Basel II wirft seine Schatten voraus: Spätestens 2006/2007 hat das zu diesem Zeitpunkt verbindliche Regelwerk für Unternehmen erhebliche Auswirkungen. Es sieht vor, insbesondere bei Unternehmen vor jeder Kreditentscheidung eines Kreditgebers eine individuelle Einschätzung der Bonität vorzunehmen. Dies erfolgt auf der Basis interner Rating-Systeme der kreditgewährenden Finanzinstitute oder durch externe Rating. Nach dem vom namengebenden Baseler Ausschuss für Bankenaufsicht erarbeiteten Konzept spielen bei der Vergabe sowohl Markt- und Kreditrisiken als auch operationelle Risiken des kreditnehmenden Unternehmens eine Rolle.
Je höher das individuelle Risiko eines Unternehmens ist, umso mehr Eigenkapital muss der Kreditgeber zukünftig für eine Kreditgewährung vorweisen. Die Finanzinstitute sollen ab 2006/2007 zur Kreditbewertung auf Unternehmensdaten aus bis zu drei Vorjahren (also bereits ab 2003) zurückgreifen. Dies wird sich massiv auf die Kreditkonditionen für die verschiedenen Unternehmen auswirken. Die Kreditverzinsung bei einigen Unternehmen wird sogar unter den handelsüblichen Zinssatz sinken, während andere Unternehmen mit einer Verzinsung rechnen müssen, die weit darüber liegt. Schlimmstenfalls kann ein negatives Rating sogar zur Verweigerung eines Kredites führen.
Wer jetzt noch nicht angefangen hat, sich mit den Baseler Anforderungen auseinander zu setzen, hat möglicherweise die Chance auf eine besonders günstige Kreditbewertung seines Unternehmens schon verpasst oder anders gesagt: Wer die Anforderungen aus Basel II bereits umgesetzt hat, senkt in der Zukunft seine Kreditkosten und schafft sich neben mehr IT-Sicherheit auch Vorteile im Wettbewerb. Verbaseln kostet also Geld.
Bei der individuellen Risikoeinschätzung ist unter anderem entscheidend, welche Maßnahmen ein Unternehmen zur gezielten Vermeidung und Reduzierung operationeller Risiken trifft. Auch ist wichtig, welche Risiken sich aus dem Geschäftsbetrieb ergeben, die letztlich Auswirkungen auf das Geschäft selbst und damit die Rückzahlungsfähigkeit des Kreditnehmers haben. Den Begriff des operationellen Risikos definiert der Baseler Ausschuss als Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten. Darunter fällt als ein Schlüsselbereich auch die IT eines Unternehmens. Dort gelagerte Risiken zu reduzieren, ist vor dem Hintergrund von Basel II elementar.
Dass die zunehmende Komplexität der IT einen immer größeren Nährboden für Systemausfälle, kriminelle Anwendungen oder Angriffe und somit ein höheres Risikopotenzial darstellen, ist eine Binsenweisheit. Hinzu kommen immer kompliziertere Virenstämme, die die Systeme der Unternehmen attackieren, oder so genannte Denial-of-Service-Attacken. Dabei ist es übrigens eine Mär, zu glauben, dass nur Daten von größeren Firmen für Hacker von Interesse sind - ebenso sind kleine und mittelständische Unternehmen immer häufiger Attacken ausgesetzt.
Der Mittelstand scheint sich dieser Tatsache jedoch noch nicht bewusst zu sein: Eine von der Meta Group durchgeführte Studie zeigt, dass mittelständische Unternehmen ihre Systeme in der Vergangenheit bis zum Letzten ausgereizt und nur die nötigsten Investitionen vorgenommen haben. Die Studie IT Security 2003 von Mummert Consulting ergab darüber hinaus, dass im Jahre 2003 sieben von zehn Unternehmen im Zusammenhang mit Einsparmaßnahmen auch die IT-Budgets eingefroren oder reduziert haben.
