Newsfeed abonnieren
Thema

Security-Kolumne

2008: Informationssicherheit wird per Gesetz verordnet

Aus MONITOR 1/2008
Drucken | Versenden | Feedback

In den meisten Artikeln zum Thema EUROSOX wird die zukünftige Rolle der Unternehmensberater und Wirtschaftsprüfer beleuchtet, sowie die Haftung der Beteiligten. Ich werde mich auf einen kleinen, aber extrem bedeutenden Punkt beschränken - Datensicherheit und Datenintegrität, also Schutz vor Verlust oder Fälschung von Daten unter Anwendung von Normen und Standards.

Manfred Wöhrl

Überlappung von IT-Modellen und Standards

EUROSOX ist die europäische Modifikation des amerikanischen Sarbanes-Oxley Acts. Dieses US-Gesetz wurde von Paul Sarbanes und Michael Oxley initiiert und als Folge der Bilanzskandale um Enron und Worldcom am 30. Juli 2002 in Kraft gesetzt. Es betrifft alle US-börsennotierte Unternehmen.

Dadurch soll erreicht werden, dass veröffentlichte Firmendaten und Bilanzen stimmen bzw. bei Modifikationen eindeutig Schuldige gefunden werden können ("Sicherung der Verlässlichkeit von Finanzinformationen"). Ein internes Kontrollsystem (IKS) muss vorhanden sein.

Es gibt aber noch keine Angaben, wie Wirtschaftsprüfer dieses überprüfen sollen. Die Dokumentation der IT- und TK-Infrastruktur eines Unternehmens wird auf alle Fälle ein wesentlicher Bestandteil einer Überprüfung sein. Ohne aktuelle Dokumentation besteht eine persönliche Haftung des Managements und wird als Organisationsverschulden sanktioniert werden.

In diesem Zusammenhang wurde auch der Begriff "IT-Governance" geprägt. ("IT-Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt." Zitat: Wikipedia).

Die IT-Governance balanciert im Wesentlichen zwei Bereiche:

  • Schaffen von Unternehmenswerten
  • Minimieren von IT-Risiken.

Wen betrifft EUROSOX?

Gemäß EU-Richtlinie sind alle Unternehmen betroffen, die "von öffentlichem Interesse" sind, speziell genannt werden:

  • Börsennotierte Unternehmen
  • Banken
  • Versicherungen

Zusätzlich kann jedes Land eigene Kriterien aufstellen, wie Größe eines Unternehmens (z.B. Beschäftigte), Umsatz usw. (Richtline 2006/43/EG - Artikel 2, Absatz 13)

Welche Werkzeuge soll EUROSOX verwenden ?

Dr. Manfred Wöhrl ist Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science), spezialisiert auf Securitychecks und Security-Consulting. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger und im Vorstand der ADV und itSMF-Austria.

Diese Entscheidung obliegt dem Unternehmen - COBIT, ITIL, ISO27001 oder IT-Grundschutzhandbuch werden vermehrt im IT-Bereich zum Einsatz kommen, COSO im Finanzbereich und COSO-ERM (Enterprise Risk Management Framework) im Risikobereich. Unabhängig davon wird aber explizit auf die Pflicht hingewiesen, die Merkmale und die Wirksamkeit der internen Kontrollen und des Risikomanagements der Unternehmen klar und normenkonform dokumentiert darzulegen.

Bis 29. Juni 2008 muss die innerstaatliche Umsetzung der 8. EU-Richtlinie in Österreich vollzogen sein und betrifft eine Reihe von Gesetzen.

Abschließend ist festzuhalten, dass durch EUROSOX ein Regulativ für große Unternehmen geschaffen wurde, kritische (Finanz)Daten gesichert zu behandeln, KMUs und Unternehmen, die nicht im öffentlichen Interesse liegen oder mit einer Bilanzsumme unter 80 Millionen Euro davon nicht betroffen sind.

Sollten Sie Fragen zu diesem Thema oder anderen Securityfragen haben, senden Sie eine kurze E- Mail an die Redaktion.

www.eurosox.at

http://ec.europa.eu/internal_market/auditing/directives/index_de.htm

www.ris.bka.gv.at/bundesrecht/

weitersagen: drucken
Security-Kolumne

Security Kolumne von Dr. Manfred Wöhr | Dr. Manfred Wöhrl ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger.

maximize
Print-Archiv
Folgen Sie uns
Termine

14. Februar

AIRO Tower, 1010 Wien

Vmware KMU-Roadshow 2012

16. Februar

All seasons Hotel, 4020 Linz

Vmware KMU-Roadshow 2012

21. Februar

Hotel Salzburg West, 5073 Salzburg-Wals

Vmware KMU-Roadshow 2012

22. Februar

Hotel Grauer Bär, 6020 Innsbruck

Vmware KMU-Roadshow 2012

28. Februar

Hotel Mercure Graz Messe, 8010 Graz

Vmware KMU-Roadshow 2012

1. März

Wirtschaftskammer Österreich

E-Day 2012

6. März - 10. März

Hannover

CeBIT 2012

Leser empfehlen
MONITOR-Newsletter

Abonnieren Sie unseren Newsletter!

E-Mail:
Die von Ihnen angegebene E-Mail Adresse wird von MONITOR Online weder an Dritte weitergegeben noch zu anderen Zwecken verwendet.
MONITOR-Autoren
Dr. Christine Wahlmüller

Dr. Christine Wahlmüller-Schiller ist freie Autorin und Kommunikationsberaterin, spezialisiert auf die IT- und Telekom-Branche. ..mehr..

Die neuesten Artikel:

© Copyright 1983-2012 by MONITOR / Bohmann Druck und Verlag Gesellschaft m.b.H. & Co. KG (www.bohmann.at)

Add to Google  | Abo | Themenvorschau | Mediadaten | Inserate buchen | Kontakt | Impressum