IT-Compliance – gesetzliche Anforderungen für deutsche Unternehmen

Anforderungen IT-ComplianceDeutsche Unternehmen sind gesetzlich dazu verpflichtet, sich um den Aufbau und die Pflege eines Risikomanagements zu kümmern und in die Umsetzung von Maßnahmen zur IT-Sicherheit zu investieren.
Was in Zeiten von Globalisierung und Mobilität großen Nutzen bringt, birgt durch die hohe Abhängigkeit von IT-Systemen für Unternehmen viele Gefahren.

Auf diesen Sachverhalt hat der Gesetzgeber reagiert und verschärfte Anforderungen an eine unternehmensweite Informationssicherheit definiert.
Ich stelle kurz dar, um welche Gesetze und Vorschriften es sich dabei handelt.

IT-Compliance und IT-Sicherheit

In Unternehmen werden Geschäftsprozesse zunehmend digital abgebildet. Die damit verbundenen Prozessketten müssen u. a. für staatliche Kontrollen nachweisbar sein. In Unternehmen werden Geschäftsprozesse zunehmend digital abgebildet. Die damit verbundenen Prozessketten müssen unter anderem bei staatlichen Kontrollen nachweisbar sein. Praxisnahe Beispiele für die Umsetzung dieser Beweispflicht sind die digitale Steuerprüfung nach den Grundsätzen zum Datenzugriff, Datenschutzgesetze, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich oder das neue IT-Sicherheitsgesetz.

Einen großen Beitrag zur IT-Compliance leistet die IT-Sicherheit. Es gibt zwar keine absolute IT-Sicherheit, aber mithilfe adäquater Maßnahmen lassen sich die mit dem Einsatz von Informationstechnologie verbundenen Risiken auf ein vertretbares Niveau bringen. Neben freiwilligen Richtlinien und einschlägigen Sicherheitsstandards wie ISO 27001, Cobit oder ITIL sorgen Gesetze, Normen und Grundsätze dafür, dass sich Unternehmen ihrer Handlungsweisen und Haftungsverpflichtungen im Bereich Informationssicherheit bewusst sind.

Wir legen bei der Zusammenarbeit mit Kunden größten Wert auf die Compliance: Jeder Kunde hat bei uns einen direkten Ansprechpartner, der mit ihm gemeinsam passende Lösungen entwickelt, damit die projektspezifischen IT-Systeme die Compliance-Vorgaben erfüllen.

Gesetze und Vorschriften zur Informationssicherheit

Achtung gesetzliche VorschriftenDeutsche Gesetze zu Datenschutz und Informationssicherheit verfolgen den Zweck, einen verlässlichen Schutz der Unternehmens- informationen in Bezug auf Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität zu schaffen. Gesetze und Vorschriften, deren Einhaltung Voraussetzung dafür ist, dass Unternehmen regelkonform bleiben.

  1. Bundesdatenschutzgesetz (BDSG)
  2. IT-Sicherheitsgesetz: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
  3. KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
  4. GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen
  5. S-Ox: Sarbanes-Oxley Act
  6. COSO: Committee of Sponsoring Organizations of the Treadway Commission
  7. Basel II, Solvency II
  8. KWG: Kreditwesengesetz

Bundesdatenschutzgesetzt (BDSG)

Über das BDSG: Bundesdatenschutzgesetz habe ich an anderer Stelle bereits detailliert berichtet.

IT-Sicherheitsgesetz: rechtliche Grundlagen für die IT-Sicherheit

Das Ziel des am 25.07.2015 in Kraft getretenen IT-Sicherheitsgesetzes ist, durch gesetzliche Regelungen den Schutz von Daten und IT-Systemen zu sichern und zu gewährleisten. Wir haben bereits an anderer Stelle darüber berichtet.

Im Vordergrund steht dabei vor allem der Schutz von Betreibern sogenannter „kritischer Infrastrukturen“. Diese sollen innerhalb von zwei Jahren Mindeststandards an die IT-Sicherheitsmaßnahmen in den jeweiligen Branchen (etwa Energie oder Gesundheit) entwickeln und nachweislich umsetzen. Zudem soll die Zusammenarbeit in Sicherheitsvorfällen nach außen verstärkt werden. So gibt es bei Ausfällen oder IT-Sicherheitsvorfällen Meldepflichten gegenüber dem BSI sowie Informationspflichten gegenüber betroffenen Nutzern.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz. Das heißt, es ist ein Gesetz, welches bestehende Regelungen in anderen Gesetzen geändert hat um die beschriebenen Ziele zu erreichen.

