IT Compliance

In den vergangenen Jahren sind die Unternehmen durch gesetzliche Auflagen und quasigesetzliche Normen zunehmend reguliert worden. Ausgelöst durch verschiedene Skandale begann der Regulierungsdruck bei Banken und börsengelisteten Unternehmen und breitet sich nun stetig auch auf den Mittelstand aus. Aktuelle Beispiele, wie AURUBIS und  LEONI zeigen, wie leicht man allein schon aufgrund von zu zurückhaltendem  Engagement in Sachen Compliance in Verruf geraten kann. Die Haftung liegt beim Vorstand, so daß es wirklich ratsam ist einen Compliance-Rahmen zu schaffen, eine dokumentierte Sorgfaltsausübung belegt.


Die IT Compliance umfaßt alle Maßnahmen und Regelungen, die zur Enhaltung von Gesetzen und gesetzesähnlichen Normen befolgt werden müssen. Die folgenden  IT Compliance Regeln ergeben sich unmittelbar aus Gesetzen. Unser ABC der IT-Compliance:


Straf- und Bußgeldvorschriften im Aktiengesetz (AktG)

Grundsätze zum Datenzugriff zur digitalen Buchhführung (GdPdU)

Grundsätze ordnungsgemäßer Buchführung (GoB)

Insiderrecht (WpHG)

Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

Korruptionsbekömpfung (KorruptionsbG)

Leiharbeit (Arbeitnehmerüberlassungsgesetz)

Sanktionslisten

Schutz kritischer Infrastrukturen (KRITIS)

Schutz personenbezogener Daten (DSGVO)

Urheberrecht

Telekommunikationsgesetz (TKG)


Darüber hinaus gibt es auch Bereiche der informellen Compliance, die nach und nach immer weiter gesetzlich reguliert werden. Beispiele hierfür sind

Kinderarbeit

CO2 Bilanz

Gleichstellung


All diesen Vorschriften ist gemein, daß sie sanktionsbewehrt sind und daß das Management des Unternehmens nachweisen können sollte, daß es Vorsorge gegen Verstöße trifft. Praktisch alle mit den genannten Gesetzen zusammenhängenden Prozesse laufen auf IT Systemen ab. Somit wird die Prüfung der IT Systeme auf Einhaltung der einschlägigen IT Standards ein regelmäßiger Bestandteil von Audits oder der Ermittlungen im Verstoßfall. Dabei wird nicht nur auf die praktische Erfüllung der Standards geachtet, sondern die Regelwerke ins Auge genommen.


Wer hat schon gerne einen Vermerk im Abschlußbericht der Wirtschaftsprüfer? Wer kennt das Gebahren der Softwarehersteller nach vermeintlichen Lizenzverstößen? Wer möchte in der Öffentlichkeit am Pranger stehen, weil Personendaten abgeflossen sind? Wer nicht sicher ist, wo er in Sachen IT Compliance steht, sollte sich von einem erfahrenen Experten beraten lassen. Die Vorgehensweise:

  • Bestandsaufnahme und Risikobewertung
  • Erstellen von  IT-Compliance Rahmenwerken
  • Steuern von IT Compliance Awareness Kampagnen


IT Security

Massive Ausfälle mit Betriebsunterbrechungen in der Größenordnung von Wochen haben in der Vergangenheit aufgezeigt, wie abhängig die Unternehmen heute von der IT sind. So tritt die IT Security immer stärker in den Vordergrund. Kernziele der IT Security sind die Systemverfügbarkeit, der Schutz der Daten vor Verlust,  unerlaubem Zugriff und vor Verfälschung. Zielte die Informationssicherheit früher vor Allem auf die technischen Riskoaspekte, so wird heute die Vorsorge gegen Computerkriminalität immer wichtiger. 


Wie in der IT Compliance bestehen die IT Security zunächst einmal in der Vielfalt technischer Maßnahmen, beginnend mit dem redundanten Aufbau von Servern und Netzen und den Maßnahmen zur Datensicherung über die Schutzvorrichtungen gegen äußere Angriffe, wie Firewalls oder Virenfilter bis zu Maßnahmen zur Zugriffsbeschränkung und Berechtigungssteuerung auf Daten.  Ebenso wichtig ist es aber, daß diese Maßnahmen unterlegt sind von einem Informationssicherheits-Management Regelwerks (ISMS) das sich an einschlägigen Normen (z.B. BSI Grundschutz, BS, DIN/ISO 27001) orientiert.


