IT-Compliance erfolgreich umsetzen
Das Thema IT-Compliance hat in den vergangenen Jahren deutlich an Bedeutung gewonnen. Dennoch haben nach wie vor viele Unternehmen Nachholbedarf bei der konkreten Umsetzung in der Praxis. Dabei liegt dies im eigenen Interesse von Verantwortlichen, denn wenn ein Gesetz verletzt wird, führt dies zu hohen Strafen.
1 Was wird unter IT-Compliance verstanden?
Hinter dem komplizierten Wort versteckt sich zunächst einfach nur, geltendes Recht einzuhalten und regelkonform zu agieren. IT bezieht sich hierbei auf den Umgang mit digitalen Systemen, Daten und allgemein der IT-Infrastruktur.
Oftmals gibt es Missverständnisse bei der Abgrenzung zwischen IT-Sicherheit und IT-Compliance. Während die IT-Sicherheit den Schutz von Daten und Systemen gewährleistet, stellt die IT-Compliance sicher, dass Vorgaben und Normen des Gesetzgebers umgesetzt werden. Dementsprechend ist es eine Aufgabe der IT-Sicherheit, die Vorgaben der Compliance umzusetzen. Beide Bereiche sind aber nicht deckungsgleich und haben jeweils noch viele andere Aufgaben.
2 Warum ist IT-Compliance so wichtig?
Überall, wo Daten von Kunden verarbeitet und gespeichert werden, gelten strenge Regulierungen. In den letzten Jahren hat sich die Gesetzgebung in diesem Punkt noch deutlich verschärft. Besonders seit der Einführung der Europäischen Datenschutz-Grundverordnung (DSGVO) im Jahre 2018 gibt es mehr Regeln, die in diesem Bereich eingehalten werden müssen.
Über die IT-Compliance wird sichergestellt, dass diese Regeln und Gesetze eingehalten werden. Fehlen entsprechende Maßnahmen, dann laufen Unternehmen Gefahr, gegen geltendes Recht zu verstoßen. Dies zieht enorme Strafen nach sich. Verstöße gegen das Bundesdatenschutzgesetz, beispielsweise bei Weitergabe von persönlichen Daten ohne Einwilligung der betroffenen Person, können Strafen von bis zu 300.000 Euro hervorrufen.
Noch härtere Strafen sieht die DSGVO vor. Hier können die Bußgelder, die bei Verstößen gegen den Datenschutz ausgesprochen werden, vier Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro betragen. Aus diesem Grund ist es im eigenen Interesse von Unternehmen, für die Einhaltung der IT-Compliance zu sorgen.
3 Wer benötigt IT-Compliance und wer ist verantwortlich?
Ein Mindestmaß an IT-Compliance ist für jedes Unternehmen sinnvoll. So sollten auch kleine Einzelunternehmen die Grundregeln der DSGVO und des Bundesdatenschutzgesetzes kennen. Auch ein KMU speichert und verwaltet Kundendaten. Hier gilt es, die Sicherheit der Daten zu gewährleisten und sicherzustellen, dass diese nicht in unbefugte Hände gelangen. Komplexe Lösungen sind in diesem Fall hingegen nicht erforderlich, solange die Datenverarbeitung nicht Teil des Hauptgeschäfts ist.
Viel wichtiger ist die vollständige Umsetzung von IT-Compliance jedoch in größeren Unternehmen. Dies betrifft vor allem Aktiengesellschaften sowie die weiter verbreiteten GmbHs. Hier stehen Geschäftsführer und der Vorstand als persönlich haftende Personen für Verletzungen im Bereich Compliance gerade. Dies kann zu zivil- und strafrechtlichen Konsequenzen führen, die bis hin zu Freiheitsstrafen reichen. Aus diesem Grund stehen vor allem die Geschäftsführer von GmbHs und AGs in der Verantwortung, durch konkrete Maßnahmen die Umsetzung der IT-Compliance zu gewährleisten.
