Professionelle IT-Security vermeidet Haftungsforderungen
Risiken in der IT-Sicherheit können zur persönlichen haftungsrechtlichen Inanspruchnahme von Organen eines Unternehmens führen – Compliance ist das Stichwort. Die Wirtschaftsprüfungsgesellschaft Warth & Klein Grant Thornton berät umfassend bei allen Fragen rund um die IT, wozu auch die Einhaltung aller rechtlichen Vorgaben gehört
Der Angriff auf den Bundestag im September 2015, der LockyVirus im Frühjahr 2016, Attacken mit der Schad-Software „WannaCry“im Mai dieses Jahres: Die Cyber-Kriminalität boomt. Und damit steigen die Risiken für Privatleute, Unternehmen – und deren Führungskräfte. „Die IT-Sicherheit ist ein wichtiger Aspekt der Compliance. Darunter verstehen wir ganz allgemein die Einhaltung aller gesetzlichen Vorschriften in einem Unternehmen, die durch bestimmte Maßnahmen innerhalb eines Compliance ManagementSystems sichergestellt werden. Verstöße gegen diese Compliance-Richtlinien führen regelmäßig zu Haftungsforderungen gegen Führungskräfte. Und das kann teuer werden. Wir haben schon Fälle gesehen, in denen gegen Vorstände Forderungen in zweistelliger Millionenhöhe gestellt worden sind“, sagt Dr. Frank Hülsberg, Senior Partner der Wirt- schaftsprüfungsgesellschaft Warth & Klein Grant Thornton in Düsseldorf und verantwortlich für den Bereich Governance, Risk & Compliance mit den Schwerpunkten Risikoprävention, Sonderuntersuchungen und Cyber-/IT-Security.
Organisation und Prozesse eines Unternehmens seien heutzutage in großem Umfang in IT-Systemen abgebildet beziehungsweise würden von diesen wesentlich unterstützt. Die IT sei daher ein wichtiger Bestandteil eines Unternehmens, deshalb sollte sie in der Unternehmensstrategie und auch im Risikomanagement einen entsprechenden Stellenwert besitzen. „Resultierend aus den laufend komplexer werdenden gesetzlichen und regulatorischen Anforderungen ergeben sich damit ständig neue Aspekte für den IT-Bereich, die über die rein technischen Entwicklungen hinausgehen“, sagt der Wirtschaftsprüfer und Steuerberater.
Insofern sei es für Vorstände und Geschäftsführer von ent-
Dr. Frank Hülsberg scheidender Bedeutung, Maßnahmen zur Verankerung der IT-Sicherheitsstandards und DatenschutzVorschriften im Unternehmen zu etablieren, um allen Vorgaben hinsichtlich der Compliance zu genügen. „Dies ist genauso wichtig wie die Einhaltung aller steuerlichen Vorschriften oder auch der Grundsätze der ordnungsgemäßen Buchführung. Ohne eine professionelle IT-Security ist es nicht möglich, dem gesetzlich geforderten Risikomanagement dauerhaft nachzukommen. Und Compliance und Risikomanagement gehören eng zusammen“, betont Frank Hülsberg. Konkret bedeutet das: Kommen Führungskräfte den Anforderungen an die IT-Sicherheit nicht nach und versäumen es, für ausreichende technische und organisatorische Sicherheitsmaßnahmen zu sorgen, kann beispielsweise eine Attacke auf die Systeme eines Unternehmens zu einem Haftungsrisiko für sie werden – persönliche haftungsrechtliche Inan- spruchnahme ist das Stichwort. Haftungsrisiken bestehen auch für Überwachungsorgane. „Aufsichts- und Beiräte benötigen Digitalkompetenz, um digitale Geschäftsmodelle zu begleiten. Andernfalls können sie das Management nicht effektiv überwachen und gehen damit ein erhebliches persönliches Haftungsrisiko ein“, gibt Hülsberg zu bedenken: „Leider zeigen Umfragen, dass digitale Kompetenz in deutschen Aufsichtsgremien eine Seltenheit ist.“
Frank Hülsberg und die anderen Warth & Klein Grant Thornton-Experten beraten Unternehmen und Organe umfassend bei allen Fragen rund um die IT, beginnend bei den Erwartungen der Geschäftsführung an den Beitrag der IT zur Geschäftsstrategie (IT-Strategie) über die Einhaltung aller rechtlichen Vorgaben in der IT (IT-Compli- ance) bis hin zur Begleitung zu allen Fragen des Datenschutzes (Data Privacy). Auch die sogenannte IT-Assurance gehört zum Dienstleistungsangebot. Darunter fallen die Prüfung und Beurteilung der Ordnungsmäßigkeit und Sicherheit der IT-Anwendungen, ITInfrastruktur und der IT-internen Abläufe und die Unterstützung bei der Auslegung und Umsetzung regulatorischer Vorgaben auf konkrete Sachverhalte, etwa bei der Einführung interner Lösungen oder der Vermarktung neuer Lösungen im deutschen Markt. „Auf diese Weise stellen wir sicher, dass alle Vorschriften hinsichtlich Compliance und Risikomanagement erfüllt und dadurch Haftungsrisiken begrenzt werden können. Unternehmen und deren Organe erhalten durch eine spezialisierte und professionelle Beratung die Möglichkeit, ihre eingesetzten IT-Systeme und Prozesse zu verbessern“, fasst Senior Partner Frank Hülsberg zusammen.
„Compliance und Risikomanagement gehören eng zusammen“
Warth & Klein Grant Thornton Umfragen zeigen, dass digitale Kompetenz in deutschen Aufsichtsgremien eine Seltenheit ist Unternehmen können durch Beratung ihre IT- Systeme und Pro
zesse verbessern