IT-Compliance: Spagat zwischen zu viel und zu wenig Kontrolle

Bespitzelung bei der Telekom, Datenskandal bei der Bahn, Überwachung der Mitarbeiter bei Lidl oder die Korruptionsaffäre bei Siemens – die Skandale in deutschen Unternehmen machten weltweit Schlagzeilen. In letzter Zeit häufen sich auch die Berichte von verlorenen oder gestohlenen Daten. Prominentes Beispiel sind die Angebote mit CDs von Steuersündern.

Alle diese Fälle haben eines gemeinsam: den Verstoß gegen Compliance. Ganz allgemein gefasst bedeutet Compliance, dass Unternehmen die Einhaltung von gesetzlichen Vorgaben sicherstellen und überwachen sowie sich selbst dazu verpflichten, eigene Richtlinien zu befolgen. Diese Regeln sollen den Missbrauch von vertraulichen Daten, daraus folgende mögliche Schadenersatzklagen und einen Imageschaden des Unternehmens abwehren. Was in der Theorie gut klingt, ist in der Praxis schwer umzusetzen – wird aber für immer mehr Unternehmen unumgänglich.

Michael H. Brauer, Leiter der Abteilung Corporate Automation der Zentralstelle Corporate Information Technology bei Siemens, erinnert sich nicht gerne an die Zeit, in der die Staatsanwälte bei dem Konzern ein- und ausgingen. “Die öffentliche Aufmerksamkeit war sehr hoch, deutsche und US-amerikanische Behörden ermittelten parallel.” Daher entwickelte die IT-Abteilung unter seiner Federführung ein internes Kontrollsystem, für das sich mittlerweile auch andere Unternehmen interessieren.

“Maschineller Kamm” gegen Regelverstöße

Das von Siemens entwickelte System führt große Datenmengen aus Hunderten von ERP-Systemen (SAP und viele andere) in einer zentralen Sammelstelle zusammen, ordnet sie der entsprechenden Businessfunktion zu und analysiert sie automatisiert. “Wir untersuchen mit Hilfe der IT jeden Tag rund zehn Millionen Transaktionen darauf, ob sie den gesetzlichen Vorgaben sowie den internen Richtlinien entsprechen”, so Brauer. “Es handelt sich dabei um eine Art maschinellen Kamm, der Auffälligkeiten herausfiltert. Das gilt natürlich nicht für personenbezogene Daten.”

Im System sind die Regelwerke definiert (zum Beispiel darf ein Besteller keine Rechnung freigeben) und automatisch dem entsprechenden Verantwortlichen oder Geschäftsbereich zugeordnet. Die Informationen laufen in verschiedenen Dashboards zusammen, zum Beispiel im CIO-Dash für IT-Fragen, im CFO-Dash für Finanzfragen. Auffälligkeiten werden gemeldet, klassifiziert, etwa nach Höhe des Risikos oder der Reaktionszeit, und dann an die Verantwortlichen weitergeleitet. Diese sind ihrer Rolle entsprechend mit Kontrollrechten ausgestattet.

Reagiert der zuständige Mitarbeiter nicht innerhalb einer bestimmten Frist, wird der Vorgang automatisch an den nächst höheren Vorgesetzten weitergeleitet – theoretisch bis zum Vorstand. Auch die interne und externe Revision nutzen die Kontrollergebnisse des Systems bei der Prüfung, ob alle Vorgänge regelkonform ablaufen. “Die IT macht die Auffälligkeiten transparent und schafft einen Mehrwert, da sie die Umsetzung von Compliance massiv unterstützt”, sagt Brauer.

Page: 1 2 3 4

Silicon-Redaktion

View Comments

  • IT-Compliance
    Die Ausgaben der Unternehmen für Compliance steigen jährlich an, gleichzeitig nimmt aber das Vertrauen in die vorhandene Compliance stetig ab. Denn viele Compliance-Verantwortliche kennen die Lücken und Löcher in Ihren IT-Systemen, die durch unautoriseirte Veränderungen entstehen. Gesetzliche- und Unternehmemsrichtlinien können nicht mehr eingehalten werden.

    Viele Unternehmen versuchen deshalb schrittweise ihr Compliance-Problem zu lösen, um irgendwann eine stabile IT-Infrastruktur zu erreichen. Dies ist aber nicht einfach, denn Änderungen an der IT-Infratsruktur erfolgen genauso kontinuierlich und in kurzen Abständen wie sich das Unternehmen selbst weiterentwickelt.

    Aus diesem Grund ist jeder Audit von Anfang an mit gewissen Problemen behaftet. Denn Compliance-Verantwortliche wissen, dass manuelle Überprüfungen durch Auditoren Verstöße oder Compliance-Probleme aufdecken können. Die Folge: Kostspiliege Untersuchungen, steigende Audit-Kosten sowie ein zunehmendes Risiko, eines schwerwiegenden Compliance-Verstoßes inclusive empfindlicher Geldbuße und negativer Publicity.

    Zudem haben jährlich steigende Compliance-Anforderungen zur Folge, dass Unternehmen sich nicht länger auf Audit-Prozesse verlassen können, die Bedrohungen erst nach Wochen oder Monaten feststellen. Dies ist weder effektiv noch effizient. Ein Grund den Prozess zu automatisieren, um sowohl die Kosten als auch das Risiko zu senken.

    Die Lösung ist ein Prozess kontinuierlicher Compliance, der eine Echtzeit-Überwachung unterstützt, denn so können Unternehmen bedrohliche Veränderungen an ihrer IT-Infrastruktur sofort erkennen. Echtzeit-Überwachung unterstützt Unternehmen dabei, einen effektiven Compliance-Standard über einen langen Zeitraum zu erhalten.
    Andrew Heather, General Manager, EMEA Tripwire
    http://www.tripwire.com

Recent Posts

S/4HANA-Migration: Verzögerung vorprogrammiert?

SAP S/4HANA-Transformationen sind äußerst komplex und verlaufen oft nicht wie geplant – oder scheitern sogar…

16 Stunden ago

Black Friday: Ein Blick auf den Schnäppchen-Hype

Der Black Friday, der in den USA traditionell am Freitag nach Thanksgiving gefeiert wird, hat…

17 Stunden ago

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

3 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

3 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

4 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

5 Tagen ago