Auf dem Weg zur Compliance

IT-Systeme sind ein integraler Bestandteil in Bearbeitung, Speicherung und Archivierung von Informationen und Daten entlang der Wertschöpfungskette in einem Unternehmen oder einer Behörde. Compliance minimiert Haftungsrisiken, schützt vor Regelverstößen, hohen Strafzahlungen, Imageschäden und schafft Sicherheitsniveau.  

IT in der Compliance-Strategie

Alle Compliance-Themen, ob für IT, Beschaffung, Herstellung und Arbeitsprozesse bindend oder von Finanzbehörden geforderte Regularien haben eine Verpflichtung gemeinsam: Daten, Dokumente und die komplette IT-Infrastruktur müssen vor Manipulationen durch intern beherrschte Methoden und Prozesse geschützt sein. Denn gesetzliche Vorgaben betreffen die IT-Sicherheit und Compliance immer mehr. Zu den Anforderungen in der IT gehören hauptsächlich Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und am relevantesten, Datenschutz. Sind Sicherheit und Rechtmäßigkeit nicht nachprüfbar gewährleistet, reichen die empfindlichen Forderungen von Schadensersatz und hohen Geldbußen bis hin zu Freiheitsstrafen. Bei einer Nichteinhaltung der gesetzlichen Vorgaben können hier die Geschäftsführer und Vorstände persönlich haftbar gemacht werden, vor allem Aktiengesellschaften und GmbHs sind betroffen.

Anzeige

Beispiele für solche gravierenden Folgen durch Sicherheitsvorfälle gibt es genug. So registrierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst im Oktober 2019 mehr als 100 Millionen Varianten von Schadsoftware, täglich über Einhunderttausend Infektionen durch Bots. Und das in einer Zeitspanne von nicht einmal einem Jahr. Im Sommer desselben Jahres wiederum spricht die Deutsche Telekom von 46 Millionen Cyberangriffen – pro Tag. Von Großkonzernen über Social Networks bis hin zu Bundesbehörden stehen alle im Fokus.

Zu den Angriffsvektoren zählen Malware, Spear-Phishing, Social Engineering und Angriffe auf Web-Server, begehrte Ziele sind Daten. Gefahren drohen aber auch von innen, denn Daten können bei unkontrollierter Zugriffslage nahezu unbemerkt von Mitarbeitenden entwendet werden. Jede Branche sucht deshalb für ihr Hauptangriffsfeld und die Erfüllung ihrer speziellen Verpflichtungen verlässliche Compliance-Lösungsvorschläge.

Compliance-Kultur etablieren

Einen unumstößlichen „Compliance-Leitfaden“ gibt es nicht. Zu den grundsätzlich relevanten nationalen Regeln zur Erfüllung der Compliance-Pflichten aber zählen u. a. das Telekommunikationsgesetz, Bundesdatenschutzgesetz (BDSG), die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) und das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Neue Verpflichtungen ergeben sich mit der Datenschutz-Grundverordnung (DSGVO) zum Schutz personenbezogener Daten. Daneben kommen auch europäische Richtlinien wie z.B. das Rahmenwerk zur Analyse der Kreditwürdigkeit (Basel II) und internationale Vorschriften zum Tragen. So gilt der Sarbanes-Oxley Act (SOX) auch für europäische Unternehmen, wenn sie in den USA an der Börse notiert sind. Weitere Richtlinien sind beispielsweise FINRA, HIPAA, IFRS, MiFID und PCI-DSS. Aus den geltenden Regeln ergeben sich für Unternehmen und Behörden konkrete Compliance-Anforderungen, für deren Umsetzung Maßnahmen unerlässlich sind.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Tatsächlich IT-Compliance sicherstellen

