Compliance Sicherheitsmanagement schützt vor rechtlichen Konsequenzen

Autor / Redakteur: Arndt Schürg / Claudia Otto

Sicherheitsvorfälle haben oft verheerende Folgen für das betroffene Unternehmen und stellen auch für die Geschäftsführer eine persönliche Gefahr dar. Ein effektives unternehmensweites Sicherheitsmanagement hilft, derartige Risiken einzudämmen.

Firmen zum Thema

Abgesehen von den negativen Auswirkungen von Verfehlungen für die Geschäftstätigkeit, steigt auch die persönliche Gefahr für die Geschäftsführer privat- und strafrechtlich haftbar gemacht zu werden Bild: MM-Archiv
Abgesehen von den negativen Auswirkungen von Verfehlungen für die Geschäftstätigkeit, steigt auch die persönliche Gefahr für die Geschäftsführer privat- und strafrechtlich haftbar gemacht zu werden Bild: MM-Archiv
( Archiv: Vogel Business Media )

Korruption, Bespitzelung, Big Brother Awards und Bilanzfälschungen: Für Unternehmen bedeuten entsprechende Vorfälle eine große Gefahr. Als wären negative Auswirkungen für die Geschäftstätigkeit nicht genug, steigt auch die persönliche Gefahr für die Geschäftsführer, bei Verfehlungen privat- und strafrechtlich haftbar gemacht zu werden.

Es gibt also viele Gründe, ein effektives unternehmensweites Sicherheitsmanagement zu etablieren. Die Security Policy stellt das „Grundgesetz“ für alle Sicherheitsthemen im Unternehmen dar und definiert den Schutzanspruch für die Informationen im Unternehmen. Sie ist der Maßstab, gegen den alle Sicherheitsmaßnahmen verifiziert werden. Ziel ist ein umfassendes Sicherheitskonzept, welches die einzelnen Maßnahmen in Zusammenhang stellt.

Die wichtigsten Bestandteile einer Security Policy

  • Unternehmensphilosophie: Der Umgang mit Sicherheitsthemen ist ein Bestandteil der Unternehmensphilosophie. Dazu gehört zum Bespiel ein gut trainiertes Problembewusstsein, betreffend Gefährdungen und Risiken, aber auch die selbstverständliche Anwendung der richtigen Maßnahmen bei einem Sicherheitsvorfall.
  • Prozesse: Die Einführung entsprechender Sicherheitsprozesse stellt sicher, dass die Mitarbeiter über alle Informationen und Mittel zur Einhaltung der Security Policy verfügen. Weiterhin wird so dem Management strukturiertes Feedback für Verifizierung der Vorgaben aus dem operativen Geschäft zur Verfügung gestellt.
  • Methoden: Zur Durchführung oder Überwachung der Wirksamkeit getroffener Maßnahmen und Prozesse werden in der Security Policy entsprechende Vorgehensweisen definiert. Beispiele dafür sind die Spezifikation der unternehmenseigenen Risikoanalytik sowie Vorgaben zur Bewertung der Reifegrade der einzelnen Konzepte, Prozesse und Dokumente.
  • Organisation und Gremien: Zur Unterstützung der Prozesse wird die zugrundeliegende Sicherheitsorganisation definiert. Innerhalb der bestehenden Organisationsstruktur müssen Zuständigkeiten für Verantwortungsbereiche und Entscheidungsgremien bestimmt werden.

Umsetzung der Security-Policy-Ziele scheitert oft trotz guter Vorsätze

Die Umsetzung der in der Security Policy definierten Ziele scheitert oft trotz guter Vorsätze. Ziele werden zu hoch gesetzt, Teil-Projekte scheitern und Erfolgserlebnisse bleiben aus. Selbst bei erfolgreicher Einführung können trotzdem eingetretene Sicherheitsvorfälle die Sinnfrage aufkommen lassen. Wozu wird der hohe Aufwand getrieben, wenn trotzdem Vorfälle nicht verhindert werden können? Durch Berücksichtigung der folgenden vier Erfolgsfaktoren können die üblichen Fallen bei der Einführung einer Security Policy vermieden werden.

  • Zyklisches Vorgehen
  • Fehlertoleranz aufbauen: Alles was schief gehen kann, geht auch schief
  • Kommunikation – Ist Schweigen immer Gold?
  • Managementunterstützung

Die Einführung einer Security Policy bedingt neue Kommunikationswege und die Mitarbeiter müssen zu einem geänderten Umgang mit Risiken ermutigt werden. Deshalb empfehlen wir eine zyklische Vorgehensweise: Zu Beginn steht die Zielsetzung. Durch Priorisierung werden die Ziele für den jeweiligen Zyklus abgeleitet.

Mit Blick auf den langfristigen Charakter des Vorhabens ist die Ausgewogenheit zwischen Anspruch und Erreichbarkeit der Ziele essentiell. Eine Überforderung oder Unterforderung durch eine falsche Zielsetzung gefährdet den langfristigen Erfolg.

(ID:330117)