IT-Compliance betrifft fast alle Unternehmensprozesse und dementsprechend steht die Sicherheit von IT-Systemen immer mehr im Fokus. Die zunehmend schneller wachsende Digitalisierung lässt sie zu einem Erfolgsfaktor heranwachsen.


Top-Thema 11.06.2018 DSGVO: Inkrafttreten und Umsetzung

News 17.09.2018 Datenschutzgrundverordnung

Was ist IT-Compliance: Definition

Compliance bedeutet die Einhaltung des Rechts auf allen Gebieten des Unternehmens, sog. Regelkonformität. Dementsprechend gilt das auch für alle IT-Vorschriften. Die Schwerpunkte der IT-Compliance werden hauptsächlich auf Anforderungen gestützt, die die IT-Systeme des Unternehmens betreffen. Dazu gehören unter anderem auch Informationssicherheit, Verfügbarkeit, Datenschutz sowie Datenaufbewahrung.

IT-Compliance Gesetze

Die wichtigsten IT-Compliance-Gesetze sind folgende:

  • EU-Datenschutz-Grundverordnung

Am 25.05.2016 trat die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Anzuwenden ist die DSGVO ab dem 25. Mai 2018. Zugleich tritt auch das revidierte Bundesdatenschutzgesetz (BSDG) in Kraft, das ergänzende Bestimmungen enthält.

  • IT-Sicherheitsgesetz

 Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, BSIG). Dieses schreibt vor, dass ein Bundesamt für Sicherheit in der Informationstechnik eingesetzt wird. Laut diesem sollen durch das Gesetz die Deutschen IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit werden. Insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) - wie etwa Strom- und Wasserversorgung, Finanzen oder Ernährung - hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft. Die Verfügbarkeit und Sicherheit der IT-Systeme spielt somit, speziell im Bereich der Kritischen Infrastrukturen, eine wichtige und zentrale Rolle.

Betreiber Kritischer Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind (§ 8a BSIG). Das Gesetz ist nicht anwendbar auf Kleinstunternehmen (§ 8d BSIG).

  • KonTraG

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich ist kein eigenständiges Gesetz, sondern es diente dazu, diverse Vorschriften anderer Gesetze zu ändern, namentlich des Handelsgesetzbuches (HGB), um die Kontrolle, die Transparenz und damit die Sicherheit in den Unternehmen zu verbessern.

  • UWG

Im Gesetz gegen den unlauteren Wettbewerb (UWG) sind Cyberdelikte nicht ausdrücklich erwähnt, aber einige der Tatbestände werden nicht zuletzt im Internet begangen, z.B. Verunglimpfung der Waren, Dienstleistungen, Tätigkeiten oder persönlichen oder geschäftlichen Verhältnisse eines Mitbewerbers oder falsche Behauptungen (§ 4 UWG).

  • GoBD

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen.

  • Privacy Shield

Am 12. Juli 2016 hat die Europäische Kommission das Abkommen EU-US-Datenschutzschild (EU-US Privacy Shield) angenommen. An dem Projekt beteiligt sich auch die Schweiz. Dieser „Framework“ wurde vom US Department of Commerce und der Europäischen Kommission entworfen, um für Unternehmen auf beiden Seiten des Atlantiks die Einhaltung der Datenschutzanforderungen bei der Übermittlung personenbezogener Daten zu garantieren. Der erste Jahresbericht der EU-Kommission wurde allerdings von Datenschützern skeptisch beurteilt.

  • SOX

Der Sarbanes-Oxley Act of 2002 (auch SOX, SarbOx oder SOA) ist ein US-Bundesgesetz, mit dem man die Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessern will. Die Jahresberichte dieser Unternehmen müssen eine Beurteilung des internen Kontrollsystems vom Wirtschaftsprüfer für die Rechnungslegung durch die Geschäftsleitung enthalten. Das interne Kontrollsystem enthält alle Maßnahmen, welche die Qualität der mit der Rechnungslegung erstellten Quartals- und Jahresabschlüsse sicherstellen sollen. Das Gesetz wirkt sich positiv auf die Corporate Governance aus.

  • Solvency II

Nach jahrelangen Vorbereitungen gilt für die europäische Versicherungswirtschaft seit dem 1. Januar 2016 ein neues, einheitliches Aufsichtssystem. Solvency II enthält Vorschriften über Kapitalanforderungen, Governance, Risikomanagement und Berichterstattung.

  • KWG

Das Kreditwesengesetz – KWG enthält Vorschriften für Institute, Institutsgruppen, Finanzholding-Gruppen, gemischte Finanzholding-Gruppen und gemischte Holdinggesellschaften haupsächlich betreffend Eigenmittel, Liquidität, Bargeldloser Zahlungsverkehr, sowie Verhinderung von Geldwäsche. Letzteres wird auch im GwG geregelt.

