0
Bild: MEV-Verlag, Germany

IT-Compliance betrifft fast alle Unternehmensprozesse und dementsprechend steht die Sicherheit von IT-Systemen immer mehr im Fokus. Die zunehmend schneller wachsende Digitalisierung lässt sie zu einem Erfolgsfaktor heranwachsen.




Was ist IT-Compliance: Definition

Compliance bedeutet die Einhaltung des Rechts auf allen Gebieten des Unternehmens, sog. Regelkonformität. Dementsprechend gilt das auch für alle IT-Vorschriften. Die Schwerpunkte der IT-Compliance werden hauptsächlich auf Anforderungen gestützt, die die IT-Systeme des Unternehmens betreffen. Dazu gehören unter anderem auch Informationssicherheit, Verfügbarkeit, Datenschutz sowie Datenaufbewahrung.

IT-Compliance Gesetze

Die wichtigsten IT-Compliance-Gesetze sind folgende:

  • EU-Datenschutz-Grundverordnung

Am 25.05.2016 trat die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Anzuwenden ist die DSGVO ab dem 25. Mai 2018. Zugleich tritt auch das revidierte Bundesdatenschutzgesetz (BSDG) in Kraft, das ergänzende Bestimmungen enthält.

  • IT-Sicherheitsgesetz

 Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, BSIG). Dieses schreibt vor, dass ein Bundesamt für Sicherheit in der Informationstechnik eingesetzt wird. Laut diesem sollen durch das Gesetz die Deutschen IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit werden. Insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) - wie etwa Strom- und Wasserversorgung, Finanzen oder Ernährung - hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft. Die Verfügbarkeit und Sicherheit der IT-Systeme spielt somit, speziell im Bereich der Kritischen Infrastrukturen, eine wichtige und zentrale Rolle.

Betreiber Kritischer Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind (§ 8a BSIG). Das Gesetz ist nicht anwendbar auf Kleinstunternehmen (§ 8d BSIG).

  • KonTraG

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich ist kein eigenständiges Gesetz, sondern es diente dazu, diverse Vorschriften anderer Gesetze zu ändern, namentlich des Handelsgesetzbuches (HGB), um die Kontrolle, die Transparenz und damit die Sicherheit in den Unternehmen zu verbessern.

  • UWG

Im Gesetz gegen den unlauteren Wettbewerb (UWG) sind Cyberdelikte nicht ausdrücklich erwähnt, aber einige der Tatbestände werden nicht zuletzt im Internet begangen, z.B. Verunglimpfung der Waren, Dienstleistungen, Tätigkeiten oder persönlichen oder geschäftlichen Verhältnisse eines Mitbewerbers oder falsche Behauptungen (§ 4 UWG).

  • GoBD

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen.

  • Privacy Shield

Am 12. Juli 2016 hat die Europäische Kommission das Abkommen EU-US-Datenschutzschild (EU-US Privacy Shield) angenommen. An dem Projekt beteiligt sich auch die Schweiz. Dieser „Framework“ wurde vom US Department of Commerce und der Europäischen Kommission entworfen, um für Unternehmen auf beiden Seiten des Atlantiks die Einhaltung der Datenschutzanforderungen bei der Übermittlung personenbezogener Daten zu garantieren. Der erste Jahresbericht der EU-Kommission wurde allerdings von Datenschützern skeptisch beurteilt.

  • SOX

Der Sarbanes-Oxley Act of 2002 (auch SOX, SarbOx oder SOA) ist ein US-Bundesgesetz, mit dem man die Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessern will. Die Jahresberichte dieser Unternehmen müssen eine Beurteilung des internen Kontrollsystems vom Wirtschaftsprüfer für die Rechnungslegung durch die Geschäftsleitung enthalten. Das interne Kontrollsystem enthält alle Maßnahmen, welche die Qualität der mit der Rechnungslegung erstellten Quartals- und Jahresabschlüsse sicherstellen sollen. Das Gesetz wirkt sich positiv auf die Corporate Governance aus.

  • Solvency II

Nach jahrelangen Vorbereitungen gilt für die europäische Versicherungswirtschaft seit dem 1. Januar 2016 ein neues, einheitliches Aufsichtssystem. Solvency II enthält Vorschriften über Kapitalanforderungen, Governance, Risikomanagement und Berichterstattung.

