Wesentliche Risiken für kleine und mittelständische Unternehmen

Ausfall von Schlüsselpersonen im Unternehmen und/oder Wegfall eines Großkunden

von Uwe Straßberger, Director Marketing & Sales bei der SAVISCON GmbH

Im letzten Blog-Beitrag aus unserer Reihe GRC@SAVISCON ging es um das Compliance-Thema “Know Your Customer (KYC)”, heute kehren wir zum Projekt Risiko-Management zurück. Hintergrund: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag.

Ein kurzer Rückblick:

Zum Start des Risiko-Managements bei SAVISCON wurden in einem Brainstorming die abteilungsspezifischen Risiken von allen Organisationseinheiten gesammelt. Lesen Sie hier meinen ersten Blog-Beitrag aus dem Projekt Risiko-Management. Das Ergebnis war eine Anzahl von mehr als 70 Risiken. Für ein kleines Unternehmen wie unseres eine beachtliche Anzahl. Für mich als Risikomanager bestand die erste Aufgabe darin diese Risiken in das SAVSICON GRC-COCKPIT einzupflegen. Das war eine reine Fleißarbeit, die in dem Fall mit Copy & Paste relativ schnell erledigt war.

Im nächsten Schritt erfolgte die Aufforderung an die Abteilungen zu den einzelnen Risiken eine Bruttobwertung abzugeben. Auch das war mit der Funktion „Risikobewertung → Neue Organisationseinheit hinzufügen“ im Cockpit schnell erledigt. Der Workflow sorgt für eine gute Übersicht, sowohl für den Risikomanager als auch für die Fachbereiche, welche Bewertungsaufgaben an welche Organisationseinheiten verteilt wurden, und wann diese fällig sind. Bei der Betrachtung der Bewertungen, die die Kollegen dann termingerecht gemacht hatten, fiel mir auf, dass die meisten Risiken innerhalb der Risikomatrix eher in einem unkritischen Bereich lagen.

Wir erinnern uns: Ganz am Anfang hatten wir in unserem Risikoleitfaden den Risikoappetit des Unternehmens festgelegt und in die Risikomatrix des Cockpits übernommen. Mehr zum Thema Risikoappetit lesen Sie in meinem Blog-Beitrag “Wie funktioniert die Risikobewertung?” Bei weit mehr als der Hälfte der Risiken lag sowohl die Eintrittswahrscheinlichkeit als auch die Auswirkung (Schadenshöhe) bei „gering“ oder „mittel“. Für SAVISCON sind diese Stufen der Risikobewertungen weder in wirtschaftlicher, noch hinsichtlich unserer Reputation von besonderer Bedeutung.

Risikomatrix mit normalem Risikoappetit

Ein Beispiel für eine Risikomatrix mit einem normalem Risikoappetit.

Klar, es ist ärgerlich, wenn für einige Stunden unsere Homepage nicht erreichbar ist oder wenn es durch den Ausfall unserer CRM-Software zu einer vorübergehenden Einschränkung bei der Kundenbetreuung kommt. Gravierender sind da schon solche Risiken wie beispielsweise der Ausfall der Infrastruktur für das SAVISCON GRC-COCKPIT, weil unsere SaaS-Kunden dann vorübergehend nicht mit der Software arbeiten könnten. Übrigens: Bei diesem Risiko decken wir gleich zwei Bereiche ab: Risiko-Management und IT-Sicherheitsmanagement. Das lässt sich bei uns im GRC-COCKPIT hervorragend miteinander verbinden.

Auch der Ausfall des technischen Supports hat unter Umständen weitreichendere Folgen. Unter anderem könnte in beiden Fällen unser Ansehen beim Kunden Schaden nehmen und bei einem länger andauernden Störfall könnten die Kunden eventuell sogar Schadensersatz einfordern oder den Lizenzvertrag kündigen. Alles ärgerlich, aber die Auswirkungen, die hinter diesen Risiken stecken hätten keine gravierenden wirtschaftlichen Folgen, solange nicht alle Kunden gleichzeitig abspringen. Es ist recht unwahrscheinlich, dass diese Risiken am Ende sogar existenzgefährdend für SAVISCON sein könnten. Damit sind wir beim Kern der Sache. In unseren Einführungsberatung für das SAVISCON GRC-COCKPIT empfehlen wir den Kunden:

Konzentrieren Sie sich am Anfang auf das Wesentliche
(Potenziell existenzgefährdende Normen und Risiken oder Risikoszenarien)

Wenn man als Unternehmen mit dem Risiko-Management startet hat man einen riesigen Berg an Arbeit vor sich. Risiken, aber auch Anforderungen und Normen müssen, identifiziert, eingepflegt und bewertet werden. Um die Situation bei kritischen Bewertungen zu verbessern, müssen dann noch Maßnahmen eingeleitet und Überwachungen durchgeführt werden. Das alles ist beim initialen Risikoprozess zeitintensiv und wird gerade bei kleineren und mittleren Unternehmen oftmals neben der eigentlichen Arbeit verrichtet. Das Risiko-Management ist jedoch ein fortlaufender Prozess, der mit einem strategischen Ansatz begonnen werden muss. Und klar ist: man kann nicht alles auf einmal schaffen.

