»Compliance«: Deutsche Firmen noch in der Orientierungsphase
Dass zwischen IT-Sicherheit und Compliance ein Zusammenhang besteht, ist den IT-Verantwortlichen in deutschen Unternehmen klar. Welcher genau, aber offenkundig nicht, wie eine Studie der Experton Group ergab.
»Compliance« hat sich zu einem Modewort entwickelt. Anwender sehen sich mit einer Vielzahl branchenübergreifender und branchenspezifischer rechtlichen Regelungen konfrontiert. Sie müssen aber auch rechtlich nicht bindende Standards, Referenzmodelle und Richtlinien berücksichtigen. Das gilt auch für den Bereich IT-Sicherheit.
Die IT-Verantwortlichen befinden sich derzeit aber noch in einer »Orientierungsphase«, so das Ergebnis einer Untersuchung der Beratungsgesellschaft Experton Group. Das heißt im Klartext, viele Firmen haben noch keine konkreten Maßnahmen getroffen.
Das ist erstaunlich. Denn nach Angaben von Experton Group kennt jedes zehnte Unternehmen mindestens eine andere Firma aus der eigenen Branche, die wegen eines Verstoßes gegen Compliance-Regeln mit Sanktionen oder Strafen belegt wurde.
Abwarten ist angesagt
Mit Blick auf das eigene Unternehmen agieren die IT-Verantwortlichen allerdings eher zögerlich. Das bedeutet, sie bilden Compliance-Anforderungen nur teilweise in IT-Security-Maßnahmen ab.
Bei diesen Vorgaben handelt es sich laut Experton vor allem Anforderungen des Bundesdatenschutzgesetzes (37 Prozent der Unternehmen), mit deutlichem Abstand gefolgt von Basel II (21 Prozent) und dem Sarbanes-Oxley-Act (10 Prozent).
Auch branchenspezifische Regelungen wie »Marisk« aus dem Finanzsektor oder das Energiewirtschaftsgesetz (EnWG) spielen eine Rolle.
Firmen tragen solchen Vorschriften Rechnung, indem ist Anti-Viren-Software und digitale Signaturen einsetzen oder ein Identity-Management installieren. Außerdem treffen IT-Fachleute Schutzmaßnahmen gegen den Ausfall von IT-Systemen, Stichwort »Business-Continuity«.
Schwammige Vorgaben in konkrete Maßnahmen umsetzen
Ein Problem im Zusammenhang mit Compliance besteht darin, dass die Anforderungen in Gesetzen und Regelung allgemein gehalten sind. Der IT-Manager soll sie jedoch in konkrete Maßnahmen umsetzen.
Er muss somit Risiken erkennen und einschätzen, die sich im Zusammenhang mit der Implementierung und dem Betrieb der IT-Infrastruktur ergeben.
»Während das Bundesdatenschutzgesetz sehr konkrete Vorgaben mit Blick auf IT-Sicherheit enthält, ist beispielsweise Basel II wesentlich weniger greifbar, und die Furcht vor den Folgen bei Verstößen hält sich zumindest im Kreise der IT-Security-Entscheider in Grenzen«, meint Wolfram Funk, Senior-Advisor bei der Experton Group.
Von Compliance profitieren zunächst die Anbieter von Security-Lösungen. Dienstleister im Umfeld IT-Sicherheit verzeichnen eine verstärkte Nachfrage nach Services wie Schwachstellen-Analyse sowie Strategie- und Prozessberatung. Dazu gehören, Risikoanalysen, Business-Continuity-Planung und »Compliance-Checks«.
Die Experton Group empfiehlt IT-Verantwortlichen, sich zunächst gemeinsam mit dem Management, der Rechtsabteilung, dem Datenschutzbeauftragten und gegebenenfalls den Fachabteilungen einen Überblick zu verschaffen und die relevanten Regelungen zu identifizieren.
Weitere Schritte sind das Aufsetzen von Kommunikationsprozessen und Audits sowie die Abbildung der spezifischen Anforderungen in konkrete IT-Aktivitäten.
