Sicherheit und Basel II

Was ist BASEL II ??

Basel II besteht aus insgesamt drei Säulen:

a. 1. Säule: Mindestkapitalanforderungen
Die erste Säule beinhaltet alle Vorschriften zur Eigenmittelunterlegung von Kreditausfall-, Marktpreis- und operationellen Risiken. Diese Säule ist sicherlich der am meisten diskutierte Bereich von Basel II.

b. 2. Säule: Ausführliche Überprüfungsverfahren
Die zweite Säule gibt eine laufende und regelmäßige Überprüfung der Banken durch die Bankenaufsicht vor. Hier kann man vier Bereiche unterscheiden:

  • Interne Aufsicht: laufende Verbesserung der internen Verfahren der Risikoanalyse. Ausbau des Risikomanagements und der internen Kontrollmechanismen.
  • Externe Aufsicht: Berücksichtigung externer Faktoren, wie Trends etc.
  • Maßnahmen: Die Bankenaufsicht hat die Möglichkeit Maßnahmen zu ergreifen, wenn sie dies für notwendig hält.
  • Dialog zwischen Banken und Aufsichtsbehörden: Ein Ausbau ist notwendig, da die Banken mehr Verantwortung bei der Bewertung und Überwachung von Risiken übernehmen.

c. 3. Säule: Marktdisziplin und Offenlegung
Verpflichtung der Finanzinstitute zur Offenlegung der Eigenkapitalstruktur und der eigenen Risikosituation. Die Offenlegungspflichten umfassen vier Bereiche:

  • Anwendung der Eigenkapitalvorschriften
  • Eigenkapitalstruktur
  • Eingegangene Risiken
  • Angemessenheit der Eigenkapitalausstattung


Was hat Basel II mit Sicherheit zu tun ??

Basel II wirft seine Schatten voraus:

Spätestens 2006/2007 hat das zu diesem Zeitpunkt verbindliche Regelwerk für Unternehmen erhebliche Auswirkungen. Es sieht vor, insbesondere bei Unternehmen vor jeder Entscheidung über einen Kredit eines Kreditgebers eine individuelle Einschätzung der Bonität vorzunehmen. Dies erfolgt auf der Basis interner Rating-Systeme der kreditgewährenden Finanzinstitute oder durch externe Rating. Nach dem vom namengebenden Baseler Ausschuss für Bankenaufsicht erarbeiteten Konzept spielen bei der Vergabe sowohl Markt- und Kreditrisiken als auch operationelle Risiken des kreditnehmenden Unternehmens eine Rolle.

Je höher das individuelle Risiko eines Unternehmens ist, umso mehr Eigenkapital muss der Kreditgeber zukünftig für eine Kreditgewährung vorweisen. Die Finanzinstitute sollen ab 2006/2007 zur Kreditbewertung auf Unternehmensdaten aus bis zu drei Vorjahren (also bereits ab 2003) zurückgreifen. Dies wird sich massiv auf die Kreditkonditionen für die verschiedenen Unternehmen auswirken. Die Kreditverzinsung bei einigen Unternehmen wird sogar unter den handelsüblichen Zinssatz sinken, während andere Unternehmen mit einer Verzinsung rechnen müssen, die weit darüber liegt. Schlimmstenfalls kann ein negatives Rating sogar zur Verweigerung eines Kredites führen.

Wer jetzt noch nicht angefangen hat, sich mit den Baseler Anforderungen auseinander zu setzen, hat möglicherweise die Chance auf eine besonders günstige Kreditbewertung seines Unternehmens schon verpasst oder anders gesagt: Wer die Anforderungen aus Basel II bereits umgesetzt hat, senkt in der Zukunft seine Kreditkosten und schafft sich neben mehr IT-Sicherheit auch Vorteile im Wettbewerb. “Verbaseln” kostet also Geld.

Maßgeschneiderte Risikobewertung

Bei der individuellen Risikoeinschätzung ist unter anderem entscheidend, welche Maßnahmen ein Unternehmen zur gezielten Vermeidung und Reduzierung operationeller Risiken trifft. Auch ist wichtig, welche Risiken sich aus dem Geschäftsbetrieb ergeben, die letztlich Auswirkungen auf das Geschäft selbst und damit die Rückzahlungsfähigkeit des Kreditnehmers haben. Den Begriff des „operationellen Risikos“ definiert der Baseler Ausschuss als „Gefahr von Verlusten, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten“. Darunter fällt als ein Schlüsselbereich auch die IT eines Unternehmens. Dort gelagerte Risiken zu reduzieren, ist vor dem Hintergrund von Basel II elementar.

