Logo weiterlesen.de
GRC Management- Governance, Risk and Compliance: IT- Sicherheit als Bestandteil eines integrierten Compliance- Managements

Fabian Sachs, LL.M., D.D.F. (Grenoble)

GRC Management-
Governance, Risk and Compliance:
IT- Sicherheit als Bestandteil eines integrierten
Compliance- Managements

Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sonstige Vervielfältigung, Übersetzung, Verbreitung und öffentliche Zugänglichmachung.

Hinweis für die Nutzung des Werkes:

Erkenntnisse in der Informationstechnologie, als auch gesetzliche und nichtgesetzliche Anforderungen unterliegen einem laufenden Wandel durch Forschung und Entwicklung, der Rechtsprechung und Weiterentwicklung des Rechts bzw. einschlägiger Standards und Frameworks. Der Autor hat nach großer Sorgfalt darauf geachtet, dass die im Werk aufgeführten rechtlichen Angaben dem derzeitigen Wissenstand entsprechen. Es entbindet daher dem Nutzer keineswegs von seiner Verpflichtung anhand weiterer Informationsquellen dies zu überprüfen, ob die im Buch gemachten Angaben mit den dortigen gemachten Angaben abweichen. Der Nutzer sollte in eigener Verantwortung seine Entscheidung entsprechend treffen.

Haftungsausschluss für aufgeführte Internetverweise

In diesem Buch wurden Links (Internetverweise) zu Seiten im Internet hinterlegt. Hierbei gilt für all diese Links, dass der Autor keinerlei Einfluss für die Inhalte oder Gestaltung der verlinkten Seiten hat. Daher kann für diese fremden Inhalte auch keinerlei Gewähr übernommen werden. Es ist für die Inhalte der verlinkten Seiten immer der jeweilige Betreiber oder der Anbieter der Seite verantwortlich. Zum Zeitpunkt der Links wurden diese vom Autor auf etwaige Rechtsverstöße hin überprüft. Dabei waren zu diesem Zeitpunkt keine rechtswidrigen Inhalte erkennbar. Die stetige inhaltliche Kontrolle der in diesem Buch aufgeführten Links zu den entsprechenden Seiteninhalten ist ohne spezifische Anhaltspunkte einer Rechtsverletzung ohnehin nicht zumutbar. Derartige Links werden vom Autor bei Bekanntgabe entsprechend umgehend entfernt. Der Autor distanziert sich daneben ausdrücklich von allen Inhalten aller Seiten, die in diesem Buch aufgeführt sind.

Für meine Eltern

Vorwort

Zielgruppe dieses Buches sind Beschäftigte, Akademiker und Fachkräfte, welche sich mit der IT- Sicherheit und dem Datenschutz auseinandersetzen und in Unternehmen an einem GRC Management beteiligt sind. Dieses Buch soll Ihnen einen Einblick in das Thema GRC Management geben, um neben der Schaffung einer höheren Akzeptanz zum Thema Datenschutz und Datensicherheit auf Managementebene auch eine Etablierung im Unternehmen in die Wege leiten zu können. Unter dem Thema GRC Management: IT- Sicherheit als Bestandteil eines integrierten Compliance- Managements fallen ganz unterschiedliche Disziplinen, wie z.B. die Informationstechnologie, betriebswirtschaftliche Aspekte, als auch nationales, europäisches und internationales Recht. Daneben existieren noch eine Vielzahl an unterschiedlichen Regelungen im nichtgesetzlichen Bereich, die es zu beachten gilt.

Ich hoffe Ihnen mit diesem Buch einen umfassenden Einblick zu ermöglichen und würde Anregungen und konstruktive Kritik sehr begrüßen. Sie können diese gerne mit dem Betreff Buchkritik GRC an fabian_sachs@email.de via E-Mail versenden.

Abschließend wünsche ich Ihnen viel Freude bei dieser Lektüre.

Mein Dank gilt meinen Eltern und meiner Lebensgefährtin Vanessa Sauer, die mich mit Rat und Tat unterstützt haben.

