Führungskräfte in der Pflicht
Verantwortlich für die Umsetzung der Compliance in Unternehmen sind laut Gesetz die Vorstandsmitglieder bzw. die Geschäftsführung. Aufgrund der enormen Bedeutung der Informationstechnologie für die Funktion und den Fortbestand des Unternehmens müssen die Führungskräfte besonders sorgfältig mit diesem Thema umgehen – und ihr Unternehmen vor erkennbaren Gefahren schützen. Versagt die Leitung, kann sie dafür haftbar gemacht werden.
Zunehmende Digitalisierung – zunehmende Risiken
Hinzu kommt die fortschreitende Digitalisierung insbesondere im Umfeld auch mittlerer Industriebetriebe – von smarten, durch das Internet der Dinge (IoT) gestützten Shopfloor-Lösungen in der Produktion bis hin zu intelligenten Management-Systemen für die Lieferkette. Die Vorteile einer umfassenden Digitalisierung gehen einher mit einer immer größeren Angriffsfläche für Cyberkriminelle. Zudem sind weitere regulatorische Vorgaben zu berücksichtigen und miteinander in Einklang zu bringen.
IT-Compliance-Risiken erkennen und integrieren
Grundsätzlich wird es für Unternehmen immer wichtiger, IT-Compliance-Risiken in die gesamte Risikobetrachtung zu integrieren (Enterprise Risk Management). Auf den ersten Blick gilt es, unterschiedliche Risikoansätze miteinander zu vereinbaren, so beispielsweise die Risikobetrachtung der Informationssicherheit (Risiken durch IT-seitige Verarbeitung für einen Informationswert) mit der Risikobetrachtung des Datenschutzes (Risiken für die Rechte und Freiheiten von Betroffenen). Je komplexer die Geschäftsmodelle und je internationaler die Unternehmen aufgestellt sind, desto höher sind auch die Anforderungen an die konsistente Gestaltung und Umsetzung einer IT-Compliance-Systematik.
IKS-Verfahren reichen nicht mehr aus
Viele Unternehmen greifen daher auf bewährte Frameworks und Standards zurück. Darüber hinaus erkennen viele Unternehmen, dass bisherige IKS-Verfahren (internes Kontrollsystem) wie beispielsweise quartalsweise „Self-Assessments“ nicht mehr ausreichen, um mit der Dynamik Schritt zu halten und qualitative Befunde und Kennzahlen zu erheben.
Zu guter Letzt zeigt die fortdauernde Corona-Krise, dass neben den zu erwartenden Risikoszenarien auch der „schwarze Schwan“, also ein unvorhersehbares Ereignis, rasant Relevanz entfalten kann. So sind neben ausreichenden VPN-Lizenzen für das Homeoffice in der Corona-Krise auch alternative europäische Videotelefonie-Dienste in den Fokus der Aufmerksamkeit gerückt. Dies verdeutlicht, wie sorgfältig betriebene IT-Compliance zur Resilienz von Unternehmen beiträgt:
Datenschutz > Sicherstellung der Verfügbarkeit
Sicherstellung der Verfügbarkeit > Business Continuity Management
Connecting the dots
Ein Ansatz der Integration verschiedener im Unternehmen vorhandener Managementsystem-Strukturen kann in der Konvergenz der Systeme liegen. In diesem Verfahren werden die vorhanden Strukturen in einem Mapping zusammengeführt. Eine Variante kann dabei die grundsätzliche Gestaltung nach dem Strukturierungsansatz des IDW PS 980 sein. Das Institut der deutschen Wirtschaftsprüfer (IDW) hat in seinem Prüfungsstandard PS 980 die Strukturierung eines Compliance-Management-Systems nach sieben Säulen beschrieben, die jeweils Grundlage anerkannter Prüfverfahren sind:
- Compliance Kultur
- Compliance Ziele
- Compliance Risiken
- Compliance Programm
- Compliance Organisation
- Compliance Kommunikation
- Compliance Monitoring und Weiterentwicklung
In dieser Aufteilung kann auch das Datenschutz-Managementsystem des Unternehmens abgebildet werden. Vorhandene Strukturen (KPI, Dashboards, Berichtswege, etc.) werden synergetisch genutzt und können in Folge auf ein Informationssicherheits-Managementsystem („ISMS“) erweitert werden.
Source: COBIT 2019 «Governance System Principles» (ISACA 2018a, S. 17)
Vielfältige Synergien
Die Synergien sind vielfältig. Zum einen trägt die Vorgehensweise zur Optimierung der Governance bei, da die Stakeholder unterschiedlicher Disziplinen nun voraussichtlich gemeinschaftlich agieren. Außerdem erhöht sich die Transparenz in alle Richtungen (Compliance, Datenschutz, Informationssicherheit). Ein weiterer Mehrwehrt ist erkennbar, wenn der Maßstab eines Governance-Frameworks wie COBIT5 an die Zielstruktur eines konvergierten Systems angelegt wird.
Zusammenfassung und Ausblick
Mit der zunehmenden Digitalisierung der Geschäftsmodelle und steigender regulatorischer Dichte – Beispiele sind die Datenschutzgrundverordnung, das Gesetz zum Schutz von Geschäftsgeheimnissen, das IT-Sicherheitsgesetz & Kritis, GoBD – kommen Unternehmen nicht um die Umsetzung eines strukturierten Managementansatzes herum. Dieser bietet die Chance, Vorhandenes zu nutzen und synergetisch eine Konvergenz der Systeme umzusetzen. Somit können die Transparenz und Steuerungsfähigkeit erhöht werden – und je nach gewählter Struktur ist eine Zertifizierungsfähigkeit oder Konformitätsbewertung durch unabhängige Dritte gegeben.
Weitere Informationen zur IT-Compliance und unseren Dienstleistungen finden Sie unter https://www.tuv.com/germany/de/it-compliance.html
Autor des Beitrags
Stefan Eigler
Mastering Risk & Compliance
Stefan Eigler leitet seit Mitte 2018 als Practice Leader Mastering Risk & Compliance den Bereich Datenschutz bei TÜV Rheinland. Als ausgewiesener Asien-Experte hat er gemeinsam mit den Kolleginnen und Kollegen in Shenzen (Greater China) für die dortige Fachschaft, die Datenschutzberatung als Dienstleistung von TÜV Rheinland aufgebaut und entwickelt diese in vielfältigen lokalen Kundenprojekten weiter. Stefan Eigler ist Master of Laws (Compliance) und Diplom Wirtschaftsinformatiker sowie zertifizierter CISM, CISA, CCSP, ISO27001 Lead Auditor und SAP CBA. Als leidenschaftlicher Rheinländer ist er in seiner Freizeit vorzugsweise mit seiner Frau und seinen Kindern in der Region auf Erkundungstouren unterwegs. Unterstützt wird er dabei von zwei Hunden.
Meist gelesene Beiträge
Elektromobilität – Ladeinfrastruktur auf dem Vormarsch
Sexy Titel, keine Bewerber? Stellenanzeigen auf dem Prüfstand
Digitale Trends 2020: Denkanstöße für mehr Sicherheit
Kommentare
0 Kommentare