Anzeige

Compliance

IT-Systeme sind ein integraler Bestandteil in Bearbeitung, Speicherung und Archivierung von Informationen und Daten entlang der Wertschöpfungskette in einem Unternehmen oder einer Behörde. Compliance minimiert Haftungsrisiken, schützt vor Regelverstößen, hohen Strafzahlungen, Imageschäden und schafft Sicherheitsniveau.  

IT in der Compliance-Strategie

Alle Compliance-Themen, ob für IT, Beschaffung, Herstellung und Arbeitsprozesse bindend oder von Finanzbehörden geforderte Regularien haben eine Verpflichtung gemeinsam: Daten, Dokumente und die komplette IT-Infrastruktur müssen vor Manipulationen durch intern beherrschte Methoden und Prozesse geschützt sein. Denn gesetzliche Vorgaben betreffen die IT-Sicherheit und Compliance immer mehr. Zu den Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und am relevantesten, Datenschutz. Sind Sicherheit und Rechtmäßigkeit nicht nachprüfbar gewährleistet, reichen die empfindlichen Forderungen von Schadensersatz und hohen Geldbußen bis hin zu Freiheitsstrafen. Bei einer Nichteinhaltung der gesetzlichen Vorgaben können hier die Geschäftsführer und Vorstände persönlich haftbar gemacht werden, vor allem Aktiengesellschaften und GmbHs sind betroffen.

Beispiele für solche gravierenden Folgen durch Sicherheitsvorfälle gibt es genug. So registrierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst im Oktober 2019 mehr als 100 Millionen Varianten von Schadsoftware, täglich über Einhunderttausend Infektionen durch Bots. Und das in einer Zeitspanne von nicht einmal einem Jahr. Im Sommer desselben Jahres wiederum spricht die Deutsche Telekom von 46 Millionen Cyberangriffen – pro Tag. Von Großkonzernen über Social Networks bis hin zu Bundesbehörden stehen alle im Fokus.

Zu den Angriffsvektoren zählen Malware, Spear-Phishing, Social Engineering und Angriffe auf Web-Server, begehrte Ziele sind Daten. Gefahren drohen aber auch von innen, denn Daten können bei unkontrollierter Zugriffslage nahezu unbemerkt von Mitarbeitenden entwendet werden. Jede Branche sucht deshalb für ihr Hauptangriffsfeld und die Erfüllung ihrer speziellen Verpflichtungen verlässliche Compliance-Lösungsvorschläge.

Compliance-Kultur etablieren

Einen unumstößlichen „Compliance-Leitfaden“ gibt es nicht. Zu den grundsätzlich relevanten nationalen Regeln zur Erfüllung der Compliance-Pflichten aber zählen u. a. das Telekommunikationsgesetz, Bundesdatenschutzgesetz (BDSG), die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Neue Verpflichtungen ergeben sich mit der Datenschutz-Grundverordnung (DSGVO) zum Schutz personenbezogener Daten. Daneben kommen auch europäische Richtlinien wie z.B. das Rahmenwerk zur Analyse der Kreditwürdigkeit (Basel II) und internationale Vorschriften zum Tragen. So gilt der Sarbanes-Oxley Act (SOX) auch für europäische Unternehmen, wenn sie in den USA an der Börse notiert sind. Weitere Richtlinien sind beispielsweise FINRA, HIPAA, IFRS, MiFID und PCI-DSS. Aus den geltenden Regeln ergeben sich für Unternehmen und Behörden konkrete Compliance-Anforderungen, für deren Umsetzung Maßnahmen unerlässlich sind.

Tatsächlich IT-Compliance sicherstellen

Wie aber fängt man mit der Regeltreue an? Die Kernaufgabe besteht in der Dokumentation und der entsprechenden Anpassung der IT-Ressourcen und der Analyse und Bewertung der entsprechenden Problem- oder Gefahrenpotentiale (auch Risikoanalyse). Zu den IT-Ressourcen gehören Hardware, Software, IT-Infrastruktur, Services (z.B. Webservices) und die Rollen und Rechte der Software-Anwender. Ein pragmatischer Ansatz verzahnt nach der Risikoanalyse die Regularien mit den entsprechenden IT- und Geschäftsprozessen und lokalisiert Abweichungen. In den meisten Organisationen sind heutzutage alle Daten elektronisch gespeichert und sämtliche Geschäftsprozesse in Software abgebildet. Relevante Vorgaben müssen applikationsübergreifend eingehalten, mögliche Risiken über ein Früherkennungssystem erfasst, dokumentiert und minimiert, wenn nicht gar abgestellt werden. Im Gegensatz zu externen Risiken sind interne Risiken grundsätzlich beeinflussbar und damit auch der Schaden, den der Abfluss schützenswerter Informationen verursachen kann. Das BSI bietet mit den IT-Grundschutzkatalogen umfangreiche Handlungsanweisungen für einen sicheren Betrieb der IT.