Fabian Sachs, LL.M., D.D.F. (Grenoble)

Bad Salzig, 28.06.2017

Inhaltsverzeichnis

Vorwort

Abkürzungsverzeichnis

A. Entwicklung von IT- Bedrohungen

I. Industrie 4.0

II. Folgen der Vernetzung

B. GRC Management- Governance, Risk and Compliance: IT- Sicherheit als Bestandteil eines integrierten Compliance-Managements

I. GRC Management: Governance, Risk and Compliance

1. Governance

1.1 Gesetzliche Anforderungen
a) Sarbanes-Oxley Act (SOX)
b) EuroSOX
c) Datenschutzrechtliche Grundlagen
d) Folgen bei Nichtbeachtung des Datenschutzes
e) Meldeanforderungen nach DSGVO
f) Datenschutzfolgeabschätzung nach DSGVO
g) Benachrichtigung betroffener Personen nach DSGVO
h) Durchführung von Penetrationstests nach DSGVO
i) Privacy by Design nach DSGVO
j) Datenlöschung nach DSGVO
k) Anforderungen nach Basel II, III
l) Gesetzliche Behandlung der Korruption in Deutschland
aa) Gesetz über Ordnungswidrigkeiten
bb) Strafgesetz
cc) Einkommenssteuergesetz
m) Gesetzliche Behandlung der Korruption in den USA
n) Gesetzliche Behandlung der Korruption im Vereinigten Königreich
o) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
p) Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts (UMAG)
q) Aktiengesetz (AktG)
r) Lizenzmanagement
s) Lizenzen und Urheberrecht
1.2 Regelungen im nichtgesetzlichen Bereich
a) IDW-Standards
b) Deutscher Corporate Governance Kodex (DCGK)
c) OECD Principles of Corporate Governance
d) Framework in der IT- Governance (ISACA, ITGI)
e) ISO/IEC 2700x
aa) Management in der Informationssicherheit gem. ISO/IEC 27001 (ISMS)
bb) Code of Practice gem. ISO/IEC 27002
cc) Risikomanagement in der Informationssicherheit gem. ISO/IEC 27005
dd) Datenschutz gem. ISO/IEC 27018
f) IT- Grundschutzkatalog des BSI
g) CobiT Framework im IT-Bereich der strategisch-unternehmerischen Managementebene
h) COSO
i) Val IT
j) IT-Grundsätze (Policies) und deren praxisgerechte Implementierung

2. Risk

2.1 Akteure
2.2 Risiken in der Informationstechnologie
2.3 Risikobestimmung
a) Potenzielle Risiken und Risikoarten
b) Datendiebstahl
aa) Datendiebstahl von Microsoft Windows-Systemen
bb) Datendiebstahl von Linux-Systemen
cc) Hacking
dd) Malware
ee) Botnetze
ff) Denail of Service (DoS)
gg) Phising
hh) Social Media
ii) Keylogger
jj) Risiko USB-Schnittstelle
kk) Risiko WLAN
ll) Risiko bei SCADA- Systemen
c) Eintrittswahrscheinlichkeit und deren Konsequenzen
d) Probleme bei subjektiver Einschätzung der Risiken und deren Bewertung
2.4 Grundlagenmethoden des Risikomanagements
a) Berechnungsverfahrungen zur Analyse und Darstellung der Risiken
aa) Risiko- und Risikobewertungsmatrix
bb) Risikoportfolio und die Kriterien zur Einstufung des möglichen Schadens
cc) Risikokatalog
b) Bestimmungen zur Ausführung von Informationen
2.5 Methoden im Bereich des IT-Risikomanagements
a) Analyse von Schwachstellen
b) Ergreifung von Maßnahmen
aa) Maßnahmen zum Schutz personenbezogener Daten
bb) Patchmanagement und Virenschutz
cc) Netzwerkmonitoring
dd) EDV-Sicherungen
ee) E-Mail und Internetnutzung
ff) Technische Vorgaben zum Lizenzmanagement
gg) Überprüfung der umgesetzten Maßnahmen
hh) Methodendidaktik CRAMM
ii) Fehlermöglichkeits- und Einflussanalyse
2.6 Risiko Korruption
2.7 Moralische Risiken

3. Compliance

3.1 Sicherheitskonzepte bei unternehmerischer Infrastruktur
3.2 Notfallplan

II. Praktische Anwendung des GRC

1. Unternehmensbezogener Lösungsansatz am Praxisbeispiel SAP

2. Outsourcing

2.1 Cloud Computing
2.2 Sicherheitsrisiken bei Cloud Computing

C. Schlusswort

Anlage 1: Mögliche „Tools“ zur Schadensauslösung

Anlage 2: Risikomanagement in der Informationssicherheit gem. ISO/IEC 27005

Anlage 3: CobiT-Prozess

Anlage 4: COSO Internal Control-Integrated Framework

Anlage 5: Schadeneinstufungskriterium

Anlage 6: Schadenszenarieneinstufung

Anlage 7: ISO-Begriffe zu ISO/IEC Guide 73:2009: Risk management- Principles and guidelines

