IT-Compliance wird immer wichtiger, da kein Unternehmen heutzutage ohne IT und digitale Abläufe funktioniert. Die meisten Informationen fließen elektronisch, auch im Austausch mit internationalen Standorten, Partnern und Kunden. “IT bildet mittlerweile die Basis vieler Geschäftsprozesse, zudem fordert der Gesetzgeber verstärkt IT-Sicherheit und Datenschutz. Es darf keine Rechtsverstöße geben. Daher ist IT-Compliance oft geschäftskritisch für Unternehmen”, sagt Markus Gaulke, Senior Manager im Bereich Advisory Information Risk Management bei der Wirtschaftsprüfungsgesellschaft KPMG.
Er berät Unternehmen dabei, wie sie gesetzliche Vorgaben – etwa das erneuerte Bundesdatenschutzgesetz, Basel II oder das Bilanzmodernisieriungsgesetz) – in interne Richtlinien umsetzen und wie sie die (IT)-Prozesse gestalten können, um diese Anforderungen einzuhalten sowie deren Einhaltung auch zu dokumentieren.
Als Vorstandsmitglied im German Chapter des internationalen IT-Prüfungsverbands Isaca und Autor des Buches “Praxiswissen Cobit, Risk IT und Val IT” engagiert er sich zudem intensiv für IT-Compliance auf Basis eines Referenzmodells wie Cobit. Ziele des Verbandes sind es, das Thema in die Öffentlichkeit zu bringen sowie die Ausbildung zum IT Compliance Manager zu standardisieren und zu fördern.
Denn Großunternehmen wie Siemens, die Deutsche Telekom oder die Deutsche Bank haben heute eigene Abteilungen und (IT-)Compliance-Manager, welche die Einhaltung aller Vorgaben überwachen. Die Manager und Mitarbeiter haften teilweise persönlich für Rechtsverstöße, sei es zivilrechtlich (Schadensersatz), arbeitsrechtlich (Abmahnung, Kündigung) oder strafrechtlich (Geld- oder Freiheitsstrafe).
“Der IT Compliance Manager muss bei den Mitarbeitern ein Bewusstsein für Compliance schaffen und ihnen erklären, warum diese so wichtig ist. Zudem ist es seine Aufgabe, Prozesse einzurichten die verhindern, dass Unternehmensdaten ungeschützt nach außen gelangen”, so Gaulke. Dazu gehören auch Stichproben und Kontrollsysteme. Doch IT-Compliance ist für Gaulke mehr als IT-Sicherheit und Datenschutz nach gesetzlichen und unternehmensinternen Vorgaben. Weitere Aspekte sind für ihn Archivierung und Datensicherung, die Regelung der Informationssicherheit und der Mitarbeiterrechte bei Telefon, E-Mail und Internet, dem Urheberrecht sowie beim Lizenzmanagement.
Landesverwaltung wendet sich konsequent von Microsoft ab und setzt künftig auf Open Source Software.
In einer zunehmend digitalisierten Welt wird Cybersicherheit zu einer der zentralen Herausforderungen für Unternehmen aller…
Das Karlsruher Institut für Technologie hat ein Verfahren vorgestellt, das klassische Kryptografie-Verfahren und herkömmliche Hardware…
Der Kauf von Dotmatics, Anbieter von F&E-Software, soll das PLM-Portfolio des Konzerns im Bereich Life…
Unternehmen wollen KI schnell einführen, doch dadurch entsteht Stückwerk, warnt Larissa Schneider von Unframe im…
Technische Schulden – Tech Debt – machen oft 20 bis 40 Prozent der Technologieressourcen aus,…
View Comments
IT-Compliance
Die Ausgaben der Unternehmen für Compliance steigen jährlich an, gleichzeitig nimmt aber das Vertrauen in die vorhandene Compliance stetig ab. Denn viele Compliance-Verantwortliche kennen die Lücken und Löcher in Ihren IT-Systemen, die durch unautoriseirte Veränderungen entstehen. Gesetzliche- und Unternehmemsrichtlinien können nicht mehr eingehalten werden.
Viele Unternehmen versuchen deshalb schrittweise ihr Compliance-Problem zu lösen, um irgendwann eine stabile IT-Infrastruktur zu erreichen. Dies ist aber nicht einfach, denn Änderungen an der IT-Infratsruktur erfolgen genauso kontinuierlich und in kurzen Abständen wie sich das Unternehmen selbst weiterentwickelt.
Aus diesem Grund ist jeder Audit von Anfang an mit gewissen Problemen behaftet. Denn Compliance-Verantwortliche wissen, dass manuelle Überprüfungen durch Auditoren Verstöße oder Compliance-Probleme aufdecken können. Die Folge: Kostspiliege Untersuchungen, steigende Audit-Kosten sowie ein zunehmendes Risiko, eines schwerwiegenden Compliance-Verstoßes inclusive empfindlicher Geldbuße und negativer Publicity.
Zudem haben jährlich steigende Compliance-Anforderungen zur Folge, dass Unternehmen sich nicht länger auf Audit-Prozesse verlassen können, die Bedrohungen erst nach Wochen oder Monaten feststellen. Dies ist weder effektiv noch effizient. Ein Grund den Prozess zu automatisieren, um sowohl die Kosten als auch das Risiko zu senken.
Die Lösung ist ein Prozess kontinuierlicher Compliance, der eine Echtzeit-Überwachung unterstützt, denn so können Unternehmen bedrohliche Veränderungen an ihrer IT-Infrastruktur sofort erkennen. Echtzeit-Überwachung unterstützt Unternehmen dabei, einen effektiven Compliance-Standard über einen langen Zeitraum zu erhalten.
Andrew Heather, General Manager, EMEA Tripwire
http://www.tripwire.com