Die Devise lautet also: Das Wesentliche zuerst!
Und das Wesentliche sind im ersten Step, die Risiken, die für ein Unternehmen wirtschaftlich gravierende Ausmaße haben oder im schlimmsten Fall sogar existenzgefährdend sein könnten. Natürlich gibt es auch bei uns eine Anzahl von Risiken, die in der Bruttobewertung, sowohl hinsichtlich der Eintrittswahrscheinlichkeit als auch der Auswirkung (Schadenshöhe) als „hoch“ oder „sehr hoch“ eingeschätzt wurden. Risiken deren Bearbeitung sicherlich eine hohe Priorität besitzen. Aber, es gibt zwei Risiken deren Auswirkungen eine potenziell existenzielle Gefährdung, mindestens aber einen erheblichen wirtschaftlichen Schaden für die SAVISCON bedeuten würden. Wobei eines der Risiken ein sog. Risikoszenario darstellt, weil es mehrere Einzelrisiken sind, die hier in der ungünstigen Zusammenwirkung eine hohe Gefährdung verursachen könnten. Konkret sind die folgenden Risken:

1. Der Wegfall eines Großkunden durch Umsatz- oder Zahlungsausfall
2. Der Ausfall von Schlüsselpersonen im Unternehmen

Hintergrund: Wachstum der SAVISCON GmbH

Foto SAVISCON-Team BesprechungSeit der Gründung der SAVISCON im Jahre 2010 lag das Kerngeschäft im Customer Communication- und Enterprise Content Management. Nachdem es in den ersten Jahren eine „One man show“, mit Ingo Simon als einzigem Mitarbeiter war, hatte das Unternehmen Ende 2018 vier Mitarbeiter. Seit wir Anfang 2019 mit der Vermarktung des SAVISCON GRC-COCKPIT und den dazugehörigen Dienstleistungen begonnen haben hat sich die Anzahl der Mitarbeiter vervielfacht.

Auswirkungen bei Risikoeintritt

Bevor wir mit den Risiko-Management begonnen haben, hatte sich niemand so richtig Gedanken über diese beiden Risiken gemacht. Fakt ist aber, dass ein Großteil des Umsatzes durch den Großauftrag eines Kunden generiert wurde, der durch alle Consulting Mitarbeiter erfüllt wurde. Somit war das Einkommen der Mitarbeiter und darüber hinaus auch die Existenz des Unternehmens von diesem einen Kunden abhängig. Ein Projektstopp oder Austausch der SAVISCON durch andere Dienstleister hätte fatale Folgen, es könnte bei fehlenden Folgeaufträgen das mögliche Aus der Firma und daraus resultierend die Arbeitslosigkeit der Mitarbeiter bedeuten.

Was den Ausfall der Schlüsselpersonen betrifft gab es im ersten Jahr nach dem Start des SAVISCON GRC-COCKPIT und den dazugehörigen Aktivitäten nur einen Mitarbeiter in unserer Entwicklungsabteilung. Die Auswirkungen eines kompletten Ausfalls dieses Mitarbeiters wären für das Projekt und somit für das Unternehmen dramatisch, unter Umständen sogar wiederum existenzgefährdend gewesen. In dieser Abteilung wird nicht nur die Software ständig weiterentwickelt, sie ist auch für das Bereitstellen der Instanzen für unsere Kunden sowie für den kompletten Support und die Wartung verantwortlich. Zu Beginn hatten wir also nur einen Mitarbeiter mit den notwendigen Programmierungskenntnissen. Sein Ausfall hätte uns jegliche Geschäftsgrundlage im Segment SAVISCON GRC-COCKPIT entzogen.

Wie oben bereits erwähnt gibt es ähnliche Risiken in Bezug auf Schlüsselpersonen auch für andere Organisationseinheiten, wie z. B. die Geschäftsführung oder Marketing & Vertrieb. Somit haben wir ein typisches Beispiel für ein Risikoszenario, mit dem Namen „Ausfall von Schlüsselpersonen“, weil es dasselbe Risiko mehrfach als Einzelrisiko in verschiedenen Abteilungen gibt.