Vor dem Hintergrund von Basel II erweisen sich solche Sparmaßnahmen als Trugschluss. Je mehr der Geschäftsbetrieb auf die technische Infrastruktur angewiesen ist, desto stärker hängt letztlich auch die Bonität und somit die Kreditentscheidung von einem aktiven IT-Risk-Management ab. Wer bei der IT spart, verschlechtert sein Rating und kann in zweiter Konsequenz durch ungünstige Kreditkonditionen mehr Kapital verlieren, als er durch seine Sparmaßnahmen gewinnt. Allerdings scheint sich die Sparmentalität zu ändern. Die Meta-Group-Studie prognostiziert für 2004 eine Trendwende: So sollen in diesem Jahr die IT-Budgets wieder steigen.
Um das Risiko, das durch eine unsichere IT-Infrastruktur besteht, zu minimieren, sollten Systemverantwortliche sowohl geeignete Früherkennungs- als auch Abwehrmaßnahmen einleiten und ein Notfallprogramm für das Worst-Case-Szenario eines Systemausfalls erarbeiten. Vor allen Dingen aber sind die Systeme regelmäßig auf dem neuesten Stand von Wissenschaft und Technik zu halten. Es versteht sich, dass das Tempo der technischen Entwicklungen am Markt auch das Tempo der Sicherheits-Updates bestimmen muss. Neben der Aktualität der Software kann die der Hardware für die Bewertung des IT-Risikos von Bedeutung sein. Weiterhin ist es ratsam, einen Security-Experten im eigenen Unternehmen zu beschäftigen, der die Überwachung der Systeme gewährleistet. Vor dem Hintergrund von Basel II sind all diese Maßnahmen Indikatoren für ein geringes operationelles Risiko und senken die Anforderungen an die Eigenkapitalunterlegung von Krediten.
Die Notwendigkeit eines aktiven IT-Risk-Managements besteht umso mehr, wenn ein Unternehmen (IT-)Geschäftsprozesse auf Dritte auslagert. Insbesondere Banken und Großkonzerne, aber auch viele mittelständische Unternehmen nutzen die Möglichkeit des Outsourcing zur Einsparung von Sach-, Personal- und nicht zuletzt IT-Kosten. Allerdings sind Outsourcing-Maßnahmen nur dann effizient und damit risikoärmer, wenn das Unternehmen nicht mit den falschen Anbietern kooperiert. Die IT-Sicherheit und damit letztlich die Bonität des Unternehmens sinkt ebenfalls, wenn nur schwache Verträge abgeschlossen werden [1].
Gerade Finanzinstitute müssen außerdem beachten, dass sie bei mangelhaften Outsourcing-Maßnahmen nicht nur ihre eigene Risikobewertung negativ beeinflussen, sondern auch gegen das Kreditwesengesetz (KWG) verstoßen. Dieses besagt, dass im Kreditwesen die Auslagerung von Bereichen auf ein anderes Unternehmen... weder die Ordnungsmäßigkeit dieser Geschäfte oder Dienstleistungen noch die Steuerungs- oder Kontrollmöglichkeiten der Geschäftsleitung, noch die Prüfungsrechte und Kontrollmöglichkeiten der Bundesanstalt beeinträchtigen darf.
Des Weiteren muss sich ein Unternehmen die Frage stellen, wie es konkret mit der größten IT-Schwachstelle, der Schnittstelle Mensch-Maschine, umgeht. Es ist erwiesen, dass die meisten IT-Unfälle nicht auf technische Mängel, sondern auf menschliches Fehlverhalten zurückzuführen sind. 80 Prozent aller Viren verbreiten sich über E-Mails, zumeist unter aktiver Beteiligung eines Systembenutzers, der etwa eine angehängte Datei öffnet. Ein Virus, das den Zugriff auf das System über mehrere Stunden lahm legt, kann zu erheblichen Umsatzeinbußen führen. Hinzu kommen erhebliche Imageverluste, gerade bei Unternehmen, die das Internet als Vertriebskanal nutzen.
