IT-Compliance: Spagat zwischen zu viel und zu wenig Kontrolle

Bespitzelung bei der Telekom, Datenskandal bei der Bahn, Überwachung der Mitarbeiter bei Lidl oder die Korruptionsaffäre bei Siemens – die Skandale in deutschen Unternehmen machten weltweit Schlagzeilen. In letzter Zeit häufen sich auch die Berichte von verlorenen oder gestohlenen Daten. Prominentes Beispiel sind die Angebote mit CDs von Steuersündern.

Alle diese Fälle haben eines gemeinsam: den Verstoß gegen Compliance. Ganz allgemein gefasst bedeutet Compliance, dass Unternehmen die Einhaltung von gesetzlichen Vorgaben sicherstellen und überwachen sowie sich selbst dazu verpflichten, eigene Richtlinien zu befolgen. Diese Regeln sollen den Missbrauch von vertraulichen Daten, daraus folgende mögliche Schadenersatzklagen und einen Imageschaden des Unternehmens abwehren. Was in der Theorie gut klingt, ist in der Praxis schwer umzusetzen – wird aber für immer mehr Unternehmen unumgänglich.

Michael H. Brauer, Leiter der Abteilung Corporate Automation der Zentralstelle Corporate Information Technology bei Siemens, erinnert sich nicht gerne an die Zeit, in der die Staatsanwälte bei dem Konzern ein- und ausgingen. “Die öffentliche Aufmerksamkeit war sehr hoch, deutsche und US-amerikanische Behörden ermittelten parallel.” Daher entwickelte die IT-Abteilung unter seiner Federführung ein internes Kontrollsystem, für das sich mittlerweile auch andere Unternehmen interessieren.

“Maschineller Kamm” gegen Regelverstöße

Das von Siemens entwickelte System führt große Datenmengen aus Hunderten von ERP-Systemen (SAP und viele andere) in einer zentralen Sammelstelle zusammen, ordnet sie der entsprechenden Businessfunktion zu und analysiert sie automatisiert. “Wir untersuchen mit Hilfe der IT jeden Tag rund zehn Millionen Transaktionen darauf, ob sie den gesetzlichen Vorgaben sowie den internen Richtlinien entsprechen”, so Brauer. “Es handelt sich dabei um eine Art maschinellen Kamm, der Auffälligkeiten herausfiltert. Das gilt natürlich nicht für personenbezogene Daten.”

Im System sind die Regelwerke definiert (zum Beispiel darf ein Besteller keine Rechnung freigeben) und automatisch dem entsprechenden Verantwortlichen oder Geschäftsbereich zugeordnet. Die Informationen laufen in verschiedenen Dashboards zusammen, zum Beispiel im CIO-Dash für IT-Fragen, im CFO-Dash für Finanzfragen. Auffälligkeiten werden gemeldet, klassifiziert, etwa nach Höhe des Risikos oder der Reaktionszeit, und dann an die Verantwortlichen weitergeleitet. Diese sind ihrer Rolle entsprechend mit Kontrollrechten ausgestattet.

Reagiert der zuständige Mitarbeiter nicht innerhalb einer bestimmten Frist, wird der Vorgang automatisch an den nächst höheren Vorgesetzten weitergeleitet – theoretisch bis zum Vorstand. Auch die interne und externe Revision nutzen die Kontrollergebnisse des Systems bei der Prüfung, ob alle Vorgänge regelkonform ablaufen. “Die IT macht die Auffälligkeiten transparent und schafft einen Mehrwert, da sie die Umsetzung von Compliance massiv unterstützt”, sagt Brauer.

Page: 1 2 3 4

Silicon-Redaktion

View Comments

  • IT-Compliance
    Die Ausgaben der Unternehmen für Compliance steigen jährlich an, gleichzeitig nimmt aber das Vertrauen in die vorhandene Compliance stetig ab. Denn viele Compliance-Verantwortliche kennen die Lücken und Löcher in Ihren IT-Systemen, die durch unautoriseirte Veränderungen entstehen. Gesetzliche- und Unternehmemsrichtlinien können nicht mehr eingehalten werden.

    Viele Unternehmen versuchen deshalb schrittweise ihr Compliance-Problem zu lösen, um irgendwann eine stabile IT-Infrastruktur zu erreichen. Dies ist aber nicht einfach, denn Änderungen an der IT-Infratsruktur erfolgen genauso kontinuierlich und in kurzen Abständen wie sich das Unternehmen selbst weiterentwickelt.

    Aus diesem Grund ist jeder Audit von Anfang an mit gewissen Problemen behaftet. Denn Compliance-Verantwortliche wissen, dass manuelle Überprüfungen durch Auditoren Verstöße oder Compliance-Probleme aufdecken können. Die Folge: Kostspiliege Untersuchungen, steigende Audit-Kosten sowie ein zunehmendes Risiko, eines schwerwiegenden Compliance-Verstoßes inclusive empfindlicher Geldbuße und negativer Publicity.

    Zudem haben jährlich steigende Compliance-Anforderungen zur Folge, dass Unternehmen sich nicht länger auf Audit-Prozesse verlassen können, die Bedrohungen erst nach Wochen oder Monaten feststellen. Dies ist weder effektiv noch effizient. Ein Grund den Prozess zu automatisieren, um sowohl die Kosten als auch das Risiko zu senken.

    Die Lösung ist ein Prozess kontinuierlicher Compliance, der eine Echtzeit-Überwachung unterstützt, denn so können Unternehmen bedrohliche Veränderungen an ihrer IT-Infrastruktur sofort erkennen. Echtzeit-Überwachung unterstützt Unternehmen dabei, einen effektiven Compliance-Standard über einen langen Zeitraum zu erhalten.
    Andrew Heather, General Manager, EMEA Tripwire
    http://www.tripwire.com

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

19 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

19 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

20 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

1 Tag ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

2 Tagen ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

2 Tagen ago