Bei beiden Risiken – Ausfall Schlüsselperson und Wegfall Großkunde – war somit klar, dass die Schadenshöhe bei Eintritt für die SAVISCON existenzgefährdend sein könnte. Eine Einschätzung bezüglich der Eintrittswahrscheinlichkeit ist dabei nicht ganz einfach, jedoch für die Bewertung hier auch nicht ausschlaggebend. Fakt ist; es könnte eintreten (und es könnte auch jeden Tag eintreten) Der Schaden wäre in beiden Fällen zu hoch! Damit waren beide Risiken in der Matrix im roten Bereich und es gab sofortigen Handlungsbedarf in Form von Maßnahmen. Welche das waren sehen Sie für das Großkundenrisiko im Screenshot:

Screenshot GRC-COCKPIT Ausfall Großkunde

Blick ins GRC-COCKPIT: So sieht das Risiko Umsatzausfall Großkunde in der Risiko-Management Software aus.

Maßnahmen Wegfall eines Großkunden

Dem Risiko „Wegfall eines Großkunden durch Umsatz- oder Zahlungsausfall“ begegnen wir dadurch, dass wir und insgesamt breiter aufstellen. Dazu sind wir derzeit in Verhandlungen mit strategischen Partnern. Eigentlich wollten wir das schon im April abgeschlossen haben, aber manchmal dauern solche strategischen Maßnahmen dann doch länger. Im Bild sieht man jedoch: Die Maßnahme ist rot, weil wir das gesetzte Zeitlimit überschritten haben. Wenn wir im August die Überwachung als durchgeführt und wirksam dokumentieren, weil wir dann voraussichtlich die Verträge unterzeichnen werden, wird diese Maßnahme grün
Dann wird auch das Risiko grün, weil nämlich die Maßnahme „Langfristigen Vertrag mit Bestandskunden abschließen“ erfolgreich zum Jahresbeginn umgesetzt wurde.
Des Weiteren betreiben wir heute fortlaufend die Akquise weiterer Kunden für unsere Consultingtätigkeiten im Customer Communication- und Enterprise Content Management. Zum anderen haben wir damit begonnen, das Geschäft der SAVISCON zu diversifizieren. Das ist durch die Aktivitäten des SAVISCON GRC-COCKPIT (Software und Dienstleistungen) bereits erfolgt. Darüber hinaus bereiten wir derzeit den Launch weiterer Produkte und Dienstleistungen vor. Diese Maßnahmen müssen wir in der Dokumentation im GRC-COCKPIT nun noch nachdokumentieren.
Diese Maßnahmen bedeuten für uns übrigens nicht nur die Minimierung unserer Risiken, sondern ermöglicht uns auch die Ausweitung unserer Geschäftsaktivitäten und, wenn wir erfolgreich sind, auch das Wachstum unseres Unternehmens. Womit wir einen klassischen Beweis dafür haben, dass Risiko-Management auch immer eine Chance bedeutet und zur guten Unternehmensführung beitragen kann.

Maßnahmen Ausfall von Schlüsselpersonen

Zum Risikoszenario „Ausfall von Schlüsselpersonen im Unternehmen“ haben wir unterschiedliche Maßnahmen durchgeführt. Für die Entwicklungsabteilung haben wir einen weiteren Mitarbeiter eingestellt und zusätzlich einen Mitarbeiter aus dem Consultingbereich, der über entsprechende Grundkenntnisse verfügt, durch Aus- und Weiterbildungsmaßnahmen als weiteren Backup fit gemacht. Für andere Abteilungen, wie die Geschäftsführung und Marketing & Vertrieb haben wir durch entsprechende Stellvertreterregelungen die Risiken des Komplettausfalls minimiert. Aus unternehmerischer Sicht ist es dabei durchaus hilfreich sehr pragmatisch vorzugehen. Gerade KMU’s können es sich aufgrund ihrer finanziellen Situation oftmals nicht leisten, „mal eben“ einen neuen Mitarbeiter einzustellen und sind daher auf entsprechende Zwischenlösungen angewiesen.
Übrigens: Auch durch die Rekrutierung eines neuen Mitarbeiters für die Entwicklungsabteilung konnten wir unsere Aktivitäten und das Portfolio unserer Dienstleistungen erweitern. Aufgrund vorhandener Kapazitäten haben wir diesen Kollegen zum ISMS-Manager (zertifiziert) ausbilden lassen und können somit im Bereich IT-Sicherheit weiteres Know-how anbieten, welches wir als Dienstleistungen bei potentiellen Kunden abrechnen können. Ein weiterer Beweis dafür, dass Risiko-Management auch immer eine Chance bedeutet.