Hauptsächliche Bausteine der Compliance-Organisation sind:

  • Ein nach gesetzlichen Regelungen und relevanten Standards (z.B. ITIL, ISO-Normen) zertifiziertes und revisionssicheres IT-Umfeld
  • Einrichtung von Kernfunktionen durch automatisierte Kontrollmechanismen wie beispielsweise eine zentrale, rollenbasierte Rechteverwaltung mit Bereitstellung umfangreicher Analysen und Reporte, die jederzeit Einblicke in Zugriffsstrukturen geben – als Anhaltspunkt über die Einhaltung rechtlicher und gesetzlicher Vorgaben
  • Festlegung von Rollen und Verantwortungen für das Compliance-Management
  • Interne Richtlinien wie internes Kontrollsystem (IKS) oder IT-Security-Policy zur Sicherheit von Prozessabläufen
  • Kommunikation der Maßnahmen an alle Beteiligten intern und extern
  • Protokollierung/Nachweispflicht der für die IT-Sicherheit relevanten Vorgaben
  • Alle Fachbereiche, von der IT-Abteilung bis hoch in den Vorstand, Aufsichtsrat und Prüfungsausschüsse sind in die Prozessabläufe involviert
  • Schaffung einer Compliance-Kultur als Bewusstsein für Mitarbeiter hinsichtlich der wesentlichen Risiken durch selbst gesetzte ethische Standards (Verhaltenskodex) oder interne Regelwerke
  • Für Planung und Einführung eines individuellen umfassenden Compliance-Frameworks entsprechend Ressourcen für die Steuerung und Überwachung der Prozesse und Maßnahmen zur Verfügung stellen oder Aufgabe an externe Dienstleister auslagern

Weitere Vorteile der IT-Compliance

Neben der Schutzfunktion, die auf die Vermeidung von Nachteilen zielt, senken eine effiziente Nutzung der Ressourcen und der Einsatz wirksamer Werkzeuge den Aufwand für die IT-Compliance-Organisation und für Mitarbeiter auf ein Minimum. Letzteres erhöht wiederum die Akzeptanz bei den Beschäftigten und reduziert den Kontrollbedarf. Die heute fast durchgängige IT-Unterstützung aller Geschäftsprozesse trägt maßgeblich dazu bei, dass die gesamte Tätigkeit eines Unternehmens oder einer Behörde „compliant“ und es damit einem hohen IT-Sicherheitsstandard für sich und Mitarbeiter gerecht wird. Zusätzlich sichert Compliance Vertrauen, mit einem für Unternehmen positiven Nebeneffekt: Der Unternehmenswert kann sich erhöhen und auch die internen Prozesse erfahren mehr Effizienz und eine Qualitätsverbesserung.

Sascha Giese, Head Geek
Sascha Giese
Head Geek, SolarWinds

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Datentransfer

Datentransfer an Dritte ist die größte Sorge der deutschen Verbraucher

Inwiefern hat sich das Einkaufsverhalten von Kunden seit Beginn der Covid-19-Pandemie vom stationären auf den Onlinehandel verlagert? Welche Dinge stören deutsche Verbraucher am meisten, wenn sie ein Online-Nutzerkonto anlegen? Was sind die beliebtesten…
Datenschatz

Der Datenschatz und sein Fluch

Nutzerprofile sind Gold wert, heißt es immer wieder im Online-Marketing. Nur so lassen sich Kunden verstehen und Marketingbotschaften gezielt ausspielen. Kein Wunder, dass Marketer alles tun, um diesen Datenschatz zu heben. Dass sie sich mit US-Anbietern und…
Hintertür

Hintertüren für Ende-zu-Ende-Verschlüsselung?

Die Regierungschefs der Europäischen Union führen aktuell Gespräche darüber, ob und wie ihre Behörden in Zukunft verschlüsselte Kommunikation abhören und in die Strafverfolgung einbeziehen können.
Cookies

Cookies im Netz - Was sie alles können

Als Süßspeise bei den meisten überaus beliebt, genießen Cookies unter Internetnutzern hingegen häufig einen schlechten Ruf. Auch Datenschützer warnen immer wieder vor Cookies. Doch warum ist das so? Immerhin sorgen Cookies in erster Linie für ein möglichst…
USA-Flagge

Der Druck auf Unternehmen bei der Nutzung von US-Clouds wächst

Deutsche Unternehmen müssen schleunigst ihre Cloud-Strategie überprüfen, nachdem der EuGH das Ende des „Privacy Shield“-Abkommens eingeleitet hat. Ein Statement von Tobias Gerlinger, CEO und Managing Director von ownCloud in Nürnberg.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!