Solide Basis für IT-Sicherheit: so schaffen Unternehmen einen effizienten Compliance-Ansatz

Die Einhaltung gesetzlicher Compliance-Vorschriften dient Unternehmen als Grundlage für ethisches Wachstum und Erfolg – sie bildet das Fundament, auf dem das Unternehmen seinen Ruf bei Kunden, Interessenten und Lieferanten aufbauen kann. Verstößen gegen Vorschriften können nicht nur Strafen, Sanktionen und peinliche Schlagzeilen zur Folge haben, sondern auch die Karriere von Mitarbeitern gefährden. Zu beobachten war das beispielsweise im Fall von VW, in dem ein US-Bundesrichter im April 2017 den Automobilhersteller zu einer Strafzahlung in Höhe von 2,8 Milliarden Dollar verurteilte, weil das Unternehmen Dieselfahrzeuge manipuliert hatte, um bei staatlichen Abgastests zu betrügen. Oliver Schmidt, der das Umwelt- und Ingenieurbüro von VW in Michigan leitete, wurde zu 7 Jahren Gefängnisstrafe verurteilt und der CEO Martin Winterkorn wegen Betrugs und Verschwörung angeklagt.

Unternehmen müssen Compliance Teil ihrer Unternehmensidentität machen. Es ist aber nicht immer einfach, den Überblick über die sich ständig ändernden gesetzlichen Vorschriften zu behalten und diese umzusetzen. Ein umfassender, bewusster Ansatz ermöglicht es Unternehmen, ihre Security Compliance in diesem Flickenteppich von Vorschriften managen.

Festgelegte Verantwortungen

Unternehmen müssen oft mehrere, unterschiedliche gesetzliche Anforderungen im Bereich der Sicherheit erfüllen, über Datensicherheit und Datenschutz, Schutz des geistigen Eigentums, grenzüberschreitende Beschränkungen bis hin zu Verschlüsselungsexportbeschränkungen. Zu definieren, welche Vorschriften anzuwenden sind und wie, kann eine mühsame Aufgabe für sich sein, hinzu kommt die Verwaltung der häufigen Änderungen der Vorschriften. Ein designierter Experte, der die Funktion des Compliance-Verantwortlichen übernimmt, kann bei diesem Unterfangen zu Übersicht und klaren Prozessen verhelfen.

Der zuständige Experte kann sich darauf konzentrieren, das Compliance-Programm innerhalb des Unternehmens voranzutreiben und sich um die unzähligen Compliance-Probleme kümmern, wenn sie auftreten. Er kann sich ausschließlich darauf fokussieren, über die sich ständig weiterentwickelnden gesetzlichen Bestimmungen auf dem Laufenden zu bleiben, indem er gesetzliche Änderungen verfolgt und deren Auswirkungen auf das Unternehmen erkennt und in entsprechende Maßnahmen ableitet. Eine klare Zuweisung der Verantwortung, Hierarchien und Prozesse im Compliance-Bereich stellt sicher, dass ein Unternehmen sich schnell und angemessen an die sich entwickelnden Bedrohungen und Risiken anpassen kann, die sich beispielsweise aus geopolitischen Spannungen, Änderungen oder neuen Technologieeinführungen ergeben.

Ein übergreifendes Team aus Experten

Die Umsetzung von Compliance-Anforderungen erfordert Experten aus unterschiedlichen Teams – Recht, Risikomanagement, Audit, Produkt- und Projektmanagement. Diese Teams haben oft unterschiedliche Prioritäten und verwalten die Anforderungen in ihren Silos, was zu Mehrarbeit und Produktivitätsverlusten führen kann. Ein benannter Beauftragter für Compliance kann als Brücke zwischen mehreren Teams dienen und eine einheitliche Basis schaffen, um die Compliance-Anforderungen ganzheitlich anzugehen und effektiv auf sich schnell ändernde, schwer zu interpretierende Gesetze und Richtlinien zu reagieren. Gemeinsam mit allen Teams kann einen Kommunikationskanal einrichtet werden, der die Produktivität und Gesamteffizienz der Teams und des Compliance-Programms verbessern kann.

Agilität als Schlüsselfaktor

Unternehmen können ein umfassendes Compliance-Programm durchsetzen, das Aktivitäten wie Anlageninventarisierung, Risikomanagement, Reaktion auf Vorfälle, Business Continuity- und Disaster Recovery-Planung, Lieferkettenmanagement, Ressourcenmanagement und Prozessverbesserung umfasst. Ein solches Compliance-Programm muss sicherstellen, dass alle Compliance-Anforderungen kontinuierlich und umfassend erfüllt werden. Dennoch muss es so aufgebaut sein, dass eine flexible und schlanke Compliance möglich ist. Flexibilität kann durch solide, aber anpassungsfähige Grundlagen oder Frameworks erreicht werden, die dabei helfen, diverse und divergierende gesetzliche Anforderungen zu gemeinsamen Kontrollgruppen zusammenzuführen. Dabei müssen sie auch robust genug sein, um das gleiche oder ein höheres Maß an Sicherheit für ihre Drittanbieter und/oder Lieferanten zu gewährleisten.

