Was bedeutet eigentlich genau IT-Compliance? Zunächst einmal geht es um die Einhaltung regulatorischer Vorgaben, die sogenannte Regelkonformität. Dazu gehören unter anderem Anforderungen an die Informationssicherheit, die Verfügbarkeit, den Datenschutz sowie die Datenaufbewahrung in Organisationen. All das sollte in Ihrem Unternehmen Chefsache sein.

Führungskräfte in der Pflicht

Verantwortlich für die Umsetzung der Compliance in Unternehmen sind laut Gesetz die Vorstandsmitglieder bzw. die Geschäftsführung. Aufgrund der enormen Bedeutung der Informationstechnologie für die Funktion und den Fortbestand des Unternehmens müssen die Führungskräfte besonders sorgfältig mit diesem Thema umgehen – und ihr Unternehmen vor erkennbaren Gefahren schützen. Versagt die Leitung, kann sie dafür haftbar gemacht werden.

Zunehmende Digitalisierung – zunehmende Risiken

Hinzu kommt die fortschreitende Digitalisierung insbesondere im Umfeld auch mittlerer Industriebetriebe – von smarten, durch das Internet der Dinge (IoT) gestützten Shopfloor-Lösungen in der Produktion bis hin zu intelligenten Management-Systemen für die Lieferkette. Die Vorteile einer umfassenden Digitalisierung gehen einher mit einer immer größeren Angriffsfläche für Cyberkriminelle. Zudem sind weitere regulatorische Vorgaben zu berücksichtigen und miteinander in Einklang zu bringen.

IT Compliance Pflicht

IT-Compliance-Risiken erkennen und integrieren

Grundsätzlich wird es für Unternehmen immer wichtiger, IT-Compliance-Risiken in die gesamte Risikobetrachtung zu integrieren (Enterprise Risk Management). Auf den ersten Blick gilt es, unterschiedliche Risikoansätze miteinander zu vereinbaren, so beispielsweise die Risikobetrachtung der Informationssicherheit (Risiken durch IT-seitige Verarbeitung für einen Informationswert) mit der Risikobetrachtung des Datenschutzes (Risiken für die Rechte und Freiheiten von Betroffenen). Je komplexer die Geschäftsmodelle und je internationaler die Unternehmen aufgestellt sind, desto höher sind auch die Anforderungen an die konsistente Gestaltung und Umsetzung einer IT-Compliance-Systematik.

IKS-Verfahren reichen nicht mehr aus

Viele Unternehmen greifen daher auf bewährte Frameworks und Standards zurück. Darüber hinaus erkennen viele Unternehmen, dass bisherige IKS-Verfahren (internes Kontrollsystem) wie beispielsweise quartalsweise „Self-Assessments“ nicht mehr ausreichen, um mit der Dynamik Schritt zu halten und qualitative Befunde und Kennzahlen zu erheben.

Zu guter Letzt zeigt die fortdauernde Corona-Krise, dass neben den zu erwartenden Risikoszenarien auch der „schwarze Schwan“, also ein unvorhersehbares Ereignis, rasant Relevanz entfalten kann. So sind neben ausreichenden VPN-Lizenzen für das Homeoffice in der Corona-Krise auch alternative europäische Videotelefonie-Dienste in den Fokus der Aufmerksamkeit gerückt. Dies verdeutlicht, wie sorgfältig betriebene IT-Compliance zur Resilienz von Unternehmen beiträgt:

Datenschutz > Sicherstellung der Verfügbarkeit
Sicherstellung der Verfügbarkeit > Business Continuity Management

Connecting the dots

Ein Ansatz der Integration verschiedener im Unternehmen vorhandener Managementsystem-Strukturen kann in der Konvergenz der Systeme liegen. In diesem Verfahren werden die vorhanden Strukturen in einem Mapping zusammengeführt. Eine Variante kann dabei die grundsätzliche Gestaltung nach dem Strukturierungsansatz des IDW PS 980 sein. Das Institut der deutschen Wirtschaftsprüfer (IDW) hat in seinem Prüfungsstandard PS 980 die Strukturierung eines Compliance-Management-Systems nach sieben Säulen beschrieben, die jeweils Grundlage anerkannter Prüfverfahren sind:

  • Compliance Kultur
  • Compliance Ziele
  • Compliance Risiken
  • Compliance Programm
  • Compliance Organisation
  • Compliance Kommunikation
  • Compliance Monitoring und Weiterentwicklung

In dieser Aufteilung kann auch das Datenschutz-Managementsystem des Unternehmens abgebildet werden. Vorhandene Strukturen (KPI, Dashboards, Berichtswege, etc.) werden synergetisch genutzt und können in Folge auf ein Informationssicherheits-Managementsystem („ISMS“) erweitert werden.