Dass die zunehmende Komplexität der IT einen immer größeren Nährboden für Systemausfälle, kriminelle Anwendungen oder Angriffe und somit ein höheres Risikopotenzial darstellen, ist eine Binsenweisheit. Hinzu kommen immer kompliziertere Virenstämme, die die Systeme der Unternehmen attackieren, oder so genannte Denial-of-Service-Attacken. Dabei ist es übrigens eine Mär, zu glauben, dass nur Daten von größeren Firmen für Hacker von Interesse sind - ebenso sind kleine und mittelständische Unternehmen immer häufiger Attacken ausgesetzt.

Der Mittelstand scheint sich dieser Tatsache jedoch noch nicht bewusst zu sein: Eine von der Meta Group durchgeführte Studie zeigt, dass mittelständische Unternehmen ihre Systeme in der Vergangenheit bis zum Letzten ausgereizt und nur die nötigsten Investitionen vorgenommen haben. Die Studie „IT Security 2003“ von Mummert Consulting ergab darüber hinaus, dass im Jahre 2003 sieben von zehn Unternehmen im Zusammenhang mit Einsparmaßnahmen auch die IT- Budgets eingefroren oder reduziert haben.

Vor dem Hintergrund von Basel II erweisen sich solche Sparmaßnahmen als Trugschluss. Je mehr der Geschäftsbetrieb auf die technische Infrastruktur angewiesen ist, desto stärker hängt letztlich auch die Bonität und somit die Kreditentscheidung von einem aktiven IT-Risk-Management ab. Wer bei der IT spart, verschlechtert sein Rating und kann in zweiter Konsequenz durch ungünstige Kreditkonditionen mehr Kapital verlieren, als er durch seine Sparmaßnahmen gewinnt. Allerdings scheint sich die Sparmentalität zu ändern. Die Meta-Group-Studie prognostiziert für 2004 eine Trendwende: So sollen in diesem Jahr die IT-Budgets wieder steigen.

Um das Risiko, das durch eine unsichere IT-Infrastruktur besteht, zu minimieren, sollten Systemverantwortliche sowohl geeignete Früherkennungs- als auch Abwehrmaßnahmen einleiten und ein Notfallprogramm für das Worst-Case-Szenario eines Systemausfalls erarbeiten. Vor allen Dingen aber sind die Systeme regelmäßig auf dem neuesten Stand von Wissenschaft und Technik zu halten. Es versteht sich, dass das Tempo der technischen Entwicklungen am Markt auch das Tempo der Sicherheits-Updates bestimmen muss. Neben der Aktualität der Software kann die der Hardware für die Bewertung des IT-Risikos von Bedeutung sein. Weiterhin ist es ratsam, einen Security-Experten im eigenen Unternehmen zu beschäftigen, der die Überwachung der Systeme gewährleistet. Vor dem Hintergrund von Basel II sind all diese Maßnahmen Indikatoren für ein geringes operationelles Risiko und senken die Anforderungen an die Eigenkapitalunterlegung von Krediten.

Fazit

Um sich darauf einzustellen, sollten Management und Sicherheitsverantwortliche eines Unternehmens für ein effektives Risikomanagement sorgen. Dazu gehören Schulungen und Aufklärungsmaßnahmen genauso wie eine im Unternehmen kommunizierte, schriftlich fixierte Sicherheits-Policy. Diese Maßnahmen dürfen allerdings keine einmaligen Aufgaben sein, nur bei regelmäßige Wiederholungen führen sie zum gewünschten Ergebnis.

Zusammenfassend verlangt Basel II im Hinblick auf den Einsatz von IT

  • die Unterlegung operationeller IT-Risiken mit Eigenkapital des Kreditgebers;
  • die Entwicklung von Methoden und Standards für operationelle IT-Risiken;
  • seitens des Kreditnehmers eine detaillierte Offenlegung seiner IT-Risiken gegenüber dem Kreditgeber.

All dies zeigt, wie wichtig eine angemessene IT-Sicherheitspolitik ist, da sie - von Produktivitätsvorteilen einmal abgesehen - auch bei der Verhandlung von Krediten oder bei der Bestimmung von Versicherungskonditionen entscheidend sein kann. Je früher sich ein Unternehmen hiermit befasst, desto besser. Jetzt die Implementierung hoher technischer Sicherheitsstandards voranzutreiben, kann in Zukunft bares Geld bedeuten.


Weitere Informationen zu diesem Thema:

  1. Informationen zu BASEL II:
    http://www.basel-ii.info
    Informationsportal nebst komplettem Regelwerk.
     
  2. Bundesbank - Bankenaufsicht - Basel II:
    www.bundesbank.de/bankenaufsicht/bankenaufsicht_basel.php
    Die offiziellen Seiten Der Bundesbank zu Basel II.
     
  3. Basel II: "TÜV" für die IT-Sicherheit:
    www.manager-magazin.de/unternehmen/mittelstand/0,2828,326413,00.html
    Aussagen der KfW, erstellt vom Manager Magazin zu Basel II.

 

Home
Included EDV - Service
 
Copyright © 2013
INCLUDED EDV - Service
 Jobs & Karriere
 Community
 Kontakt
 Impressum