Newsfeed abonnieren
Thema: Security

IT- Compliance

"Compliance wird zum Business Case"

Aus MONITOR 4/2010
Drucken | Versenden | Feedback

Compliance ist ein anspruchsvoller Balanceakt. Wer sie vernachlässigt, steht mit einem Bein im Kriminal. Zu viel Kontrolle kann hingegen die Effizienz von Geschäftsprozessen beeinträchtigen. Die Experten empfehlen einen ganzheitlichen Ansatz mit Augenmaß.

Alexander Hackl

(Bild: stock.xchg)

Die Umsetzung von Richtlinien, Standards und gesetzlichen Vorschriften steht nach wie vor weit oben auf den Agenden heimischer Unternehmen. "Die Relevanz von Compliance ist ungebrochen, die von IT-Compliance im Speziellen hat sogar zugenommen", weiß Gunther Reimoser, Partner bei Ernst & Young und Leiter der IT Advisory Risk Services.

„Die Relevanz von Compliance ist ungebrochen.” Gunther Reimoser, Ernst & Young (BIld: Ernst & Young)

Als wichtigen Treiber dafür sieht er das Unternehmensrechtsänderungsgesetz von 2008, dessen Umsetzung "sich erst seit letztem Jahr so richtig manifestiert". Die vormals schwammigen Formulierungen in Bezug auf ein "angemessenes" internes Kontrollsystem (IKS) und Risikomanagement sind einem klaren Prüfungsauftrag gewichen. "Der Aufsichtsrat ist nun in die Pflicht genommen. Ein Prüfungsausschuss muss klar nachweisen, wie er die Wirksamkeit von IKS und Risk Management überprüft hat." Reimoser ortet derzeit viele Projekte mit dem Ziel, Systeme zu implementieren, die messen können, wo die Compliance erfüllt wird und wo man noch Nachholbedarf hat.

Daniel Baur, Partner bei Accenture Österreich, sieht die IT zunehmend in einer Schlüsselrolle. "Die IT-Compliance ist aufgrund der Wichtigkeit von Informationstechnologie für das unternehmerische Handeln eine notwendige Voraussetzung für das Erreichen von Compliance auf Unternehmensebene", so Baur. Insbesondere die Implementierung und Überwachung von Security-Richtlinien ist ein hoch aktuelles Thema. Die Firmen werden mit immer mehr Sicherheitsanforderungen konfrontiert, zum einen mit Mandaten der Industrie wie PCI-DSS zur Einhaltung von Sicherheitsstandards bei Online-Kreditkartengeschäften, aber auch mit immer mehr Anforderungen durch den Gesetzgeber für den Schutz von persönlichen Daten der Kunden und Mitarbeiter.

Mehr Automatisierung

„Compliance-Maßnahmen werden bei KMUs häufig ad hoc und bedarfsgetrieben durchgeführt.” Daniel Baur, Accenture Österreich (Bild: Accenture)

Aufgrund der Fülle der Anforderungen denken derzeit viele CIOs über Automatisierungs- möglichkeiten nach. Dazu Baur: "Die Durchführung von Kontrollen zur Vermeidung oder Aufdeckung von Compliance-Risiken ist immer noch ein stark manuell geprägter Prozess. Durch die Nutzung von bewährter Informationstechnologie kann er deutlich effektiver und effizienter durchgeführt werden." Branchen mit hoher Risikoausprägung wie der Bankensektor brauchen auch ein effektives und effizientes Kontrollumfeld, das sich nur durch Automatisierung sicherstellen lässt, so Baur. Bei international tätigen Unternehmen ortet er auch einen deutlichen Trend zur Konsolidierung unterschiedlicher nationaler Bestimmungen, um die Regelflut zu reduzieren: "Durch die zentrale Zusammenlegung der Verwaltung von Regulatorien, Vorschriften und Kontrollen können Überschneidungen aufgedeckt und die Effizienz erhöht werden."

