Compliance optimiert Geschäft und IT
Trotz der aktuell gefühlten Compliance-Müdigkeit vieler deutscher Unternehmen nimmt die Anzahl zu beachtender Regelungen stetig zu. Sie reichen von Gesetzen im engeren Sinne über Standards, Referenzmodelle und branchenspezifische Vorgaben bis hin zu firmeninternen Richtlinien.
Global tätige Unternehmen müssen sich zudem mit länderspezifischen Regelungen auseinandersetzen, die selbst innerhalb der Europäischen Union nicht immer harmonisiert sind. Eine Umfrage der Experton Group bei deutschen IT- und Geschäftsentscheidern in Unternehmen mit mindestens 1000 Mitarbeitern zeigt, dass momentan in Unternehmen vor allem das Bundesdatenschutzgesetz umgesetzt wird (beziehungsweise die Regelungen der einzelnen Bundesländer), gefolgt von verschiedenen Gesetzen aus dem Wirtschaftsrecht sowie firmeninternen oder rechtlich nicht verbindlichen Standards, wie der Norm ISO 27001 und dem BSI IT-Grundschutz.
Die oft in den Vordergrund des Marketings der Anbieter gestellten Eigenkapitalregelungen von Basel II werden jedoch überschätzt. Sie stellen spezifische Anforderungen an das Management operativer Risiken, die aus gesamtwirtschaftlicher Sicht und der Perspektive einzelner Unternehmen durchaus sinnvoll erscheinen. Außerdem bezieht das Rating der Banken bei der Kreditvergabe auch IT-Betriebsrisiken beim Kunden mit ein, was potenziell günstigere Kreditkonditionen für IT-seitig solide aufgestellte Unternehmen zur Folge hat.
Ein seriöses Rating erfordert aber einen aufwändigen IT- und Prozess-Audit. Darum ist Basel II weitgehend von der Agenda deutscher Firmen außerhalb der Finanzbranche verschwunden. In der Praxis prüfen Unternehmen eher über Checklisten. Die bloße Existenz eines Virenscanners sagt beispielsweise aber nur wenig über den Sicherheitsstatus einer Firma aus.
Deutsche Unternehmen stehen beim Umsetzen der Regularien in der Tat vor erheblichen Herausforderungen. Die Umfrage belegt nur eine mäßige Zufriedenheit der Anwender mit der Umsetzung von Compliance-Anforderungen im Unternehmen. Fast 40 Prozent der Befragten sind lediglich mäßig zufrieden oder unzufrieden (siehe Abbildung 1). Dabei sind IT-Entscheider tendenziell unzufriedener mit der Umsetzung von Regularien in ihrem Bereich als die Geschäftsführung. Speziell im IT-Bereich herrscht demnach ein deutlicher Optimierungs- und Handlungsbedarf.