Anlage 8: Beispiele einer Risikomatrix

Anlage 9: Musterformular zur Einschätzung von IT-Bedrohungen

Anlage 10: CRAMM-RISK-Matrix

Anlage 11: CRAMM-Asset-Modul

Anlage 12: IT-Notfallplanung bei Bedrohung- und Ereignis

Anlage 13: IT-Outsourcing und Complianceanforderungen

Anlage 14: Compliancenachweise

Anlage 15: Schwachstellenanalyse bei Cloud Computing

Quellenverzeichnis

Literaturverzeichnis

Aufsätze

Urteile

Internetverzeichnis

Zum Autor

Abkürzungsverzeichnis

a.a.O. am angegebenen Ort
Abb. Abbildung
Abs. Absatz
AES Advanced Encryption Standard
AG Aktiengesellschaft
AG* Amtsgericht
AktG Aktiengesetz
Anm. Anmerkung
AO Abgabenordnung
APT Advanced Persistent Threat
Az. Aktenzeichen
BCR Binding Corporate Rules
Bd. Band
BetrVG Betriebsverfassungsgesetz
BGB Bürgerliches Gesetzbuch
BGH Bundesgerichtshof
BSA Business Software Alliance
BSI Bundesamt für Sicherheit in der Informationstechnik
bzgl. bezüglich
bzw. beziehungsweise
BDSG Bundesdatenschutzgesetz
BITKOM Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.
BIOS Basic Input Output System
ca. circa
CD Compact Disc
CDs Compact Discs
CEO Chief Executive Officer
CIIP Critical Information Infrastructure Protection
CIP Critical Infrastructure Protection
CMOS- SRAM Complementary Metal Oxide Semiconductor-Static Random- Access Memory
CobiT Control Objectives for Information and related Technology
COSO Committee of Sponsoring Organizations of the Treadway Commission
CRAMM Centre for Information Systems Risk Analysis and Management Method
CIA Central Intelligence Agency
CRO Chief Risk Officer
DB Der Betrieb
DCGK Deutsche Corporate Governance Kodex
DIN Deutsches Institut für Normung
DSG Datenschutzgesetz
DoS Denial of Service
DIN Deutsches Institut für Normung
DuD Datenschutz und Datensicherheit
DVDs Digital Versatile Discs
EDV Elektronische Datenverarbeitung
EG Europäische Gemeinschaft
EN Europäische Norm
ENISA European Network and Information Security Agency
et al. et alii
EStG Einkommensteuergesetz
etc. et cetera
EU Europäische Union
e.V. eingetragener Verein
evtl. eventuell
EWR Europäischer Wirtschaftsraum
FBI Federal Bureau of Investigation
FCPA Foreign Corrupt Practices Act
FMEA Fehlermöglichkeits- und Einflussanalyse
ff. fortfolgende
gem. gemäß
GenG Genossenschaftsgesetz
GewO Gewerbeordnung
GoBS Grundsätzen ordnungsgemäßer Datenverarbeitungsgestützter Buchführungssysteme
GmbH Gesellschaft mit beschränkter Haftung
GmbH & Co. KG Gesellschaft mit beschränkter Haftung & Compagnie Kommanditgesellschaft
GRC Government, Risk and Compliance
GRUR Gewerblicher Rechtsschutz und Urheberrecht
GG Grundgesetz
GRUB Grand Unified Bootloader
HMD Handbuch der maschinellen Datenverarbeitung
HPM High Power Microwave
Hrsg. Herausgeber
IDS Intrusion Detection System
ICS-CERT Industrial Control Systems Cyber Emergency Response Team
IEC International Electrotechnical Commission
i.d.R. in der Regel
IDW Institut der Wirtschaftsprüfer
IKS internes Kontrollsystem
ISACA Information Systems Audit and Control Association
ISMS Informationssicherheitsmanagementsystem
ITGI IT- Governance Institute
ITIL IT Infrastructure Library
IPSec Internet Protocol Security
ISO International Organization for Standardization
ISPRAT Interdisziplinäre Studien zu Politik, Recht, Administration und Technologie e.V.
i.V.m. in Verbindung mit
inkl. inklusive
insb. Insbesondere
ISMS Information Security Management System
IT Informationstechnologie
KG Kommanditgesellschaft
KGaA Kommanditgesellschaft auf Aktien
KMU kleine und mittlere Unternehmen
KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
KPMG Klynfeld, Peat, Marwick und Goerdeler
Linux Linus torvalds unix
MBR Master Boot Record
mbH mit beschränkter Haftung
MIR Medien Internet und Recht
MMR Multimedia und Recht
NATO North Atlantic Treaty Organization
NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V.
NJW Neue Juristische Wochenschrift
NSA National Security Agency
OECD Organisation for Economic Cooperation and Development
OHG offene Handelsgesellschaft
OLG Oberlandesgericht
OWiG Gesetz über Ordnungswidrigkeiten
PaaS Platform as a Service
PC Personal Computer
PCCIP President′s Commission on Critical Infrastructure Protection
PDCA Plan-Do-Check-Act
PHP Personal Home Page Tools
PINs Personal Identification Numbers
POST Power On Self Test
PPTP Point-to-Point Tunneling Protocol
pwc PricewaterhouseCoopers (pwc)
RAID Redundant Array of Independant
Rn. Randnummer
SaaS Software as a Service
SCADA Supervisory Control and Data Acquisition
SEC Securities and Exchange Commission
SLA Service Level Agreement
SMS Short Message Service
SOX Sarbanes-Oxley Act
sog. sogenannten
SSL Secure Sockets Layer
StGB Strafgesetzbuch
TAN Transaktionsnummer
TKG Telekommunikationsgesetzes
TMG Telemediengesetz
TNS Emid Taylor Nelson Sofres Erforschung der öffentlichen Meinung, Marktforschung, Nachrichten, Informationen und Dienstleistungen
UrhG Urheberrechtsgesetz
UMAG Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts
URL Uniform Resource Locator
USA United States of America
U.S.C. United States Code
USB Universal Serial Bus
UStG Umsatzsteuer
Vgl. Vergleiche
VDI Verein Deutscher Ingenieure
VoIP Voice over IP
VPN Virtual Private Network
Wi-Fi Wireless Fidelity
WLAN Wireless Local Area Network
WPA Wi-Fi Protected Access
WPA2 Wi-Fi Protected Access 2
z.B. zum Beispiel