Unternehmen aus dem Finanzsektor, die hohe Compliance-Anforderungen erfüllen müssen, haben in der Regel bereits eine sehr ausgereifte Compliance-Kultur entwickelt und investieren auch am meisten in diesen Bereich. Im öffentlichen Sektor und im Gesundheitswesen wird ebenfalls stark in verschiedene Bereiche der von IT-Sicherheit und Compliance investiert. Zunehmend ist auch der Telekom-Sektor durch die EU Data Retention Directive EU 2006/24/EC und die Neugestaltung der Data Privacy Directive EU 2002/58/EC mit neuen gesetzlichen Anforderungen zum Thema Datenschutz und Privatsphäre konfrontiert.

KMU haben Nachholbedarf

Im Gegensatz zu Großunternehmen und den erwähnten besonders exponierten Branchen verfügen kleinere Unternehmen meist nicht über dedizierte IT-Sicherheits-, Risiko-, oder Compliance-Mitarbeiter, sodass das Thema der Informations- und Infrastruktursicherheit oft vernachlässigt wird. Dabei befinden sich auch Mittelständler zunehmend im internationalen Wettbewerb, verfügen über Niederlassungen im Ausland und sind daher mit immer komplexeren Compliance-Anforderungen konfrontiert.

„Compliance kostet zwar etwas, bringt aber auch einen Return.” Bernhard Bizjak, IBM Software Group (Bild: IBM)

"Compliance-Maßnahmen werden bei KMU häufig ad-hoc und bedarfsgetrieben durchgeführt, was zu hohen fallbasierten Aufwänden und intransparenten Kosten führt", weiß Bauer. Die etablierte Praxis aus den Großkonzernen zeige, dass ein richtig aufgesetztes, proaktives Compliance Management zu einer effektiveren und kostengünstigeren Steuerung der Risiken führe. KMU könnten damit nicht nur die rechtlichen Risiken für das Unternehmen selbst verringern, sondern insbesondere auch Fragen der persönlichen Haftung von Geschäftsführern und Gesellschaftern besser berücksichtigen.

Die Befolgung von Gesetzen ist aber nur ein Teil von Compliance, betont Guido Sanchidrian, Principal Product Marketing Manager EMEA bei Symantec. "Auch die Einhaltung von nicht-gesetzlichen Regelungen ist von großer Bedeutung. Viele bewährte Standards und Referenzmodelle sind heute am Markt anerkannt. Eine Nichtbeachtung kann zu Reputationsverlust führen und Wettbewerbsnachteile nach sich ziehen." Der Informationssicherheitsstandard ISO/IEC 27001, der IT Grundschutz nach BSI oder das Referenzmodell CoBIT sind laut Sanchidrian "ein sehr guter Start für die Einführung eines ganzheitlichen Ansatzes", da solche Standards meist mit "bewährte Praktiken" inkludieren.

Compliance als Business Case

"Compliance kostet zwar etwas, bringt aber auch einen Return", betont Bernhard Bizjak, IT-Architekt der IBM Software Group. "Standards wie ISO 27000 helfen dabei, die wesentlichen, besonders schützenswerten Assets und unternehmenskritischen Daten zu identifizieren. Dann wird auch schnell klar, wo man in zusätzliche technische Barrieren investieren sollte." Besonderes Augenmerk sollte dabei dem Zugriffs-, und Berechtigungsmanagement gelten, meint Bizjak. "Wenn man Transparenz und Nachvollziehbarkeit will, braucht es standardisierte Prozesse, um nachzuweisen, wer wann etwas verändert und wer wann auf etwas zugegriffen hat. Papier ist geduldig. Policies allein reichen nicht. Wichtig sind Dokumentation und Auswertung. Es sind Systeme notwendig, die auf Basis der geltenden Policies verlässliche Reports liefern."