Fazit

Beim Risiko-Management kommt es nicht darauf an von heute auf morgen perfekt zu sein und jedes kleinste Risiko zu erfassen und zu bearbeiten. Vielmehr geht es in erster Linie darum überhaupt einmal anzufangen und sich dabei auf das Wesentliche zu konzentrieren. Dabei ist es empfehlenswert, dass Sie zunächst mit den möglicherweise existenzgefährdenden Risiken anfangen und sich dann durch Ihre weitere Risikosammlung arbeiten. Unter dem Motto, „das Wichtigste zuerst“ werden sie nach und nach Ihr strukturiertes und umfangreiches Risiko-Management aufbauen. Mit Hilfe einer Software, wie dem SAVISCON GRC-COCKPIT, haben Sie dann fortlaufend alles im Griff.

Foto Uwe StraßbergerÜber den Autor:

Uwe Straßberger ist Director Sales & Marketing bei der SAVISCON GmbH. Seit 2019 steht er unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder uwe.strassberger@saviscon.de

Was bedeutet Know Your Customer (KYC)?

Compliance: Kennen Sie Ihre Kunden?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag aus der Reihe GRC@SAVISCON über das Durchführen der Datenschutz-Folgenabschätzung berichtet haben, soll es heute um den Compliance-Prozess „Know Your Customer“ gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: „Know your Customer“ (KYC) ist in aller Munde, doch was ist das überhaupt und was ist hier konkret zu tun? Diese Fragen haben wir uns im Projekt ebenso gestellt und wollen uns nun Schritt-für-Schritt dem Thema nähern.

Definition

Unter „Know your Customer“ (zu Deutsch: kenne deinen Kunden) versteht man die Prüfung von persönlichen Daten und Geschäftsdaten zur Prävention von Geldwäsche und Terrorismusfinanzierung. Grundlage bietet hier unter anderem das Geldwäschegesetz (GwG). Es gilt zu prüfen, mit wem das eigene Unternehmen da überhaupt Geschäfte macht und dabei geht es nicht nur um Kunden, sondern ebenso um Dienstleister, Lieferanten und Mitarbeiter (auch eine Gehaltszahlung ist eine Art finanzielle Unterstützung).
Und: früher galten Prüfungen eher nur für Unternehmen im Finanzsektor, doch mittlerweile trifft es Organisationen aller Branchen.

Um Wirtschaftskriminalität, Geldwäsche und andere kriminelle Machenschaften zu bekämpfen, bestehen zahlreiche nationale und internationale Prüf-Standards, die in keinem Compliance-Management fehlen dürfen. Taucht ein bestehender oder potenzieller Geschäftspartner oder Mitarbeiter z.B. auf einer Sanktionsliste oder PEP-Liste auf, sind weitere Untersuchungen notwendig. Eine bedenkliche Einstufung hat ggf. sogar eine Beendigung bzw. Verweigerung der Geschäftsbeziehung zur Folge. Es gibt zwar keine rechtliche Verpflichtung, dass jedes Unternehmen prüfen muss, aber jedes Unternehmen muss gewährleisten, dass keine sanktionierten Personen/Unternehmen Unterstützung bekommen. Unter „Unterstützung“ sind sämtliche Aktionen gemeint: es dürfen keine Gelder ausgezahlt werden; aber auch Warenlieferungen und/oder Dienstleistungen dürfen nicht (mehr) erbracht werden.

Bei Missachtung können neben Reputationsverlust auch diese Folgen drohen:

  • Bei fahrlässigen Verstößen: Ahndung als Ordnungswidrigkeit gem. § 19 AWG Geldbuße bis zu 500.000 €
  • Bei vorsätzlichen Verstößen: Bestrafung der Verstöße als Straftat gem. § 17 AWG, bis zu 10 Jahre Freiheitsstrafe bzw. gem. § 18 AWG bis zu 5 Jahren Freiheitsstrafe
  • ggf. auch Entzug der Geschäftserlaubnis