Auch andere Unternehmen sind von Änderungen betroffen. Telemedien-Diensteanbieter sind durch Änderungen in § 13 TMG (Telemediengesetz) dazu verpflichtet, präventive technische und organisatorische Maßnahmen nach Stand der Technik zum Schutz der Systeme und den darauf aufbewahrten Daten zu treffen. Es gilt dabei vor allem diese nachzuweisen.

Image

Mission Managed Cloud

Hosting in Public-Cloud-Infrastruktur:
Optimiert auf Ihre spezifischen Anforderungen!

Mit der ADACOR Managed Cloud erhalten Sie die passende Kombination aus der vCloud-Virtualisierungslösung des Marktführers VMware und den Managed Services der ADACOR.

Jetzt informieren!

KonTraG: wirtschaftliche Kontrolle und Transparenz bei AG, GmbH & Co.

Das KonTraG zielt auf die Verbesserung der Grundsätze der Unternehmensführung (Corporate Governance) ab. Zusätzlich sollen Unternehmer motiviert werden, sich stärker mit dem Thema (IT)-Risikomanagement auseinanderzusetzen und sinnvollerweise in ein unternehmensweites Risikofrüherkennungssystem zu investieren. Um diese Forderungen zu erreichen, wurden mittels KonTraG, das ein Artikelgesetz ohne eigenen Gesetzestext ist, Gesetze wie das GmbHG , das AktG oder das HGB inhaltlich geändert. Teilweise werden einzelne Paragraphen (z. B. § 43 GmbHG) entsprechend angewendet. Aus § 43 GmbHG lassen sich auch konkrete Pflichten für die Gewährleistung eines angemessenen internen Informationssicherheitsniveaus ableiten. Die Sachlage ist klar: Der Geschäftsführer verantwortet die IT-Sicherheit – mit allen Konsequenzen. Nur wenn er nachweislich alle geforderten sicherheitsrelevanten Maßnahmen umgesetzt hat, kann er sich aus der Haftung exkulpieren.

GoBD: die Pflicht zur Sorgfalt bei der elektronischen Dokumentation

Die GoBD sind Vorgaben, die für die Dokumentationsprozesse in Unternehmen gestellt werden. Sie vereinheitlichen die bis dahin geltenden Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) sowie die Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme (GoBS).

Betroffen sind alle Unternehmensbereiche, in denen betriebliche Abläufe und Buchführungs-, Aufzeichnungs- und Aufbewahrungspflichten bestehen. Entsprechend legt die GoBD dem Unternehmen diverse Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung der Informationen auf. Dazu gehören Nachvollziehbarkeit und -prüfbarkeit, Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordentlichkeit und Unveränderlichkeit. Diese Anforderungen sind auch auf die Verfahren anzuwenden, die durch die IT abgebildet werden.

Gleichwohl müssen sämtliche Vorgaben über ein internes Kontrollsystem (IKS) umgesetzt werden. Zusätzlich ist eine Verfahrensdokumentation als Nachweis eines ordnungsgemäßen Systembetriebs vorgeschrieben. Das hat zur Folge, dass es zur Erfüllung der GoBD eines Datensicherheitskonzepts mit weitreichenden Maßnahmen zur Sicherung der Informationen vor Verlust bedarf.

S-Ox: Vorschriften für interne Kontrollsysteme in den USA

Entscheidend beeinflusst wurde die Compliance in jüngster Zeit durch Bilanzskandale und Sicherheitspannen in den USA. Die Vorkommnisse hatten Gesetze wie das S-Ox zur Folge, mit dem die US-Regierung das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit von publizierten Unternehmensfinanzdaten wiederaufpolieren wollte. Inhaltlich legt das Gesetz vorwiegend formale Anforderungen fest, die den US-amerikanischen Managern ihre Haftung verdeutlichen. Außerdem lässt sich aus Section 404 analog zu den GoBD die Forderung nach einem IKS ableiten, für dessen Umsetzung jedoch ein IT- Risikomanagement Voraussetzung ist. Zwar wird im S-Ox IT-Sicherheit nicht explizit thematisiert, gesetzestreue Unternehmen können aber nur mit Hilfe einer konsequenten Absicherung ihrer IT und durch den verantwortungsvollen Umgang mit DV-gestützten Informationen den Anforderungen gerecht werden.

