Konfliktbereiche und Abhängigkeiten
Compliance und Sicherheit
Compliance in der IT bedeutet, Verfahren und Maßnahmen - meist im Security-Umfeld - nach den Vorgaben einer anderen Institution auszurichten. Dies bedeutet auch: "Compliance" wirft Konflikte auf und erzeugt Unstimmigkeiten.
Beim Begriff "Compliance" im Zusammenhang mit der IT denkt man in deutscher Übersetzung in den
meisten Fällen zuerst an den "rechtskonformen" Betrieb der Infrastrukturen eines Unternehmens, also
beispielsweise an die Ausrichtung an den deutschen und europäischen Datenschutzgesetzen und an den
diversen Gesetzen, die ein systematisches Risikomanagement fordern. Das KonTraG und das GmbHG
gehören in diese Kategorie. Hinzu kommt die Auseinandersetzung mit Regularien der Finanzwelt wie
dem viel zitierten "Basel II"-Werk.
Von "Compliance" ist aber auch dann zu sprechen, wenn ein kleines Unternehmen als Partner die
Standards eines größeren zu erfüllen hat, beispielsweise die eines bedeutend größeren Kunden. Der
kleinere Partner kann sich etwa verpflichtet sehen, verschlüsselten E-Mail-Verkehr und
entsprechende Speichersysteme einzuführen oder ein sicheres Access-Management-System für diejenigen
Repositories zu implementieren, in denen Informationen über die Aktivitäten und Produkte des Kunden
abgelegt sind. Entsprechende Compliance-Verhältnisse sind schon lange aus dem Bereich der
Automobilhersteller und ihrer Zulieferer bekannt, nehmen aber aufgrund des Trends zum Outsourcing
in praktisch allen Branchen zu.
Ein erstes Problem dieser Spielart der Compliance liegt darin, dass kleine Firmen oft nicht das
Know-how haben und auch nicht den personellen Aufwand treiben können, den der große Partner für
seine Sicherheitseinrichtungen problemlos im Budget unterbringt. Entweder hilft in diesem Fall der
Große dem Kleinen, oder das abhängige Unternehmen muss einen Dienstleister beauftragen, der dann
seinerseits in der Lage sein muss, die vorgegebenen Standards einzuhalten.
KMUs unter Druck
Je weniger Mitarbeiter und Umsatz die kleinere Firma allerdings hat, desto schwieriger wird für
sie die "Compliance" nicht nur finanziell, sondern auch aus einem anderen Grund: Agenturen mit
wenigen Angestellten oder gar einzelne Freiberufler müssen, um über die Runden zu kommen und um im
Extremfall des Einzelkämpfers nicht als "scheinselbstständig" zu gelten, grundsätzlich für mehrere
Kunden arbeiten. Vertragen sich die Vorgaben der einzelnen Partner nicht, werden diese gezwungen
sein, Teile ihrer Infrastruktur zu segmentieren, einzelne Ressourcen doppelt vorzuhalten oder in
extrem leistungsfähige Sicherheitssysteme zu investieren, die den Vorgaben gerecht werden.
Dieser Trend spricht für Standardisierung – und dafür, schnellstmöglich die Verbreitung
leistungsfähiger, auf offene Standards bauende Identity- und Access-Management-Systeme zu fördern
sowie flexible Verschlüsselungsprodukte mit echter End-to-End-Funktion zu bevorzugen. Je weiter
sich eine rollen-, gruppen- oder personenbezogene Zugriffskontrolle auf einzelne
Informationsströme, Ressourcen oder digitale Dokumente eingrenzen lässt, desto leichter fällt die
Regelkonformität.
Für weitere Probleme können die international voneinander abweichenden Rechtsvorschriften
sorgen. Was für eine börsennotierte US-Firma an personenbezogenen Risikokontrollmechanismen auch in
Form von E-Mail- oder Webnutzungsfiltern wünschenswert oder vorgeschrieben sein kann, hat mitunter
durchaus das Potenzial, mit deutschen oder anderen europäischen Datenschutzvorschriften und
Informationsfreiheitsgesetzen zu kollidieren, die sich mit den Rechten von Mitarbeitern bei der
Nutzung unternehmenseigener Kommunikationseinrichtungen befassen.