Compliance System: Software

Eine der wichtigsten Aufgaben ist die Dokumentation und die entsprechende Anpassung der IT-Ressourcen. Dazu gehören unter anderem die Software, die Hardware sowie auch eine komplette Infrastruktur. Wichtig ist hierbei, dass die Umsetzung von Compliance-Maßnahmen keine kurzfristige Maßnahme, sondern ein dauerhafter Prozess ist. Unterstützen kann dabei zum Beispiel das IT-gestützte Compliance-Management-System von Haufe.

Besseres Risikomanagement durch IT-Compliance und damit einhergehende Vorteile

  • Hohe Qualität von IT-Prozessen
  • IT-Sicherheit
  • Schutz vor Betriebsspionage
  • Bewahrung von Geschäftsgeheimnissen
  • Weniger Betriebsausfälle und sonstige unangenehmen Folgen der Cyberkriminalität
  • Reduktion der Kosten
  • Vermeidung von Rufschädigung für das Unternehmen
  • Steigerung des Unternehmenswerts

IT-Compliance: Anforderungen identifizieren

Bei der IT-Compliance muss die Geschäftsleitung darauf achten, dass im Betrieb keine unrechtmäßigen Handlungen begangen werden und auch die Datenschutzvorschriften nicht verletzt werden. Ebenso wichtig ist, die Daten des Unternehmens so zu schützen, dass keine Unbefugten Zugriff erhalten. Sicherheitsmaßnahmen sind im Datenschutz vorgeschrieben, besonders wichtig ist Art. 28 DSGVO. Auch wenn diese erst im 25. Mai 2018 in Kraft tritt, ist eine Vorbereitung darauf sehr zu empfehlen.  

Die Geschäftsleitung soll ein Vorbild sein. Sie hat die Mitarbeitenden über die Methoden der Industriespionage und die Schutzmaßnahmen zu informieren. Eine Handlungsanleitung für Angestellte und regelmäßiges Training werden empfohlen.

  • Absicherung von Netzübergängen (Firewall, IDS, usw.)
  • Minimierung von Netzübergängen
  • Regelmäßige Prüfung von Logdaten auf Cyber-Angriffe
  • Verschlüsselung von E-Mail-Kommunikation und von Datenträgern
  • Strukturiertes oder zentralisiertes Patchmanagement Netzsegmentierung
  • Regelmäßige Sensibilisierungsmaßnahmen für alle Mitarbeiter
  • Dezentraler AV Scan (auf einzelnen Clients, Servern) Zentraler AV Scan (am Mailserver, Gateway, usw.)

Bei der Bekämpfung von Cyberkriminalität sind auch die weiteren Punkte zu beachten:

  • Geschäftsdaten werden mit Vorteil nur auf Geräten bearbeitet, die vom Unternehmen zur Verfügung gestellt werden. Wenn Angestellte Privatgeräte benutzen (BYOD), ist die Datensicherheit kaum zu gewährleisten.
  • Sensible Daten sowie Geschäftsgeheimnisse sollten nur an Computern in geschlossenen Räumen bearbeitet werden, die keinen Kontakt zum Internet haben und versiegelte USB-Zugänge. Die Bearbeitung darf nur von bestimmten Personen vorgenommen werden.
  • Auch geheime Unterlagen auf Papier müssen nach der Bearbeitung verschlossen werden und gehören keinesfalls in den Papierkorb.
  • Notfallpläne muss man mittels Simulationen und Übungen regelmässig testen, auch damit die Leute im Ernstfall wissen, was zu erledigen ist.
  • Personendaten müssen durch angemessene technische und organisatorische Maßnahmen gegen unbefugten Zugriff geschützt werden. Kundendaten gehören nicht ohne Erlaubnis in soziale Netzwerke.
  • Nach Beendigung des Arbeitsverhältnisses müssen die Zugänge und Passwörter für die betreffende Person sofort gesperrt werden.
  • In Verträgen über Forschung, Entwicklung und sonstige sensible Daten sind Sicherheitsvorkehrungen für beide Parteien zu vereinbaren und eine Geheimhaltungsklausel mit Konventionalstrafe.
News 06.09.2018 Agentur für Innovation in der Cybersicherheit

In allen Lebensbereichen spielen Informationstechnologien eine immer größere Rolle. Zugleich steigt damit das Risiko, dass IT-Strukturen und Elemente zum Ziel von Angriffen werden, sei es durch kriminelle Hacker oder im Zuge der Cyber-Kriegsführung durch staatliche Akteure. Zur Verbesserung der Cybersicherheit hat die Bundesregierung daher jetzt eine neue Agentur ins Leben gerufen, die vor allem die Grundlagenforschung auf diesem Gebiet fördern soll.mehr

