IT Sicherheit Teil 11 BASEL II
5. IT-Security und BASEL II
Die Bedeutung von IT-Sicherheit in einem Unternehmen geht weit über die bloße Haftung für Schäden hinaus. Eine eng mit dem KonTraG in Verbindung stehende Normierung sind die Regelungen von BASEL II. Diese 2006 umgesetzten Regelungen haben auch für die IT-Sicherheit in einem Unternehmen große Bedeutung.
BASEL II bezeichnet die Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Die Regelungen müssen gemäß der EU-Richtlinie 2006/49/EG ab dem ersten Januar 2007 in den Mitgliedsstaaten der Europäischen Union angewendet werden, finden jedoch in der Praxis bereits länger Anwendung.
Die Umsetzung in deutsches Recht wird durch das Kreditwesengesetz, die Mindestanforderungen an das Risikomanagement, die Solvabilitätsverordnung, sowie durch das KonTraG erwirkt.
Diese Regelung hat sich bereits seit langen Zeiten angebahnt. 1988 stellten die Präsidenten der Zentralbanken der G10 Länder fest, dass das Eigenkapital der der wichtigsten internationalen Banken auf ein gefährliches Niveau gefallen war.
Die bislang gültige Solvabilitätsrichtlinie BASEL I sah vor, dass die Banken ihr voraussichtliches Verlustrisiko bei der Vergabe von Unternehmenskrediten mit Eigenkapital abzusichern hatten. Demnach war für Unternehmenskredite grundsätzlich eine Risikogewichtung von 100% vorzunehmen und das so gewichtete Kreditvolumen mit 8% Eigenkapital zu unterlegen. Dies führte zu einem erheblichen Abschrumpfen der Eigenkapitalbestände.
In BASEL I wurden daraufhin Kriterien für die Vergabe von Unternehmenskrediten formuliert. Hierzu bedurfte es jedoch weder eines internen Ratings durch das kreditgebende Institut, noch eines externen Ratings durch eine Ratingagentur. Hierdurch ergab sich eine unzureichende Differenzierung des Kreditrisikos für Unternehmen. Außerdem verleitete die bisherige Regelung die Banken dazu, risikolosere Positionen abzustoßen, da sie mit genau so viel Eigenkapital zu unterlegen waren, wie riskantere und ertragreiche Positionen.
Dies führte dazu, dass es im Jahre 1999 zu einer Neuaufnahme der Verhandlungen kam und im Ergebnis die Kriterien für die Kreditvergabe überarbeitet und neue Richtlinien erarbeitet wurden. Die neuen Richtlinien wurden in einer eigens gefassten Bankenrichtlinie auf EU-Ebene kodifiziert (RL 2006/48/EG) und in Deutschland insbesondere durch Änderungen im Kreditwesengesetz zum 01.01.2007 in nationales Recht umgewandelt und in Kraft.
Im Gegenzug zu BASEL I zielt BASEL II nunmehr darauf ab, die Eigenkapitalhinterlegung der Kreditgeber von dem jeweiligen Ausfallrisiko des Darlehensnehmers abhängig zu machen. Hierdurch wird dem eigentlichen Ziel der Bankenaufsicht im Vergleich zur bisherigen Situation besser entsprochen. Die drohende Gefahr einer Bankeninsolvenz wird durch eine als Risikopuffer dienende Eigenkapitalabsicherung verringert.
Das von der Bank zu unterlegende Eigenkapital wird an das Kreditausfallrisiko gekoppelt. Zur Ermittlung dieses Kreditausfallrisikos führen die kreditgebenden Institute ein internes Rating der kreditnehmenden Unternehmen durch, oder lassen dies in einem externen Rating durch eine Ratingagentur feststellen.
Hierdurch wird eine wichtige Informationsgrundlage zur Beurteilung der Bonität eines Unternehmens geschaffen. Die Unternehmen werden nach ihrem Kreditrisiko, ihrem Marktrisiko und ihrem operationellem Risiko beurteilt.
Doch was hat das alles mit IT-Security zu tun?
Für den Bereich des operationellen Risikos ist die IT-Sicherheit von entscheidender Bedeutung. Ein Unternehmen, das mit einem großen Firmensystem oder –Netzwerk arbeitet, ist für eventuelle Störungen sehr anfällig. Fällt das System oder auch nur ein Teil davon aus, entstehen oftmals Schäden in beträchtlicher Höhe. Folglich ist die Kreditvergabe an ein solches Unternehmen risikobelasteter als an ein anderes, mit weniger anfälliger Technologie arbeitendes. Umso wichtiger ist es, auf diesem Gebiet ausführliche Vorsorge getroffen zu haben.