A. Entwicklung von IT- Bedrohungen

Die immer stärker ausgeprägte Implementierung der Informationstechnik (IT) in kleinen, mittelständischen Unternehmen und Konzernen und die seit Jahren wachsende Anzahl potenzieller Bedrohungen im Bereich der Wirtschaftskriminalität sowie der zum Teil äußerst fahrlässige Umgang innerhalb der Datenverarbeitung und -speicherung steigern den Bedarf an möglichen Lösungsansätzen im Bereich des GRC Managements, vor allem in Hinblick auf die IT-Sicherheit als Bestandteil eines integrierten Compliance-Managements. Nach einer Studie der Wirtschaftsprüfungsgesellschaft KPMG befürchten weit über drei Viertel (87 Prozent) der Unternehmen potenzielle Opfer von Datenmissbrauch oder Datendiebstahl zu werden. Tatsächlich wurde bereits jedes dritte Unternehmen in den Jahren 2012 und 2013 Opfer von Wirtschaftskriminalität. Obwohl von einer potenziell steigenden Gefahr in diesem Bereich ausgegangen werden kann und bereits 55 Prozent der Täter wirtschaftskrimineller Handlungen innerhalb des Unternehmens anzutreffen sind sowie 45 Prozent der deliktischen Handlungen von Personen aus dem unternehmensexternen Umfeld erfolgen,1 stufen 70 Prozent der befragten Unternehmen in Deutschland das eigene Risiko in Hinblick auf Handlungen im Bereich der Wirtschaftskriminalität als gering ein.2 Deutsche Unternehmen verkennen die steigende Anzahl potenziell organisierter Cyberkriminalität und Wirtschaftsspionage, als auch die Risiken der eigenen Mitarbeiter. Dies kann für die Unternehmen massive rechtliche und finanzielle Folgen haben. Der Schaden durch Wirtschaftsspionage wird nach dem Verein Deutscher Ingenieure (VDI) in Deutschland jährlich auf 100 Milliarden Euro geschätzt.3 Unternehmen, insbesondere kleine, mittelständische Unternehmen (KMU), rücken vermehrt in den Fokus von Cyberkriminellen. Dabei sind diese häufig Opfer von Erpressung, Wirtschaftsspionage und Abgreifen von Know- How durch Konkurrenzunternehmen.4 Es existieren in der Informationstechnologie unterschiedliche Risikoakteure bzw. Angreifertypologien (versierte und weniger versierte Hacker, politische Gruppierungen oder Innentäter,5 als auch Nachrichtendienste). Seit den Jahren 2013 und 2014 ist das technische Verständnis und Wissen über nachrichtendienstliche Aktivitäten gewachsen.6

