IT-Compliance: Spagat zwischen zu viel und zu wenig Kontrolle
Unternehmen müssen immer mehr gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung nachweisen. Bei Rechtsverletzungen stehen CIOs oder IT-Compliance-Beauftragte mit einem Bein im Gefängnis. Doch zu viel Kontrolle gefährdet die Effizienz von Geschäftsprozessen.
Im Fall Siemens handelt es sich um sogenannte IT-gestützte Compliance. “Darunter versteht man den Einsatz von Soft- und Hardware, mit deren Hilfe sich die Einhaltung von Regelwerken sicherstellen lässt. Die IT dient damit als Mittel zum Erreichen von Compliance”, erklärt Professor Michael Klotz, vom Stralsund Information Management Team (SIMAT) an der FH Stralsund, der einen Leitfaden rund um IT-Compliance verfasst hat.
IT-Compliance bezeichne demgegenüber “einen Zustand, in dem alle für die IT des Unternehmens relevanten Vorgaben nachweislich eingehalten werden”. Dabei sei es unerheblich, ob die IT-Leistungen unternehmensintern oder (teilweise) durch externe IT-Dienstleister erbracht werden. Bei dieser Sichtweise von IT-Compliance stellen sich laut Klotz folgende Fragen:
- Welche Rechtsnormen und sonstigen Regelwerke sind für die IT des Unternehmens relevant?
- Welche IT-gestützten Prozesse und Anwendungen sind betroffen und welche Anforderungen sind von ihnen zu erfüllen?
- Welche Risiken resultieren in welcher Höhe aus fehlender oder mangelhafter Compliance der IT?
- Welche Compliance-Anforderungen haben die einzelnen Bereiche der IT (Infrastruktur, Datenhaltung, Betrieb, Prozesse etc.) zu erfüllen?
- Welche technischen, organisatorischen und personellen Maßnahmen sind für die Gewährleistung von IT-Compliance zu ergreifen?
Die letzte Frage zeigt, dass beide Sichtweisen notwendig sind, um allgemeine Compliance und IT-Compliance im Speziellen zu erreichen. Denn im Ergebnis liegt auch IT-gestützte Compliance vor. “Die derart geschaffene Automatisierung von Compliance ist die einzige Möglichkeit, die Vielzahl heutiger Anforderungen zu erfüllen. Dies gilt insbesondere für die kontinuierliche Überwachung des IT-Betriebs auf Compliance-Verstöße”, betont Michael Klotz.