Zum Inhalt springen
Der Guide für ein smartes Leben.
Profil
VG Wort Pixel
Sicherheitsreport

Was Sie bei Compliance beachten müssen

Compliance gilt als Wundermittel gegen Bedrohungen jeder Art: aus dem Internet, durch Korruption oder unachtsame Mitarbeiter. Ob Unternehmen wirklich sicherer werden durch teure Compliance-Maßnahmen, ist aber zumindest zweifelhaft.

Autor: Business & IT • 20.9.2012 • ca. 2:20 Min

Was Sie bei Compliance beachten müssen
Was Sie bei Compliance beachten müssen
© Fotolia

Es ist ist zu kurz gedacht, wenn Unternehmens- und IT-Chefs sich damit begnügen, alle vorgeschriebenen Compliance-Regeln zu befolgen und meinen, damit auf der sicheren Seite zu sein. Compliance bedeutet erst einmal lediglich, Regeln zu erfüllen, die von der Industrie, von Verbänden, B...

Es ist ist zu kurz gedacht, wenn Unternehmens- und IT-Chefs sich damit begnügen, alle vorgeschriebenen Compliance-Regeln zu befolgen und meinen, damit auf der sicheren Seite zu sein. Compliance bedeutet erst einmal lediglich, Regeln zu erfüllen, die von der Industrie, von Verbänden, Banken, Versicherungen oder dem Gesetzgeber aufgestellt wurden - etwa der Sarbanes Oxley Act von der US-Regierung, PCI-DSS von der Kreditkarten-Industrie oder Basel III von der Bank für Internationalen Zahlungsausgleich. Ein Unternehmen, das "compliant" ist, hat bisher genau ein einziges Risiko ausgeschlossen: den Verstoß gegen diese von Dritten aufgestellten Regeln.

Es drohen andere und weit existenziellere Risiken für ein Unternehmen, als nur "non-compliant" zu sein: Dazu gehört an vorderster Stelle der Verlust von Geschäftsgeheimnissen, Diebstahl persönlicher Kundendaten oder auch die Beschädigung von Ansehen. Nicht zuletzt müssen Unternehmen innovativ bleiben und schnell auf Marktgegebenheiten reagieren können, um wettbewerbsfähig zu bleiben.

Langwierige Prüfungen

Eine regelgerechte Compliance hilft dabei aber nicht. Im Gegenteil, sie kann sogar Sicherheitsstrukturen im Wege stehen, die flexibel jede neue Situation berücksichtigen sollen. "Compliant sein" bedeutet nämlich auch Schwerfälligkeit und Langsamkeit, denn jeder Prozess und jede Veränderung muss daraufhin geprüft werden, ob alle Regeln eingehalten werden.

Der Hype führt dazu, dass komplette Security-Budgets in teure Compliance- Maßnahmen gesteckt werden, die der konkreten Sicherheit des Unternehmens wenig dienlich sind.

Autor: Hartmut Goebel - Unabhängiger Sicherheitsberater
Der Autor: Hartmut Goebel - Unabhängiger Sicherheitsberater, der mittelständische Unternehmen und Konzerne beim Management ihrer Informationssicherheit unterstützt
© Hersteller / Archiv

Hauptsache, der Wirtschaftsprüfer bescheinigt beim Jahresabschluss die Compliance des Unternehmens. Ob die für das Unternehmen relevanten Sicherheitsrisiken berücksichtigt und mit passgenauen Sicherheitsmaßnahmen abgedeckt sind, wird weit weniger beachtet.

Keine Frage, bestimmte Geschäftsmodelle sind zwangsläufig darauf angewiesen, Compliance-Anforderungen zu befolgen. Es empfiehlt sich jedoch, genau zu prüfen, ob und in welchem Maße das eigene Unternehmen Compliance-Vorschriften nachkommen muss - oder ob der Compliance-Vorwand nicht nur als Geschäftsführerschreck und Honorarmaschinerie für Unternehmensberater und Security-Anbieter angeführt wird.

Sicherheit ist individuell

Für die meisten Unternehmen ist es wichtiger, ein Sicherheitskonzept zu entwickeln, das passgenau auf die eigenen Ansprüche zugeschnitten ist, als Compliance-Anforderungen akribisch zu erfüllen. Dafür müssen sie sich folgende Fragen stellen:

  • Was sind eigentlich unsere "schützenswerten Informationen": Patente, Kunden- und Buchhaltungsdaten oder Produktionsprozesse?
  • Wo sind die Risiken? Was passiert, wenn diese Informationen in fremde Hände gelangen oder verloren gehen?
  • Durch welche Maßnahmen lassen sich diese Unternehmenswerte wirksam schützen?
  • Was wird bereits getan, um diese Informationen zu schützen?

Wer schützenswerte Informationen besitzt, braucht einen Mitarbeiter, der sich explizit um Informationssicherheit kümmert. Für ein erstes Sicherheitskonzept können externe Sicherheitsberater die nötigen Strukturen aufbauen und dabei helfen, interne Kräfte zu qualifizieren, damit sie diese Aufgaben übernehmen können. Kleinere Firmen ohne eigene personelle Ressourcen sollten einen externen Sicherheitsbeauftragten langfristig beauftragen, so wie es heute mit einem Datenschutzbeauftragten üblich ist.

Nächste passende Artikel
Netzwerk-Sicherheit
"Mogilevich" Hack bei Epic Games? Entwickler geben Entwarnung
avm ifa 2019 neuheiten
Auktionsprozess Fritzbox-Hersteller AVM steht offenbar vor Verkauf
Mann redet mit einem Bot-Roboter
Künstliche Intelligenz OpenAI kündigt ChatGPT Enterprise an
festplatte nicht erkannt
Analyse Ältere Festplatten sind zuverlässiger
Der Passwortmanager Lastpass hat mit einem Datenklau zu kämpfen.
Passwortmanager Lastpass: Datendiebstahl bestätigt - Keine Passwörter betroffen
Unity Enemies
Beliebte Spiele-Engine Milliardendeal: Unity Engine Kauf ist geplatzt
Ein Ausrufezeichen vor rotem Hintergrund mit Einsen und Nullen
Kundendaten doch betroffen Energieversorger Entega erlebt Cyberattacke
Handwerkerin mit einem Tablet in einer Werkstatt
Praxisreport "Mittelstand @ IT-Sicherheit" Cyberangriffe: Kein ausreichender Schutz im Mittelstand
Mehr zum Thema
Automatisierungslösungen
IT-Management Automatisierungslösungen
Apps und TIpps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.
IT-Sicherheit Schutz vor DDoS-Angriffen im Unternehmen
IT-Sicherheitsgesetz für Unternehmen
IT-Sicherheit IT-Sicherheitsgesetz für Unternehmen
Die Zehn Gebote in der Kommunikation
IT-Sicherheit "BYOD" stellt IT-Abteilungen vor Herausforderungen
Weiter zur Startseite