COSO: ein Modell für interne Kontrollsysteme

Das Committee of Sponsoring Organizations of the Treadway Commission, eine freiwillige privatwirtschaftliche US-Organisation, hat 1985 ein Modell entwickelt, mit dem sich Finanzberichterstattungen verbessern lassen. Im Fokus stehen ethisches Handeln, wirksame interne Kontrollen und eine faire Unternehmensführung. COSO ist kein Gesetz, sondern dahinter steht ein Modell, das 1992 einen heute von der SEC anerkannten Standard für interne Kontrollen schuf. Das COSO-Modell gliedert sich in drei Bereiche (operationelle Risiken, Finanzberichterstattung, Compliance) und dient der Dokumentation, Analyse und Gestaltung eines IKS. Außerdem legt es die Anforderungen an die Finanzberichterstattung und Buchführung sowie die Voraussetzungen für die Datensicherheit fest. Die Vorgaben beschreiben zusammengenommen im Prinzip die US-amerikanischen Grundsätze ordnungsgemäßer Rechnungslegung einschließlich der Einbeziehung von IT-Maßnahmen.

Kapitaladäquanzrichtlinien für Banken und Versicherungen: Basel II, Solvency II

Auch Banken und Versicherungen sind mittlerweile gezwungen, bei der Kreditvergabe und bei Versicherungsgeschäften die IT-Risiken ihrer Kunden zu berücksichtigen, da sich diese direkt auf die Angebotskonditionen auswirken. Die Baseler Eigenkapitalvereinbarung (Basel II) verfolgt zwei Ziele: Zum einen soll eine angemessene Eigenkapitalausstattung der Banken erreicht werden, zum anderen sollen einheitliche Wettbewerbsbedingungen für Kreditvergabe und -handel geschaffen werden. Die Umsetzung der Vorschriften erfolgt in Deutschland durch das Kreditwesengesetz, die Solvabilitätsverordnung und die Mindestanforderungen an das Risikomanagement (MaRisk). Risikomindernde unternehmensinterne Kontrollen und (IT-)Sicherheitsmaßnahmen wirken sich durch Basel II positiv auf Kreditkonditionen aus. Anders als bei Basel II stehen bei Solvency II nicht die Einzelrisiken, sondern ein ganzheitliches System zur Gesamtsolvabilität im Mittelpunkt.

KWG: aktive Kontrolle über die Kredit- und Finanzbranche

Das Gesetz über das Kreditwesen regelt die Aufsichtsgestaltung über die Kredit- und Finanzdienstleistungsinstitute in Deutschland. Zwei Ziele stehen im Mittelpunkt: Erstens die Sicherung und Erhaltung einer funktionierenden Kreditwirtschaft, zweitens der Gläubigerschutz vor Verlust der Einlagen. Neben Instituts- und Missstandsaufsicht kontrolliert die BaFin regelmäßig, ob die Institute Risiken mit genügend Eigenmitteln hinterlegen, und verfolgt unerlaubte Bank- und Finanzdienstleistungsgeschäfte. Die Regelungen des KWG zwingen Banken und Versicherungen dazu, eine filigranere interne Risikoermittlung durchzuführen. Der verlangte Eigenkapitalanteil muss anhand des ermittelten Risikos festgemacht werden. In die Betrachtung fallen auch operative Risiken, die zum Beispiel beim Einsatz von Informationssystemen entstehen können. Da die Banken die Kreditausfallrisiken ihrer Schuldner berücksichtigen müssen, wirken die Anforderungen mittelbar auf alle Unternehmen, die am Kapitalmarkt Kredite aufnehmen möchten. Ein Unternehmen mit einer schlechten Risikoeinstufung wird, wenn es kreditwürdig ist, einen relativ hohen Kreditzins zu entrichten haben.