Internationale Verwirrung
Andersherum kennt die USA im Sarbanes Oxley Act zum Beispiel Schutzklauseln für "Whistleblower" - Mitarbeiter, die ethische oder finanzielle Verfehlungen eines Unternehmens nach außen tragen - die mit europäischen Arbeitsrechts- und Datenschutzwerken inkompatibel sind und Leiter einer zwischen beiden Rechtssystemen operierenden Filiale dem Dilemma aussetzen, keiner der beiden Seiten gerecht werden zu können, ohne sich vor der jeweils anderen strafbar zu machen. In Frankreich sind bereits McDonalds und die CEAC mit den Whistleblower-Regeln in Schwierigkeiten geraten - die Umsetzung scheiterte am Widerspruch der französischen Datenschutzbehörde CNIL, die befürchtete, die Whistleblower-Praxis könnte für böswillige Meldungen über einzelne Personen missbraucht werden. In Deutschland entschied das Arbeitsgericht Wuppertal im Falle von Walmart, dass Whistleblower-Regeln zumindest nicht ohne Zustimmung des Betriebsrats festgeschrieben werden dürfen. Um solche Problematiken zu entschärfen, müssen sich einerseits die Gesetzgeber besser verständigen, andererseits aber auch internationale Unternehmen mehr Verständnis und Flexibilität zeigen, wenn sie ihre Geschäfte in ein Land mit fremder Rechtskultur ausdehnen.
Zumindest theoretischen Konfliktstoff bietet auch die Tatsache, dass IT-Sicherheit aufgrund der ständig neuen Bedrohungen Prozesscharakter hat - sobald ein System "steht" und zur Zufriedenheit läuft, muss ein verantwortungsvoller Sicherheitsfachmann eigentlich schon wieder den Stand der Technik und die Bedrohungslage prüfen, um sein System gegebenenfalls anzupassen.
Vorschriften aber haben grundsätzlich eher die Tendenz, einen Status festzuschreiben. Wie sich diese Problematik umgehen lässt, zeigen alle Gesetze und Vorschriften, die beispielsweise den "Stand der Technik" zum Maß hinreichender Sicherheitspraxis erklären - hier ist die Evolution der IT-Sicherheit mit in die Vorschrift gegossen. Fordern aber Regularien - etwa die zwischen dominierendem Auftraggeber und abhängigem Auftragnehmer - zugleich Kompatibilität, etwa bei Verschlüsselungssystemen, kann "Compliance" nicht mehr ohne regelmäßige Kommunikation zwischen beiden Parteien erreicht werden. Jede Vereinbarung in dieser Hinsicht sollte den von außen vorgegebenen Zwang zur Weiterentwicklung also in für beide Parteien tragbarer Weise von vornherein mit erfassen - etwa bei der Bestimmung von Update-Zyklen für gemeinsam genutzte Sicherheitsprodukte.
Schwieriges Risikomanagement
Die Komplexität und Vielfalt der derzeitigen Regularien und Gesetze verführt manches Unternehmen
dazu, anstelle eines vernünftigen Risikomanagements hundertprozentige Risikovermeidung anzustreben
und so viele Kontrollen wie möglich in ihre IT-gestützte Kommunikation einzubauen. Die
Arbeitskräfte in Organisationen gelten manchen Sicherheitskräften deshalb bereits als "größter
Risikofaktor", den man so weit wie möglich technisch unter Kontrolle bringen müsse. Kreativität und
Effektivität allerdings leiden nachweislich, sobald zu viel Überwachung ins Spiel kommt. Auch das "
Werkzeug IT" sollte mit einer gewissen unternehmerischen Risikobereitschaft eingesetzt werden,
sonst verliert es seine unnachahmliche wirtschaftliche Schlagkraft.
Lesen Sie mehr zum Thema