In den folgenden Seiten wird ein Einblick in das Thema „GRC Management- Governance, Risk and Compliance: IT-Sicherheit als Bestandteil eines integrierten Compliance-Managements” gegeben und Lösungsansätze aufgezeigt.

I. Industrie 4.0

Die Industrie 4.0 wurde aufgrund einer Hightech-Strategie der Bundesregierung und des gleichnamigen Projektes ins Leben gerufen. Unter diesen Begriff fällt die Vernetzung der Produktion mit modernster Kommunikations- und Informationstechnik.7

Industrie 4.0 bezieht sich auf die vorherigen drei industriellen Revolutionen (Dampfmaschine (1.0), Fließband (2.0), Elektronik und IT (3.0) Die Produktion mittels Industrie 4.0 bedeutet die Nutzung intelligenter Fabriken- smart factories durch digital vernetzte, intelligente Systeme, um eine effiziente und flexible Produktion zu ermöglichen. Es soll die individuelle Produktion ebenso ermöglichen, wie auch die damit verbunden Produkte maßgeschneidert an den Kunden zu bringen.8

Hierbei müssen Normen Standards für einzelne Industriesektoren entwickelt, der Datenschutz und die IT-Sicherheit ebenso beachtet werden, als auch die Veränderungen in der Arbeitsorganisation.9

II. Folgen der Vernetzung

Im Mai 2015 erfolgte ein Hackerangriff auf den Bundestag.10 Hierbei wurden 50 Gigabyte Daten11 durch den Angriff entwendet. Zu diesem Zeitpunkt war noch nicht abschließend geklärt, welche Informationen abgeflossen sind.12 Anfang Juli 2015 erklärte ein Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), dass auf das folgende Wochenende des 7. Mai 2015 Täter in der Lage gewesen seien, sich frei im Bundestag-Netzwerk bewegen zu können. Es sei den Angreifen, so der Mitarbeiter des BSI möglich gewesen, fünf von sechs der Domainadministratoraccounts der Bundestagsverwaltung zu kompromittieren und nutzen zu können. Beängstigend ist, dass Hinweise von Nutzern bei der IT- Abteilung des Bundestages nicht ernst genommen worden sind und man erst mit der Meldung des Verfassungsschutzes am 12. Mai 2015 den Ernst der Lage erkannte. Noch dazu wurde das Bundesamt für Verfassungsschutz (BfV) über ein britisches Unternehmen darüber informiert, dass ein Kunde des Unternehmens die übertragenen Daten des Bundestages auf dessen Server hatte und sich darüber „wunderte“. In der Sommer-pause des Bundestages 2015 erfolgte eine viertägige Netzabschaltung, die darin gipfelte, dass nur mit Hilfe des BSI, des BfV und durch externe Unternehmen der Angriff nun abgewehrt werden konnte.13 Die Linkspartei weigerte sich aufgrund der Überwachung der Partei durch das BfV bei deren Mitwirkung.14 Laut dem Abschlussberichts des BSI vom 03. November 2015 wurde die methodische Einordnung des Cyber- Angriffs festgestellt. Es handelte sich hierbei um ein klassisches Advanced Persistent Threat (APT)-Muster,15 welches durch gängige Methoden und für die Öffentlichkeit verfügbare Programme durchgeführt worden ist. Die Analyse ergab, dass die Angreifer drei Wochen Zeit hatten, um die Daten entsprechend abgreifen zu können. Ende Mai 2015 sei, so laut BSI, das IT- System vom Bundestag wieder vollständig abgesichert. Anfang 2016 teilte das BfV mit, dass davon auszugehen sei, dass es sich bei dem Hackerangriff auf den Bundestag um einen geheimdienstlich gesteuerten Angriff gehalten haben könnte. Die Bundesanwaltschaft nahm daraufhin Mitte Januar 2016 förmliche Ermittlungen wegen des Verdachts von geheimdienstlicher Agententätigkeit gegen unbekannt auf.16

Die jüngste Entwicklung zu diesem Thema war am 12. Mai 2017 der Trojaner „WannaCry“,17 der innerhalb von wenigen Stunden mehr als 7.000 Rechner befallen hatte und dazu führte, dass Automobilunternehmen ihre Produktion stoppten und britische Krankenhäuser Operationen verschoben. Daneben waren 450 Rechner der Deutschen Bahn, deren Befall sich durch nicht mehr funktionierende Anzeigetafeln und Videoüberwachungssysteme an den Bahnhöfen äußerte, betroffen.18

Die Vernetzung unterschiedlicher Systeme führt zu einer immer weiteren potenzieller Bedrohung von IT- Systemen.