Ein Unternehmen, welches im Bereich der IT-Sicherheit den modernen Anforderungen entspricht, wird folglich in einem Rating besser eingestuft, als ein Unternehmen mit potentiellen Sicherheitsmängeln. Dementsprechend steigt seine Kreditwürdigkeit. Für den Unternehmer bzw. die Geschäftsleitung existieren zahlreiche Möglichkeiten, das eigene Rating positiv zu beeinflussen.
Gleiches gilt für die Umsetzung des KonTraG. Die Pflicht zur Einführung eines Risikomanagements ist von ebenfalls hohem Stellenwert. Setzt ein Unternehmen diese Vorschriften gewissenhaft um, so steigen seine Kreditkonditionen, wohingegen ein schlecht ausgefallenes Rating zu erheblichen Schwierigkeiten bei der Vergabe von Unternehmenskrediten, oder zumindest aber zu deutlich schlechteren Kreditkonditionen führen kann.
Gerade für mittelständische Unternehmen kann diese Entwicklung von großem Nutzen sein. Bisher waren die Kreditfinanzierungen in Deutschland meist langfristig angelegt. Hieraus ergab sich eine im europäischen Vergleich verhältnismäßig hohe Abhängigkeit der Unternehmen von den Banken. So wurden noch vor Inkrafttreten von BASEL II etwa 70 % der Unternehmensfinanzierung über Bankkredite abgewickelt. Dem kann nun entgegengewirkt werden.
Die Durchführung eines Rating-Verfahrens erzwingt zudem eine Neuausrichtung mittelständischer Unternehmen hin zu mehr Transparenz, sei es durch Controllinginstrumente gegenüber den Rating-Instanzen oder in Form eines aktiven Value-Reportings gegenüber Kapitalmarktadressaten und auch gegenüber der Öffentlichkeit.
Diese neu gestalteten Rating-Verfahren stellen auch neue Herausforderungen für die beratenden Berufsfelder, wie etwa Rechtsanwälte, Wirtschaftsprüfer und Steuerberater, dar. Zu deren neuen Aufgaben zählt es nun auch, den Mandanten optimal auf den durchzuführenden Ratingprozess vorzubereiten und diesen dann effizient abzuwickeln.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie IT-Sicherheit
Stand: 03/07
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Das Referat Europarecht wird bei Brennecke Rechtsanwälte betreut von:
Rechtsanwalt Tilo Schindele ist seit Jahren im Bereich internationales Vertragsrecht tätig.
Als Spezialist im Arbeitsrecht prüft und gestaltet Rechtsanwalt Schindele Arbeitsverträge und Dienstverträge für Mitarbeiter oder Geschäftsführung bei Tätigkeit im Ausland und berät bei Aufhebung oder Kündigung.
Er gestaltet, prüft und optimiert Verträge mit internationalem Bezug. Er begleitet bei europarechtlichen Fragen zum freien Waren- und Dienstleistungsverkehr und berät bei der Beantragung von EU-Subventionen. Daneben vertritt Rechtsanwalt Schindele Mandanten im Bereich des Außenwirtschaftsrechts und der Genehmigung von Import oder Export von Waren beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA).
Tilo Schindele bereitet derzeit folgende Veröffentlichung vor:
- Internationales Vertragsrecht
- Einführung ins IPR (internationale Privatrecht)
Rechtsanwalt Schindele ist Dozent für Arbeitsrecht an der Dualen Hochschule Stuttgart und Dozent für internationales Vertragsrecht an der DMA Deutsche Mittelstandsakademie.
Er bietet Schulungen, Vorträge und Seminare unter anderem zu den Themen:
- Einführung in das internationale Vertragsrecht
- Internationale Verträge gestalten – Grundlagen und Fallen
- Arbeitsverträge bei Tätigkeit im Ausland rechtssicher gestalten und Gefahren vermeiden
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: schindele@brennecke-rechtsanwaelte.de
Telefon: 0711-896601-24
Mehr Beiträge zum Thema finden Sie unter:
Rechtsinfos/ Datenschutzrecht/ IT-SecurityRechtsinfos/ Europarecht