|
Sicherheit und Basel II Was ist BASEL II ?? Basel II besteht aus insgesamt drei Säulen: a. 1. Säule: Mindestkapitalanforderungen b. 2. Säule: Ausführliche Überprüfungsverfahren
c. 3. Säule: Marktdisziplin und Offenlegung
Was hat Basel II mit Sicherheit zu tun ?? Basel II wirft seine Schatten voraus: Je höher das individuelle Risiko eines Unternehmens ist, umso mehr Eigenkapital muss der Kreditgeber zukünftig für eine Kreditgewährung vorweisen. Die Finanzinstitute sollen ab 2006/2007 zur Kreditbewertung auf Unternehmensdaten aus bis zu drei Vorjahren (also bereits ab 2003) zurückgreifen. Dies wird sich massiv auf die Kreditkonditionen für die verschiedenen Unternehmen auswirken. Die Kreditverzinsung bei einigen Unternehmen wird sogar unter den handelsüblichen Zinssatz sinken, während andere Unternehmen mit einer Verzinsung rechnen müssen, die weit darüber liegt. Schlimmstenfalls kann ein negatives Rating sogar zur Verweigerung eines Kredites führen. Wer jetzt noch nicht angefangen hat, sich mit den Baseler Anforderungen auseinander zu setzen, hat möglicherweise die Chance auf eine besonders günstige Kreditbewertung seines Unternehmens schon verpasst oder anders gesagt: Wer die Anforderungen aus Basel II bereits umgesetzt hat, senkt in der Zukunft seine Kreditkosten und schafft sich neben mehr IT-Sicherheit auch Vorteile im Wettbewerb. “Verbaseln” kostet also Geld. Maßgeschneiderte Risikobewertung Bei der individuellen Risikoeinschätzung ist unter anderem entscheidend, welche Maßnahmen ein Unternehmen zur gezielten Vermeidung und Reduzierung operationeller Risiken trifft. Auch ist wichtig, welche Risiken sich aus dem Geschäftsbetrieb ergeben, die letztlich Auswirkungen auf das Geschäft selbst und damit die Rückzahlungsfähigkeit des Kreditnehmers haben. Den Begriff des „operationellen Risikos“ definiert der Baseler Ausschuss als „Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten“. Darunter fällt als ein Schlüsselbereich auch die IT eines Unternehmens. Dort gelagerte Risiken zu reduzieren, ist vor dem Hintergrund von Basel II elementar. Dass die zunehmende Komplexität der IT einen immer größeren Nährboden für Systemausfälle, kriminelle Anwendungen oder Angriffe und somit ein höheres Risikopotenzial darstellen, ist eine Binsenweisheit. Hinzu kommen immer kompliziertere Virenstämme, die die Systeme der Unternehmen attackieren, oder so genannte Denial-of-Service-Attacken. Dabei ist es übrigens eine Mär, zu glauben, dass nur Daten von größeren Firmen für Hacker von Interesse sind - ebenso sind kleine und mittelständische Unternehmen immer häufiger Attacken ausgesetzt. Der Mittelstand scheint sich dieser Tatsache jedoch noch nicht bewusst zu sein: Eine von der Meta Group durchgeführte Studie zeigt, dass mittelständische Unternehmen ihre Systeme in der Vergangenheit bis zum Letzten ausgereizt und nur die nötigsten Investitionen vorgenommen haben. Die Studie „IT Security 2003“ von Mummert Consulting ergab darüber hinaus, dass im Jahre 2003 sieben von zehn Unternehmen im Zusammenhang mit Einsparmaßnahmen auch die IT- Budgets eingefroren oder reduziert haben. Vor dem Hintergrund von Basel II erweisen sich solche Sparmaßnahmen als Trugschluss. Je mehr der Geschäftsbetrieb auf die technische Infrastruktur angewiesen ist, desto stärker hängt letztlich auch die Bonität und somit die Kreditentscheidung von einem aktiven IT-Risk-Management ab. Wer bei der IT spart, verschlechtert sein Rating und kann in zweiter Konsequenz durch ungünstige Kreditkonditionen mehr Kapital verlieren, als er durch seine Sparmaßnahmen gewinnt. Allerdings scheint sich die Sparmentalität zu ändern. Die Meta-Group-Studie prognostiziert für 2004 eine Trendwende: So sollen in diesem Jahr die IT-Budgets wieder steigen. Um das Risiko, das durch eine unsichere IT-Infrastruktur besteht, zu minimieren, sollten Systemverantwortliche sowohl geeignete Früherkennungs- als auch Abwehrmaßnahmen einleiten und ein Notfallprogramm für das Worst-Case-Szenario eines Systemausfalls erarbeiten. Vor allen Dingen aber sind die Systeme regelmäßig auf dem neuesten Stand von Wissenschaft und Technik zu halten. Es versteht sich, dass das Tempo der technischen Entwicklungen am Markt auch das Tempo der Sicherheits-Updates bestimmen muss. Neben der Aktualität der Software kann die der Hardware für die Bewertung des IT-Risikos von Bedeutung sein. Weiterhin ist es ratsam, einen Security-Experten im eigenen Unternehmen zu beschäftigen, der die Überwachung der Systeme gewährleistet. Vor dem Hintergrund von Basel II sind all diese Maßnahmen Indikatoren für ein geringes operationelles Risiko und senken die Anforderungen an die Eigenkapitalunterlegung von Krediten. Fazit Um sich darauf einzustellen, sollten Management und Sicherheitsverantwortliche eines Unternehmens für ein effektives Risikomanagement sorgen. Dazu gehören Schulungen und Aufklärungsmaßnahmen genauso wie eine im Unternehmen kommunizierte, schriftlich fixierte Sicherheits-Policy. Diese Maßnahmen dürfen allerdings keine einmaligen Aufgaben sein, nur bei regelmäßige Wiederholungen führen sie zum gewünschten Ergebnis. Zusammenfassend verlangt Basel II im Hinblick auf den Einsatz von IT
All dies zeigt, wie wichtig eine angemessene IT-Sicherheitspolitik ist, da sie - von Produktivitätsvorteilen einmal abgesehen - auch bei der Verhandlung von Krediten oder bei der Bestimmung von Versicherungskonditionen entscheidend sein kann. Je früher sich ein Unternehmen hiermit befasst, desto besser. Jetzt die Implementierung hoher technischer Sicherheitsstandards voranzutreiben, kann in Zukunft bares Geld bedeuten.
Weitere Informationen zu diesem Thema:
|
|
|
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |