Deutsche Unternehmen sind gesetzlich dazu verpflichtet, sich um den Aufbau und die Pflege eines Risikomanagements zu kümmern und in die Umsetzung von Maßnahmen zur IT-Sicherheit zu investieren.
Was in Zeiten von Globalisierung und Mobilität großen Nutzen bringt, birgt durch die hohe Abhängigkeit von IT-Systemen für Unternehmen viele Gefahren.
Auf diesen Sachverhalt hat der Gesetzgeber reagiert und verschärfte Anforderungen an eine unternehmensweite Informationssicherheit definiert.
Ich stelle kurz dar, um welche Gesetze und Vorschriften es sich dabei handelt.
In Unternehmen werden Geschäftsprozesse zunehmend digital abgebildet. Die damit verbundenen Prozessketten müssen u. a. für staatliche Kontrollen nachweisbar sein. In Unternehmen werden Geschäftsprozesse zunehmend digital abgebildet. Die damit verbundenen Prozessketten müssen unter anderem bei staatlichen Kontrollen nachweisbar sein. Praxisnahe Beispiele für die Umsetzung dieser Beweispflicht sind die digitale Steuerprüfung nach den Grundsätzen zum Datenzugriff, Datenschutzgesetze, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich oder das neue IT-Sicherheitsgesetz.
Einen großen Beitrag zur IT-Compliance leistet die IT-Sicherheit. Es gibt zwar keine absolute IT-Sicherheit, aber mithilfe adäquater Maßnahmen lassen sich die mit dem Einsatz von Informationstechnologie verbundenen Risiken auf ein vertretbares Niveau bringen. Neben freiwilligen Richtlinien und einschlägigen Sicherheitsstandards wie ISO 27001, Cobit oder ITIL sorgen Gesetze, Normen und Grundsätze dafür, dass sich Unternehmen ihrer Handlungsweisen und Haftungsverpflichtungen im Bereich Informationssicherheit bewusst sind.
Wir legen bei der Zusammenarbeit mit Kunden größten Wert auf die Compliance: Jeder Kunde hat bei uns einen direkten Ansprechpartner, der mit ihm gemeinsam passende Lösungen entwickelt, damit die projektspezifischen IT-Systeme die Compliance-Vorgaben erfüllen.
Deutsche Gesetze zu Datenschutz und Informationssicherheit verfolgen den Zweck, einen verlässlichen Schutz der Unternehmens- informationen in Bezug auf Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu schaffen. Gesetze und Vorschriften, deren Einhaltung Voraussetzung dafür ist, dass Unternehmen regelkonform bleiben.
Über das BDSG: Bundesdatenschutzgesetz habe ich an anderer Stelle bereits detailliert berichtet.
Das Ziel des am 25.07.2015 in Kraft getretenen IT-Sicherheitsgesetzes ist, durch gesetzliche Regelungen den Schutz von Daten und IT-Systemen zu sichern und zu gewährleisten. Wir haben bereits an anderer Stelle darüber berichtet.
Im Vordergrund steht dabei vor allem der Schutz von Betreibern sogenannter „kritischer Infrastrukturen“. Diese sollen innerhalb von zwei Jahren Mindeststandards an die IT-Sicherheitsmaßnahmen in den jeweiligen Branchen (etwa Energie oder Gesundheit) entwickeln und nachweislich umsetzen. Zudem soll die Zusammenarbeit in Sicherheitsvorfällen nach außen verstärkt werden. So gibt es bei Ausfällen oder IT-Sicherheitsvorfällen Meldepflichten gegenüber dem BSI sowie Informationspflichten gegenüber betroffenen Nutzern.
Das IT-Sicherheitsgesetz ist ein Artikelgesetz. Das heißt, es ist ein Gesetz, welches bestehende Regelungen in anderen Gesetzen geändert hat um die beschriebenen Ziele zu erreichen.
Auch andere Unternehmen sind von Änderungen betroffen. Telemedien-Diensteanbieter sind durch Änderungen in § 13 TMG (Telemediengesetz) dazu verpflichtet, präventive technische und organisatorische Maßnahmen nach Stand der Technik zum Schutz der Systeme und den darauf aufbewahrten Daten zu treffen. Es gilt dabei vor allem diese nachzuweisen.
Hier erfahren Sie, wie Sie Dank spezieller Hosting-Lösungen Kontrolle und Flexibilität perfekt kombinieren können. Jetzt informieren
Das KonTraG zielt auf die Verbesserung der Grundsätze der Unternehmensführung (Corporate Governance) ab. Zusätzlich sollen Unternehmer motiviert werden, sich stärker mit dem Thema (IT)-Risikomanagement auseinanderzusetzen und sinnvollerweise in ein unternehmensweites Risikofrüherkennungssystem zu investieren. Um diese Forderungen zu erreichen, wurden mittels KonTraG, das ein Artikelgesetz ohne eigenen Gesetzestext ist, Gesetze wie das GmbHG , das AktG oder das HGB inhaltlich geändert. Teilweise werden einzelne Paragraphen (z. B. § 43 GmbHG) entsprechend angewendet. Aus § 43 GmbHG lassen sich auch konkrete Pflichten für die Gewährleistung eines angemessenen internen Informationssicherheitsniveaus ableiten. Die Sachlage ist klar: Der Geschäftsführer verantwortet die IT-Sicherheit – mit allen Konsequenzen. Nur wenn er nachweislich alle geforderten sicherheitsrelevanten Maßnahmen umgesetzt hat, kann er sich aus der Haftung exkulpieren.
Die GoBD sind Vorgaben, die für die Dokumentationsprozesse in Unternehmen gestellt werden. Sie vereinheitlichen die bis dahin geltenden Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) sowie die Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme (GoBS).
Betroffen sind alle Unternehmensbereiche, in denen betriebliche Abläufe und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen. Entsprechend legt die GoBD dem Unternehmen diverse Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung der Informationen auf. Dazu gehören Nachvollziehbarkeit und -prüfbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordentlichkeit und Unveränderlichkeit. Diese Anforderungen sind auch auf die Verfahren anzuwenden, die durch die IT abgebildet werden.
Gleichwohl müssen sämtliche Vorgaben über ein internes Kontrollsystem (IKS) umgesetzt werden. Zusätzlich ist eine Verfahrensdokumentation als Nachweis eines ordnungsgemäßen Systembetriebs vorgeschrieben. Das hat zur Folge, dass es zur Erfüllung der GoBD eines Datensicherheitskonzepts mit weitreichenden Maßnahmen zur Sicherung der Informationen vor Verlust bedarf.
Entscheidend beeinflusst wurde die Compliance in jüngster Zeit durch Bilanzskandale und Sicherheitspannen in den USA. Die Vorkommnisse hatten Gesetze wie das S-Ox zur Folge, mit dem die US-Regierung das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit von publizierten Unternehmensfinanzdaten wiederaufpolieren wollte. Inhaltlich legt das Gesetz vorwiegend formale Anforderungen fest, die den US-amerikanischen Managern ihre Haftung verdeutlichen. Außerdem lässt sich aus Section 404 analog zu den GoBD die Forderung nach einem IKS ableiten, für dessen Umsetzung jedoch ein IT- Risikomanagement Voraussetzung ist. Zwar wird im S-Ox IT-Sicherheit nicht explizit thematisiert, gesetzestreue Unternehmen können aber nur mit Hilfe einer konsequenten Absicherung ihrer IT und durch den verantwortungsvollen Umgang mit DV-gestützten Informationen den Anforderungen gerecht werden.
Das Committee of Sponsoring Organizations of the Treadway Commission, eine freiwillige privatwirtschaftliche US-Organisation, hat 1985 ein Modell entwickelt, mit dem sich Finanzberichterstattungen verbessern lassen. Im Fokus stehen ethisches Handeln, wirksame interne Kontrollen und eine faire Unternehmensführung. COSO ist kein Gesetz, sondern dahinter steht ein Modell, das 1992 einen heute von der SEC anerkannten Standard für interne Kontrollen schuf. Das COSO-Modell gliedert sich in drei Bereiche (operationelle Risiken, Finanzberichterstattung, Compliance) und dient der Dokumentation, Analyse und Gestaltung eines IKS. Außerdem legt es die Anforderungen an die Finanzberichterstattung und Buchführung sowie die Voraussetzungen für die Datensicherheit fest. Die Vorgaben beschreiben zusammengenommen im Prinzip die US-amerikanischen Grundsätze ordnungsgemäßer Rechnungslegung einschließlich der Einbeziehung von IT-Maßnahmen.
Auch Banken und Versicherungen sind mittlerweile gezwungen, bei der Kreditvergabe und bei Versicherungsgeschäften die IT-Risiken ihrer Kunden zu berücksichtigen, da sich diese direkt auf die Angebotskonditionen auswirken. Die Baseler Eigenkapitalvereinbarung (Basel II) verfolgt zwei Ziele: Zum einen soll eine angemessene Eigenkapitalausstattung der Banken erreicht werden, zum anderen sollen einheitliche Wettbewerbsbedingungen für Kreditvergabe und -handel geschaffen werden. Die Umsetzung der Vorschriften erfolgt in Deutschland durch das Kreditwesengesetz, die Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk). Risikomindernde unternehmensinterne Kontrollen und (IT-)Sicherheitsmaßnahmen wirken sich durch Basel II positiv auf Kreditkonditionen aus. Anders als bei Basel II stehen bei Solvency II nicht die Einzelrisiken, sondern ein ganzheitliches System zur Gesamtsolvabilität im Mittelpunkt.
Das Gesetz über das Kreditwesen regelt die Aufsichtsgestaltung über die Kredit- und Finanzdienstleistungsinstitute in Deutschland. Zwei Ziele stehen im Mittelpunkt: Erstens die Sicherung und Erhaltung einer funktionierenden Kreditwirtschaft, zweitens der Gläubigerschutz vor Verlust der Einlagen. Neben Instituts- und Missstandsaufsicht kontrolliert die BaFin regelmäßig, ob die Institute Risiken mit genügend Eigenmitteln hinterlegen, und verfolgt unerlaubte Bank- und Finanzdienstleistungsgeschäfte. Die Regelungen des KWG zwingen Banken und Versicherungen dazu, eine filigranere interne Risikoermittlung durchzuführen. Der verlangte Eigenkapitalanteil muss anhand des ermittelten Risikos festgemacht werden. In die Betrachtung fallen auch operative Risiken, die zum Beispiel beim Einsatz von Informationssystemen entstehen können. Da die Banken die Kreditausfallrisiken ihrer Schuldner berücksichtigen müssen, wirken die Anforderungen mittelbar auf alle Unternehmen, die am Kapitalmarkt Kredite aufnehmen möchten. Ein Unternehmen mit einer schlechten Risikoeinstufung wird, wenn es kreditwürdig ist, einen relativ hohen Kreditzins zu entrichten haben.
Neben den vorgestellten Vorschriften gibt es für den Bereich der Informationssicherheit weiterer Spezialvorschriften, wie:
Ein gut durchdachtes IT-Sicherheitskonzept lebt von Neuerungen und Weiterentwicklungen. Daher stellt man sich bei der Adacor Hosting regelmäßig die Fragen: „Wie können wir die Sicherheit von Unternehmens- und Kundendaten optimieren?“ „Welche neuen Compliance-Anforderungen gibt es?“ „Welche Innovationen bietet uns die Technik beim Cloud Hosting?“ „Wie können wir unsere Kunden bei der Erfüllung der eigenen Compliance-Anforderungen bestmöglich unterstützen?“
Im Großen und Ganzen dreht sich alles um das Risikomanagement. Heute laufen die meisten Geschäftsprozesse IT-unterstützt ab, deshalb ist die Sicherheit der verarbeiteten Informationen eine wichtige unternehmerische Aufgabe. Wir haben in unserer gesamten Wertschöpfungskette standardisierte Prozesse verankert. Dank derer können wir im Rahmen unserer IT-Sicherheitsvorgaben schnell und einfach auf Änderungen oder Neuerungen reagieren. Wir ruhen uns natürlich darauf nicht aus, aber der erzielte Sicherheitsgewinn beruhigt uns und unsere Kunden.
Welche Erfahrungen haben Sie zum Thema IT-Compliance gemacht? Wir freuen uns über ihr Feedback @AdacorHosting bei Twitter.
Wir haben die ältere Version des Beitrags im Mai 2016 auf den neuesten Stand der Entwicklung gebracht.
Es gibt einen Newsletter. Hier können Sie ihn abonnieren.
Lesen Sie was Identitäts-Diebstahl ist und wie man sich bestmöglich schützt.
Eine kurze Geschichte der Speichermedien: Unsere Infografik von der Lochkarte in die Cloud. Welche Speichermedien hat es in der Vergangenheit schon gegeben bis wir...
Das Zusammenfinden der beiden Bereiche „Entwicklung und Betrieb“ ist vor der ersten Zeile Code obligatorisch, denn DevOps ist kein Framework, sondern eine Kultur.
Wie Sie das Zusammenspiel von ISMS und IKS für sich nutzen können.
Das Angebot großer Public Clouds klingt für viele Unternehmen verlockend. Eine Private Cloud kann jedoch die ökonomisch sinnvollere Lösung sein.
Der Begriff „ Digitalisierung“ weist viele Facetten auf. Die Aufteilung in Bereiche bringt jedoch Klarheit.
