Synergieeffekte zwischen Compliance und IT-Security nutzen

Dem Gros der deutschen Anwenderunternehmen sind die Zusammenhänge zwischen Compliance und IT-Security noch unklar, so die Berater.

Neben einer Vielzahl von branchenübergreifenden wie -spezifischen, gesetzlichen Regelungen gilt es für Firmen, auch rechtlich nicht bindende Standards, Referenzmodelle und Richtlinien zu berücksichtigen. Die unter dem Hype-Begriff "Compliance" zusammengefassten Anforderungen spielen auch für den Bereich IT-Sicherheit eine wichtige Rolle. Allerdings befinden sich die hiesigen Security-Verantwortlichen diesbezüglich noch in der Orientierungsphase, konstatiert das Beratungs- und Marktforschungsunternehmen Experton Group.

Zwar kennt den Consultants zufolge immerhin jedes zehnte deutsche Unternehmen einen Fall innerhalb der eigenen Branche, in dem der Verstoß gegen relevante Regularien mit Sanktionen oder Strafen geahndet wurde. Was aber die eigene Organisation betrifft, werden Compliance-Anforderungen im Rahmen aktueller Projekte laut Experton Group nur teilweise in die dazu erforderlichen Sicherheitsmaßnahmen umgesetzt. Dabei handle es sich primär um Anforderungen des Bundesdatenschutzgesetzes (BDSG; 37 Prozent der Unternehmen), gefolgt von Basel II (21 Prozent) sowie dem Sarbanes-Oxley-Act (zehn Prozent). Auf technischer Ebene würden die Vorgaben vor allem mit Lösungen für Virenschutz (25 Prozent), Identity-Management (21 Prozent) und digitale Signatur (zehn Prozent) sowie durch Maßnahmen für Business Continuity und Disaster Recovery umgesetzt.

Als Herausforderung im Hinblick auf Compliance erachten die Consultants, eher allgemein gehaltene Anforderungen an die Firmen-IT umzusetzen, sprich: das Erkennen von Risiken, die sich im Zusammenhang mit der Implementierung und dem Betrieb der technischen Infrastruktur ergeben. Anders als beim Bundesdatenschutzgesetz mit seinen konkreten Vorgaben in Sachen IT-Sicherheit, halte sich die Furcht vor den Folgen eines Verstoßes etwa gegen das weniger greifbare Basel II zumindest im Kreis der IT-Security-Entscheider in Grenzen, so Wolfram Funk, Senior Advisor bei der Experton Group.

Nach Meinung der Experten sollten Unternehmen Compliance auch als Chance begreifen. "Als Motivation darf nicht die Furcht vor Sanktionen nicht im Vordergrund stehen", mahnt Funk. Vielmehr gelte es, Synergieeffekte mit ohnehin zu adressierenden Sicherheitsaufgaben zu realisieren. (Katharina Friedmann/mje)