Ernst&Young-Partner Reimoser ortet überhaupt einen Paradigmenwechsel hin zu einer "integrativen Compliance". Neben Gesetzen, dem IKS oder Sicherheitsstandards würden zunehmend auch Qualitätsstandards wie IS0 9000 oder ITIL und die explizite Überprüfung von Service Levels in die Compliance Management Systeme Einzug halten. "Compliance wird immer mehr in die operative IT eigebettet, sie wird ein Mittel, um eine Qualitätsverbesserung in den Prozessen zu erzielen."

Und wenn die Servicequalität für die Kunden messbar erhöht werde, seien auch die Mitarbeiter motivierter, sich an Compliance-Regeln zu halten, weil sie "den direkten Nutzen" erkennen. "Wenn bei der Risikobewertung nur die Strafen für Non-Compliance betrachtet werden, greift das zu kurz. Die Kosten, die durch mangelhafte Prozesse verursacht werden, sind oft um ein Vielfaches höher. Compliance bringt mehr Geschäfts- und Wertorientierung in die IT und wird dadurch zum Business Case", so Reimoser.

Compliance Management: Tipps für die Einführung

Guido Sanchidrian, Principal Product Marketing Manager EMEA bei Symantec (Bild: Symantec)

Guido Sanchidrian, Principal Product Marketing Manager EMEA bei Symantec, rät zu einem ganzheitlichen Ansatz auf Basis bewährter Standards wie ISO 27001 oder CobIT und einer sorgfältigen Planung.

 

"Die Projektverantwortlichen müssen sich über Umfang und Durchführung von Anfang bis Ende vollends im Klaren sein", betont der Experte.

  • Zuallererst ist es erforderlich, eine Analyse des tatsächlichen Schutzbedarfs zu machen und den sicherheitstechnischen Zustand der IT-Infrastruktur festzustellen. Die Planung sollte sich am tatsächlichen Bedarf ausrichten. Es ist meist kontraproduktiv, wenn zu viele Praktiken des Standards einführen werden, ohne dafür die notwendigen Ressourcen zur haben.
  • Ein Unternehmen sollte ein vollständiges Bild darüber haben, wo seine sensiblen und vertraulichen Daten abgelegt sind, wer darauf zugreifen kann und wie sie sich im Netz bewegen.
  • Es folgt die Erarbeitung von Informationssicherheitsrichtlinien und IT-Sicherheitskonzepten auf Basis des ausgewählten Standards.
  • Es müssen Technologien und Tools eingeführt werden, die die Einhaltung der Richtlinien überwachen, und die notwendigen IT-Kontrollen durchführen.
  • Eine Sicherheits- und Compliance-Kultur im Unternehmen muss aufgebaut werden. Das beinhaltet die Schulung von und Kommunikation mit Mitarbeitern, Partnern und Kunden.
  • Ratsam ist auch, dass die Prozesse der Informationssicherheit nicht isoliert betrachtet werden, sondern in die Geschäftsprozesse eingebunden werden. Denn die IT-Dienste dienen letztendlich den Geschäftsabläufen und der Geschäftssicherheit.
  • Regelmäßige Überwachung und Audits sind eine Grundvoraussetzung für einen ganzheitlichen Ansatz, ebenso wie permanente Verantwortung der Mitarbeiter für die Umsetzung, Einhaltung und etwaige Verbesserungen der Richtlinien.

 

weitersagen: drucken
Termine

18. Juni - 22. Juni

In ganz Österreich

SAP Mittelstandstage

Print-Archiv
Folgen Sie uns
Leser empfehlen
MONITOR-Newsletter

Abonnieren Sie unseren Newsletter!

E-Mail:
Die von Ihnen angegebene E-Mail Adresse wird von MONITOR Online weder an Dritte weitergegeben noch zu anderen Zwecken verwendet.
MONITOR-Autoren

© Copyright 1983-2012 by MONITOR / Bohmann Druck und Verlag Gesellschaft m.b.H. & Co. KG (www.bohmann.at)

Add to Google  | Abo | Themenvorschau | Mediadaten | Inserate buchen | Kontakt | Impressum