Wie aber fängt man mit der Regeltreue an? Die Kernaufgabe besteht in der Dokumentation und der entsprechenden Anpassung der IT-Ressourcen und der Analyse und Bewertung der entsprechenden Problem- oder Gefahrenpotentiale (auch Risikoanalyse). Zu den IT-Ressourcen gehören Hardware, Software, IT-Infrastruktur, Services (z.B. Webservices) und die Rollen und Rechte der Software-Anwender. Ein pragmatischer Ansatz verzahnt nach der Risikoanalyse die Regularien mit den entsprechenden IT- und Geschäftsprozessen und lokalisiert Abweichungen. In den meisten Organisationen sind heutzutage alle Daten elektronisch gespeichert und sämtliche Geschäftsprozesse in Software abgebildet. Relevante Vorgaben müssen applikationsübergreifend eingehalten, mögliche Risiken über ein Früherkennungssystem erfasst, dokumentiert und minimiert, wenn nicht gar abgestellt werden. Im Gegensatz zu externen Risiken sind interne Risiken grundsätzlich beeinflussbar und damit auch der Schaden, den der Abfluss schützenswerter Informationen verursachen kann. Das BSI bietet mit den IT-Grundschutzkatalogen umfangreiche Handlungsanweisungen für einen sicheren Betrieb der IT.

Hauptsächliche Bausteine der Compliance-Organisation sind:

  • Ein nach gesetzlichen Regelungen und relevanten Standards (z.B. ITIL, ISO-Normen) zertifiziertes und revisionssicheres IT-Umfeld
  • Einrichtung von Kernfunktionen durch automatisierte Kontrollmechanismen wie beispielsweise eine zentrale, rollenbasierte Rechteverwaltung mit Bereitstellung umfangreicher Analysen und Reporte, die jederzeit Einblicke in Zugriffsstrukturen geben – als Anhaltspunkt über die Einhaltung rechtlicher und gesetzlicher Vorgaben
  • Festlegung von Rollen und Verantwortungen für das Compliance-Management
  • Interne Richtlinien wie internes Kontrollsystem (IKS) oder IT-Security-Policy zur Sicherheit von Prozessabläufen
  • Kommunikation der Maßnahmen an alle Beteiligten intern und extern
  • Protokollierung/Nachweispflicht der für die IT-Sicherheit relevanten Vorgaben
  • Alle Fachbereiche, von der IT-Abteilung bis hoch in den Vorstand, Aufsichtsrat und Prüfungsausschüsse sind in die Prozessabläufe involviert
  • Schaffung einer Compliance-Kultur als Bewusstsein für Mitarbeiter hinsichtlich der wesentlichen Risiken durch selbst gesetzte ethische Standards (Verhaltenskodex) oder interne Regelwerke
  • Für Planung und Einführung eines individuellen umfassenden Compliance-Frameworks entsprechend Ressourcen für die Steuerung und Überwachung der Prozesse und Maßnahmen zur Verfügung stellen oder Aufgabe an externe Dienstleister auslagern

Weitere Vorteile der IT-Compliance

Neben der Schutzfunktion, die auf die Vermeidung von Nachteilen zielt, senken eine effiziente Nutzung der Ressourcen und der Einsatz wirksamer Werkzeuge den Aufwand für die IT-Compliance-Organisation und für Mitarbeiter auf ein Minimum. Letzteres erhöht wiederum die Akzeptanz bei den Beschäftigten und reduziert den Kontrollbedarf. Die heute fast durchgängige IT-Unterstützung aller Geschäftsprozesse trägt maßgeblich dazu bei, dass die gesamte Tätigkeit eines Unternehmens oder einer Behörde „compliant“ und es damit einem hohen IT-Sicherheitsstandard für sich und Mitarbeiter gerecht wird. Zusätzlich sichert Compliance Vertrauen, mit einem für Unternehmen positiven Nebeneffekt: Der Unternehmenswert kann sich erhöhen und auch die internen Prozesse erfahren mehr Effizienz und eine Qualitätsverbesserung.

Sascha

Giese

Head Geek

SolarWinds

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.