Sanktionslisten

Begonnen wurde mit der Prüfung von terrorverdächtigen Personen als Reaktion auf die Anschläge vom 11. September 2001. Als Grundlage gilt die vom UN-Sicherheitsrat erarbeitete UN-Sanktionsliste. Darauf aufbauend gibt es erweiterte europäische Sanktionslisten (EU-Listen) und eigene Sanktionslisten einiger Staaten, wie z.B. der USA, Großbritannien, Japan und der Schweiz. Nicht alle Listen sind für alle Unternehmen relevant. Es muss also im Vorfeld erstmal geprüft werden, welche Listen (mit welchen Schwerpunkten) auf das eigene Unternehmen Anwendung finden. An dieser Stelle möchten wir einige Listen kurz erwähnen und einen Einblick in diese geben:

CFSP-Liste / Common Foreign & Security Policy (EU-Liste):
Die CFSP-Liste ist von jedem in der EU ansässigen oder wirtschaftlich tätigen Unternehmen zu prüfen. In dieser konsolidierten Liste stehen sämtliche Personen, Organisationen und Vereinigungen gegen welche Finanz-Sanktionen seitens der EU bestehen. Alle EU-weiten Namenslisten, die im Zuge von Verordnungen im Europäischen Amtsblatt veröffentlicht werden, finden sich auf dieser konsolidierten Listensammlung. Die Einträge erfolgen daher mit unterschiedlichen Hintergründen zur Terrorbekämpfung, zur Umsetzung von Länderembargos, zur Folter-Bekämpfung und zur politischen, wie wirtschaftlichen Sanktionierung. Nach den geltenden EU-Verordnungen und dem AWG sind die Unternehmen dazu verpflichtet, einen wirtschaftlich und technisch vertretbaren Aufwand zu betreiben, alle Geschäftspartner gegen diese Liste zu prüfen. Das bedeutet, dass nicht nur exportierende Unternehmen, sondern auch Unternehmen, die nur in Deutschland Geschäfte machen, alle Geschäftspartner, Lieferanten, Kunden und auch die Mitarbeiter gegen diese Sanktionsliste prüfen müssen. Hier ein Auszug:

Screenshot Auszug aus der CFSP-Liste

Auszug aus der CFSP-Liste (Stand 02.07.2021)

SDN-Liste / Specially Designated Nationals (US-Liste):
Hier handelt es sich um eine US-Liste. In dieser Liste finden sich natürliche oder juristische Personen, welche in Aktivitäten verwickelt sind, die die Sicherheit der USA gefährden. Kommt es hier zu einem Treffer, muss bei diesem Handelspartner für den Austausch von Gütern, die der Export Administration Regulations (EAR) unterliegen, lediglich eine Genehmigung bei den amerikanischen Behörden beantragt werden. Hier kommt es also nicht zu einem generellen Verbot. Hier ein Auszug:

Screenshot Auszug aus der SDN-Liste

Auszug aus der SDN-Liste (Stand 02.07.2021)


DPL-Liste / Denied Persons List (US-Liste):

Bei dieser US-Liste sieht es dagegen etwas anders aus. In dieser Liste werden natürliche und juristische Personen geführt, welche gegen das US-Ausfuhrrecht verstoßen haben. Das Bureau of Industry an Security (BIS) hat gegen diese Personen eine Verbotsverfügung (Denial Order) erlassen. Für diese Personen gilt ein umfassendes Verbot für den Handel mit US-Produkten.

Das Thema Sanktionsliste bedarf also einer näheren und individuelleren Betrachtung – je nach Geschäftsfeld des eigenen Unternehmens muss erstmal geprüft werden, welche Sanktionslisten relevant sind.
(Quelle der Listen: https://www.bex.ag/sanktionslisten/)

Was muss genau geprüft werden?

Wenn ich die notwendigen Sanktionslisten eruiert habe, kann anhand von Vorname, Name, Adresse und Geburtsdatum geprüft werden, ob es Übereinstimmungen zwischen dem jeweiligen Geschäftspartner oder Mitarbeiter und einer sanktionierten Person gibt. Doch auch hier muss berücksichtigt werden, dass Übereinstimmungen auch oft nur durch Namensgleichheit bzw. -ähnlichkeit entstehen können. Hier ist es zwingend notwendig, weitere Kriterien wie Anschrift und Geburtsdatum hinzuzuziehen.

Wie kann ein Abgleich stattfinden?

Auf der Seite Justizportal des Bundes und der Länder gibt es unter Onlinedienste => Finanz-Sanktionsliste die Möglichkeit, Einzelprüfungen vorzunehmen: Finanzsanktionsliste 2021 (finanz-sanktionsliste.de). Bei einem großen Stamm an Geschäftspartnern ist dies aber mit hohem Aufwand verbunden und deshalb gibt es mittlerweile eine Vielzahl an Anbietern, die zur Prüfung eine eigene Software anbieten, die dann z.B. über Schnittstellen an das hausinterne Bestandssystem angebunden werden können.

