Sie sind hier:

Rechtliche Bestimmungen müssen auch in der IT beachtet werden

25.05.2016IT & TelekommunikationIT-Compliance , IT-Compliance-Management-System, IT-Sicherheits-PolicyIT-Compliance im Kurzüberblick

In den vergangenen Jahren hat die Wichtigkeit von IT in den Unternehmen stark zugelegt. Damit verbunden ist aber auch die rechtliche Komponente stärker geworden und es gibt einige Aspekte, die im Umgang mit IT im Unternehmen zu beachten sind. Diese rechtlichen Aspekte, zusammengefasst im Begriff „IT-Compliance“, sollen hier in einem kurzen Überblick vorgestellt werden. Dieser Überblick stellt keinen Anspruch auf Vollständigkeit, sondern soll für das Thema sensibilisieren.

Was bedeutet IT-Compliance?

Der Begriff „IT-Compliance“ beschreibt die Einhaltung rechtlicher Bestimmung im Bereich der IT eines Unternehmens. Dabei müssen die Problemstellungen in drei Bereichen beachtet werden:

  1. Gesetzliche Standards – Welche Gesetze müssen eingehalten werden, wie sieht die aktuelle Rechtsprechung aus?
  2. Vertragspflichten – Was muss ich gegenüber meinen Kunden und Mitarbeitern beachten?
  3. Konformität – Beachte ich alle Standards, Policies und Richtlinien in meiner IT?

Entscheidend für die Beachtung aller dieser Regeln ist, dass der Vorstand eines Unternehmens in der Pflicht ist, die IT-Compliance-Richtlinien einzuhalten und entsprechend zu überwachen. Genauer heißt es im „Deutschen Corporate Governance Kodex“: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance)“ und „Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen.“
Die IT-Compliance befindet sich in einem rechtlichen Rahmen, der einige nationale und internationale Gesetze beinhaltet. Dazu gehören „KonTraG“, „Euro-SOX“, „Basel III“ oder „GoBD“. Entsprechend sinnvoll ist es, wenn ein ausführliches IT-Compliance-Management, das sich ausschließlich der Überwachung dieser rechtlichen Rahmenbestimmungen kümmert, existiert. 

Wie sieht ein IT-Compliance-Management-System aus?

Bei der Einführung eines Management-Systems liegt die Annahme zu Grunde, dass die bloße Umsetzung von Einzelmaßnahmen nicht zielführend ist, da man schnell die Übersicht verlieren kann und somit auch die Prävention außer Acht lässt. Stattdessen wird ein ganzheitlicher Ansatz durch ein entsprechendes „Informationssicherheits-Managementsystem (ISMS)“ empfohlen. Dieses umfasst, „mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichtetes Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert).“ (Definition nach BSI)
Die Basis eines solchen Managementsystems bildet ein internes Kontrollsystem, dass die

  • Sicherung und den Schutz des vorhandenen Vermögens und vorhandener Informationen vor Verlusten aller Art vornimmt
  • vollständigen, genauen, aussagefähigen und zeitnahen Aufzeichnungen bereitstellt
  • betriebliche Effizienz durch Auswertung und Kontrolle von Aufzeichnungen fördert
  • Befolgung der Regeln der vorgeschriebenen Geschäftspolitik unterstützt.

Außerdem sollte die Datensicherheit gewährleitet werden, was durch ein Datensicherheitskonzept, der Sicherung gegen Datenverlust und dien aktuellen Stadt der Technik berücksichtigt wird. Dies alles sollte ausführlichst dokumentiert und prüfbar gemacht werden.

Welche Regelungen beinhaltet eine IT-Sicherheits-Policy?

Die IT-Sicherheits-Policy bzw. –Leitlinie wird nach ISO 27001 oder BSI 100-1 erstellt und beinhaltet mehrere Richtlinien, die den Umgang mit der betrieblichen IT regelt. Dazu zählen spezielle Themen wie der Freigabe von Gastzugängen, die Ausgestaltung der Firewall oder entsprechende Content-Filter. Aber darin finden sich auch die Benutzerrichtlinien, Verpflichtungserklärungen auf das Datengeheimnis oder auch Technische Dokumentationen. Bei den Benutzerrichtlinien sollten Fragen des Zugangs- und Zugriffsschutzes, Passwort-Regeln, Meldepflichten oder auch die Art der privaten Nutzung geklärt werden.

Wie tief muss das Management erfolgen?

Das Compliance-Management erfolgt in aller Gründlichkeit, die im Folgenden an zwei Beispielen gezeigt werden soll:

  • Lizenzmanagement
    Gerade die Verwendung von Softwarelizenzen führte in der Vergangenheit zu Problemen, da Software über das erlaubte Maße verwendet wurde. Ein Lizenzmanagement überwacht die Verwendung und Einhaltung der Lizenzen und warnt rechtzeitig vor, wenn zum Beispiel die Lizenzkapazität ausgeschöpft ist. Ebenso werden im Management geregelt, wie die Überprüfung der Lizenzbestimmungen aussieht und schützt so auch vor drohenden Schadensersatzansprüchen.
  • Datenschutz
    Beim Datenschutz muss nicht nur geregelt werden, wie der Schutz personenbezogener Daten auf der internen Seite aussieht, sondern auch wann und in welchem Umfang Daten an externe Anbieter rausgegeben werden. Durch die Protokollierung von Zugriffen und der Einschränkung von Zugrifferlaubnissen wird Datenschutz, Datensicherheit und IT-Sicherheit zusammengeführt.

Welche Vorteile kann ein effektives IT-Compliance-Management für die Zukunft bringen?

Die digitale Welt wandelt sich und damit auch die Ansprüche an die IT im täglichen Umgang. Aus diesem Grund kann ein entsprechend gutes IT-Compliance-Management nicht nur der Unternehmensführung Rechtssicherheit verschaffen, sondern bleibt auch Skalierbar für neue Anwendungen. Ein Thema, was in den kommenden Jahren sicherlich weiter an Bedeutung gewinnen wird, ist „Bring Your Own Device (BYOD)“. Schon durch die starke Verbreitung von Smartphones sollen Möglichkeiten geschaffen werden, dass Mitarbeiter mit ihrer eigenen Hardware geschäftliche Anliegen bearbeiten können. Dafür muss aber die Sicherheit auf diesen Geräten gewährleistet werden. Eine entsprechende Richtlinie, die ihre Basis in den jeweils schon vorhandenen IT-Compliance-Leitlinien findet, kann schnell Sicherheit für Arbeitgeber und Arbeitnehmer bringen und das Unternehmen vor entsprechenden Rechtsansprüchen bewahren.


Autor
Michael Ziege
EUROFORUM Deutschland SE