Das Thema IT-Compliance wird in vielen Firmen gefürchtet. Nicht selten sind Unsicherheiten dafür verantwortlich, aber auch ein zu geringes Budget, zu wenig Personal oder ein zu großes Datenaufkommen können die Ursache für eine mangelnde IT-Compliance sein. Dies ergab eine Studie des Technologiekonzerns Dell. Doch was bedeutet IT-Compliance überhaupt und welche Gesetze gilt es dabei zu berücksichtigen? Im Folgenden erfahren Sie welche Stellschrauben Sie drehen müssen, um Ihre IT-Rechtssicherheit zu stärken und was es in der IT überhaupt bedeutet „compliant“ zu sein.
Was heißt IT-Compliance?
IT-Compliance bedeutet im Allgemeinen die Einhaltung von gesetzlichen Vorgaben in der IT, um einen verantwortungsvollen Umgang mit allen Komponenten der Informationstechnik sicherzustellen. Im Bereich IT-Compliance müssen vor allem die Informationssicherheit und -verfügbarkeit, die Datenaufbewahrung sowie der Datenschutz gewährleistet werden. In diesem Zusammenhang spielt außerdem der Begriff IT-Governance eine große Rolle, da dieser die konkreten Maßnahmen zur Kontrolle, Steuerung und Organisation der IT-Compliance beinhaltet.
Datensicherheit
Informations-
verfügbarkeit
Datenaufbewahrung
Informations-
sicherheit
Wer ist verantwortlich für die IT-Compliance?
Wenn Unternehmen Kundendaten speichern sowie verarbeiten sind spezielle IT-Compliance-Richtlinien, sogenannte Policies, unvermeidlich. Diese müssen von allen Mitarbeitern gelebt und von einer Person kontrolliert und überprüft werden. Nicht selten übernimmt der IT-Administrator oder IT-Manager diese Aufgabe. Alternativ kann auch ein externer Dienstleister mit dem Policy-Management beauftragt werden. Darüber hinaus sollten regelmäßig Mitarbeiterschulungen veranstaltet werden, um das gesamte Unternehmensumfeld für das Thema der IT-Compliance sowie die rechtlichen Risiken zu sensibilisieren.
Welche Gesetze müssen berücksichtigt werden?
Die gesetzlichen Vorgaben im Bereich IT-Compliance sind sehr vielseitig und können sich je nach Branche oder Unternehmensart unterscheiden. Informieren Sie sich daher gründlich, welche gesetzlichen Regularien Sie berücksichtigen sollten, denn Unwissenheit schützt bekanntlich vor Strafe nicht. Im Folgenden finden Sie eine Auswahl der wichtigsten Gesetzgebungen für eine lückenlose IT-Compliance. Darüber hinaus können Sie sich bei der Gesellschaft für Informatik ausführlicher über die Gesetzeslage informieren.
Bundesschutzgesetz
Das sogenannte Bundesschutzgesetz, kurz BDSG, regelt den Umgang mit personenbezogenen Daten. Auf diese Weise wird die Privatsphäre der Bundesbürger geschützt. Im BDSG gilt das sogenannte „Verbotsprinzip mit Erlaubnisvorbehalt“. Das heißt, grundsätzlich ist es verboten personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. Dieses Verbot kann jedoch mit der Einwilligung des ausgewählten Nutzers gelockert beziehungsweise umgangen werden.
DSGVO
Die europaweite Datenschutzgrundverordnung trat am 25. Mai 2018 in Kraft und regelt den personenbezogenen Datenverkehr innerhalb der Europäischen Union. Wie Sie dessen Richtlinien mit Hilfe von Software-Asset-Management nachkommen, erfahren Sie in einem unserer Fachartikel.
IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz wurde im Juli 2015 ins Leben gerufen und legt die Anforderungen für die Sicherheit informationstechnischer Systeme fest. Vor allem Betreiber „kritischer Infrastrukturen“ wie Strom- und Wassernetzbetreiber, Telekommunikationsanbieter oder Krankenhäuser unterliegen besonders hohen gesetzlichen Richtlinien wie die frühzeitige Meldung von Systemangriffen an das BSI oder die Führung eines Information Security Management System (ISMS).
