bg-clear

Fachbeitrag

intersoft consulting services AG
22. November 2006
|Hamburg

Compliance als Chance – Matthias Lindner im Interview

Autor

Matthias Lindner
Rechtsanwalt und IT-Security Spezialist

Leseprobe

Rechtsanwalt und IT-Security Spezialist Matthias Lindner von intersoft consulting services verrät im Gespräch, warum IT-Leiter sich nicht vor den Anforderungen der Compliance fürchten, sondern diese als Chance nutzen sollen.

Veröffentlich bei:

Michael Ghezzo: Welche Herausforderungen bringt das Thema COMPLIANCE tatsächlich für die IT-Manager?

Matthias Lindner: IT-Manager stehen zunächst einmal vor dem Problem den Begriff »IT-Compliance« mit Leben zu füllen. Zum einen verbirgt sich hinter IT-Compliance ein Ziel, nämlich dass die eigene Unternehmens-IT dauerhaft bestimmten – auch gesetzlichen - Vorgaben entspricht. Zum anderen »betreibt« ein Unternehmen IT-Compliance um dieseben beschriebenen Zustand zu erreichen und zu halten. Schon beim Erkennen und Festlegen des Zielzustandes bzw. der Anforderungen an die Unternehmens-IT bestehen erhebliche Schwierigkeiten. Welche Normen und Gesetze oder auch Standards gelten denn überhaupt für die eigene IT? Welche künftigen Entwicklungen (Gesetzesvorhaben) müssen dabei langfristig berücksichtigt werden? Wie sind die Vorgaben auszulegen und zu gewichten? Welcher Sicherheitsstandard passt für die eigene IT? Auch die Etablierung der IT-Compliance als ständiger Prozess im Unternehmen fordert das Management erheblich. Es gilt klare Zuständigkeiten zu regeln, Mitarbeiter zu motivieren und Methoden zu finden, welche IT-Compliance auch für die spezielle Branche langfristig sicherstellen. Dabei ergibt sich eine besondere Schwierigkeit daraus, dass Entscheidungen häufig Querschnittswissen aus verschiedenen Fachbereichen erfordern, wie z.B.: Recht, IT & Wirtschaft. Wie ist zum Beispiel eine Kundendatenbank mit wirtschaftlich vertretbarem Aufwand und gleichzeitig datenschutzgerecht zu modellieren? Wie stellt das IT-Management überhaupt sicher, dass die soeben aufgeworfene Frage tatsächlich vor dem Design durch die Mitarbeiter gestellt und geklärt wird?

Wie sehen die Anforderungen an die Hard- und Software- Infrastruktur von Unternehmen aus?

Matthias Lindner: Das lässt sich nicht pauschal für sämtliche Unternehmen beantworten. So sind zum Beispiel die Anforderungen an die IT-Sicherheit vom konkreten Schutzbedarf abhängig. Ein wesentlicher Teil der Schwierigkeiten bei der Umsetzung der »IT-Compliance« besteht gerade darin, die Frage nach den konkreten Anforderungen – auch an Hard- und Software – speziell für das eigene Unternehmen heraus zu arbeiten. Beschäftigt zum Beispiel ein Unternehmen viele Mitarbeiter an Bildschirmarbeitsplätzen (z.B. Softwareprogrammierer), so müsste es hinsichtlich der Ausgestaltung der Arbeitsplätze die Bildschirmarbeitsplatzverordnung (BildscharbV) beachten und umsetzen. Dagegen hätte die BildscharbV zum Beispiel nicht diese Bedeutung für eine Einzelhandelskette, die Videoüberwachung (Aufzeichnung) Ihrer Filialen betreibt. Hier läge der Focus auf der Art, Aufstellung, Aufzeichnungsdauer, dem Zugriff der bzw. auf die Videoaufzeichnungsgeräte (Kameras, Bänder, Festplatten etc.) und ggf. der eingesetzten Videosoftware unter Datenschutzgesichtspunkten. Die Anforderungen fallen daher für jedes Unternehmen individuell an und müssen im Rahmen des IT-Compliance-Prozesses heraus gearbeitet werden. In der Regel sind jedoch grundsätzlich Sicherheitsanforderungen – allerdings unterschiedlichen Grades – zu erfüllen. So ist zum Beispiel der Betrieb eines WLAN´s in jedem Falle nur gesichert (WPA2) zu empfehlen. Erst kürzlich hat das Oberlandesgericht Hamburg den »Betreiber« eines ungesicherten WLAN´s für Urheberrechtsverletzungen haftbar gemacht, die nicht durch diesen selbst, sondern durch unbekannte Nutzer des ungesicherten WLAN´s erfolgt waren.

Was sind die Kostentreiber im Zusammenhang mit Compliance?

Matthias Lindner: Da die Anforderungen und damit die hieraus abzuleitenden Maßnahmen – wie bereits dargestellt – für jedes Unternehmen individuell zu betrachten sind, lassen sich Kostentreiber nicht generell benennen. Bei einem Unternehmen, das sich vertraglich bestimmten Sicherheitsanforderungen – z.B. des Verteidigungsministeriums – unterworfen hat, wird schon mehr Aufwendungen für die Zutrittskontrolle zum Firmengelände tätigen müssen, als allgemein üblich. Aus meiner Sicht sind jedoch infrastrukturelle Anforderungen (z.B. an Gebäude) oder spezielle Hardware prinzipiell kostenintensiver als rein organisatorische Maßnahmen. Es ist daher generell im Rahmen der IT-Compliance zu prüfen, ob sich der geforderte Zustand nicht kostengünstiger durch organisatorische Maßnahmen erreichen lässt.

Sehen Sie die Themen IT-Governance und Compliance als Risiken oder als Chance für Unternehmen?

Matthias Lindner: IT-Compliance birgt ein bisher unterschätztes Potential an Vorteilen für Unternehmen, sofern sie richtig verstanden und ausgeübt wird. Häufig kommt das Thema IT-Compliance durch irgendeinen »Impulsgeber« auf die Tagesordnung. Die Unternehmensleitung erkennt auch die Wichtigkeit dieses Themas. Das Erkennen zieht jedoch die Umsetzung nicht automatisch nach sich. »Compliant« zu werden und auch zu bleiben ist ein ständiger Prozess. Diesen gilt es zu organisieren und zu etablieren. So müssen erst einmal relevante Regelungen erkannt und gewichtet, Zuständigkeiten geregelt und Dokumentationsstrukturen gefunden werden. Die betroffenen Mitarbeiter müssen sich mit dem Thema identifizieren. Geschieht dies nicht, so verläuft das »Projekt IT-Compliance« im Sande, führt zu sinnlos aufgewendeten Ressourcen und hinterlässt frustrierte Mitarbeiter. Wird IT-Compliance jedoch »richtig« angegangen, so hilft sie nicht nur Schadensersatzansprüche oder sonstige Sanktionen zu vermeiden. Vielmehr kann sie Vorteile wie etwa Existenzsicherung, bessere Kreditkonditionen (Basel II), Prozessinnovation, Wettbewerbsvorsprung (Kundenvertrauen), Steigerung des Unternehmenswertes sowie Stärkung und Sicherung der Marke bewirken. Unter dem Strich sehe ich die IT-Compliance daher als Chance, ja sogar als Notwendigkeit für Unternehmen.