Jede informationsverarbeitende Organisation sieht sich zunehmend komplexer werdenden Regularien – extern wie intern – gegenüber. Ein ganzheitliches, integratives Compliance Management ist die Lösung.

Noch vor wenigen Jahren wurde das Thema Compliance Management in vielen Unternehmen mit einem Schmunzeln zur Kenntnis genommen. Dies lag unter anderem sicherlich daran, dass zunächst kein konkreter Mehrwert bei der Umsetzung für die Unternehmen erkennbar war. Die Kernaufgabe der Compliance beschreibt die Regelkonformität, also die Einhaltung externer oder interner Vorgaben auf allen Gebieten eines Unternehmens. Gerade die Herausforderungen des digitalen Wandels erfordern ein effizientes Vorgehen, mit gemeinsamen Zielen – ohne dabei den Überblick zu verlieren.

IT – Die Herausforderung. Aufgrund der stetig steigenden Notwendigkeit einer Transformation der Geschäftsprozesse in die digitale Welt, ändern sich zunehmend auch die Wahrnehmungen und Compliance-Bedürfnisse von Unternehmen. Dazu gehören sowohl gesetzlich geforderte als auch intern selbst auferlegte Anforderungen. Bei den klassischen Anforderungen handelt es sich beispielsweise um den Lebenszyklus personenbezogener Daten, den Schutz kritischer Informationen und wichtiger Anwendungen sowie um die Resilienz von Systemen und Infrastrukturen. Und last but not least die Sicherstellung der Informationssicherheitsziele wie Vertraulichkeit, Integrität und Verfügbarkeit. Durch die Fülle an Anforderungen wird es zu einer großen Herausforderung, diese zum Teil sehr komplex verschachtelten Themen aufzubereiten. Hinzu kommt, dass häufig Unternehmensregelwerke bereits in unterschiedlicher Ausprägung vorhanden sind. Es ist mittlerweile schwer vorstellbar, dass sich informationsverarbeitende Organisationen dem Thema Compliance komplett entsagen können. Richten wir unseren Blick auf die IT-Unterstützung wundert es nicht, dass die »IT-Compliance« neben wichtigen weiteren Methoden zur IT-Steuerung oftmals in Zusammenhang mit den Schlagworten »IT-Risiken« und »IT-Governance« als Teil der IT-GRC (Governance, Risiko & Compliance) einen immer höheren Stellenwert einnimmt. Mittlerweile entwickelt sich die IT zu einem zentralen und zugleich anfälligen Nervensystem vieler Unternehmen.

Die Bestandsaufnahme. Im Folgenden legen wir den Fokus auf ein pragmatisches Compliance Management, ohne einen vollständigen theoretischen Ansatz zu berücksichtigen. Zunächst ist es wichtig, mit der Grundlagenarbeit zu beginnen, um sich einen Überblick über die gegenwärtige Lage zu verschaffen. Im Anschluss erfolgt dann eine detaillierte Analyse aller notwendigen Anforderungen mit dem Ziel, diese im Kontext der Compliance zu identifizieren und zu bewerten, an der passenden Stelle im Unternehmen zu verankern und in interne Vorgaben oder Richtlinien zu transferieren. Ratsam ist es, bereits an dieser Stelle den aktuellen Umsetzungsstand der einzelnen, dazu passenden Maßnahmen, in die Bewertung einzubinden. Eine Bestandsaufnahme mit anschließender Reifegradbestimmung stellt ein adäquates Werkzeug dar, für die eine angemessene Vorbereitungszeit eingeplant werden sollte. Die Bestandsaufnahme dient in erster Linie dazu, die Anforderungen aus der vielfältigen und schwer überschaubaren IT-Compliance-Landschaft zu sichten und zu bewerten. Die teilweise überschneidenden Anforderungen sollen nicht mehrfach durch unterschiedliche Verantwortlichkeiten angefordert oder umgesetzt werden. Stattdessen besteht das Ziel darin, die Anforderungen in einem integrativen Ansatz effizient zusammenzuführen und idealerweise nur einmalig zu bewerten.

Anschließend ist es wichtig, in regelmäßigen Abständen die Wirksamkeit der Umsetzung zu überprüfen. Diese Abfolge erinnert an die klassische Struktur von Managementsystemen, beispielsweise von ISO/IEC 27001, einem Informationssicherheitsmanagementsystem (ISMS).

Verdeutlicht werden kann dies in Bezug auf die grundlegenden Anforderungen diverser Regularien an ein entsprechendes »Wertemanagement«.

Für Unternehmen lässt sich beispielsweise aus dem relativ neuen »GeschGehG« (Geschäftsgeheimnisgesetz von April 2019) interpretieren, dass kritische beziehungsweise wertvolle Informationen zu klassifizieren und entsprechend durch wirksame Maßnahmen zu schützen sind. Diese besonders zu schützenden Werte liegen oftmals nicht direkt auf der Hand, sondern erfordern das Wissen und die Erfahrung unterschiedlicher Personen in einem Unternehmen und stellen eine wichtige Grundlage zur Wertschöpfung dar. Dabei kann es sich um spezielle Forschungsdaten, Ergebnisse aus Konzerngremien, Konstruktionspläne, Strategien etc. handeln.