B. GRC Management- Governance, Risk and Compliance: IT- Sicherheit als Bestandteil eines integrierten Compliance-Managements

An die Unternehmensleitung werden verschieden Anforderungen in Bezug auf Rechte und Pflichten mit dem Begriff „Corporate Governance“ gestellt.19

Resultierend aus Verstößen gegen weltweite Datenschutzrechte sind besonders Risiken im Bereich der Compliance20 sowie Risiken im Bereich des Nimbus, die den Verlust von Kunden mit sich führt.21 Es werden beispielsweise immer stärker Kreditkartennummern und Kreditkarten an eine Vielzahl von Unternehmen täglich übermittelt.22

Der deutsche Gesetzgeber hatte aufgrund von falschen Risikoannahmen sowie von Missbräuchen u.a. das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) erlassen. Daneben wurden noch eine Reihe weiterer Regulatoren erlassen, wie den Sarbanes-Oxley Act (SOX) in den USA und den EuroSOX in Europa sowie den Basel Capital Accord (Basel II) oder auch den „Swiss Code of best Practices for Corporate Governance“ in der Schweiz.23 Unternehmen, welche nicht nur auf nationalen und internationalen Märkten agieren, sondern auch geschäftlich in Kontakt stehen, müssen sich insbesondere mit den oben aufgeführten Regeln auseinandersetzen.

I. GRC Management: Governance, Risk and Compliance

Aufgrund der abenteuerlichen Skandale börsennotierter Unternehmen und gehäufter Unternehmensinsolvenzen vor fünfzehn Jahren wurden weltweit Staaten in ihrer Gesetzgebungskompetenz aktiv und schufen weitreichende Pflichten gegenüber den Gesellschaftern. Hierbei ist insbesondere die Absicherung der Verwaltungsorgane durch persönliche Haftungsübernahmen als auch die verbesserten Schadensersatzanspruchsregelungen aufzuführen. Damit die Verwaltungsorgane und Gesellschaften ihren ursprünglichen Aufgaben nachkommen können, wurde die Idee einer Compliance- Organisation vertreten.24

1. Governance

Der Begriff „Corporate Governance“25 definiert die fundamentalen Anforderungen der Anspruchsgruppen an die Kontrolle und Führung eines Unternehmens.26 Corporate Governance ist seit größeren Unternehmenszusammenbrüchen wie z.B. Enron,27 Swissair,28 oder Worldcom29 zu einem wichtigen Begriff in der Unternehmensleitung für Transparenz und Verantwortlichkeit geworden.30

Des Weiteren ist Corporate Governance seit der bereits in 2007 begonnenen und die bis heute andauernden globalen Finanz- und Wirtschaftskrise den Fokus der Öffentlichkeit gerückt. Es geht im Corporate Governance darum, die Interessen der Unternehmensführung für das Unternehmen selbst, als auch die der Anteilseigner sowie des Kapitalmarktes, als auch die der Mitarbeiter und weiteren beteiligten Personen so zu gestalten, das die zuvor genannten Akteure im Sinne des Unternehmens handeln. Es ist hierbei insbesondere die Überwachungsfunktion des Verwaltungsrates sowie deren Leitungsfunktion im Unternehmen zu nennen, als auch die Funktion des Führens der Geschäftsleitung und der Prüfungsfunktionen durch Revisoren.31 Die Organization for Economic Cooperation and Development (OECD) hatte dies in der von ihr im Jahr 2004 veröffentlichen Präambel „Grundsätze der Corporate Governance“ wie folgt definiert:

