Die Piraten sind im Umfragehoch, Hertha ist vom Abstieg bedroht und Schädlinge machen sich nun auch auf dem wohlbehüteten Mac breit. Was ist nur über die Welt gekommen? Wo sind die einfachen Lösungen? Schwarz und weiß, Freund und Feind, das gibt es wohl nicht mehr.
Beruflich wird mir das immer wieder vor Augen geführt, wenn mich Kunden nach “Compliance” fragen, insbesondere welche Regeln denn im Bereich “Security” zu befolgen seien, vor allem in “Europa”. Diese Kombination der Worte “Compliance”, “Security” und “Europa” lässt mich reflexartig vermuten, dass es sich beim Fragenden um einen US-Hersteller handelt, der mit seinen Produkten auf dem europäischen Markt landen will. Bislang war diese Vermutung in 100% der Fälle richtig.
Aber so einfach ist das leider nicht. Nicht so schwarz, und auch nicht so weiß. Fangen wir mit “Europa” an. Meinen wir jetzt die Euro-Zone? Oder Kontinental-Europa? Oder die Europäische Union? Oder die Europäische Wirtschaftszone (d.h. plus Schweiz, Norwegen)? Oder das geographische Europa (einschließlich Türkei, Russland)? Je nach Geschmackslage reden wir hier über bis zu 50 unabhängige Nationalstaaten (nicht einfach nur Bundesstaaten). Und nicht alle werden von der EU harmonisiert.
Auch gibt es nicht “die” Sicherheitsrichtlinien, wie es in den USA NIST 800-53 und FISMA gibt. Die EU hält sich aus der Frage weitgehend raus. Deutschland, Großbritannien, Frankreich und Spanien haben ihre eigenen Standards kredenzt. Das IT-Grundschutzhandbuch ist ein komplexes Machwerk, mit dem man nur sehr schwer “compliant” sein kann. Allenfalls der britische BS7799 hat es als ISO27001 zu einigem Ruhm und Ansehen gebracht, allerdings auch über Europa hinaus.
Und dann ist da noch die Frage von “Compliance” selbst. Angesichts der europäischen Komplexität fällt es multinationalen Unternehmen schwer, mit allem und jedem “compliant” zu sein. Die Vielfalt und Schwerfälligkeit europäischer und nationaler Behörden tut ein übriges. Sorgen macht zum Beispiel die sogenannte “Cookie-Richtlinie”, basierend auf einer EU-Direktive, also EU-weit gültig. Während in England alle in betriebsame Hektik verfallen und an ihren Webseiten rumbasteln, kümmert man sich in Deutschland um andere Dinge. Googles Datenschutz, zum Beispiel, oder den von Facebook. Ähnliche rechtliche Grundlage, andere regulatorische Baustelle. Ein europäisches Unternehmen, was haarklein mit allen rechtlichen Regelungen in allen Ländern konform gehen will, wird mehr Geld für Compliance ausgeben müssen als für den eigenen Geschäftszweck.
Also orientiert man sich an Prinzipien. Man führt Risikoanalysen durch, und investiert dann dort, wo die größten Risiken bestehen. Man beobachtet die Tätigkeit der wichtigsten Regulierungsbehörden, und wird aktiv, wenn diese zu strengeren Maßstäben greifen. Und wenn die Maßnahmen nicht den Wünschen der Behörden entsprechen, dann hat man alle Unterlagen parat, um die Abweichungen zu erklären. “Comply or explain” nennt man das.
Manchem US-Hersteller ist das alles zu mühsam. Er will sein Produkt verkaufen, weil es Unternehmen “compliant” macht, so wie man in den USA mit SOX, HIPAA und GLBA “compliant” sein kann. Also fragt er, wie denn SOX, HIPAA und GLBA bei uns heißen. Einem solchen Anbieter ist schwer zu helfen, er ist schlicht weg noch nicht reif für den europäischen Markt.
“Reife” ist überhaupt ein wichtiger Begriff bei der Beurteilung von Komplexität und der Fähigkeit, vermeintlich einfachen Lösungen zu widerstehen. Für den Mac ist die Schonzeit vorbei. Für die Piraten ist sie es schon eine Weile. Für Hertha … nun ja, wir werden sehen.
Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…
Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…
Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…
Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…
Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…
COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…