1. IT-Sicherheit als Bestandteil des. 3. Besonderheiten des öff.-re. Sektors. 4. Ablauf eines Risikomanagements

Transkript

1 Rechtliche Aspekte der IT-Sicherheit Prof. Dr. Kathrin Winkler Gliederung 1. IT-Sicherheit als Bestandteil des 3. Besonderheiten des öff.-re. Sektors 4. Ablauf eines 5. IT-Grundschutz des BSI 1

2 Einordnung von IT-Risiken Rechtsrisiken Betriebsrisiken Marktrisiken Vertragsrisiken Personal Beschaffung Änderung der Gesetze IT Datenverlust Hackerangriff Administrator Verkauf Behördenauflagen Immobilien 1. IT-Sicherheit als Bestandteil des Gesetzliche Regelungen Gesetze Risikomanagement IT-Sicherheit 1. IT-Sicherheit als Bestandteil des 4 2

3 Überblick 91 II AktG 289 HGB 53 HGrG 317 HGB 93 I, II AktG 43 I, II GmbHG 5 Struktur Schwächen und Fehlverhalten in der Unternehmenssteuerung KonTraG / BilRegG Sorgfältiger Umgang mit unternehmerischen Risiken durch: Unternehmen Risikofrüherkennung und überwachung 91 II AktG Risikoberichterstattung im Lagebericht 289 HGB Abschlussprüfer 317 IV HGB 317 II HGB 3

4 Überblick 91 II AktG 289 HGB 53 HGrG 317 HGB 93 I, II AktG 43 I, II GmbHG 7 91 II AktG Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. 8 4

5 Gesetzliche Mindestanforderungen 91 II AktG Pflicht zur Einrichtung eines Risikoüberwachungssystems und Risikofrüherkennungssystems bezgl. bestandsgefährdender Risiken 9 Anwendungsbereich 91 II AktG Geltung für AG Analog für alle Gesellschaften, die dem Leitbild einer großen Kapitalgesellschaft entsprechen 5

6 Anwendungsbereich 91 II AktG OHG sonst. (GmbH & Co.) KG GmbH Gesetzesbegründung zum KonTraG: Ausstrahlungswirkung auf Pflichtenrahmen der Geschäftsführer anderer Gesellschaftsformen abhängig von Größe, Komplexität, Struktur usw. Risikomanagement ist Bestandteil einer ordnungsgemäßen Geschäftsführung 11 Überblick 91 II AktG 289 HGB 53 HGrG 317 HGB 93 I, II AktG 43 I, II GmbHG 6

7 289 HGB (1)Im Lagebericht sind der Geschäftsverlauf einschließlich des Geschäftsergebnisses und die Lage der Kapitalgesellschaft so darzustellen, dass ein den tatsächlichen h Verhältnissen entsprechendes Bild vermittelt wird. Er hat eine ausgewogene und umfassende, dem Umfang und der Komplexität der Geschäftstätigkeit entsprechende Analyse des Geschäftsverlaufs und der Lage der Gesellschaft zu enthalten. In die Analyse sind die für die Geschäftstätigkeit bedeutsamsten finanziellen Leistungsindikatoren einzubeziehen und unter Bezugnahme auf die im Jahresabschluss ausgewiesenen Beträge und Angaben zu erläutern. Ferner ist im Lagebericht die voraussichtliche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu erläutern; zugrunde liegende Annahmen sind anzugeben.. (2) Der Lagebericht soll auch eingehen auf:.. 2. a) die Risikomanagementziele und -methoden der Gesellschaft einschließlich ihrer Methoden zur Absicherung aller wichtigen Arten von Transaktionen, die im Rahmen der Bilanzierung von Sicherungsgeschäften erfasst werden, sowie Überblick 91 II AktG 289 HGB 53 HGrG 317 HGB 93 I, II AktG 43 I, II GmbHG 7