Mitarbeiterschulungen senken Risiken

Unabhängig von ihrer Funktion im Unternehmen spielen die Mitarbeiter eine wichtige Rolle bei der Einhaltung gesetzlicher Vorschriften im Unternehmen. Projekt- und Produktverantwortliche müssen sich auf Änderungen der Vorschriften einstellen und die Anforderungen entsprechend anpassen, ohne dass sich dies auf den Zeitplan und die Kosten des Projekts auswirkt. Daher sollte eine gründliche Schulung die Implementierung des Compliance-Programms begleiten, um eine Kultur der korrekten Compliance- und Sicherheitspraxis zu fördern. Schulungen stellen sicher, dass alle Mitarbeiter die Bedeutung der Einhaltung von Vorschriften verstehen und wissen, wie sich diese auf ihre tägliche Arbeit auswirken. Regelmäßige Aktualisierungen bereiten sie außerdem darauf vor, Änderungen zu akzeptieren und sich kontinuierlich an die sich entwickelnden Risiken anzupassen.

Konsistente Überwachung

Die Vielzahl unterschiedlicher gesetzlicher Vorgaben ist nicht immer leicht zu überblicken. Ohne eine integrierte Sicht auf Compliance-bezogene Aktivitäten und eine gut etablierte Metrik zur Messung des Fortschritts und der Effizienz ist es sehr schwierig, die Compliance über mehrere Geschäftsbereiche, Funktionen und Standorte hinweg effizient zu verwalten und zu verfolgen. Dies könnte dazu führen, dass Risiken leicht unentdeckt bleiben oder nicht angegangen werden, bis es letztendlich zu spät ist. Daher müssen Methoden zur Überwachung, Berichterstattung, Verwaltung und Nachverfolgung der Compliance, des Compliance-Fortschritts und des Verhaltens der Mitarbeiter implementiert werden, um sicherzustellen, dass die Compliance wie dokumentiert erfüllt und nachgewiesen wird.

Automatisierung an der richtigen Stelle

Das Verwalten und Prüfen aller gesetzlichen Vorschriften in verschiedenen Unternehmensbereichen kann ein sehr komplexes Unterfangen sein, das Zeit und Ressourcen erfordert und große Summen kostet. Compliance-Management über Tabellenkalkulationen, gemeinsam genutzte Dateien und Dokumente lässt sich in einem sich ständig ändernden regulatorischen Umfeld nicht gut skalieren und führt zu einer veralteten Compliance-Situation. Hinzu kommt das Problem der Audit-Müdigkeit.

Daher müssen Unternehmen den Einsatz und die Nutzung von automatisierten Tools und Diensten in Betracht ziehen, die dabei helfen, ausgefeilte Analysen durchzuführen, um potenzielle Risiken zu berechnen, Compliance-Maßnahmen zu priorisieren, zu überwachen, zu verwalten und sich per Mausklick an gesetzliche Änderungen anzupassen. Unternehmen sollten auch Konzepte wie konsolidierte Audits und Bewertungen, koordinierte Zuordnungen von Vorschriften und Compliance, evidenzbasiertes Compliance-Management, effektiver modellierte GRC-Werkzeuge (Governance, Risikomanagement und Compliance), Compliance-Automatisierung und ergebnisorientierte Sicherheitsmaßnahmen in Betracht ziehen, um ihre Compliance-Bemühungen insgesamt zu verbessern.

Die Implementierung und Verwaltung der Einhaltung gesetzlicher Vorschriften ist ein schwieriges Unterfangen. Der technologische Fortschritt, die vielfältigen Umgebungen aus einer Mischung aus alten und Legacy-Systemen, Bring Your Own Device (BYOD), Internet of Things (IoT), Anwendungen von Drittanbietern und Schatten-IT, und die Bemühungen um die digitale Transformation tragen zu den Compliance-Herausforderungen bei und machen die Ausarbeitung einer effektiven und umfassenden Compliance-Strategie schwieriger. Daher lohnt sich eine ganzheitliche Compliance-Strategie, denn sie legt das Fundament, auf dem die Reputation eines Unternehmens aufbaut, und verbessert tatsächlich die Sicherheitslage eines Unternehmens. Eine Umfrage ergab, dass mehr als 70 % der Sicherheitsexperten in der Bundesregierung der Meinung sind, dass die Einhaltung von Vorschriften ihnen hilft, die Cybersicherheitsfähigkeiten ihrem Unternehmen zu verbessern. Mit automatisierten Tools waren sie in der Lage, die Compliance-Praktiken zu überwachen und das Unternehmen jederzeit auf dem Laufenden zu halten.

Autor: Philippe Borloz, Vice President Sales und General Manager EMEA bei Kudelski Security

 

 

Bildquellen

  • Philippe Borloz: Kudelski Security