Sicherheitsreport

Was Sie bei Compliance beachten müssen

Compliance gilt als Wundermittel gegen Bedrohungen jeder Art: aus dem Internet, durch Korruption oder unachtsame Mitarbeiter. Ob Unternehmen wirklich sicherer werden durch teure Compliance-Maßnahmen, ist aber zumindest zweifelhaft.

Was Sie bei Compliance beachten müssen

© Fotolia

Was Sie bei Compliance beachten müssen

Es ist ist zu kurz gedacht, wenn Unternehmens- und IT-Chefs sich damit begnügen, alle vorgeschriebenen Compliance-Regeln zu befolgen und meinen, damit auf der sicheren Seite zu sein. Compliance bedeutet erst einmal lediglich, Regeln zu erfüllen, die von der Industrie, von Verbänden, Banken, Versicherungen oder dem Gesetzgeber aufgestellt wurden - etwa der Sarbanes Oxley Act von der US-Regierung, PCI-DSS von der Kreditkarten-Industrie oder Basel III von der Bank für Internationalen Zahlungsausgleich. Ein Unternehmen, das "compliant" ist, hat bisher genau ein einziges Risiko ausgeschlossen: den Verstoß gegen diese von Dritten aufgestellten Regeln.

Es drohen andere und weit existenziellere Risiken für ein Unternehmen, als nur "non-compliant" zu sein: Dazu gehört an vorderster Stelle der Verlust von Geschäftsgeheimnissen, Diebstahl persönlicher Kundendaten oder auch die Beschädigung von Ansehen. Nicht zuletzt müssen Unternehmen innovativ bleiben und schnell auf Marktgegebenheiten reagieren können, um wettbewerbsfähig zu bleiben.

Langwierige Prüfungen

Eine regelgerechte Compliance hilft dabei aber nicht. Im Gegenteil, sie kann sogar Sicherheitsstrukturen im Wege stehen, die flexibel jede neue Situation berücksichtigen sollen. "Compliant sein" bedeutet nämlich auch Schwerfälligkeit und Langsamkeit, denn jeder Prozess und jede Veränderung muss daraufhin geprüft werden, ob alle Regeln eingehalten werden.

Der Hype führt dazu, dass komplette Security-Budgets in teure Compliance- Maßnahmen gesteckt werden, die der konkreten Sicherheit des Unternehmens wenig dienlich sind.

Autor: Hartmut Goebel - Unabhängiger Sicherheitsberater

© Hersteller / Archiv

Der Autor: Hartmut Goebel - Unabhängiger Sicherheitsberater, der mittelständische Unternehmen und Konzerne beim Management ihrer Informationssicherheit unterstützt

Hauptsache, der Wirtschaftsprüfer bescheinigt beim Jahresabschluss die Compliance des Unternehmens. Ob die für das Unternehmen relevanten Sicherheitsrisiken berücksichtigt und mit passgenauen Sicherheitsmaßnahmen abgedeckt sind, wird weit weniger beachtet.

Keine Frage, bestimmte Geschäftsmodelle sind zwangsläufig darauf angewiesen, Compliance-Anforderungen zu befolgen. Es empfiehlt sich jedoch, genau zu prüfen, ob und in welchem Maße das eigene Unternehmen Compliance-Vorschriften nachkommen muss - oder ob der Compliance-Vorwand nicht nur als Geschäftsführerschreck und Honorarmaschinerie für Unternehmensberater und Security-Anbieter angeführt wird.

Sicherheit ist individuell

Für die meisten Unternehmen ist es wichtiger, ein Sicherheitskonzept zu entwickeln, das passgenau auf die eigenen Ansprüche zugeschnitten ist, als Compliance-Anforderungen akribisch zu erfüllen. Dafür müssen sie sich folgende Fragen stellen:

  • Was sind eigentlich unsere "schützenswerten Informationen": Patente, Kunden- und Buchhaltungsdaten oder Produktionsprozesse?
  • Wo sind die Risiken? Was passiert, wenn diese Informationen in fremde Hände gelangen oder verloren gehen?
  • Durch welche Maßnahmen lassen sich diese Unternehmenswerte wirksam schützen?
  • Was wird bereits getan, um diese Informationen zu schützen?

Wer schützenswerte Informationen besitzt, braucht einen Mitarbeiter, der sich explizit um Informationssicherheit kümmert. Für ein erstes Sicherheitskonzept können externe Sicherheitsberater die nötigen Strukturen aufbauen und dabei helfen, interne Kräfte zu qualifizieren, damit sie diese Aufgaben übernehmen können. Kleinere Firmen ohne eigene personelle Ressourcen sollten einen externen Sicherheitsbeauftragten langfristig beauftragen, so wie es heute mit einem Datenschutzbeauftragten üblich ist.

Mehr zum Thema

Informationssicherheit oft kein Thema
IT-Sicherheitsreport

Großunternehmen ignorieren die von Wirtschaftsspionen und Hackern ausgehenden Gefahren. Häufig fehlt ein durchgängiges Konzept für die…
Die Zehn Gebote in der Kommunikation
IT-Sicherheit

Der "Bring Your Own Device"- Ansatz (BYOD) stellt IT-Abteilungen vor große Herausforderungen, denn sie müssen eine sichere Anbindung ins…
IT-Sicherheitsgesetz für Unternehmen
IT-Sicherheit

Mit dem neuen IT-Sicherheitsgesetz hat die Politik auf zunehmende Vernetzung kritischer Infrastrukturen reagiert.
Apps und TIpps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.
IT-Sicherheit

Nur mehrschichtige Verteidigungsstrategie bewahren Unternehmen vor riskanten und teuren Distributed-Denial-of-Service-Angriffen.
Automatisierungslösungen
IT-Management

Das volle Potenzial, das in der Effizienzsteigerung, liegt, entfaltet eine Automatisierungslösung nur, wenn sie auf Expertensystembasierten Tools…