Wie oft sollte geprüft werden?

Da sich der Status einer Person im Laufe der Zeit ändern kann, reicht eine einmalige Prüfung zu Beginn einer Geschäftsbeziehung nicht aus. Demnach wird empfohlen, in der Praxis mind. alle 3 Monate eine Stammdatenprüfung durchzuführen. Dies ist zwar nicht gesetzlich verbindlich vorgeschrieben, aber das Unternehmen muss wie bereits erwähnt gewährleisten, dass keine Geschäfte mit sanktionierten Personen stattfinden.

PEP-Listen

Völlig unabhängig von diversen Sanktionslisten gibt es auch noch PEP-Listen, die ggf. berücksichtigt werden müssen. Steht man in Beziehung zu sogenannten politisch exponierten Personen (Politiker, Behörden, etc.) so spielt die Prüfung von PEP-Listen zur Vermeidung von Korruption und Bestechung eine wichtige Rolle. Eine PEP im Sinne des GwG ist eine natürliche Person, die ein hochrangiges wichtiges öffentliches Amt auf internationaler, europäischer oder nationaler Ebene oder ein öffentliches Amt unterhalb der nationalen Ebene, dessen politische Bedeutung vergleichbar ist, ausübt (§ 1 Abs. 12 GwG). Juristische Personen sind keine PEPs.

Zu den politisch exponierten Personen gehören insbesondere:
a) Staatschefs, Regierungschefs, Minister, Mitglieder der Europäischen Kommission, stellvertretende Minister und Staatssekretäre,
b) Parlamentsabgeordnete und Mitglieder vergleichbarer Gesetzgebungsorgane,
c) Mitglieder der Führungsgremien politischer Parteien,
d) Mitglieder von obersten Gerichtshöfen, Verfassungsgerichtshöfen oder sonstigen hohen Gerichten, gegen deren Entscheidungen im Regelfall kein Rechtsmittel mehr eingelegt werden kann,
e) Mitglieder der Leitungsorgane von Rechnungshöfen,
f) Mitglieder der Leitungsorgane von Zentralbanken,
g) Botschafter, Geschäftsträger und Verteidigungsattachés,
h) Mitglieder der Verwaltungs-, Leitungs- und Aufsichtsorgane staatseigener Unternehmen,
i) Direktoren, stellvertretende Direktoren, Mitglieder des Leitungsorgans oder sonstige Leiter mit vergleichbarer Funktion in einer zwischenstaatlichen internationalen oder europäischen Organisation;

Neben den eigentlichen Amtsträgern gelten auch unmittelbare Familienmitglieder (Ehe-/Lebenspartner, Kinder, Eltern, Geschwister) und evtl. enge Vertraute als PEP.

Bei der Zusammenarbeit mit einer politisch exponierten Person (PEP) wird ein erhöhtes Risiko von strafrechtlich relevanten Aktivitäten wie Geldwäsche, Korruption oder Steuerhinterziehung angenommen und aus diesem Grund schreibt das GwG die Einhaltung verstärkter Sorgfaltspflichten vor (§ 15 GwG, Anlage 2 zum GwG). Leider gibt es keine staatliche oder übergeordnete Stelle (UN oder EU), die offizielle PEP-Listen herausgibt. Zur Prüfung gibt es hier aber ebenso zahlreiche (kostenpflichtige) Datenbanken von diversen Anbietern. Es besteht zwar aber keine Verpflichtung, die am Markt angebotenen PEP Datenbanken zu nutzen, aber die Nutzung indiziert in aller Regel die angemessene Erfüllung der Pflichten zur Abklärung des PEP-Status. Bei Missachtung dieser Pflicht kann es zu hohen Geldbußen und Reputationsverlust führen.

Wie geht es weiter?

Unser Ziel ist es, in unserem GRC-Cockpit sämtliche Prüfungen direkt aus den Stammdaten vorzunehmen bzw. ein System zur Prüfung an das GRC-Cockpit anzubinden. In den nächsten Schritten werden wir relevante Listen weiter eruieren, Software von unterschiedlichen Anbietern testen und die bestehenden Möglichkeiten unseres Systems prüfen. Über die weitere Entwicklung halten wir Sie über unsere Blog-Beiträge auf dem Laufenden.