ISO 19600
Die internationale Norm ISO 19600 gibt Regelungen bezüglich des rechtmäßigen Einsatzes von Compliance Management Systemen vor. Auf diese Weise können Sie Fehlverhalten von Mitarbeitern rechtzeitig aufdecken und Risiken minimieren. Eine ISO 19600 Zertifizierung zeichnet ein Unternehmen dementsprechend dahingehend aus, dass es ausreichende Compliance-Maßnahmen ergreift.
Software-Asset-Management als tragende Säule für Ihre IT-Compliance
IT-Compliance ist ein komplexes Thema, welchem Sie unter anderem mit einer durchdachten Strategie und einer präzisen Vorarbeit Herr werden können. Letzteres gelingt Ihnen zum Beispiel mit einer gründlichen Inventarisierung und einem cleveren Software-Asset-Management. Wissen, was zu schützen ist und an welchen Punkten eine Unterlizenzierung auf Sie wartet, kann Ihnen viel Ärger ersparen. Auch Haftungsrisiken können Sie mit einem durchdachten Lizenzmanagement minimieren, da Lizenzverstöße rechtzeitig erkannt und umgangen werden.
Tipps wie Sie Ihre IT-Compliance Schritt für Schritt verbessern
Überblick verschaffen
Wissen, was zu schützen ist – Dieser Leitsatz ist vor allem in der IT-Sicherheit und der IT-Compliance wichtiger denn je. Verschaffen Sie sich einen gründlichen Überblick über Ihre IT-Landschaft inklusive Lizenzen, Datenverwaltung sowie Software und identifizieren Sie potenzielle IT-Compliance-Schwachstellen.
Regeln (Policies) festlegen
In der IT-Compliance ist ein festes Regelwerk essenziell. Gemäß der Branche und der Unternehmensart gilt es gewisse Policies festzulegen, um potenzielle Risiken von vornerein zu reduzieren. Dazu zählen sowohl die Aufstellung eines Verbotskatalogs als auch die Implementierung gewisser Compliance-Prozesse. Diese wiederum müssen unternehmensweit eingehalten werden.
Policies und Maßnahmen kommunizieren
Nachdem Sie unternehmensweite Policies für Ihre IT-Compliance definiert haben, gilt es diese kontinuierlich im gesamten Unternehmen in Form von Schulungen oder Informationsvorträgen zu kommunizieren. Je unklarer sich der IT-Admin oder der Geschäftsführer zur Compliance äußert, desto unwahrscheinlicher ist es, die Akzeptanz der Mitarbeiter dafür zu gewinnen. Darüber hinaus sollte der CIO oder IT-Administrator die Geschäftsführung regelmäßig über die aktuelle Gefahren- und Risikosituation sowie die jeweiligen Compliance-Maßnahmen informieren.
Einhaltung der Policies kontrollieren und gegebenenfalls intervenieren
In einem guten Compliance-Management sollten die definierten Vorschriften regelmäßig gemäß ihrer Einhaltung kontrolliert werden. Dazu gehören auch Förderungen bei Einhaltung und Sanktionen bei Verstößen, um die Wirksamkeit und Qualität dauerhaft zu gewährleisten. Darüber hinaus gilt es bei den Kontrollverfahren auf Transparenz und Verständlichkeit zu achten.
Änderungen, Eingaben und Aufrufe dokumentieren
Eine ausführliche Dokumentation ist auch im Hinblick auf die IT-Compliance nicht verkehrt. Halten Sie präzise Änderungen zum Beispiel in der Softwarekonfiguration, Datenänderungen sowie Dateneingaben und Funktionsaufrufe fest. Auf diese Weise lassen sich Verantwortliche schneller identifizieren und eventuelle Schwachstellen eliminieren.
Regelmäßiges Reporting
Es ist hilfreich in regelmäßigen Abständen ein ausführliches Reporting zu erstellen, um Compliance-Verstöße schneller aufzudecken und Sicherheitslücken zu schließen. Mit Hilfe des Reportings können Sie außerdem Ihre Compliance-Maßnahmen begründen sowie Ihre IT-Compliance transparent gestalten.
Compliance-Management optimieren oder anpassen
Ein Compliance-Management-Konzept wird nie ganz fertig sein. Eine Anpassung oder Optimierung ist schon allein bei Gesetzesänderungen oder -ergänzungen unerlässlich. Auch nach Kontrollen oder inhaltlichen Veränderungen ist es wichtig das bestehende System anzupassen, um Stillstand zu vermeiden und Agilität zu ermöglichen.