IT-Risiken werden ignoriert

Management

Im Mittelstand herrscht kaum Risikobewusstsein, obwohl der Gesetzgeber Risikomanagement auch für die IT vorgeschrieben hat.

Peter Prechtel ist Geschäftsführer der Artemis Informationstechnologie in München, einem Unternehmen, das mittelständischen Firmen Beratung und Umsetzung von IT-Themen anbietet. Der Manager ist schon lange im Geschäft. In letzter Zeit hört er immer wieder Sätze, wie ihn ein Kunde vor kurzem ausgesprochen hat: “Herr Prechtel, hören Sie mir auf mit den Gesetzesthemen, ich weiß ja nicht mal, ob wir im nächsten Jahr noch existieren, und da kommen Sie mir mit IT-Risikomanagement.” “In dem Fall kann ich das noch verstehen”, sagt Prechtel, “aber den Firmen, denen es gut geht, fehlt ebenfalls schlichtweg das Grundverständnis zum Thema Risiko”.

In allen Unternehmen und Organisationen, ob groß oder klein, spielen technologische Plattformen, Netzwerke, IT-Systeme und -Anwendungen eine entscheidende Rolle. Wenn es um die Einschätzung von Risiken geht, kümmere sich ein Unternehmer in erster Linie um Personal-, Markt- und Währungsrisiken. Das Grundverständnis für die richtige Einschätzung der IT-Risiken aber fehlt. “Die IT hat er delegiert, weil er sie nicht versteht und sie ihn nicht interessiert. Das ist traurig aber wahr”, so Prechtel.

Dabei sind Unternehmen verpflichtet, “geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden”, so steht es in § 91 Absatz 2 des Aktiengesetztes. Die Vorschrift bezieht sich selbstverständlich auch auf die Informationstechnologie und – entgegen weit verbreiteter Meinung – auch auf Kommanditgesellschaften auf Aktien und viele GmbHs, insbesondere wenn dort ein Aufsichtsrat existiert oder eine bestimmte Unternehmensgröße überschritten wird.

Die Geschäftsleitung haftet immer

Mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz ‘KonTraG’, wurde 1998 die Haftung von Vorstand und Geschäftsführern erweitert. Kern des Gesetzes ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und zu betreiben, sowie Aussagen zu Risiken und Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen.

“Leider sagt das Gesetz aber nicht, wie er das konkret zu tun hat”, kritisiert Prechtel die schwammige Formulierung. Wenn der Prüfer aber nun feststellt, dass es beispielsweise am IT-Sicherheitskonzept in der Firma mangelt, so notiert er das in seinem Prüfbericht und das Ergebnis steht auch im Lagebericht. Rechtliche Konsequenzen müssen keine befürchtet werden, aber wirtschaftliche: denn wenn Banken einen solchen Bericht lesen, wird das Unternehmen beim Rating schlechter eingestuft. Der Artemis-Geschäftsführer hat sogar schon erlebt, dass Versicherungspolicen aufgrund solcher Hinweise gekündigt worden sind. “Die IT-Risikoanalyse sollte nicht nur zur Erfüllung der gesetzlichen Anforderungen gesehen werden, sondern als Steuerungs- und Kontrollinstrument dienen”, rät Prechtel.