Um solche Szenarien zu vermeiden, sollten Management und Sicherheitsverantwortliche eines Unternehmens für ein effektives Risikomanagement sorgen. Dazu gehören Schulungen und Aufklärungsmaßnahmen genauso wie eine im Unternehmen kommunizierte, schriftlich fixierte Sicherheits-Policy. Diese Maßnahmen dürfen allerdings keine einmaligen Aufgaben sein, nur bei regelmäßige Wiederholungen führen sie zum gewünschten Ergebnis.
Zusammenfassend verlangt Basel II im Hinblick auf den Einsatz von IT
Einen konkreten Maßnahmen- oder Anforderungskatalog in Sachen IT-Sicherheit hat das Baseler Komitee nicht erarbeitet, die Unternehmen sind in der Umsetzung mehr oder weniger auf sich selbst gestellt. Fachleute und Consultants empfehlen, sich an anerkannten Standards wie BS 7799 beziehungsweise ISO/IEC 17779 oder am IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik zu orientieren. In der Praxis wird es so aussehen: Das Unternehmen legt sein nach welchen Kriterien auch immer gestaltetes Sicherheitskonzept vor und das Kreditinstitut - oder ein von ihm beauftragter externer IT-Auditor - befindet darüber, ob es für den gewünschten Schutzzweck ausreicht.
Diese Grundsätze spielen auch bei der für Versicherungsunternehmen entscheidenden Vorschrift Solvency II eine wichtige Rolle. Solvency II soll ebenfalls in den nächsten Jahren EU-weit rechtlich umgesetzt werden. Ähnlich aufgebaut wie Basel II befasst sich diese Regelung mit der finanziellen Ausstattung der Versicherungswirtschaft und verlangt wie diese die Verringerung von Risiken dank daran angepasster Eigenkapitalquoten. Das von einem Versicherungsunternehmen bereitzuhaltende so genannte Solvenzkapital ist in Zukunft stärker an die vom Versicherer getragenen Risiken anzupassen. Dessen Risikobewertung erfolgt wiederum in Bezug auf das zu versichernde Unternehmen, bei dem - etwa bei den IT-Versicherungen, aber gerade auch den Betriebsunterbrechungs- oder Betriebshaftpflichtversicherungen - die operationellen (IT-)Risiken von großer Bedeutung sind.
Je höher der Anteil der IT-gesteuerten Geschäftsprozesse liegt, umso höher wird der Versicherungsbeitrag sein, es sei denn, das Unternehmen weist ein angemessenes Risikomanagement auf. Durch Solvency II ist mit einer starken Veränderung der Produktlandschaft in der Versicherungsbranche zu rechnen, insbesondere im Hinblick auf die teilweise Neuausrichtung der Versicherungspreise, ähnlich den Zinsen bei Basel II. Bei einigen Versicherungsprodukten wird die Rentabilität auf dem Prüfstand stehen.
All dies zeigt, wie wichtig eine angemessene IT-Sicherheitspolitik ist, da sie - von Produktivitätsvorteilen einmal abgesehen - auch bei der Verhandlung von Krediten oder bei der Bestimmung von Versicherungskonditionen entscheidend sein kann. Je früher sich ein Unternehmen hiermit befasst, desto besser. Jetzt die Implementierung hoher technischer Sicherheitsstandards voranzutreiben, kann in Zukunft bares Geld bedeuten.
Tobias Haar
ist Rechtsanwalt in der Communications, Media & Technology Group von Clifford Chance in Frankfurt am Main.
Sarah Schädler
war dort als Rechtsreferendarin tätig.
Literatur
[1] Florian Schmitz; Recht; Schreiben ist Gold; Das Einmaleins des Outsourcing-Vertrags; iX 7/2004, S. 90
Dieser Text ist der Zeitschriften-Ausgabe 12/2004 von iX entnommen.
iOS, Android, Windows Phone 7 und HTML5 - das neue Sonderheft von heise Developer führt Einsteiger und Profis in die Programmierung mobiler Geräte ein.
