Unternehmenslösungen
IT-Dienstleistungen
Partner
Antivirus

Internet Security

Total Security

Unsere Story
Arbeiten bei G DATA
Newsroom
Auch wenn das Wort hochtechnisch und kompliziert klingt: "Compliant" zu handeln heißt zunächst nichts anderes, als sich an geltendes Recht, branchenübliche Standards oder freiwillige Selbstverpflichtungen zu halten – also "regelkonform" zu handeln. Der Begriff Compliance (zu Deutsch: Konformität, Einhaltung, Übereinstimmung) wird dabei quer durch alle Wirtschaftsbereiche verwendet, weshalb man in der Welt der IT auch von "IT-Compliance" spricht, um das Thema einzugrenzen. In der betrieblichen Praxis wird Compliance oft stiefmütterlich behandelt, entsprechende Regeln sind meist nur in größeren Unternehmen vorhanden – dabei drohen Unternehmern z. B. bei einem Datenleck empfindliche Strafen, falls der Vorfall auf nicht regelkonformes Verhalten zurückzuführen ist.
Unternehmen, die Kundendaten speichern und verarbeiten, sind strengen Regelungen unterworfen, wie diese Daten geschützt werden müssen und in welchem Rahmen sie verwendet und weitergegeben werden dürfen. Wie in allen Bereichen der Rechtsprechung gilt: Unwissenheit schützt nicht vor Strafe. Das Problem: Die Einhaltung von Recht und Gesetz muss im gesamten Unternehmen und von allen Mitarbeitern gelebt werden – das Sprichwort mit der Kette und ihrem schwächsten Glied trifft auch hier zu. Um gerichtlichen Ärger und Abmahnungen zu verhindern, sollten Unternehmen daher Compliance-Richtlinien aufstellen, die für alle Mitarbeiter verbindlich sind. Anschließend muss deren Einhaltung im Unternehmen überwacht und durchgesetzt werden.
Die gesetzlichen Bestimmungen sind sehr umfangreich und unterscheiden sich nach Branche und Art der Unternehmens. Telekommunikationsanbieter müssen zum Beispiel nicht nur geeignete Maßnahmen ergreifen, um die Verbreitung von Schadsoftware einzudämmen, sie haben auch eine Meldepflicht bei Angriffen auf ihre Infrastruktur. Kommen sie dieser Meldepflicht nicht nach, da beispielsweise keine Frühwarnsysteme vorhanden sind, droht nach § 43 Abs. 1 Bundesdatenschutzgesetz ein Bußgeld in Höhe von 50.000 Euro. Alle Unternehmen, die persönliche Daten Ihrer Kunden erheben, speichern und verarbeiten, müssen technische Maßnahmen ergreifen, um einen unerlaubten Zugriff auf ihre Telekommunikations- und Datenverarbeitungssysteme zu verhindern. Gelangen Kundendaten durch fehlende oder ungenügende Compliance-Maßnahmen in falsche Hände oder werden ohne die Einwilligung der Personen für nicht vorgesehene Zwecke missbraucht, sieht das Bundesdatenschutzgesetz bei Fahrlässigkeit Strafen bis zu 300.000 Euro vor. Hinzu kommen in allen Fällen unter Umständen Schadenersatzforderungen der betroffenen Kunden.
Grundsätzlich ist die Unternehmensleitung in der Pflicht, die Einhaltung der Gesetze in ihrem Unternehmen zu überwachen. Natürlich kann sie diese Verantwortung aber auch an jemanden delegieren, der die Vorschriften der Branche kennt und weiß, welche technischen Maßnahmen erforderlich und angemessen sind. Falls vorhanden, wird daher oft die IT-Abteilung bzw. der Administrator mit diesen Aufgaben betreut, der dann in Abstimmung mit der Unternehmensleitung die IT-Compliance-Richtlinien entwickelt und deren Einhaltung überwacht. Welche Gesetze die eigene Branche bzw. das eigene Unternehmen konkret betreffen, ist oft nur schwer festzustellen. Professionelle Dienstleister – wie zum Beispiel G DATA im Bereich der IT-Sicherheit – können helfen, die eigenen Compliance-Richtlinien auf die relevanten Bestimmungen und Gesetze abzustimmen.
Eine große Hilfe bei der Durchsetzung der IT-Compliance-Richtlinien ist das Policy Management, das unter anderem regelt, welche Rechte die Mitarbeiter im Netzwerk oder auf ihren PCs und Mobilgeräten haben. Der Administrator kann damit beispielsweise festlegen, dass an Notebooks keine USB-Speichermedien genutzt werden dürfen – oder dass die Datenbank mit den Kundendaten nur von bestimmten Nutzergruppen und nur im internen Netzwerk der Firma eingesehen werden darf. Auch private Geräte, die Mitarbeiter in der Firma nutzen ("Bring Your Own Device" oder "BYOD"), müssen in die Umsetzung der Compliance-Richtlinien mit einbezogen werden. Hierfür ist ein geeignetes Mobile Device Management nötig. Geht ein Smartphone mit firmeninternen Daten verloren, können damit zum Beispiel aus der Ferne alle Daten gelöscht werden.
Das sogenannte "Network Monitoring" wiederum ist ein wichtiges Frühwarnsystem für den Administrator. Steigt die Serverlast plötzlich oder sind bestimmte Dienste nicht mehr erreichbar, könnte dies ein Anzeichen für einen Angriff auf das Netzwerk sein. Unregelmäßigkeiten fallen dadurch sofort auf und können gemeldet werden, bevor ernste Schäden entstehen.
Eine Zertifizierung nach ISO 19600 in Verbindung mit der Einführung eines Compliance Management Systems kann ebenfalls sinnvoll sein – tritt ein Ernstfall ein, hat ein Unternehmen so den Nachweis, dass ausreichende Maßnahmen ergriffen wurden, um Schaden abzuwenden.
Bei der Durchsetzung der Compliance-Richtlinien muss darauf geachtet werden, die Rechte der Mitarbeiter nicht zu verletzen. Es dürfen beispielsweise nicht wahllos die Geräte der Angestellten nach Firmendaten durchsucht werden, wenn dabei die Gefahr besteht, dass auch private Daten eingesehen werden. Zusätzlich sollte auch bei der Auswahl externer Dienstleister und IT-Ressourcen darauf geachtet werden, dass die Compliance gewährleistet bleibt. Werden Kundendaten auf Servern im Ausland gespeichert, sind sie möglicherweise nicht sicher vor dem Zugriff der jeweiligen Regierung oder anderer unbefugter Parteien. Es empfiehlt sich also, einen Dienstleister auszuwählen, der dem strengen deutschen Datenschutz unterliegt. Microsoft hat beispielsweise eigens die "Microsoft Cloud Deutschland" ins Leben gerufen – eine Cloud-Plattform, die Daten ausschließlich in deutschen Datenzentren speichert und den Zugriff auf die Daten über einen Treuhänder realisiert. Auch G DATA nutzt die deutsche Plattform für die Managed-Security-Lösung G DATA Managed Endpoint Security powered by Microsoft Azure.