Ein bekanntes Szenario? Der Wirtschaftsprüfer ist im Haus und stellt mit Blick auf den Server im IKEA-Regal die Frage nach der Datensicherheit der betriebsinternen IT im Brandfall. Oder die Aufmerksamkeit des befreundeten Rechtsanwaltes fällt auf die unterschiedlichen Software-Lizenzen, die im mittelständischen Unternehmen zum Einsatz kommen, und damit auf die unsichere Rechtslage, wer an welchem Arbeitsplatz was nutzen darf. Oder bei der Überprüfung der Kreditlinien stellt die Bank konkrete Forderungen nach dem Risikomanagement für die IT des mittelständischen Unternehmens und macht die Erfüllung verschiedener Eckpunkte zur Bedingung. Diese und ähnliche Situationen können Verantwortliche in mittelständischen Unternehmen in diesen Tagen im Zuge der Finanzkrise vermehrt erleben. Denn im Rahmen der bestehenden Regularien - etwa GDPdU oder Basel II - werden sie zunehmend vor Aufgaben gestellt, die sehr spezielle Anforderungen an die IT richten.
CIOs haften für steuerrelevante Daten
Die im Unternehmen verantwortlichen Personen sind mit gesetzlichen Vorschriften wie dem KontraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) konfrontiert, das das Bestehen und den Betrieb eines Risikomanagements erfordert. Die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) bedingen das Vorliegen steuerrelevanter Daten in digitaler Form. Weiter werden vom Gesetzgeber Notfallpläne zur Sicherung und Verfügbarkeit der IT gefordert, Unbefugten muss der Zugriff auf sensible Informationen verwehrt werden, und die Daten müssen vor Manipulation, Verlust oder Zerstörung geschützt werden. Das Fehlen einer nachweisbaren Kontrolle der EDV-Strukturen führt zur strafrechtlichen Verantwortung und zur zivilrechtlichen Haftung des Managements. Noch schwieriger wird es für den Unternehmer angesichts der gestiegenen Anforderungen für die Vergabe von Krediten durch Basel II, die ganz klar eine Risikominimierung und Risikotransparenz in allen Bereichen des Unternehmens, auch in der EDV, einfordern.
Die Kapitalgeber fragen nach dem strategischen IT-Plan, wie lange das Unternehmen im Notfall ohne IT-Unterstützung auskommen kann, und ob alle Anforderungen aus rechtlichen Verpflichtungen erfüllt sind, zum Beispiel ob ein aktives Lizenz-Management betrieben wird. In dieser Situation müssen sich alle im Unternehmen Verantwortlichen - Leitung wie CIO - die Frage stellen: "Wird der Betrieb unserer IT dieser Verantwortung gerecht?" "Kann er es überhaupt?" Der Betrieb der EDV ist für die meisten mittelständischen Unternehmen nicht das Kerngeschäft, der Fokus ist nicht darauf ausgerichtet, und es werden häufig keine speziell ausgebildeten Mitarbeiter für die Betriebsthemen eingesetzt. Trotz allem muss die IT "einfach funktionieren". Im Störungsfall bringt sie erhebliche negative Einflüsse mit sich, die den Unternehmenserfolg nachhaltig schädigen können. Die wachsenden Anforderungen führen dazu, dass der Betrieb einen erheblichen Beitrag für den wirtschaftlichen Erfolg des Unternehmens leisten kann und auch sollte.