Compliance-Maßnahmen
Compliance heißt nicht Sicherheit
Compliance gilt bei vielen Unternehmen als das neue Wundermittel gegen Bedrohungsszenarien aller Art. Wer alle vorgeschriebenen Compliance-Regeln befolgt, ist allerdings noch längst nicht auf der sicheren Seite, warnt Sicherheitsberater Hartmut Goebel. Unternehmen sollten deswegen stärker in konkrete Sicherheitsmaßnahmen investieren.
Das Einhalten von Compliance-Regeln ist nicht gleichbedeutend mit Sicherheit – auch wenn viele Unternehmen davon ausgehen. Der Sicherheitsexperte Hartmut Goebel weist auf dieses häufige Missverständnis bei Unternehmen hin und gibt Tipps wie Firmen ein passgenaues Sicherheitskonzept entwickeln können:
Compliance ist ein viel bemühter Begriff in der IT-Security-Branche: Compliance-Officer, Security-Anbieter und Wirtschaftsberater preisen Compliance als Wundermittel gegen Bedrohungsszenarien jeder Art, egal ob aus dem Internet, durch Korruption oder unachtsame Mitarbeiter. Und die Geschäftsführer nicken teure Compliance-Maßnahmen ab - aus diffuser Angst um ihre Sicherheit und vor gesetzlichen Repressalien. Der Reality-Check, ob das Unternehmen durch diese Maßnahmen wirklich sicherer wird, bleibt auf der Strecke.
Es ist jedoch zu kurz gedacht, wenn Unternehmens- und IT-Chefs sich damit begnügen, alle vorgeschriebenen Compliance-Regeln zu befolgen und meinen, damit auf der sicheren Seite zu sein. Compliance bedeutet erst einmal lediglich, Regeln zu erfüllen, die von der Industrie, von Verbänden, Banken, Versicherungen oder dem Gesetzgeber aufgestellt wurden - etwa der Sarbanes Oxley Act von der US-Regierung, PCI-DSS von der Kreditkartenindustrie, Basel III von der Bank für Internationalen Zahlungsausgleich und so weiter. Ein Unternehmen, das »compliant« ist, hat bisher genau ein einziges Risiko ausgeschlossen: Den Verstoß gegen diese von Dritten aufgestellten Regeln.
Es drohen andere und weit existentiellere Risiken für ein Unternehmen, als nur non-compliant« zu sein: Dazu gehört an vorderster Stelle der Verlust von Geschäftsgeheimnissen, Diebstahl persönlicher Kundendaten oder auch die Beschädigung von Ansehen. Nicht zuletzt müssen Unternehmen innovativ bleiben und schnell auf Marktgegebenheiten reagieren können, um mitbewerbsfähig zu bleiben.
Eine regelgerechte Compliance hilft dabei aber nicht. Im Gegenteil, sie kann sogar Sicherheitsstrukturen im Wege stehen, die ja flexibel jede neue Situation berücksichtigen soll. Compliant sein bedeutet nämlich auch Schwerfälligkeit und Langsamkeit, denn jeder Prozess und jede Veränderung muss daraufhin geprüft werden, ob alle Regeln eingehalten werden. Der Hype um Compliance führt dazu, dass komplette Security-Budgets in teure Compliance-Maßnahmen gesteckt werden, die der konkreten Sicherheit des Unternehmens wenig dienlich sind. Hauptsache ist, der Wirtschaftsprüfer bescheinigt beim Jahresabschluss die Compliance des Unternehmens. Ob die für das Unternehmen relevanten Sicherheitsrisiken berücksichtigt und mit passgenauen Sicherheitsmaßen abgedeckt sind, schenken CEOs weit weniger Beachtung.
- Compliance heißt nicht Sicherheit
- Sicherheit ist individuell