News 06.06.2018 Digitalisierung

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und Vernetzung praktisch aller Lebensbereiche. Fast jedes Unternehmen ist heutzutage von dem Funktionieren der digitalen Infrastruktur abhängig.mehr

News 18.04.2018 US-Cert-Liste möglicher IT-Angriffpunkte

Das FBI, die US-Heimatschutzbehörde und das britische NCSC sind mit einer Warnung vor einem Großangriff russischer Hacker an die Öffentlichkeit gegangen. Angreifer sollen weltweit Infrastrukturen von Netzwerken infiltriert haben, um damit Spionage- und Sabotage-Aktionen durchführen zu können. US-Cert listet die möglichen IT-Schwachstellen auf. Was steckt dahinter?mehr

News 18.04.2018 Cybersicherheit

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und Vernetzung praktisch aller Lebensbereiche. Fast jedes Unternehmen ist heutzutage von dem Funktionieren der digitalen Infrastruktur abhängig.mehr

News 22.03.2018 IT Compliance

Lastschriftverfahren können dazu missbraucht werden, bei Internet-Einkäufen die Konten anderer Personen zu belasten. Sie können rückgängig gemacht werden, das sollte allerdings schnell passieren. Zu empfehlen ist, das Konto regelmäßig auch auf kleine Beträge zu überprüfen.mehr

News 14.03.2018 IT-Sicherheit-Studie: Messenger / Apps

Nicht nur bei den bekannten Messengern und Sozialen Netzwerken hapert es häufig am Datenschutz, auch weitere Apps und Dienste wie etwa E-Mail oder Navigationslösungen sind in dieser Hinsicht oftmals problematisch. An der Universität Wien wurden jetzt zahlreiche dieser Lösungen untersucht und dabei auch wesentlich datenschutzfreundlichere Angebote entdeckt. Einen Download der Studie finden Sie hier.mehr

News 12.03.2018 Bitcoins& Co.

Vielen Unternehmen stellen sich angesichts des jüngsten Hypes um Kryptowährungen die Frage, ob sie diese als Zahlungsmöglichkeit für ihre Dienstleistungen oder Produkte akzeptieren sollten. Welche Vorteile kann dies haben und welchen Gefahren können diesen u.U. gegenüberstehen? Sicher ist, dass sich neue Rechtsfragen stellen und gute vertragliche Absicherung für Widerrufe Sinn macht. Rechtsanwalt Konstantin Filbinger gibt einen Überblick.mehr

News 02.03.2018 IT-Sicherheit

Die jüngste Cyber-Attacke auf die Regierung zeigt erneut die Verwundbarkeit durch die Digitalisierung. Wie können sich Unternehmen vor Cyber-Angriffen schützen?mehr

Serie 17.01.2018 Kryptowährungen und unser Geldsystem

Die Blockchain-Technologie ist schon lange nicht mehr nur die Technologie hinter einigen Kryptowährungen. Schon bald könnte die technologische Innovation aufgrund vielfältiger Einsatzmöglichkeiten auch auf andere Geschäftsbereiche übertragen werden. Was verbirgt sich genau dahinter?mehr

News 01.12.2017 IT-Sicherheit

Jedes dritte größere Unternehmen war bereits einmal Opfer von Cyber-Crime. Das Ausspähen von Passwörtern und Firmeninterna oder der Klau von Kundendaten, die Manipulation von Finanz- und Kontodaten - diesen Risiken hat neben dem BSI nun auch die BaFin den Kampf angesagt.mehr

News 29.11.2017 EU-Verordnung

In 2018 soll zusammen mit der europäischen Datenschutzgrundverordnung (DSGVO) auch eine ePrivacy-Verordnung in Kraft treten, bei der vor allem der Schutz personenbezogener Daten bei der elektronischen Kommunikation bzw. bei Internetnutzung im Fokus steht. Wie weit dieser Schutz gehen soll, ist umstritten: Vertreter aus der Wirtschaft warnen von zu starken Einschränkungen Das EU-Parlament hat sich für strenge Schutzmaßnahmen ausgesprochen.mehr

News 28.11.2017 Cyber-Security

Auch im Jahr 2017 bleibt die Lage der Sicherheit der digitalen Welt weiterhin angespannt. Hierzu tragen viele Faktoren bei. Mehr dazu im aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI).mehr