  • KWG

Das Kreditwesengesetz – KWG enthält Vorschriften für Institute, Institutsgruppen, Finanzholding-Gruppen, gemischte Finanzholding-Gruppen und gemischte Holdinggesellschaften haupsächlich betreffend Eigenmittel, Liquidität, Bargeldloser Zahlungsverkehr, sowie Verhinderung von Geldwäsche. Letzteres wird auch im GwG geregelt.

Compliance System: Software

Eine der wichtigsten Aufgaben ist die Dokumentation und die entsprechende Anpassung der IT-Ressourcen. Dazu gehören unter anderem die Software, die Hardware sowie auch eine komplette Infrastruktur. Wichtig ist hierbei, dass die Umsetzung von Compliance-Maßnahmen keine kurzfristige Maßnahme, sondern ein dauerhafter Prozess ist. Unterstützen kann dabei zum Beispiel das IT-gestützte Compliance-Management-System von Haufe.

Besseres Risikomanagement durch IT-Compliance und damit einhergehende Vorteile

  • Hohe Qualität von IT-Prozessen
  • IT-Sicherheit
  • Schutz vor Betriebsspionage
  • Bewahrung von Geschäftsgeheimnissen
  • Weniger Betriebsausfälle und sonstige unangenehmen Folgen der Cyberkriminalität
  • Reduktion der Kosten
  • Vermeidung von Rufschädigung für das Unternehmen
  • Steigerung des Unternehmenswerts

IT-Compliance: Anforderungen identifizieren

Bei der IT-Compliance muss die Geschäftsleitung darauf achten, dass im Betrieb keine unrechtmäßigen Handlungen begangen werden und auch die Datenschutzvorschriften nicht verletzt werden. Ebenso wichtig ist, die Daten des Unternehmens so zu schützen, dass keine Unbefugten Zugriff erhalten. Sicherheitsmaßnahmen sind im Datenschutz vorgeschrieben, besonders wichtig ist Art. 28 DSGVO. Auch wenn diese erst im 25. Mai 2018 in Kraft tritt, ist eine Vorbereitung darauf sehr zu empfehlen.  

Die Geschäftsleitung soll ein Vorbild sein. Sie hat die Mitarbeitenden über die Methoden der Industriespionage und die Schutzmaßnahmen zu informieren. Eine Handlungsanleitung für Angestellte und regelmäßiges Training werden empfohlen.

  • Absicherung von Netzübergängen (Firewall, IDS, usw.)
  • Minimierung von Netzübergängen
  • Regelmäßige Prüfung von Logdaten auf Cyber-Angriffe
  • Verschlüsselung von E-Mail-Kommunikation und von Datenträgern
  • Strukturiertes oder zentralisiertes Patchmanagement Netzsegmentierung
  • Regelmäßige Sensibilisierungsmaßnahmen für alle Mitarbeiter
  • Dezentraler AV Scan (auf einzelnen Clients, Servern) Zentraler AV Scan (am Mailserver, Gateway, usw.)

Bei der Bekämpfung von Cyberkriminalität sind auch die weiteren Punkte zu beachten:

  • Geschäftsdaten werden mit Vorteil nur auf Geräten bearbeitet, die vom Unternehmen zur Verfügung gestellt werden. Wenn Angestellte Privatgeräte benutzen (BYOD), ist die Datensicherheit kaum zu gewährleisten.
  • Sensible Daten sowie Geschäftsgeheimnisse sollten nur an Computern in geschlossenen Räumen bearbeitet werden, die keinen Kontakt zum Internet haben und versiegelte USB-Zugänge. Die Bearbeitung darf nur von bestimmten Personen vorgenommen werden.
  • Auch geheime Unterlagen auf Papier müssen nach der Bearbeitung verschlossen werden und gehören keinesfalls in den Papierkorb.
  • Notfallpläne muss man mittels Simulationen und Übungen regelmässig testen, auch damit die Leute im Ernstfall wissen, was zu erledigen ist.
  • Personendaten müssen durch angemessene technische und organisatorische Maßnahmen gegen unbefugten Zugriff geschützt werden. Kundendaten gehören nicht ohne Erlaubnis in soziale Netzwerke.
  • Nach Beendigung des Arbeitsverhältnisses müssen die Zugänge und Passwörter für die betreffende Person sofort gesperrt werden.
  • In Verträgen über Forschung, Entwicklung und sonstige sensible Daten sind Sicherheitsvorkehrungen für beide Parteien zu vereinbaren und eine Geheimhaltungsklausel mit Konventionalstrafe.