Wichtige Compliance-Stakeholder sind die Innenrevision, die Jahresabschlußprüfer, das Finanzamt, die Vertrauensschadensversicherung, die Betriebsausfallversicherung, Zollbehörden. Sie alle erwarten, daß die Systeme in einem Sinne abgesichert sind, daß die darin nachgewiesenen Informationen stets verfügbar und vor Verlust und Verfälschung geschützt sind. Damit überdecken sich die Anforderungen der IT-Compliance kongruent mit den IT Sicherheitsanforderungen des Unternehmens. Eine Zertifizierung der IT-Sicherheit kann dabei helfen,  die Vielzahl an Prüfungen in einem Durchgang wirtschaftlich abzuhandeln.


Ein erster Einstieg in die Professionalisierung der IT Security kann über ein Risikoassessment stattfinden, an das sich der Aufbau eines  IT Security Management- Systems anschließt.


IT Governance

IT Compliance und IT Security beinhalten alle Maßnahmen und Regelungen, die sich aus zwingenden von außen aufgegebenen Notwendigkeiten ergeben. Daneben gibt es in allen Unternehmen Regelwerke, die dazu dienen das Geschäft effizient und die IT Prozesse nach nachvollziehbaren Verfahren abzuwickeln.


IT Governance beinhaltet die Gesamtheit der Steuerungsgrundsätze der IT, einschließlich der IT Compliance und der IT Security. Beispiele für typische Bestandteile einer IT Governance.


Demand Management

Entwicklungsrichtlinien

IT-Benutzerrichtlinie

IT Beschaffungsrichtlinie

Projektmanagement-Handbuch

Rollenverteilung

Software Lizenzierungsrichtlinie

Zuständigkeiten


Im Gegensatz zur IT Compliance und IT Security kann der Umfang dieser vor Allem im Innenverhältnis relevanten Regelungen flexibel gestaltet werden.

Unser Angebot hier ist die Bedarfsermittlung und das Projektmanagement bei der Erstellung eines IT Governance Rahmenwerks.


IT Demand Management

Die Chancen aus der Digitalisierung des Unternehmens generieren eine große Nachfrage nach neuen Lösungen. Die Kapazitäten und Budgets halten mitunter nicht mehr mit und selbst dort, wo die IT komfortabel ausgestattet ist,  stößt man auf Grenzen. Die Vielzahl paralleler Projekte wird immer schwieriger zu synchronisieren und die Mitarbeiter der Fachbereiche sind häufig nicht mehr in der Lage, in den Projekten angemessen mitzuwirken.  Deshalb muß die Nachfrage gesteuert werden.


Das IT Demand Management ist Bestandteil der IT Governance und stellt sicher, daß die Entscheidungen über IT Projekte nach nachvollziehbaren Kriterien in einem geregelten Prozeß erfolgen. Wie können die Kriterien aussehen? Projekte können nach Nutzenkategorien eingeteilt werden. Ist es ein Muß-Projekt? Wie hoch ist der ROI? Ist es Bestandteil eines verabschiedeten strategischen Programms? Diese Fragen führen zur Lösung bei der Priorisierung von Projekten.


Zum Demand Management gehört aber auch die Regelung des Entscheidungsprozess. Der Prozeß legt fest, wer zum Einreichen von Projektvorschlägen befugt ist, welche formalen Standards die Vorschläge erfüllen müssen, wie die Projekte in die IT Organisation eingebracht und dort geklärt werden, und auf welche Weise die Entscheidungen über Projekte gefällt und kommuniziert werden. Typischerweise setzt man hier einen IT-Lenkungskreis ein. Dieser tagt in einem regelmäßigen Turnus und nach einer vorgegebenen Agenda. Er wird  über die Projektsituation informiert, verabschiedet anhand einer Entscheidungsvorlage Projekte oder verwirft sie. Bei Bedarf berät er über Aspekte des Demand Managements . Für die Besetzung des Lenkungskreises empfiehlt sich eine Kombination aus Geschäftsleitung, Key-Stakeholdern aus den Fachbereichen und einem Vertreter des Betriebsrats.


Die Erfahrung zeigt, daß eine derart objektivierte Projektauswahl dazu führt, daß die Anforderer sich mehr Gedanken über den Nutzen ihrer Projekte machen. Es entsteht ein höher Grad an Verbindlichkeit hinsichtlich der Realisierung des Nutzens aus IT-Projekten.