Die Sicherheit von IT-Infrastrukturen ist seit Jahren ein heiß Diskutiertes Thema.

Viren, Trojaner oder Angriffe auf Ihr Unternehmensnetzwerk sind eine permanente Gefahr für Ihre geschäftskritischen Daten.

Unbewusst ist vielen Unternehmern oder IT Verantwortlichen aber auch, dass eine Vielzahl der Schäden oder der Angriffe aus den eigenen Reihen oder innerhalb des eigenen Netzes stattfinden.

Zur Bedrohung für den Datenbestand zählen oftmals auch ganz alltägliche Dinge. Ein Stromausfall etwa kann ohne eine entsprechende Absicherung unter Umständen schon verheerende Konsequenzen nach sich ziehen.

Trotz der vielen Gefahren wissen viele Unternehmen nicht, wer im Schadensfall haftet. Dabei muss das Unternehmen dem Kunden gegenüber als Ganzes für Schäden eintreten. Geschäftsführer und Vorstandsmitglieder sind ihrer Gesellschaft persönlich, unbeschränkt und mit ihrem Privatvermögen haftbar, wenn sie ihre Sorgfaltspflichten verletzt haben und der Gesellschaft dadurch ein finanzieller Schaden entstanden ist.

Außerdem sind Unternehmen in Deutschland auch gesetzlich zum IT-Risikomanagement und zur Schaffung sicherer Netzwerkinfrastrukturen verpflichtet. Diese Verpflichtung ergibt sich aus einer Reihe von Gesetzen, wie etwa dem Telekommunikationsgesetz (TKG), dem Aktiengesetz oder dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG).
Wir unterstützen Sie dabei, sich in der Vielzahl der Gesetze und Vorschriften zu Recht zu finden und auch eine Revisionssicherheit zu erreichen. Und wir entwickeln gemeinsam mit Ihnen ein passgenaues Konzept für das IT-Risikomanagement in Ihrem Unternehmen.

Worum geht es beim Risiko-Management?

Unter Risiko-Management versteht man die Verwaltung von Risiken eines Unternehmens. Dazu gehören neben wirtschaftlichen Faktoren auch Umwelteinflüsse, Menschen, die verwendete IT. Es versteht sich nicht als einmalige Angelegenheit, sondern als ein kontinuierlicher Prozess, der die Risiko-Identifizierung, seine Steuerung und Analyse umfasst. Voraussetzung dafür ist ein Risikokonzept, welches die relevanten Risiken des jeweiligen Unternehmens definiert und klassifiziert. Da diese Überlegungen abhängig sind von dem Unternehmensziel, seiner Branche und Marktposition, seinen Mitarbeitern, seiner Produktionsanlage und seiner IT, muss dieses Konzept unter sorgfältiger Analyse der Begebenheiten für das einzelne Unternehmen erarbeitet werden. Es sollte so aufgebaut sein, dass es Platz lässt für zukünftige Ergänzungen und eine flexible Anpassung der eingeführten Risiko-Gewichtungen erlaubt.

Zielsetzung

Das IT Risiko-Konzept liefert die Identifizierung des Risikos und seine Wichtigkeit, aufgrund der geeignete Maßnahmen mit entsprechender Dringlichkeit im Rahmen der IT Risiko-Analyse eingeleitet werden. Dazu gehört auch die Adressierung kompetenter Verantwortlicher, die je nach Art und Bedeutung des Risikos zugeordnet werden.
Die Risiko-Steuerung hat darüber hinaus das Ziel, die Eintrittswahrscheinlichkeit des Risikos durch vorbeugende Maßnahmen zu verringern. Hierzu gehören ganz besonders Vorkehrungen, die die IT-Sicherheit eines Unternehmens erhöhen und so die Ausfallwahrscheinlichkeit von EDV-Geräten und den Verlust von Daten verringern.

Rechtliche Bewertung der festgestellten IT Risiken (Optional)

Den dritten Teil stellt schließlich die rechtliche Bewertung der festgestellten IT Risiken dar. Die rechtliche Bewertung orientiert sich an den derzeitigen gesetzlichen Anforderungen. Mit Bezug auf die vorgenommen technischen und organisatorischen Prüfungen werden Vorschriften aus den aktuellen Bereichen der Gesetzgebung geprüft.

Ziel der rechtlichen Bewertung ist es die haftungs- und versicherungsrechtlichen Risiken zu identifizieren und diese sodann auszuschließen oder zumindest zu minimieren. Die rechtliche Bewertung wird unter Federführung von RA Wilfried Reiners von PRW Rechtsanwälte aus München durchgeführt. RA Reiners ist Managing Partner bei PRW Rechtsanwälte in München. Die Kanzlei ist seit 20 Jahren auf IT Recht spezialisiert. Er ist seit 1998 Lehrbeauftragter an der Europäischen Privathochschule MUNICH BUSINESS SCHOOL für die Fächer IT-Recht und Managementhaftung. Er hat zahlreiche Veröffentlichungen zum IT- Recht publiziert. Sein Beratungsschwerpunkt liegt in den Themen IT Vertragsrecht und IT Security. Er ist u.a. aktives Mitglied in der Arbeitsgemeinschaft IT-Anwälte im Deutschen Anwaltsverein; der Deutsche Gesellschaft für Recht und Informatik e.V.; der Computer Law Association und Direktor des euroITcounsel in London.