Lesedauer ca. 4 Minuten

Datenschutz und Informationssicherheit haben höchste Priorität. Standards fest in der Unternehmenspraxis zu verankern, ist eine Herausforderung. IT-Compliance-Management gewinnt deshalb weiter an Bedeutung.

Statt ihre Sorgfaltspflicht zu erfüllen und die Sicherheitsstandards zu prüfen, haben viele Internetkonzerne einfach blind der Verschlüsselungstechnologie OpenSSL vertraut – mit gravierenden Folgen: Durch die Sicherheitslücke Heartbleed waren bis April dieses Jahres private Daten von Millionen unwissender Nutzer von AOL, Facebook, Twitter oder etwa Yahoo nicht ausreichend vor dem Zugriff Fremder geschützt. Unternehmerisches Versagen wie dieses wird heute als mangelnde IT-Compliance begriffen. Doch was bedeutet Compliance überhaupt und wie lässt sie sich im Unternehmen etablieren?

Compliance ist die Übereinstimmung mit Richtlinien. Das ist an sich nicht neu für Unternehmen. Gesetze, Standards und freiwillige Kodizes bestimmen seit eh und je das Geschäft. Der Druck seitens der Politik zu mehr Transparenz und die Regulierung nehmen jedoch unablässig zu. Den Überblick zu wahren und klare Strukturen zu schaffen, das wird für Unternehmen zunehmend aufwändiger. Eine optimale Compliance erfordert heute mehr Ressourcen und setzt eine Institutionalisierung der Regelbeachtung voraus. „Unternehmen sind verstärkt dem Risiko potenzieller Regelverstöße ausgesetzt und müssen dadurch bei der Erfüllung von IT-Compliance-Anforderungen systematisch vorgehen“, folgern Artur Strasser und Michael Wittek in einem Beitrag für die Gesellschaft für Informatik (GI).

Compliance-Management im Unternehmen aufbauen

Dabei gilt es zunächst über die Analyse relevanter Regelwerke Richtlinien zu identifizieren. Zu den wichtigen Quellen im IT-Sektor zählen Rechtsnormen, wie das Bundesdatenschutz- und das Telekommunikationsgesetzt, Standards, wie ITIL (IT Infrastructure Library) sowie ISO 20000 und 27001, Verträge und weitere Branchenstandards. Die Non-Profit-Organisatin ISACA (Information Systems Audit and Control Association) bietet Unternehmen mit dem Regelwerk COBIT (Control Objectives for Information and Related Technology) zudem weitreichend Orientierung über die Aufgaben der IT-Compliance. Eine ausführlichere Übersicht unterschiedlicher IT-Anforderungen findet sich bei der GI.

Um eine unternehmenseigene IT-Compliance, also eine Anforderungskonformität in Bezug auf IT, im Unternehmen zu etablieren, müssen die Richtlinien in konkrete interne Regeln und Verfahren – sogenannte Controls – übersetzt werden. Deren Dokumentation, Kontrolle und Kommunikation ist essentiell, ebenso wie die Berufung eines Compliance-Officer oder zumindest eines Compliance-Beauftragten. Der TÜV Rheinland bietet mit einem Standard zu Zielstellung, Umsetzung und Kontrolle eines Compliance-Management-Systems in Unternehmen (TR CMS 101:2011) hierfür einen Orientierungsrahmen. Desweiteren stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Grundschutzkataloge zur IT-Sicherheit zur Verfügung sowie Beispiele für kleine, mittlere und große Unternehmen.

Wertsteigerung für Unternehmen

Vordergründig schützt ein Compliance-Management-System ein Unternehmen vor juristischen und damit gegebenenfalls auch wirtschaftlichen Folgen von Regelverstößen in Form von Geldbußen oder Vertragsstrafen. Unternehmen können darüber hinaus aber auch intern profitieren, etwa von der Optimierung der Betriebsprozesse, einer Qualitätssicherung oder sogar -steigerung und erhöhter IT-Sicherheit. Extern bietet Compliance Schutz vor Imageschäden und damit verbunden Auftragsverlust. Ein gestärktes Vertrauen in das Unternehmen ist zudem wichtiges Kriterium bei der Kreditvergabe oder Ausschreibungen.

Außerdem schlummert im Compliance-Management das Potential zur Wertsteigerung des Unternehmens: „Erweisen sich bestimmte Standards als Markteintrittsbarrieren, ist der Wertbeitrag offensichtlich. Ohne die Konformität zu derartigen externen Vorgaben könnten Umsatzchancen nicht genutzt werden. Andererseits kann mangelnde IT-Compliance zu Abschlägen bei der Bestimmung des Unternehmenswertes im Falle von Unternehmenstransaktionen führen“, stellen Michael Klotz und Martin Bartonitz heraus.

Mittelstand scheut den Aufwand

Der Druck zu Compliance-Management im Mittelstand wächst – nicht zuletzt weil aktuell ein Gesetzentwurf zur Schaffung eines Verbandsstrafgesetzbuch vorliegt, auf dessen Grundlage zukünftig auch Unternehmen strafrechtlich belangt werden könnten. Die Begründung der Politik: Besonders bei mittelständischen Unternehmen liegen ein Präventionsdefizit und mangelnde Compliance-Strukturen vor. Die Ergebnisse der „Compliance Benchmark Studie 2013“ der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG geben den Politikern Recht: Rund 20 Prozent der börsennotierten und 40 Prozent der mittelständischen Unternehmen verfügen nicht über ein institutionalisiertes Compliance-Management-System.

Das hat verschiedene Ursachen. So „sehen sich viele kleinere Unternehmen irrtümlicherweise weniger gefährdet als Großkonzerne“, schreibt der Anwalt José A. Campos Nave bei der Industrie- und Handelskammer Frankfurt am Main. Und Christian Schlumpberger erläutert in der Fachzeitschrift Markt und Mittelstand: „Es wird auf gegenseitiges Vertrauen gesetzt mit einer oftmals informellen Regelung von Problemen und Verantwortungsbereichen. Diese insgesamt eher ‚einfache‘ Handhabung bei der Corporate Compliance hat in vielen Fällen sicherlich auch mit der Scheu vor den mit Kontrollmechanismen verbundenen Kosten zu tun.“ Entwicklung und Umsetzung von Compliance stellen für die Unternehmer zunächst eine große Investition dar, wogegen die Rentabilität von Compliance nur schwer für sie nachvollziehbar ist. Oftmals fehlt den Unternehmen aber auch qualifiziertes Personal. Zu diesem Ergebnis kommt Studie „The challenges of using mainframes„. Mit der Verbesserung der Compliance würden in annähernd 40 Prozent der Fälle Drittunternehmen beauftragt. 55 Prozent der Befragten gaben an, dass die notwendigen Ressourcen nicht im eigenen Unternehmen vorhanden sind.

Andererseits wüssten viele Unternehmen selbst gar nicht, wie stark sie sich bereits für Compliance engagieren, so Eckart Achauer von AGAMON. Der Grund: Viele Schritte werden nicht dokumentiert und in verschiedenen, nicht-vernetzten Abteilungen erbracht. Achauer empfiehlt daher: „Ein sinnvoller erster Schritt besteht darin, genau zu prüfen was man schon hat.“