…to be continued:

Hier die Zusammenfassung der wichtigsten Erkenntnisse zum Thema „Know your Customer“:
• auch Unternehmen, die nur in Deutschland Geschäfte machen müssen gegen Sanktionslisten prüfen
• welche Listen genau relevant sind, sind individuell für das Unternehmen zu betrachten
• Sanktionslisten und PEP-Listen sind erstmal unabhängig voneinander zu betrachten
• Einzelprüfungen oder Software / Datenbank – diese Entscheidung muss getroffen werden
• Eine einmalige Prüfung reicht nicht aus – Stammdaten müssen regelmäßig gegen Listen geprüft werden

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management und beleuchten die wesentlichen Risiken für kleine und mittelständische Unternehmen (KMU).

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

Informationssicherheit vs. IT-Sicherheit:

Wo liegt der Unterschied?

von Daniel Straßberger, Informationssicherheitsbeauftragter bei der SAVISCON GmbH

Im Zuge der fortschreitenden Vernetzung und Digitalisierung nimmt die Informationssicherheit (IS) eine immer bedeutendere Rolle ein. Grade jetzt, während der Corona-Pandemie, haben viele Unternehmen, zumindest teilweise, auf Arbeit aus dem Homeoffice umgestellt. Das hat zur Folge, dass viele Geschäftsdaten nicht nur intern vor Ort, sondern auch über das Internet übertragen werden. Zudem haben mehrere medial viel diskutierte Ransomware-Angriffe in letzter Zeit gezeigt, welche gravierenden Auswirkungen der Verlust von Informationen haben kann.

Um die eigenen Geschäftsprozesse, aber auch die personenbezogenen Daten der Mitarbeiter und Kunden zu schützen, bietet es sich also an entsprechende Maßnahmen zu implementieren. Dabei tauchen vorrangig zwei Begriffe auf: Informationssicherheit und IT-Sicherheit. Da mag man sich fragen: Wo liegt der Unterschied?

Definition Informationssicherheit

Um einen Vergleich vornehmen zu können, schauen wir uns zunächst die beiden Begriffe etwas näher an. Das Bundesamt für Sicherheit in der Informationstechnik definiert im IT-Grundschutz Standard 200-1 die Informationssicherheit wie folgt:

„Informationssicherheit hat das Ziel, Informationen jeglicher Art und Herkunft zu schützen.“

Der klassische Ansatz dabei ist die Definition von Sicherheitszielen (auch Schutzzielen), üblicherweise sind das zunächst Vertraulichkeit, Integrität und Verfügbarkeit. Man möchte also verhindern, dass unberechtigte Personen auf Informationen zugreifen, sie verändern oder entwenden. Wichtig bei dem Zitat ist das Wort „jeglicher“. Informationen liegen nicht nur auf Servern oder Festplatten, sondern auch in Aktenordnern und besonders in den Köpfen von Menschen. Außerdem sind Informationen nicht nur Rezepte, Quellcode oder Steuernummern, auch das (Fach-) Wissen der Mitarbeiter sind wertvolle Informationen.

Definition IT-Sicherheit

Das BSI definiert IT-Sicherheit wie folgt:

„IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.“

Da haben wir es also: IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Da heutzutage die meisten Informationen in elektronischer Form gespeichert sind, ist das Absichern von Servern, Netzwerken und Computern ein sehr wichtiger Aspekt. Daher wird oft generell von IT-Sicherheit gesprochen, das macht sich auch bei der Bezeichnung IT-Grundschutz bemerkbar, obwohl es sich dabei um ein Informationssicherheitsmanagementsystem (ISMS) handelt. Außerdem hat IT-Sicherheit zwei Silben weniger, wohl auch ein Grund, weshalb dieser Begriff gerne synonym zur Informationssicherheit verwendet wird.

IT-Sicherheit in der Praxis

Wir wissen nun, dass Informationssicherheit und IT-Sicherheit unterschiedliche Bedeutungen haben, aber wie wirken sich die beiden Konzepte in der Praxis aus? Wenn ein Unternehmen daran interessiert ist, seine Informationen zu schützen, bietet es sich natürlich zunächst an zur IT-Abteilung zu gehen und sie damit zu beauftragen Passwörter einzurichten, Datenbanken zu verschlüsseln und die Zugriffe zu überwachen. Hier sieht man, dass IT-Sicherheit vorrangig technische Kenntnisse benötigt. Das Unternehmen hat so zwar einige Maßnahmen umgesetzt, aber zum ersten ist nur ein kleiner Teilbereich der IT abgesichert und zum zweiten fehlt der systematische Aufbau. Wie kann das Unternehmen sicher sein, nichts vergessen zu haben? Sind diese Maßnahmen in sechs Monaten noch gut genug?

