IT-Compliance: Spagat zwischen zu viel und zu wenig Kontrolle

Eine wichtige Rolle im Rahmen von IT-Compliance beziehungsweise IT-gestützter Compliance schreibt Markus Gaulke den Freigabeprozessen in der IT oder den Fachbereichen zu: “Je größer das Risiko von bestimmten Geschäftsprozessen ist, umso mehr Freigabeschritte sind notwendig. Bei Standard-Freigaben sollte der Prozess schlanker sein, um die Effizienz nicht zu vermindern.”

Der KPMG-Mann thematisiert hier den schmalen Grat, auf dem Compliance wandelt – dem zwischen zu viel und zu wenig Kontrolle. Denn übertreibt ein Unternehmen die Einhaltung der gesetzlichen Vorgaben und überwacht seine Geschäftsprozesse zu intensiv, leidet die Effizienz und die Mitarbeiter fühlen sich gegängelt. Achten die Unternehmen zu wenig auf Compliance, riskieren sie oder ihre leitenden Mitarbeiter Bestrafung und Imageverlust.

Michael H. Brauer, Leiter der Abteilung Corporate Automation der Zentralstelle Corporate Information Technology bei Siemens, rät daher zu Augenmaß: “Weniger ist manchmal mehr. Unternehmen sollten Compliance nicht übertreiben, sondern sich auf die wesentlichen Dinge konzentrieren. Und dazu gehören ein Kulturwandel, der ausschließlich saubere Geschäfte zulässt, und entsprechende klare Botschaften der Unternehmensspitze. IT-Tools können helfen, die Vorgaben im Detail intelligent umzusetzen und dem einzelnen Mitarbeiter den Arbeitsalltag sicher und bequem zu gestalten. Denn automatisierte Abläufe in der IT gestalten Kontrollprozesse wesentlich effizienter.”

Professor Klotz von der FH Stralsund empfiehlt Unternehmen, die Compliance-Risiken zu betrachten und Compliance eng mit Risikomanagement zu verzahnen. Die Frage laute: “Welche Risiken hat ein Unternehmen, wenn es die Compliance-Vorgaben nicht komplett einhält?” Klotz skizziert dazu ein Beispiel: Die Strafe für ein Compliance-Vergehen beträgt 50.000 Euro, die Implementierung eines IT-Prozesses, der diesen Compliance-Verstoß verhindern würde, jedoch 200.000 Euro. “Die Risikoabwägung sorgt hier garantiert für Konflikte im Unternehmen. Der Kaufmann sagt nein zur Installation des Systems, der Jurist unbedingt ja.” Was ist also tun? Diese Frage muss jedes Unternehmen für sich selbst entscheiden.

Page: 1 2 3 4

Silicon-Redaktion

View Comments

  • IT-Compliance
    Die Ausgaben der Unternehmen für Compliance steigen jährlich an, gleichzeitig nimmt aber das Vertrauen in die vorhandene Compliance stetig ab. Denn viele Compliance-Verantwortliche kennen die Lücken und Löcher in Ihren IT-Systemen, die durch unautoriseirte Veränderungen entstehen. Gesetzliche- und Unternehmemsrichtlinien können nicht mehr eingehalten werden.

    Viele Unternehmen versuchen deshalb schrittweise ihr Compliance-Problem zu lösen, um irgendwann eine stabile IT-Infrastruktur zu erreichen. Dies ist aber nicht einfach, denn Änderungen an der IT-Infratsruktur erfolgen genauso kontinuierlich und in kurzen Abständen wie sich das Unternehmen selbst weiterentwickelt.

    Aus diesem Grund ist jeder Audit von Anfang an mit gewissen Problemen behaftet. Denn Compliance-Verantwortliche wissen, dass manuelle Überprüfungen durch Auditoren Verstöße oder Compliance-Probleme aufdecken können. Die Folge: Kostspiliege Untersuchungen, steigende Audit-Kosten sowie ein zunehmendes Risiko, eines schwerwiegenden Compliance-Verstoßes inclusive empfindlicher Geldbuße und negativer Publicity.

    Zudem haben jährlich steigende Compliance-Anforderungen zur Folge, dass Unternehmen sich nicht länger auf Audit-Prozesse verlassen können, die Bedrohungen erst nach Wochen oder Monaten feststellen. Dies ist weder effektiv noch effizient. Ein Grund den Prozess zu automatisieren, um sowohl die Kosten als auch das Risiko zu senken.

    Die Lösung ist ein Prozess kontinuierlicher Compliance, der eine Echtzeit-Überwachung unterstützt, denn so können Unternehmen bedrohliche Veränderungen an ihrer IT-Infrastruktur sofort erkennen. Echtzeit-Überwachung unterstützt Unternehmen dabei, einen effektiven Compliance-Standard über einen langen Zeitraum zu erhalten.
    Andrew Heather, General Manager, EMEA Tripwire
    http://www.tripwire.com

Recent Posts

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

2 Wochen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

2 Wochen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

2 Wochen ago

Pentesting: Vom Luxus zum Standard

Automatisierung macht Pentesting auch für kleinere Unternehmen erschwinglich, sagt Mareen Dose von indevis.

3 Wochen ago

Must-haves einer Sicherheitsstrategie: Deep Observability und Zero Trust

Die Sicherheitslandschaft ist alles andere als robust. Unter anderem weil die Sichtbarkeit noch immer kritische…

3 Wochen ago

Open Source: Der gläserne Code als Schutzschild?

Auch der Einsatz von Open Source Software bringt Herausforderungen mit sich, insbesondere in der IT-Sicherheit,…

3 Wochen ago