Basel II und IT-Risikomanagement
Wirtschaftskammer Österreich: Basel II wird zum "heißen" IT-Thema - Mit IT-Risikomanagement nach ISO 27001 werden Kredite günstiger
Je höher das Unternehmensrisiko, desto höher die nach Basel II geforderten Rücklagen - Security-Sünder haben höhere Kreditkosten und damit einen Wettbewerbsnachteil
(25.07.07) - Früher genügte für eine Kreditprüfung die Vorlage der letzten drei Bilanzen. Seit In-Kraft-treten des internationalen Bankenabkommens Basel II in Österreich mit Jahresbeginn 2007 müssen die Bankinstitute nun auch das Unternehmensrisiko genau unter die Lupe nehmen. "Zum operationellen Risiko nach Basel II gehören weiche Faktoren wie Zukunftsaussichten, Nachfolgeregelung und vor allem IT-Ausfallsicherheit sowie Schutz vor Informationsverlust", erklärt Hans-Jürgen Pollirer, Obmann der Bundesparte für Information und Consulting der Wirtschaftskammer Österreich (WKO). Über den Umweg der IT-Sicherheit als Basis für minimiertes Unternehmensrisiko wird Basel II zum zentralen IT-Thema.
Risiko kostet mehr
Im Detail folgt Basel II (Basel 2) der seit 1988 gültigen Vorgängerversion Basel I und beinhaltet neue Richtlinien für die Eigenkapitalhinterlegung von Banken. Damit soll Stabilität auf den internationalen Finanzmärkten gewährleistet werden. "Banken werden die Informationssicherheit bei der Kreditvergabe künftig viel stärker berücksichtigen. Denn je höher das Unternehmensrisiko, desto höher die nach Basel II geforderten Rücklagen", führt Pollirer aus.
Die Kosten dafür werden viele Banken an ihre Kunden weitergeben, was bei "Security-Sündern" zu höheren Kreditkosten und damit zu einem Wettbewerbsnachteil führen könnte. "Ein herausforderndes Thema besonders für KMU, die oft Aufholbedarf in Sachen IT-Sicherheit haben", bestätigt Erich Scheiber von der österreichischen Zertifizierungsstelle für Informationssicherheit CIS.
Als anerkannter Nachweis für IT-Risikomanagement, IT-Verfügbarkeit und Informationssicherheit gilt der internationale Security-Standard ISO 27001. Die Norm vereint technische, physische, organisatorische und personelle Sicherheitsprozesse zu einem Managementsystem. CIS-Chef Scheiber betont: "Wichtiger noch als Virenscanner und Firewalls sind die dahinter liegenden Security-Prozesse von der Protokollierung über Passwortvergabe oder Testen von Updates bis hin zur Schulung von Mitarbeitern."
Sicherheit gewinnt
Viele Unternehmen haben laut CIS derzeit vor allem in technische IT-Sicherheit investiert, aber zu wenig in IT-Prozessmanagement. "Zur Bewertung der operationellen Risiken nach Basel II werden aber Faktoren wie exakte Dokumentation, Notfallpläne, Security-Policy und IT-Verfügbarkeit geprüft", berichtet Scheiber. Kommunalkredit Austria, eine der ersten ISO-27001-zertifizierten Banken in Österreich, berichtet aus der Praxis: "Die im Rahmen der ISO 27001 regelmäßig durchgeführten Risikoanalysen liefern ein gutes Fundament für Basel II", so IT-Leiter Norbert Schlechl.
Risikomanagement als Schlüssel
IT-Risikomanagement ist das Herzstück eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 und deckt aufgrund der hohen IT-Durchdringung von Unternehmen einen wesentlichen Teil des operationellen Risikos nach Basel II ab. Ein weiterer Vorteil der ISO 27001 gegenüber anderen IT-Sicherheitsrichtlinien wie IT-Grundschutzhandbuch oder CobiT ist ihre Zertifizierbarkeit. Ein ISO-27001-Zertifikat entspricht einem staatlich anerkannten Nachweis und wird von Behörden und Organisationen weltweit akzeptiert. Erich Scheiber meint: "Gemäß verschiedener Modellrechnungen ist davon auszugehen, dass eine ISO-27001-Zertifizierung dazu beitragen kann, die Kreditkosten künftig deutlich zu senken." (CIS: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>