Die Anforderungen zum Management »personenbezogener Daten« aus der Datenschutzgrundverordnung (DSGVO) kann eine weitere Quelle zur Identifizierung kritischer Informationen und Prozesse für ein Unternehmen darstellen. Ein verpflichtend anzulegendes Verzeichnis von Verfahren beinhaltet schützenswerte personenbezogene Daten und ermöglicht es, eine weitere Verbindung zwischen einer werteorientierten Geschäftsorganisation und den unterstützenden IT-Anwendungen zu schaffen.

Ebenso ist die Erfassung von Informationswerten bei der Implementierung eines ISMS nach ISO/IEC 27001 erforderlich, denn auch hier gilt: Risikoorientiertes Vorgehen – Mit den wichtigen Werten starten und die Wertschöpfungskette konsequent absichern. Schnittstellen zum Themenfeld der Compliance finden sich ebenfalls an unterschiedlichen Stellen der Norm wieder. Direkt bei der Definition von Anforderungen an den Anwendungsbereich gilt es, entsprechende Gesetze und Interessen Dritter zu analysieren und dem Kontext des Unternehmens gegenüberzustellen. Des Weiteren sind bei der Umsetzung unter anderem die Entsorgung von Informationen, die Analyse von Logfiles und der vertragliche Kontext des Unternehmens bei der Sicherstellung der IT-Compliance zu berücksichtigen.

Integratives Compliance Management mit Weitblick. Für eine Konsolidierung des bereits erwähnten Wertemanagements ist ein breites Verständnis erforderlich, damit Abhängigkeiten von Geschäftsprozessen in dem teilweise schwer nachvollziehbaren Datenverkehr sichtbar werden. Ein anzustrebendes Ergebnis rund um die Regelungskonformität sollte idealerweise ein integratives Managementsystem mit entsprechender Risikofrüherkennung, umgesetzten Vorgaben, regelmäßiger Prüfung und validierten Meldewegen zur Verbesserung der Verfahren und Ergebnisse sein. Durch eine Orientierung an bereits vorhandenen High-Level-Strukturen internationaler Standards für Managementsysteme wie beispielsweise ISO/IEC 27001, ISO/IEC 9001 oder ISO/IEC 22301 lässt sich oftmals ein nicht unerheblicher Mehraufwand vermeiden.

Fazit. Durch die fortschreitende Digitalisierung ist es für Unternehmen unerlässlich ein effektives Compliance Management zu etablieren – gerade die weitreichenden und komplexen Gesetze sowie vielfältige verbindliche Vorgaben erfordern dies. Ein pragmatischer Start umfasst neben der Unterstützung der Unternehmensführung auch eine Zentralisierung der Zuständigkeiten, beispielsweise in Form eines Beauftragten, eines Compliance Teams oder auch einer Stabsabteilung, die sich mit unterschiedlichen Unternehmensanforderungen auseinandersetzen. Empfehlenswert ist es, mit gemeinsamen Zielen hinsichtlich Datenschutz, Informationssicherheit sowie IT-Compliance zu beginnen. Gleich im Anschluss sollte dann eine Bestandsaufnahme durchgeführt werden, bei der bereits bestehende Sicherheitskonzepte- und Maßnahmen, Notfallinitiativen, Methoden, Abläufe und Prozesse für vorhandene Managementsysteme konsolidiert werden – und eine bewusste Entscheidung für einen integrativen Ansatz erfolgt. Anhand des ermittelten Reifegrads bei der Bewertung von umgesetzten Maßnahmen sowie potenziellen Regelungslücken und vorhandenen Umsetzungsrisiken lassen sich alle Folgeaktivitäten nachvollziehbar priorisieren.

Aufgrund der Komplexität ist es sinnvoll, einen kompetenten Partner bei der Ausrichtung eines Compliance Managements hinzuzuziehen. Controlware – Systemintegrator und Managed Service Provider – unterstützt hier mit Experten, die über langjährige Praxiserfahrung bei der Beratung, dem Aufbau und der Validierung von Managementsystemen verfügen.

Wolfram Girg,
Teamleiter Consulting GRC,
Controlware GmbH

Illustration: © rudall30/shutterstock.com

Die Multi-Cloud ist die neue Realität für viele Unternehmen, ob als Strategie gewählt oder durch andere Mittel erzwungen – wie Kundenpräferenz, Fusionen und Übernahmen oder staatliche Vorschriften. Vorausschauende Unternehmen haben sich damit abgefunden, dass diese Realität für ihr Unternehmen eintreten wird – oder bereits eingetreten ist. Unternehmen planen, mehrere Clouds intelligent zu verwalten und proaktiv…

Jede informationsverarbeitende Organisation sieht sich zunehmend komplexer werdenden Regularien – extern wie intern – gegenüber. Ein ganzheitliches, integratives Compliance Management ist die Lösung.

Wolfram Girg, Teamleiter Consulting GRC, Controlware GmbH

Wolfram Girg,
Teamleiter Consulting GRC,
Controlware GmbH