Informationssicherheit in der Praxis

Bei der Informationssicherheit muss das Unternehmen als Ganzes betrachtet werden – oder zumindest ein klar definierter Teilbereich. Das wird dann als Geltungsbereich oder Informationsverbund bezeichnet. Außerdem sind Informationen nicht nur Bits und Bytes, sondern, wie wir weiter oben bereits festgestellt haben: „Informationen jeglicher Art und Herkunft“. Jedes Unternehmen muss erst einmal feststellen, welche Informationen wichtig sind, wo werden sie gespeichert, über welche Kanäle werden sie kommuniziert? Dazu muss die eigene Organisation abgebildet werden. Dazu wird üblicherweise mit dem Top-Down-Ansatz gearbeitet: Was sind die Hauptgeschäftsfelder, welche IT-Systeme werden genutzt, welche Programme laufen darauf? Werden die Dienste von Cloud-Anbietern genutzt, sind diese vielleicht sogar außerhalb der EU ansässig? Unterliegen Sie aufgrund Ihrer Geschäftstätigkeit bestimmten rechtlichen Anforderungen? Diese Überlegungen sind der Grundstein für erfolgreiches Arbeiten in der Informationssicherheit. Denn nur wenn Unternehmen ihre Organisation kennen, können Sie sie überhaupt erst richtig absichern.

Screenshot GRC-COCKPIT Asset Übersicht

Übersichtliche, grafische Darstellung aller Assets eines Unternehmens in unserem GRC-COCKPIT.

Persönliche Erfahrung als Informationssicherheitsbeauftragter

Anschließend brauchen Sie ein System, um die verschiedenen Abteilungen und möglicherweise die einzelnen Standorte Ihres Unternehmens zu koordinieren. Dabei wird auch schnell klar: Informationssicherheit kann nicht einfach als Glaskugel über eine Organisation gesetzt werden. Vielmehr muss sie ein Teil Ihrer Unternehmenskultur werden. Der Informationssicherheitsbeauftragte braucht die Unterstützung aller Mitarbeiter, eine gute Zusammenarbeit mit den Fachbereichsleitungen und nicht zuletzt auch Ressourcen und Bestärkung durch die Geschäftsführung.

Ein solches Informationssicherheitsmanagementsystem kann sehr umfangreich sein und erfordert besonders am Anfang eine Menge Dokumentations- und Vorbereitungsaufwand auf strategischer Ebene. Auch im laufenden Betrieb kann es sehr schnell unübersichtlich werden. Uns hilft das GRC-COCKPIT dabei den Überblick über alle Informationen und Abhängigkeiten zu behalten.

Screenshot GRC-COCKPIT Detailansicht Assets

Alles auf einen Blick: Risiken, Maßnahmen & Verknüpfungen in unserem GRC-COCKPIT.

Fazit

Informationssicherheit wird in der heutigen digitalen Landschaft nicht ohne IT-Sicherheit auskommen. Trotzdem ist es meiner Meinung nach wichtig die beiden Konzepte strikt voneinander zu trennen, denn sie brauchen ganz unterschiedliche Kenntnisse und stellen einen vor unterschiedliche Herausforderungen. Natürlich hilft es als Informationssicherheitsbeauftragter zumindest oberflächliche Erfahrung mit den technischen Aspekten der IT-Sicherheit zu haben, allein um die Kommunikation mit der IT zu erleichtern. Aber wenn Sie mich fragen, ob ich Informationssicherheit oder IT-Sicherheit mache, dann kann ich Ihnen eine klare Antwort geben: Bei IT-Sicherheit sammle ich weiter Erfahrungen, meine Umsetzung des ISMS bei der SAVISCON GmbH dagegen macht sehr gute Fortschritte. Dazu mehr in einem unserer nächsten Blog-Beiträge aus dem Projekt GRC@SAVISCON.

Über den Autor

Porträt Daniel Straßberger

Daniel Straßberger, Informationssicherheitsbeauftragter (ISB) der SAVISCON GmbH

Als zertifizierter ISMS-Manager und IT-Grundschutz-Praktiker ist Daniel Straßberger bei der SAVISCON GmbH als Informationssicherheitsbeauftragter tätig. Seit April 2021 kümmert er sich um den internen Aufbau des Informationssicherheitsmanagementsystems der SAVISCON GmbH und die Umsetzung aller relevanten Richtlinien und Themen im Bereich Informationssicherheit. Schreiben Sie Daniel Straßberger bei Fragen oder Anregungen zum Thema Informationssicherheit:  daniel.strassberger@saviscon.de

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel