Insbesondere bei der Informationssicherheit ist die Rechtslage für Unternehmen oft kompliziert. Gesetzliche Anforderungen sowie die Forderungen von Kunden erfordern den Nachweis eines strukturierten Vorgehens in der IT zur Umsetzung von Geschäftsprozessen und deren Verfügbarkeit. Denn in den meisten Unternehmen ist die IT heute die funktionale Grundlage aller Geschäftsprozesse.

Informationssicherheit aus ökonomischer Sicht
Die Informationssicherheit gemäß ISO 27001 ist ein Risiko-orientierter Ansatz und trägt wesentlich zur operativen Sicherheit von Geschäftsprozessen bei.

Zertifizierungen werden stärker von Auftraggebern gefordert

Aufgrund der gesetzlichen Vorgaben zur Compliance besteht das Erfordernis für das Management, die Stabilität des Unternehmens aufrecht zu erhalten und dieses zur eigenen Entlastung nachzuweisen. Wirtschaftsprüfer sind verstärkt in der Mitverantwortung und müssen sich gleichfalls entsprechend entlasten.

• Steigende Nachfrage nach Zertifizierungen bei Ausschreibungen (Zuwachs 50 %)
• Zertifizierungen sind ein Differenzierungsmerkmal
• Zertifizierungen sind ein Qualitätsnachweis
• Zertifzierungen dienen als Umsetzungsnachweis in der Auftragsdatenverarbeitung
• Zertifizierungen sind Bestandteil von Lieferantenanfragen

• Sicherheit der Lieferfähigkeit
• Reduzierung von Ausfallrisiken (ref.: Supply Chain)
• Sicherung eigner Geschäftsprozesse
• Zertifzierungen sind der Nachweis einer kontinuierlichen Verbesserung

Umsetzungsmethodik von Managementsystemen ISO 9001/ISO 27001 etc.

• Zieldefinition / Definition des Geltungsbereichs
• GAP-Analyse zur Normenkonformität
• Umsetzungsphase vorhandener Optimierungspotenziale
• Zertifizierung durch eine akkreditierte Stelle
• Aufrechterhaltung des Systems intern oder mit externer Unterstützung

Umsetzungsoptionen

• Coaching der internen Mitarbeiter
• Aktive und effiziente Umsetzung durch ein Beratungsunternehmen
• Bereitstellung von Funktionsträgern durch ein Beratungsunternehmen
• Durchführung externer Audits/Schulungen

Zertifizierungen bieten Marktvorteile

Durch die Einführung von Managementsystemen können Unternehmensrisiken durch Früherkennung und kontinuierliche Verbesserung erheblich gesenkt werden. Diese gezielte Risikobehandlung im Unternehmen wird von Kreditgebern, Versicherungsunternehmen und Auftraggebern gewürdigt.

• Verbesserte Positionierung im Wettbewerb
• Vertrauensgewinn für den Kunden
• Transparente Früherkennung von Unternehmensrisiken

Bessere Messbarkeit der internen Prozesse(KPI)/Prozesskostenoptimierung

• Kostentransparenz
• Kontinuierliche Verbesserung
• Besseres Rating bei Banken
• Reduzierung von Versicherungsbeiträgen (Betriebsausfallversicherungen)
• Reduzierung von Versicherungssummen durch Notfallplanung
• Reduzierung von Kosten externer Audits durch Zertifikatsnachweis
• Kostenreduzierung durch Kombination von Standards (ISO 9001/ISO 27001, etc.)
• Risikominimierung der Geschäftsführung
• Persönliche Entlasung

Risiken des Managements bei Ignoranz der Anforderungen
Eine Ignoranz der beschriebenen Anforderungen birgt ein erhebliches Potential der Umsatzeinbußen durch unmittelbaren Liquiditätsverlust, Auftragsverlust bis zur Insolvenz.

• Organisationsverschulden der Geschäftsführung
  • Persönliche Haftung
• Ausfallrisiken der Geschäftsprozesse
  • Wechsel des Kunden zu qualifizierteren Auftragnehmern
  • Krisen
  • Es kommen keine neuen Kunden mehr
  • Zeitverlust durch Neuaufbau
  • Insolvenz
• Mangelnde Vorbereitung auf Notfälle
  • Reduzierte Handlungsfähigkeit durch fehlende Vorplanungen
  • Fehlende Ersatzlösungen/Ersatzbeschaffungen
• Behördliche Ordnungsgelder
  • DSB 50.000 Euro
  • Sicherheitsvorfälle 300.000 Euro
  • Haftstrafen

Konsequenzen von Sicherheitsvorfällen

Bei Sicherheitsvorfällen wie auch dem Verlust personenbezogener Daten besteht gemäß § 45a BDSG eine Veröffentlichungspflicht des Management gegenüber den Aufsichtsbehörden, gegenüber Kunden und der Öffentlichkeit. Daraus resultieren:

• Die Störung von Geschäftsprozessen
• Vertrauensverlust des Kunden bei Offenbarung vertraulicher Informationen
• Imageverlust des verantwortenden Unternehmens
• Kundenverlust durch Wechsel zu Alternativanbietern
• Neue Kunden kommen nicht mehr
• Hohe Vertriebskosten und Zeitverluste für Neuakquisitionen
• Insolvenz

 
Für eine Nichtveröffentlichung gemäß §45a BDSG haftet das Management persönlich!
 
Fazit

Die Einführung von dedizierten oder kombinierten Managementsystemen ermöglicht erhebliche Einsparungspotentiale durch verbessertes Ranking und operative Verbesserung des Unternehmens.

*) Über den Autor:
Detlef Kreder ist Geschäftsführer der Firma TMD Consult in Mönchengladbach, Lizenzierter Auditor für ISO27001 auf der Basis IT- Grundschutz, IS-Revisor (BSI), ISO 27001 Lead Auditor, öbv. Sachverständiger für Entgeltermittlungssysteme in der Telekommunikation sowie Zertifizierter Risiko Manager (TUEV). Weitere Informationen unter www.tmd-consult.de.

 

zurück zur Startseite