8 317 HGB (2) Der Lagebericht und der Konzernlagebericht sind darauf zu prüfen, ob der Lagebericht mit dem Jahresabschluß, gegebenenfalls auch mit dem Einzelabschluss nach 325 Abs. 2a, und der Konzernlagebericht mit dem Konzernabschluß sowie mit den bei der Prüfung gewonnenen Erkenntnissen des Abschlußprüfers in Einklang stehen und ob der Lagebericht insgesamt eine zutreffende Vorstellung von der Lage des Unternehmens und der Konzernlagebericht insgesamt eine zutreffende Vorstellung von der Lage des Konzerns vermittelt. Dabei ist auch zu prüfen, ob die Chancen und Risiken der künftigen Entwicklung zutreffend dargestellt sind. (4) Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach 91 Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann. Überblick 91 II AktG 289 HGB 53 HGrG 317 HGB 93 I, II AktG 43 I, II GmbHG 8

9 53 HGrG 53 Rechte gegenüber privatrechtlichen Unternehmen (1) Gehört einer Gebietskörperschaft die Mehrheit der Anteile eines Unternehmens in einer Rechtsform des privaten Rechts oder gehört ihr mindestens der vierte Teil der Anteile und steht ihr zusammen mit anderen Gebietskörperschaften die Mehrheit der Anteile zu, so kann sie verlangen, dass das Unternehmen im Rahmen der Abschlussprüfung auch die Ordnungsmäßigkeit g der Geschäftsführung prüfen lässt Überblick 91 II AktG 289 HGB 53 HGrG 317 HGB 93 I, II AktG 43 I, II GmbHG 9

10 93 I, II AktG 43 I, II GmbHG 93 Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder (1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (2) Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast. 43 Haftung der Geschäftsführer (1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden. Haftung Vorstand der AG: Aufsichtsrat der AG: 93 I, II AktG 116 AktG Geltendmachung durch Hauptversammlung o. qualifizierte Aktionärsminderheit ( 147 f. AktG Geschäftsführer der GmbH: 43 I, II GmbHG 10

11 Haftung Die Unternehmensleitung trägt im Schadensfall die Beweislast für die Erfüllung ihrer Sorgfaltspflicht, fl insbesondere für die Einrichtungen eines ystems. Anforderungen an die Dokumentation des RMS und seine tatsächlichen Abläufe Der öffentliche Sektor hat: für ein geografisch abgegrenztes Gebiet, ohne Eigennutz und Gewinnstreben, gesetzlich verankerte, hoheitliche Aufgaben, in einem breiten politischen Spannungsfeld mit zahlreichen Interessenhaltern, aber ohne eigentliches Marktumfeld, effektiv und effizient wahrzunehmen. 3. Besonderheiten des öff.-re. Sektors 11

12 Anspruchsgruppen Bevölkerung Lobbyisten Verlässlichkeit der öff. Hand als Geschäftspartner, funktionierende Infrastrukturen Öff-re. Körperschaft Angestellte Physische und soziale Sicherheit am Arbeitsplatz, Datenschutz, Kontinuität der Führungsentscheide Politiker Wirtschaftliche Sicherheit, Vermeiden von Führungsfehlern in einem kurz- bis mittelfristigen Zeitraum 3. Besonderheiten des öff.-re. Sektors Nutzen eines RMS Ansehen und Vertrauen Sicherheit wird als öffentliches Gut wahrgenommen: Gesundheit, Arbeit, Datenschutz Risikomanagement Erhaltung der Leistungsfähigkeit Effektivität und Effizienz Prof. Dr. K. Winkler 3. Besonderheiten des öff.-re. Sektors 24 12

13 Ablauf eines Prof. Dr. K. Winkler 4. Ablauf eines 25 Risikoanalyse Risikobewältigung Risikoidentifikation Risikomanagement Risikobewertung Risikoreporting Risikoanalyse Risikobewältigung Risikoidentifikation Risikomanagement Risikobewertung Risikoreporting 4. Ablauf eines 13