News 10.11.2017 Berufliche Verschwiegenheitspflicht

Berufsgeheimnisträger wie Anwälte, Steuerberater oder Ärzte müssen berufliche E-Mails mit sensiblen Daten in jedem Fall verschlüsseln. Wer das unterlässt, handelt nicht nur datenschutzwidrig, es kann sich laut Ansage des Sächsischen Datenschutzbeauftragten auch um eine Straftat gemäß § 203 StGB handeln.mehr

Serie 09.11.2017 Kryptowährungen und unser Geldsystem

Ein Geldsystem ohne staatliche Kontrolle? Eine Währung, die nicht von einer Zentralbank ausgegeben wird? Welche Chancen und Risiken verbergen sich hinter den populärsten Kryptowährungen?mehr

News 06.11.2017 Cyberattacken

Vor allem in Osteuropa, insbesondere in Russland und der Ukraine, hat ein neuartiger Verschlüsselungstrojaner für erhebliches Aufsehen gesorgt und u. a. den Nachrichtendienst Interfax weitgehend lahmgelegt. Der auf den Namen Bad Rabbit getaufte Schädling richtete dabei beträchtliche Schäden an, breitet sich weiter aus und könnte auch hierzulande zur Gefahr werden, weshalb besondere Wachsamkeit angeraten ist.mehr

News 30.10.2017 KRACK-Angriffe

Die Berichte über eine Schwachstelle in der bis dahin als sicher geltenden WPA2-Verschlüsselung haben für erhebliche Unsicherheit unter Anwendern geführt, die nun eben nicht mehr sicher sein können, dass Daten im WLAN nicht doch abgehört werden können. Die sogenannten KRACK-Angriffe sind im Hinblick auf die Datensicherheit ohne Zweifel besorgniserregend, allerdings auch kein Grund, jetzt direkt in Panik zu verfallen.mehr

News 20.10.2017 Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz modernisiert. Der erstmals 1994 eingeführte IT-Grundschutz soll Wirtschaft und Verwaltung eine Methodik an die Hand geben, um das Niveau der Datensicherheit zu erhöhen. In der jetzt vorgestellten Überarbeitung werden aktuelle Themen wie Cloud oder IoT behandelt und es wird insbesondere auf die KMU-Bedürfnisse eingegangen.mehr

News 09.10.2017 Face ID bei Apple

Die Sperrung von Rechnern oder mobilen Geräten durch Gesichtserkennung statt durch Passwörter oder PINs ist auf dem Vormarsch. Apple hat sein neues iPhone X mit einem entsprechenden Feature namens Face ID ausgestattet. Datenschützer sehen den Zuwachs der Gesichtserkennung einschließlich Softwareauswertungen skeptisch, zumal es noch keine rechtlichen Regelungen dazu gibt.mehr

Serie 25.09.2017 Kryptowährungen und unser Geldsystem

Bitcoin, Ripple, Ether oder andere Kryptowährungen sind eine technologische Innovation, welche in 2017 gigantische Rekordzuwächse verzeichnen. Sie erfreuen sich steigender globaler Beliebtheit. Ein juristisches Neuland, welches unsere bisherige Finanzwelt zu revolutionieren beginnt?mehr

News 31.08.2017 Influencer-Marketing

Auch Werbung in sozialen Netzwerken muss so gekennzeichnet sein, dass der kommerzielle Zweck auf den ersten Blick hervortritt. Ein versteckter Hashtag #ad reicht nicht. Deshalb hat das OLG Celle der Drogeriekette Rossmann ein empfindliches Ordnungsgeld in Höhe bis zu 250.000 EUR für jeden weiteren Verstoß in Aussicht gestellt. Ein junger Instagram-Star hatte Rossmanns Produkte unlauter beworben.mehr

News 14.08.2017 Marketing und Datenschutz

E-Mail-Newsletter sind populäre, aber nicht ungefährliche Marketing- und Kontaktinstrumente. Viele Unternehmen und Institutionen nutzen sie, um beispielsweise mit Kunden in Kontakt zu bleiben. Andererseits sind viele E-Mail-Nutzer über unverlangt zugesandte E-Mails mit Werbung nicht begeistert und wehren sich vehement gegen derartige Kontaktversuche. Was ist beim Versand von E-Mail-Newslettern zu beachten, um nicht rechtlich ins Abseits zu geraten?mehr

News 26.07.2017 Recht auf Vergessen

Vor drei Jahren entschied der EuGH, dass Google in Umsetzung des Rechts auf Vergessen verpflichtet ist, aus seinen Suchergebnissen Links zu entfernen, die auf falsche oder veraltete Informationen führen. Doch damit ist der Streit nicht ausgestanden. Die französische Datenschutzbehörde will erreichen, dass diese Links nicht nur bei den jeweiligen nationalen Google-Suchen entfernt werden, sondern weltweit.mehr