Sicherheitsmanagement

IT-Sicherheitsmanagement in einer Holding-Gesellschaft

IT-Sicherheitsmanagement in einer Holding-Gesellschaft

IT-Sicherheit ist unabdingbar für jedes Unternehmen. Der Schaden, der durch mangelnde oder fehlerhafte IT Security entsteht, belief sich im vergangenen Jahr im Milliarden-Bereich. Genaue Zahlen sind hier schwer zu nennen, da viele Vorfälle es nicht an die Öffentlichkeit schaffen und zudem auch so mancher Schaden nicht präzise beziffert werden kann.

Je größer ein Unternehmen und seine Strukturen dabei sind, desto komplexer und aufwändiger ist IT-Sicherheitsmanagement. Besonders herausfordernd ist die IT-Sicherheitsstruktur auch innerhalb von Holdings. Hier müssen die Konzepte oft übergreifend zwischen verschiedenen mit einander verwandten Unternehmen organisiert und abgestimmt werden. Wie verwaltet man also die IT-Sicherheit in einem Unternehmen, das aus Mutter- und Tochtergesellschaften besteht, und gibt es bestimmte Elemente, die in diesem Zusammenhang zu berücksichtigen sind?

Mutterkonzern ist für IT-Sicherheitsrisiken in Tochtergesellschaften verantwortlich

Im Zuge einer Unternehmensdigitalisierung sollte der IT-Sicherheit von Beginn an größte Aufmerksamkeit gewidmet werden. IT-Sicherheitsmanagement ist ein sehr komplexes Thema, welches sowohl Sicherheitskonzepte als auch konkrete Maßnahmen umfasst. Zudem ist es wichtig zu verstehen, dass vollständige IT-Sicherheit nicht ein zu erreichendes Ziel ist, sondern vielmehr ein kontinuierlicher Prozess, der laufend überwacht und optimiert werden muss. Dabei sollten man versuchen, stets das Optimum an digitaler Sicherheit herauszuholen und gleichzeitig immer einen kritischen Blick auf die Kosten werfen.

IT-Sicherheitsmanagement beinhaltet sämtliche Aspekte einer Holding-Gesellschaft, die sich mit IT-Sicherheit beschäftigen. Oberstes Ziel ist es immer, die IT-Sicherheit zu gewährleisten und Cyberattacken sowie andere Bedrohungen abzuwehren. Darüber hinaus müssen auch datenschutzrechtliche Aspekte berücksichtigt werden, die in der Datenschutz-Grundverordnung (DSGVO) geregelt sind.

Zunächst einmal ist es Aufgabe des Mutterunternehmens, für eine Umsetzung entsprechender IT-Sicherheitskonzepte zu sorgen. Die Geschäftsleitung hat die Aufgabe, alle beteiligten Tochtergesellschaften vor möglichen Schäden zu schützen. Mögliche IT-Sicherheitsrisiken in Tochtergesellschaften müssen also vom Mutterkonzern bewertet und ein entsprechendes Konzept erstellt werden.

Datenschutzrechtliche Aspekte

Um den Schutz personenbezogener Daten zu gewährleisten, ist das Mutterunternehmen verpflichtet, nicht nur bei sich, sondern auch bei allen anderen Tochterunternehmen, eine Risikoanalyse vornehmen und entsprechende Schutzvorkehrungen umsetzen.

Eine Besonderheit besteht auch bei der Datenübermittlung zwischen allen Unternehmen einer Holding. Die Datenschutz-Grundverordnung sieht Unternehmensgruppen und Holding-Gesellschaften nicht als ein Unternehmen, sondern als selbstständige Rechtseinheiten. Somit muss eine Datenübermittlung von einem Tochterunternehmen zu einem Mutterunternehmen stets denselben Anforderungen genügen, wie die Datenübermittlung zu einem unabhängigen Kooperationspartner.

Bei einem Verstoß einer Tochtergesellschaft gegen Datenschutzbestimmungen haften Mutter- und Tochtergesellschaft als Gesamtschuldner für daraus hervorgehende Ansprüche. Weitere Informationen rund um das Thema Holding finden sich auch hier .

Allgemeine Hinweise

Es ist ganz grundsätzlich ratsam, Strukturen zu schaffen, die eine Überwachung aller IT-Prozesse innerhalb aller Tochterunternehmen ermöglichen, damit die Konzernleitung möglichst schnell über mögliche Auffälligkeiten informiert wird. Dennoch kann es erforderlich sein, in jedem Tochterunternehmen einen separaten IT-Verantwortlichen zu beschäftigen, der in ständigem Austausch mit dem IT-Verantwortlichen des Mutterkonzerns steht. Diese stehen zudem in ständigem Kontakt mit dem Datenschutzbeauftragten , wodurch gewährleistet wird, dass alle Datenschutz-relevanten Aspekte und Anforderungen berücksichtigt werden.

Fazit

Die Anforderungen an IT-Sicherheitsmanagement in einer Holding-Gesellschaft sind hoch und werden zukünftig weiter steigen. Je komplexer eine Unternehmensstruktur, desto komplexer ist auch das Management der IT-Sicherheit. Es ist ratsam, sich ausführlich mit dieser Thematik zu beschäftigen und sich bestenfalls professionell beraten zu lassen, um finanzielle oder sonstige Folgen, die durch fehlerhafte IT oder den fehlerhaften Umgang mit Daten entstehen können, konsequent zu vermeiden.