Absichern tut not
Bilderbox.com Die Unternehmen müssen sich mit den Risken auseinandersetzen, denen sie ausgesetzt sind, fordern Experten. Auf der Security-Ebene funktioniert das schon recht gut. Das Thema Compliance hat zuletzt einigen Auftrieb erhalten, genießt aber noch immer nicht die Beachtung, die es haben sollte.
Wer heute eine Tageszeitung aufschlägt, kann sich des Eindrucks nicht erwehren, dass Österreich ein Sumpf der Korruption oder, wie man es hierzulande nennt, eine Oase der Freunderlwirtschaft ist. Das bestätigt auch der Korruptionswahrnehmungsindex CPI, Österreich hat sich seit 2006 um fünf Plätze verschlechtert und liegt nun im internationalen Ranking auf Rang 16.
Die Einhaltung der gesetzlichen Bestimmungen gilt als selbstverständlich, Compliance wird noch zu oft als Fleißaufgabe verstanden. Aber selbst bei gutem Willen kann es zu Regelverletzungen kommen. Denn häufig bewegen sich Unternehmen in Grauzonen und die Mitarbeiter wissen selbst nicht so genau, wie sie sich nun verhalten sollten.
Gravierende Folgen
„Und die Folgen sind vielfältig und gravierend“, sagt Janely Stelzer, Compliance Manager von T-Systems Österreich, „wenn Großunternehmen mit Bußgeldern in dreistelliger Millionenhöhe konfrontiert werden, ist das nur der auf den ersten Blick sichtbare Schaden.“ Es drohen Haftungsrisken und der Ausschluss von öffentlichen Ausschreibungen. Und der Reputationsverlust kann den Marktauftritt dauerhaft beschädigen.
„Die Einführung von Compliancerichtlinien im Unternehmen ist aber zu wenig“, betont Andreas Sidlo, Compliance Officer von T-Systems, „Compliance muss laufend thematisiert werden.“ Eine Aufgabe, die meist dem Chief Financial Officer zufällt, der soll für Bewusstseinbildung bei den Mitarbeitern sorgen. „Sind diese erst einmal sensibilisiert, dann fragen sie auch aktiv nach wenn sie einmal unsicher sind, wie sie sich verhalten sollen.“
Chefsache
Ebenso bedeutsam für Unternehmen wie die Compliance ist die Sicherheit. Nicht nur der Ausfall der IT, sondern auch der Diebstahl von Unternehmensdaten kann zu weitreichenden Problemen führen. „Daher ist es wichtig, alle IT-ISysteme in regelmäßigen Abständen einer technischen Sicherheitsüberprüfung zu unterziehen", sagt Wilfried Pruschak, Geschäftsführer von Raiffeisen Informatik. Der IT-Dienstleister formierte als erstes österreichisches Unternehmen ein ‚Computer Emergency Response Team‘ (CERT), das sich in einem weltweiten Netzwerk von über 200 Organisationen mit Sicherheitsvorfällen beschäftigt und somit rechtzeitig Maßnahmen setzen kann.