Um die wirtschaftliche Wirkkraft, als auch das Wachstum und das Anlegervertrauen zu stärken, ist ein Corporate Governance maßgeblich. Corporate Governance beschreibt den Zusammenhang zwischen dem Aufsichtsrat, der Geschäftsleitung und seinen Anteilseignern. Daneben sind die Beziehungen zu den Anspruchsgruppen des Unternehmens ebenfalls heranzuziehen. Die Definierung der Unternehmensziele wird durch den strukturellen Rahmen des Corporate Governance, als auch deren Umsetzung und Überwachung sowie der Mittelidentifizierung ermöglicht. Ein gutes Corporate Governance stellt den Beteiligten (Aufsichtsrat und Vorstand) entsprechende Anreize zur Verfügung, welche die Ziele der Unternehmensinteressen und deren Shareholder, als auch eine wirksame Kontrolle ermöglichen. 32

1.1 Gesetzliche Anforderungen

Durch das Fehlverhalten im Bereich des Risikomanagements sowie durch den in den letzten Jahren massiven Missbrauch von gesetzlichen Verstößen und Richtlinien innerhalb der Unternehmensführung sind die Regierungen, als auch die Regulierungsbehörden dazu übergegangen, die Unternehmensrisiken stärker zu regeln. Resultierend aus oben aufgeführten Punkten wurden diverse Frameworks, Gesetze und Kodizes, wie z.B. den Sarbanes-Oxley Act (SOX), EuroSOX, oder der Deutsche Corporate Governance Kodex (DCGK) auf den Weg gebracht,33 auf die im weiteren Verlauf Bezug genommen wird.

a) Sarbanes-Oxley Act (SOX)

Der Sarbanes-Oxley Act (SOX) gilt seit dem 30.07.2002 in den USA und zielt auf Maßnahmen gegen die drohende Insolvenz von Unternehmen ab, um Bilanzfälschungen vorzubeugen und Gläubiger zu schützen.34 SOX enthält Bestimmungen zur Berichterstattung, der internen Kontrolle,35 als auch des Corporate Governance,36 welche in großen Unternehmen von Relevanz sind. Es ist daher eine Stabsstelle im Unternehmen zu schaffen, welche direkt dem Chief Executive Officer (CEO) unterstellt ist. Diese zu besetzende Stabsposition wird mit einem sog. „Risk Officer“ besetzt, der- wie die interne Revisionsabteilung des Unternehmens,37 in der Lage ist, aufgrund der Aufgabentrennung zur Geschäfts- und Managerebene seine Aufgabenbereiche zu erfüllen. Schwerpunkt dessen ist es, die Kontrolle von Risiken, als auch dem Entgegenwirken der Selbigen. Allerdings ist die Aufgabendurchführung durch operative Fachabteilungen durchzuführen. Innerhalb der „SOX-Stabstelle“ sind der Chief Risk Officer (CRO),38 der „Risk Owner“39 und der „Risk Manager“40 anzutreffen.41

Die Bestimmungen, welche sich aus SOX ergeben, sind von notierten Unternehmen an der amerikanischen Börse,42 sowie Unternehmen des öffentlichen Sektors genau zu befolgen. Sofern Verstöße gegen SOX vorliegen, kann dies zum Börsenkotierungsentzug als auch zu Haftstrafen bis zu zwanzig Jahren für die Executive Manager und den Board Members führen. Die Überprüfung der Einhaltung von SOX obliegt Wirtschaftsprüfern, welche die Überprüfung des Finanzergebnis auf deren Richtigkeit durchführen, aber auch die Systemfehlerfreiheit, als auch die Prozesse, welche unternehmensintern stattfinden, bewerten. 43

SOX verlangt von Unternehmen eine entsprechende interne Kontrollstruktur44 zu wählen und durchzuführen. Die interne Kontrollstruktur muss jedes Jahr auf ihre Effektivität hin kontrolliert werden sowie ein Bericht des Managements aufgestellt werden. Die Überwachung der Wirksamkeit übernimmt eine von der SEC befugte SOX-Compliance Person. Diese schreibt vor, für die Ermittlung oben aufgeführter interner Kontrollstruktur ein Framework anzuwenden. Hierbei wird das Framework des „Committee of Sponsoring Organizations of the Treadway Commission” (COSO) für die interne Kontrolle bevorzugt. Die Zahlen aus den jeweiligen „Reports“ werden durch EDV-Unterstützung aus dem Unternehmen als Ganzes herausgefiltert und im jeweiligen Buchhaltungssystem eingegliedert. Dementsprechend entfällt ein nicht unerheblicher Teil auf das Informationsrisiko. Dies stellt eine Anforderung des SOX, der Section 404 dar.45