14 Risikoidentifikation - Bestimmung der Risikokategorienik k i - Bestimmung der Subkategorien - Bestimmung der konkreten Einzelrisiken regulatorische Risiken (Änderung der Rechtslage) latente Risiken (Ausfall IT-System) strategische Geschäftsrisiken (Wettbewerb) operative Geschäftsrisiken (Personalverfügbarkeit) 4. Ablauf eines Beispiel: Rechtsrisiken Betriebsrisiken Marktrisiken Vertragsrisiken Personal Beschaffung Änderung der Gesetze EDV Datenverlust Hackerangriff Administrator Verkauf Behördenauflagen Immobilien 4. Ablauf eines 14

15 4. Ablauf eines Risikoidentifikation Risikomanagement Risikobewertung Risikoreporting Risikoanalyse Risikobewältigung Risikobewertung Bewertung nach Schadenshöhe und Eintrittswahrscheinlichkeit, z.b.: Eintrittswahrscheinlichkeit Selten Mittel Wahrscheinlich Häufig Schadenshöhe Gering Mittel Hoch Gravierend Seltener als 5 Jahre 3 bis 5 Jahre 1 bis 3 Jahre 1 Mal pro Jahr Weniger als 1 Mio. Euro 1-2,5 Mio. Euro 2,5-4 Mio. Euro Ab 4 Mio. Euro 4. Ablauf eines 15

16 4. Ablauf eines Risikoidentifikation Risikomanagement Risikobewertung Risikoreporting Risikoanalyse Risikobewältigung Risikoanalyse - Bestimmung des Gesamtrisikoportfolio - Priorisierung nach wesentlichen bestandsgefährdenden Risiken 4. Ablauf eines 16

17 4. Ablauf eines Risikoidentifikation Risikomanagement Risikobewertung Risikoreporting Risikoanalyse Risikobewältigung Risikobewältigung - präventive und reaktive Maßnahmen vermeiden, reduzieren, begrenzen, verlagern - internes Risikoberichtswesen - Aufbau- und Ablauforganisation eines Risikocontrollings 4. Ablauf eines 17

18 4. Ablauf eines Risikoidentifikation Risikomanagement Risikobewertung Risikoreporting Risikoanalyse Risikobewältigung Risikoreporting - interne und externe Risikoberichte - Gesamtrisikobericht - Einzelrisikoberichte (TOP-Risiken) - ausgewählte Inhalte der Berichterstattung an Shareholder und Stakeholder (Prioritäten) 4. Ablauf eines 18

19 Die Alternative Typische Gefährdungen für IT-Betrieb Vergleichbare Einsatzumgebung Ähnlichkeit der IT- Systeme und Anwendungen IT- Grundschutzhandbuch Pauschalierte Risiken Pauschalierte Eintrittswahrscheinlichkeiten Standard-Sicherheitsmaßnahmen 5. IT-Grundschutz des BSI Empfehlungen z.b.: Hinweise i des Thüringer Innenministeriums: i i Soweit seitens des Interministeriellen Ausschusses Informationstechnik (IMA-IT) bzw. des zuständigen Ministeriums keine verbindlichen methodischen Vorgaben für Sicherheitskonzepte existieren, wird empfohlen, die Erarbeitung nach den Regeln des IT-Grundschutzhandbuchs vorzunehmen, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn herausgegeben und ständig weiterentwickelt wird. Bundesdatenschutzbeauftragter in Datenschutzgerechtes egovernment 5. IT-Grundschutz des BSI 19

20 Vielen Dank für Ihre Aufmerksamkeit! Literaturhinweise: BSI: Leitfaden IT-Sicherheit Scholz, Schuler, Schwintowski: Risikomanagement der öffentlichen Hand Datenschutzgerechtes egovernment unter Prof. Dr. Kathrin Winkler 20