Governance Framework

Source: COBIT 2019 «Governance System Principles» (ISACA 2018a, S. 17)

Vielfältige Synergien

Die Synergien sind vielfältig. Zum einen trägt die Vorgehensweise zur Optimierung der Governance bei, da die Stakeholder unterschiedlicher Disziplinen nun voraussichtlich gemeinschaftlich agieren. Außerdem erhöht sich die Transparenz in alle Richtungen (Compliance, Datenschutz, Informationssicherheit). Ein weiterer Mehrwehrt ist erkennbar, wenn der Maßstab eines Governance-Frameworks wie COBIT5 an die Zielstruktur eines konvergierten Systems angelegt wird.

Zusammenfassung und Ausblick

Mit der zunehmenden Digitalisierung der Geschäftsmodelle und steigender regulatorischer Dichte – Beispiele sind die Datenschutzgrundverordnung, das Gesetz zum Schutz von Geschäftsgeheimnissen, das IT-Sicherheitsgesetz & Kritis, GoBD – kommen Unternehmen nicht um die Umsetzung eines strukturierten Managementansatzes herum. Dieser bietet die Chance, Vorhandenes zu nutzen und synergetisch eine Konvergenz der Systeme umzusetzen. Somit können die Transparenz und Steuerungsfähigkeit erhöht werden – und je nach gewählter Struktur ist eine Zertifizierungsfähigkeit oder Konformitätsbewertung durch unabhängige Dritte gegeben.

Weitere Informationen zur IT-Compliance und unseren Dienstleistungen finden Sie unter https://www.tuv.com/germany/de/it-compliance.html

Autor des Beitrags

Stefan Eigler

Stefan Eigler

Mastering Risk & Compliance

Stefan Eigler leitet seit Mitte 2018 als Practice Leader Mastering Risk & Compliance den Bereich Datenschutz bei TÜV Rheinland. Als ausgewiesener Asien-Experte hat er gemeinsam mit den Kolleginnen und Kollegen in Shenzen (Greater China) für die dortige Fachschaft, die Datenschutzberatung als Dienstleistung von TÜV Rheinland aufgebaut und entwickelt diese in vielfältigen lokalen Kundenprojekten weiter. Stefan Eigler ist Master of Laws (Compliance) und Diplom Wirtschaftsinformatiker sowie zertifizierter CISM, CISA, CCSP, ISO27001 Lead Auditor und SAP CBA. Als leidenschaftlicher Rheinländer ist er in seiner Freizeit vorzugsweise mit seiner Frau und seinen Kindern in der Region auf Erkundungstouren unterwegs. Unterstützt wird er dabei von zwei Hunden.

Meist gelesene Beiträge

Ladeinfrastruktur

Elektromobilität – Ladeinfrastruktur auf dem Vormarsch

Das neue Jahrzehnt steht ganz im Zeichen des Klimaschutzes – und zu den großen Herausforderungen zählt eine klimaschonende (Elektro-)Mobilität. Eine wichtige Etappe ist das neue Emissionsziel der EU.
Stellenanzeigen

Sexy Titel, keine Bewerber? Stellenanzeigen auf dem Prüfstand

War for Talents, Fachkräftemangel, demografischer Wandel – alles bekannte und beliebte Themen im Buzzword-Bingo unter Personalfachleuten. Der Arbeitsmarkt wird für Unternehmen schwieriger.
Digitale Trends

Digitale Trends 2020: Denkanstöße für mehr Sicherheit

Cybersecurity Trends 2020: Was bedroht unsere digitale Gesellschaft – und wie können wir uns davor schützen? TÜV Rheinland benennt sieben Trends zu aktuellen Cyberbedrohungen.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.