Unser Video zu Datensicherheit und IT-Security

Weitere Spezialvorschriften für die Informationssicherheit

Neben den vorgestellten Vorschriften gibt es für den Bereich der Informationssicherheit weiterer Spezialvorschriften, wie:

  • Produkthaftungsgesetz bzw. § 823 BGB (z. B. bei Software-Kauf)
  • Teledienstgesetz (TDG)
  • Telekommunikationsgesetz (TKG)
  • Wassenar-Abkommen (europäische Kryptoregulierung) und zu berücksichtigende länderspezifische Gesetze, die Einschränkungen hinsichtlich der einsetzbaren Verschlüsselungstechnik vorschreiben
  • Grundgesetz Art. 10 und G10-Gesetz
  • Urheberrechtsgesetz (UrhG)
  • IT-bezogene Straftaten des StGB: §§ 202a (Ausspähen von Daten), 202b (Abfangen von Daten), 263a (Computerbetrug), 303a (Datenveränderung), und 303b (Computersabotage)

Informationssicherheit und Compliance sind dynamische Prozesse, keine statischen Zustände

Ein gut durchdachtes IT-Sicherheitskonzept lebt von Neuerungen und Weiterentwicklungen. Daher stellt man sich bei der ADACOR Hosting regelmäßig die Fragen: „Wie können wir die Sicherheit von Unternehmens- und Kundendaten optimieren?“ „Welche neuen Compliance-Anforderungen gibt es?“ „Welche Innovationen bietet uns die Technik beim Cloud Hosting?“ „Wie können wir unsere Kunden bei der Erfüllung der eigenen Compliance-Anforderungen bestmöglich unterstützen?“

Resümee

Im Großen und Ganzen dreht sich alles um das Risikomanagement. Heute laufen die meisten Geschäftsprozesse IT-unterstützt ab, deshalb ist die Sicherheit der verarbeiteten Informationen eine wichtige unternehmerische Aufgabe. Wir haben in unserer gesamten Wertschöpfungskette standardisierte Prozesse verankert. Dank derer können wir im Rahmen unserer IT-Sicherheitsvorgaben schnell und einfach auf Änderungen oder Neuerungen reagieren. Wir ruhen uns natürlich darauf nicht aus, aber der erzielte Sicherheitsgewinn beruhigt uns und unsere Kunden.

Weitere Infos bietet Ihnen unser Whitepaper zu Service-Level-Agreements

Download SLA-Whitepaper

Download des SLA-Whitepapers: Klick auf die Grafik!

Welche Erfahrungen haben Sie zum Thema IT-Compliance gemacht? Wir freuen uns über ihr Feedback @AdacorHosting bei Twitter.

Wir haben die ältere Version des Beitrags im Mai 2016 auf den neuesten Stand der Entwicklung gebracht.

, , , , ,


Weitere Artikel zum Thema lesen

Heute in der Akronymecke – Was ist eine LIR?

Hosting

Heute in der Akronymecke – Was ist eine LIR?

Eine Local Internet Registry ist eine Organisation, der von einer RIR ein Block von IP-Adressen zugeteilt wurde.

weiter lesen

Neues IT-Sicherheitsgesetz verspricht besseren Schutz vor Hacker-Angriffen

Biz & Trends, IT Security

Neues IT-Sicherheitsgesetz verspricht besseren Schutz vor Hacker-Angriffen

Heute wurde das neue IT-Sicherheitsgesetz verabschiedet. Die wichtigsten Änderungen!

weiter lesen

Hosting

Whistleblower-System befördert die Aufrichtigkeit in Unternehmen

Wie Compliance-Fragen mit einer Whistleblower App gelöst werden, steht im Fokus von Got Ethics, die beim Managed Hosting auf filoo setzen. COO Jesper Dannemann...

weiter lesen


Neueste Nachrichten von ADACOR

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Hosting

Pflege und Aufbau eines Datennetzwerks im Rechenzentrum

Konzeptionelle Vorarbeit inklusive der Planung von Redundanzen beim Aufbau eines Datennetzwerks spart im Betrieb Zeit und Kosten.

weiter lesen

Vulnerability Management

Hosting

Mit Vulnerability Management Sicherheitslücken schließen

Durch regelmäßiges Scannen werden Schwachstellen in Systemen und Applikationen erkannt und beseitigt.

weiter lesen

Diese Seite verwendet Cookies, welche uns helfen, unsere Services anzubieten und zu verbessern.
Erfahren Sie mehr über unsere Cookie-Richtlinien. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.