängt die Bonität und somit die Kreditentscheidung von einem effektiven IT-Sicherheitsmanagement ab. Umgekehrt: Wer bei der IT-Sicherheit spart, muss auch ein schlechteres Rating beziehungsweise höhere Zinssätze fürchten.

3.3 EDV Risiko

3.3.1 Hardwarerisiken

Hardwareschäden

Gemäß DIN 50320 ist Verschleiß definiert als „der fortschreitende Materialverlust aus der Oberfläche eines festen Körpers , hervorgerufen durch mechanische Ursachen, d.h. Kontakt- und Relativbewegung eines festen, flüssigen, gasförmigen Gegenkörpers“ Im IT Bereich geht es um eine, durch den alltäglichen Gebrauch hervorgerufen Abnutzung der Hardware. Besonders anfällig sind hierbei mechanisch/technisch beanspruchte Bauteile wie z.B. Diskettenlaufwerk, Drucker (Tintenpatrone), Mouse, Tastatur, CD-ROM, Bildschirm etc. Aber auch mobile Geräte wie z.B. Laptop, Beamer, usw. sind starken Beanspruchungen durch häufigen Transport und Gebrauch ausgesetzt. Diese zwar auf den ersten Blick weniger relevant erscheinenden Risiken haben zwar keine große Tragweite, dürfen jedoch im Zuge des Risikomanagements nicht ignoriert werden.

Verlust

Ein Risikopotential besteht auch bei Verlust von Hardware. Der Verlust kann bedingt sein durch Unaufmerksamkeit des Anwenders (Vergessen, Liegenlassen) oder durch Diebstahl. Verlust betrifft zumeist mobile Geräte wie z.B. Laptops, USB-Sticks, Beamer. Während Hardware wie z.B. Beamer ein einmaliger Schaden entsteht (Kaufpreis des Beamers), entsteht bei Geräten wie Laptops, USB-Sticks neben dem materiellen Hardware Schaden ein zusätzlicher immaterieller Schaden, da Daten auf den Geräten gespeichert waren. Selbst bei passwortgeschützten Laptops oder Speichermedien, besteht die Gefahr, dass ein potentieller Cracker sich Zugriff auf die Daten verschafft. Der Verlust von Hardware bezieht sich nicht nur auf den Computerbereich allein, sondern umfasst zusätzlich so alltägliche Geräte wie Mobiltelefon oder E-Planer (Palm, XDA,...). Diese Geräte sind zumeist vollkommen ungesichert (abgesehen von der PIN Eingabe bei Neustart). Auch hier besteht die Gefahr, dass vertrauliche Daten, Codes und Adressen in falsche Hände gelangen und für fremde Zwecke missbraucht werden.

[...]