4 Wie wird die IT-Compliance in der Praxis umgesetzt
Die Grundlage für die effektive Umsetzung der IT-Compliance bildet eine Strategie. Diese wird immer individuell erstellt. Hilfreich ist es, sich an den Grundschutz-Katalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu orientieren. Diese geben detaillierte und konkrete Handlungsanweisungen.
Eine weitere Option ist es, einen externen IT Compliance Consultant hinzuzuziehen. Diese Dienstleister übernehmen die Analyse und erstellen ein Regelwerk für die IT-Compliance. So können auch Verantwortliche, die nicht mit dem Thema vertraut sind, die IT-Compliance umsetzen. Größere Unternehmen sollten hingegen einen IT Compliance Manager einstellen und so das Thema intern lösen.
Ein wichtiger erster Schritt ist die Dokumentation der vorhandenen IT-Infrastruktur sowie der Prozesse. Hierbei lässt sich identifizieren, an welchen Punkten Probleme lauern oder ein Gefahrenpotenzial besteht. Dieser Schritt wird als Risikomanagement bezeichnet. Dieses Management setzt sich aus Risikobeurteilung, Risikobewältigung und Risikokommunikation sowie einer Risikoanalyse zusammen.
Das Ziel ist es, alle Punkte zu identifizieren, an denen es zu Problemen bei der Umsetzung von Gesetzen oder zu einem Verstoß kommen könnte. Dann werden entsprechende Lösungen, Richtlinien und Maßnahmen gesucht sowie implementiert, um dies auszuschließen.
An einigen Beispielen lässt sich deutlich erkennen, wie das Risikomanagement abläuft und welche Ergebnisse es liefert. So wird identifiziert, in welcher Form welche Daten wo gespeichert werden. Hierbei wird festgelegt, dass die Speicherung der Daten in der Cloud erfolgen soll. Bei der Auswahl der Cloudspeicher wird Wert gelegt auf Zertifizierungen wie ISO 27001 und den Standort der Server. Auf diese Weise ist sichergestellt, dass die Datenspeicherung den Vorgaben des BSI sowie der DSGVO entspricht.
An diesem Beispiel zeigt sich, dass die Cloud Security ein wichtiger Teil der IT-Compliance ist. Damit ist die Aufgabe jedoch noch lange nicht abgeschlossen. Es gilt, zahlreiche weitere Anforderungen, Prozesse und vor allem Gesetze zu berücksichtigen. Dazu zählen neben der Datenschutz-Grundverordnung auch das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikationsgesetz (TKG).
Zu Unterstützung kann ein IT Compliance Management System zum Einsatz kommen. Dies ist eine Software, die speziell für die Umsetzung von Informationssicherheit und IT-Compliance ausgelegt ist. Mit einer solchen Lösung wird vor allem eine Compliance-Kultur gefestigt. Die Software hilft beim Risikomanagement sowie auch bei der Erstellung eigener Kriterien.
Eine wichtige Funktion ist weiterhin die Überwachung und laufende Kontrolle. Dies sind wichtige Punkte, die häufig übersehen werden. Zum einen wandelt sich die IT-Infrastruktur laufend. Neue Systeme müssen auf die Konformität geprüft werden. Zum anderen sind auch die Mitarbeitenden ein wichtiger Baustein bei der Umsetzung der Compliance-Regeln. So unterstützt und erinnert ein IT Compliance Management System an Unterstützungsmaßnahmen. Dazu gehören unter anderem Schulungen, Kommunikation mit den Mitarbeitenden und ein Verhaltenskodex.
5 Fazit zum Thema IT-Compliance
Die Implementierung von IT-Compliance gehört inzwischen zu den Pflichtaufgaben in Unternehmen. Jeder Verantwortliche sollte für Compliance in der IT sorgen, unabhängig von der Größe des Unternehmens. Zum einen ist dies wichtig für die Umsetzung von Gesetzen und Normen. Zum anderen hat dies auch eine Verbesserung der IT-Sicherheit zufolge. Durch den hohen Grad an Digitalisierung sind die meisten Unternehmen extrem abhängig von der IT-Infrastruktur, sodass jede Maßnahme, die für mehr IT-Sicherheit sorgt, willkommen ist.