„Sicherheit ist Chefsache“, betont Pruschak, „die Geschäftsführung muss eine Sicherheitsstrategie vorgeben und vorleben.“ Die meisten in Unternehmen auftretenden Securityprobleme wären mit der Einhaltung grundlegender Maßnahmen zu vermeiden. Regelmäßige Datensicherung schützt vor irrtümlichen Datenverlusten. Befindet sich das Backup auch an einem anderen Standort, ist auch der Schutz vor Elementarereignissen gegeben. Ein umfassender Virenschutz sollte heute ebenso selbstverständlich sein wie die Abschirmung gegen Angriffe aus dem Internet. Das alles nützt aber nichts, wenn die Software nicht gepatcht wird. „Wer die Systeme nicht am Letztstand hält, kann genausogut den Schüssel im Schloss stecken lassen.“
Ganzheitlicher Ansatz
Sicherheit ist traditionell ein Bereich, der auf das Verhindern ausgerichtet ist – also auf die Abwehr von Angriffen mittels Firewalls oder Intrusion Detection Systemen. „Es ist aber gefährlich, sich allein auf die technischen Systeme zu verlassen“, sagt Gerald Friedberger, IBM, „mit einer umfassenden Risikoanalyse, die auf der organisatorischen Ebene ansetzt, können die Unternehmen Sicherheitsgefahren frühzeitig erkennen, analysieren und eindämmen.“
So haben die meisten Unternehmen die Versendung großer Dateien über das Mailsystem unterbunden. Nur wenigen ist aber bewusst, dass die Mitarbeiter nun eine Alternative brauchen, um ihre Arbeit erledigen zu können. Das führt dazu, dass heute Marketingdaten oder Produktspezifikationen vermehrt über öffentliche Plattformen im Internet oder per USB-Stick ausgetauscht werden. Sicherheit kommt dabei zu kurz. IBM stellt diesen Herbst mit IBM QuickFile ein neues Produkt der Sterling Commerce Familie vor, berichtet Friedberger: „Diese Appliance speziell für KMUs ermöglicht einen personenzentrierten, gesicherten und dokumentierten Datenaustausch zwischen Unternehmen.“
Vertrauen
Ganz besonders groß geschrieben werden die Themen Sicherheit und Compliance im Onlinehandel. „Denn es ist gerade für den kleinen, eher unbekannten Anbieter online nur schwer möglich Vertrauen aufzubauen“, sagt Christian Renk, SOFORT AG, „der Kunde weiß ja nicht, ob der Händler auch wie versprochen liefert.“ Das kann dazu führen, dass er sich beim Einkauf zurückhält. Die SOFORT AG hat diese Problematik erkannt und bietet Händlern, die SOFORT Überweisung nutzen, optional einen Käuferschutz an. Dabei ist das Geld erst nach 14 Tagen für den Händler frei verfügbar. Kommt die bestellte Ware nicht beim Kunden an, interveniert er bei der SOFORT AG und erhält von dieser sein Geld zurück.
Sehr wichtig ist die Sicherheit auch beim Bezahlvorgang. Dank der hohen Sicherheit der Onlinebankingverfahrens SOFORT Überweisung mit PIN und TAN hat die SOFORT AG seit ihrer Gründung noch keinen einzigen Betrugsfall zu verzeichnen gehabt. Die SOFORT AG hält sich freiwillig an Bankenstandards und lässt sich regelmäßig vom TÜV Saarland überprüfen.
Individuelle Sicherheitsaspekte
Aber man kann es mit der Sicherheit zu weit treiben“, warnt Roland Toch, Wirecard CEE. Auch wenn die sichere Abwicklung des Bezahlvorgangs im Web sehr hohe Priorität hat, müsse man doch differenzieren. „Wenn ich nur die allersichersten Zahlungsmittel in meinem Webshop zulasse, geht das zu Lasten der Umsätze“, betont Toch, „manche Sicherheitsexperten raten den Onlinehändlern nur auf wenige, sehr sichere Zahlungsmittel zu setzen. Damit schließt man aber viele Kaufinteressierte von Vorherein aus”.
Bei registrierten Kunden, die schon öfter bei diesem Händler eingekauft haben, etwa mit Kreditkarte und 3D Secure, spreche nichts dagegen, ein als vergleichsweise unsicher eingestuftes Zahlungsverfahren einzusetzen. Umgekehrt sind für Kunden, die in der Vergangenheit zahlungsunwillig waren, Onlinebanking-Systeme wie SOFORT Überweisung oder eps Online-Überweisung zu empfehlen. „Denn wenn der Kunde einmal nicht zahlen konnte, bedeutet das ja noch lange nicht, dass er auch diesmal kein Geld am Konto hat.“
Economy Ausgabe 999999, 07.03.2013