Das Management eines US-amerikanisch börsennotierten Unternehmens wird gem. der Section 302 des SOX- Act aufgefordert, sowohl im Quartal als auch jährlich, die Informationen über die finanziellen Berichterstattungen als auch die internen Kontrollen zu bestätigen und offen zu legen. Dies wird durch entsprechende Aufsicht und Verantwortung gewährleistet. Das Control Objectives for Information and related Technology (CobiT), welches ein Kontrollrahmenwerk in der Informationstechnologie darstellt, hat entsprechende Prozesse im Bereich der Kontrolle des COSO-Frameworks dargestellt und erfüllt somit die SOX- Vorschriften im EDV-Bereich.46 Derzeit liegt das CobiT- Framework 5 vor, welches auch als Governance of Enterprise IT (GEIT) bezeichnet wird. Näheres zum CobiT-Framework wird in g) CobiT Framework erörtert.

b) EuroSOX

Das europäische Parlament, als auch der Rat der Europäischen Union haben im Jahr 2006 eine Neufassung der Abschlussprüferrichtlinie beschlossen, die Richtlinie 2006/43/EG vom 17.05.2006. Hierbei sollten die Anforderungen an eine hohe Abschlussprüfung ermöglicht werden, wenngleich keine vollständige Harmonisierung in diesem Bereich angestrebt wird.47 Die Umsetzung dieser Richtlinie, welche auch EuroSOX genannt wird, sollte bis zum 29.06.2008 bei allen Mitgliedstaaten in nationales Recht durchgeführt worden sein. Demnach sollen die Regelungen zu den Qualifikation der Prüfungsgesellschaften, die den Abschlussprüfern, als auch die der Qualitäten der Audits durch einen Prüfungsausschuss- ähnlich dem Audit Committee von SOX und dem internen Kontrollsystem (IKS) dazu führen, Betriebs- und Finanzrisiken, sowie die Verstöße gegen Vorschriften zu begrenzen, als auch eine höhere Rechnungslegungsqualität zu erreichen. Betroffene Unternehmen sind hierbei Unternehmen, welche dem Recht eines Mittgliedstaates unterworfen sind und deren Wertpapiere für den Handel auf einem anderen Mitgliedstaat zugelassen sind. Weiterhin können die Mitgliedstaaten der EU Unternehmen des öffentlichen Interesses bestimmen, sofern dieses Unternehmen aufgrund seiner Tätigkeit, Größe, Art oder Anzahl der Beschäftigten einen außergewöhnlich hohen Anteil öffentlicher Belange zuzusprechen ist und der Mitgliedsstaat bestimmt, dass diese Unternehmen unter die Richtlinie fallen. Es gilt für diese Unternehmen und für Unternehmen, welche automatisch unter EuroSOX fallen, die notwendige IT-Infrastruktur bereitzustellen, als auch die erforderliche Compliance innerhalb des IT-Systems zu etablieren. Seit Juli 2008 muss jede Kapitalgesellschaft in Deutschland zwingend ein Sicherheitskonzept im IT-Bereich nachweisen.48 Diese sind unter anderem, Steuerung und Überwachung der Zutritts- und Zugriffssicherheit, sowohl physisch, als auch logisch,49 die Überwachung und Lenkung in der Sicherheit der Kommunikation, wie z.B. die von Firewalls,50 als auch der Schutz von Datenveränderungen durch Viren51 mit entsprechenden Sicherheitsprogrammen, wie z.B. Virenschutzprogrammen.52 Notfallkonzepte, als auch die Speicherung im Hinblick auf den Zugriff bei Archivierung gehören ebenso zum IT-Sicherheitskonzept. Bei Lücken innerhalb des Sicherheitskonzeptes haftet der Geschäftsführer unmittelbar, unbeschränkt und persönlich. Selbiges gilt für die Geschäftsleitung bzw. den Vorstand. Sofern die Anforderungen an die elektronische Datenverarbeitung (EDV), welche durch den EuroSOX vorgeschrieben werden, nicht erfüllt werden, sind etwaige Haftungsansprüche oder die Testatsverweigerung des Wirtschaftsprüfers möglich.53

Wollen Sie wissen, wie es weiter geht?

Hier können Sie "GRC Management-Governance, Risk & Compliance: IT-Sicherheit als integrierter Bestandteil eines Compliance-Managements" sofort kaufen und weiterlesen:

Amazon

Apple iBookstore

ebook.de

Thalia

Weltbild

Viel Spaß!



Kaufen