Was bedeutet IT-Compliance?
Auch wenn das Wort Compliance etwas kompliziert klingt, heißt es nichts anders, als nach dem geltenden Recht, dem branchenüblichen Standards oder nach einer freiwilligen Selbstverpflichtung zu handeln. Der Begriff ist englischen Ursprungs und bedeutet in die deutsche Sprache übersetzt so viel wie Konformität oder Einhaltung. Er wird dabei quer durch alle Branchen und Wirtschaftszweige verwendet, weswegen man in der IT-Welt auch oft von IT-Compliance spricht. In der betrieblichen Praxis wird mit der Compliance viel zu oft stiefmütterlich umgegangen, sodass entsprechende Regeln und Standards in der Regel nur in größeren Unternehmen und Organisationen vorhanden sind. Dabei sind Unternehmen, zum Beispiel bei einem Datenleck, mit hohen Strafen konfrontiert, falls der Vorfall infolge eines nicht regelkonformen Verhaltens entstanden ist.
IT-Compliance im Überblick
Unternehmen und Organisationen, die Kundendaten speichern und verwalten, müssen strenge Regelungen einhalten. Diese beziehen sich in erster Linie darauf, wie die gespeicherten Daten geschützt werden müssen und in welchem Rahmen sie verwendet und an Drittpersonen weitergereicht werden dürfen. Wie in allen anderen Bereichen der deutschen Rechtsprechung gilt auch hier, dass Unwissenheit nicht vor Strafe schützt. Die Problematik, im Hinblick auf die Compliance spiegelt sich in der Tatsache wider, dass das Einhalten von Gesetz und Recht im gesamten Unternehmen von allen Mitarbeitern praktiziert werden muss. Um Ärger mit dem Gesetz und Abmahnungen zu vermeiden, müssen Unternehmen daher sinnvolle IT-Compliance-Richtlinien aufstellen und implementieren, die für alle Mitarbeiter des Unternehmens verbindlich sind. Anschließend muss die Befolgung der Richtlinien im Unternehmen durch kontinuierliche Überwachung durchgesetzt und sichergestellt werden. Nur auf diese Weise lässt sich die Daten- und IT-Sicherheit optimal gewährleisten. Die IT-Compliance fordert in erster Linie Maßnahmen zur Vermeidung von Regelverstößen in folgenden Bereichen:
– Informationsverfügbarkeit
– Compliance im Datenschutz
– Datenaufbewahrung
– Informationssicherheit
Die gesetzlichen Vorgaben sind in Bezug auf die IT-Compliance recht umfangreich und können je nach Art und Branche des Unternehmens sehr unterschiedlich ausfallen. So müssen Telekommunikationsanbieter beispielsweise nicht nur die notwendigen Prozesse implementieren, um die Verbreitung von Schadsoftware zu unterbinden, sondern sie haben auch eine Meldepflicht bei Cyberangriffen auf ihre IT-Infrastruktur. Falls sie diesen Bestimmungen nicht nachkommen, weil zum Beispiel keine Frühwarnsysteme vorhanden sind, dann droht ein Bußgeld in Höhe von bis zu 50.000 Euro. Alle Organisationen und Unternehmen, die persönliche Daten ihrer Kunden speichern und verwalten, müssen alle notwendigen Maßnahmen ergreifen, um einen unerlaubten Zugriff auf ihre IT-Systeme zu verhindern.
Wer ist für die Einhaltung der IT-Compliance zuständig?
In der Regel steht die Unternehmensleitung in der Pflicht, die Einhaltung der Compliance im Unternehmen sicherzustellen. Diese Verantwortung kann allerdings auch an jemanden delegiert werden, der mit den speziellen Vorschriften und Gegebenheiten der jeweiligen Branche bestens vertraut ist und weiß, welche technische Maßnahmen benötigt werden. In vielen Unternehmen wird daher oft die IT-Abteilung mit diesen Aufgaben betraut, die dann die Compliance-Policies in Zusammenarbeit mit der Unternehmensleitung entwickelt. Welche Gesetze und Richtlinien die eigene Branche und das Unternehmen konkret betreffen, müssen die Verantwortlichen in Eigenregie feststellen. Im IT-Bereich kommt folgenden Gesetzen und Standards eine besonders wichtige Rolle zu:
- Bundesdatenschutzgesetz (BDSG): Mit dem Bundesdatenschutzgesetz wird der Umgang mit personenbezogenen Daten geregelt. Aktuell gilt das BDSG als eines der strengsten Datenschutzgesetze weltweit. Es verbietet zum Beispiel personenbezogene Daten zu speichern oder zu nutzen. Selbstverständlich sind bestimmte Ausnahmen vorgesehen, wie beispielsweise durch die explizite Einwilligung des Nutzers.
- IT-Sicherheitsgesetz: Das IT-Sicherheitsgesetz gibt vor, welche Anforderungen die Betreiber kritischer IT-Infrastrukturen in Bezug auf IT-Security erfüllen müssen. Hierzu gehören zum Beispiel Wasser- und Stromnetzbetreiber, Krankenhäuser oder Telekommunikationsanbieter. Diese Unternehmen und Organisationen müssen besonders strenge gesetzliche Anforderungen hinsichtlich der IT-Compliance erfüllen. Sie müssen beispielsweise Hackerangriffe auf ihre IT-Systeme frühzeitig erkennen und an das BSI melden und müssen außerdem ein sogenanntes „Information Security Management System“ betreiben.
- ISO 19600: Mit der internationalen Norm „ISO 19600“ wird ein Standard für den Einsatz von Compliance-Management-Systemen beschrieben, die das Fehlverhalten von Mitarbeitern erkennen und minimieren sollen. Ein Unternehmen kann mit einer Zertifizierung nach ISO 19600 nachweisen, dass relevante Maßnahmen für die Einhaltung der IT- Compliance implementiert wurden.
Wie lässt sich die Einhaltung der IT-Compliance am besten überwachen?
Eine enorme Hilfe bei der Implementierung und Überwachung der Compliance-Vorgabe ist eine moderne Policy-Management-Lösung. Die IT-Abteilung kann mithilfe eines Policy-Managements festlegen, welche Rechte die Mitarbeiter im unternehmensinternen Netzwerk oder auf ihren PCs und Smartphones haben. Zahlreiche Anforderungen, wie beispielsweise, dass an Laptops keine USB-Datenträger genutzt werden dürfen, lassen sich schnell und einfach unternehmensweit umsetzen. Eine weitere wichtige Komponente einer Policy-Management-Lösung stellt die Anwendungskontrolle durch Black- bzw. Whitelisting dar.
Dadurch können IT-Administratoren festlegen, welche Anwendungen Mitarbeiter auf den Firmencomputern installieren oder ausführen dürfen. Damit lässt es sich verhindern, dass beispielsweise vertrauliche Informationen über einen Instant Messenger unbemerkt aus dem Netzwerk geschmuggelt werden. Ein gutes Policy-Management-Tool sollte außerdem in der Lage sein, einzelne Websites und gesamte Domains für die Angestellten zu sperren, um die Sicherheit der Endpoints und die Compliance im Unternehmen gewährleisten zu können. Darüber hinaus können die IT-Verantwortlichen durch den Einsatz eines Policy-Managements explizit festlegen, wann und wie lange einzelne Nutzer oder Gruppen das Internet nutzen dürfen.
- Über den Autor
- Aktuelle Beiträge
Daniel Faust ist Redakteur im Content-Team der Biteno und betreut den Blog der Biteno GmbH.