Adacor - IT Security

10. November 2021 von Milan Naybzadeh

So realisieren Sie ein nachhaltiges IT-Compliance-Management-System

Unternehmensweite Compliance ist ein schwer greifbares Ziel. Schon der Begriff ist schwammig. Zum einen bedeutet er die Einhaltung aller gesetzlichen Bestimmungen, zum anderen die Einführung organisatorischer Strukturen im Unternehmen, die dafür sorgen, dass gesetzliche und interne Richtlinien eingehalten werden. Am Ende soll es ein für alle Mitarbeitende verbindlich gültiges und verständliches Regelwerk geben, das mit einem systematischen und nachhaltig geführten Management verbunden ist. Wie lässt sich das am besten umsetzen? Lernen Sie im Artikel das Vorgehen bei Adacor kennen und erfahren Sie, wie Sie die Compliance-Anforderungen vorbildlich erfüllen und größere Risiken verhindern.

Compliance (zu Deutsch: Regeltreue/-konformität) lautet im wirtschaftlichen Fachjargon der Begriff für die Einhaltung von Gesetzen, Regelungen und Vorgaben. Zusätzlich kann Compliance sich auf einen freiwilligen Kodex in einem Unternehmen beziehen. Die Geschäftsführung hat in beiden Fällen die Aufgabe alle anwendbaren Regeln zu berücksichtigen und präventive Maßnahmen zu entwickeln, um etwaigen Regelbrüchen vorzubeugen.

Jedes Unternehmen braucht ein Compliance-Management-System.

Bei Adacor verantwortet die Stabsstelle „Information Security & Compliance (ISM)“ die Umsetzung der Vorgaben aus dem Management. Unser Team Team ist damit betraut, die IT-Compliance im ganzen Unternehmen mit der gebotenen Sorgfalt zu betrachten und zu bewerten. Die Ergebnisse bilden die Basis für die Strategie, aus der wir sinnvolle Maßnahmen (z. B. in Form von Richtlinien oder Schulungen) ableiten und und implementieren.

Impulse für Ihre IT-Sicherheit

Mit dem Adacor Newsletter erhalten Sie monatliche Top-News zu den Themen Cloud, Hosting, IT-Security und Leadership.

Besonders wichtig ist die Vermeidung von Verstößen gegen Gesetze sowie nicht konformes Verhalten gegenüber dem Wertesystem im Unternehmen, da daraus unangenehme Konsequenzen resultieren können: Es drohen Geldstrafen, Schadenersatzklagen, Imageschäden oder der Verlust des guten Rufes. Auch wenn Mitarbeitende Gesetze verletzen hat das Auswirkungen (z. B. Geldstrafen, Schadenersatzforderungen oder arbeitsrechtliche Maßnahmen).

Das Compliance Management bietet Unterstützung um frühzeitig zu erkennen, wenn Pflichten verletzt werden und mögliche Schäden für das Unternehmen zu vermeiden.

Wozu dient ein Compliance Management System?

Mithilfe eines Compliance Management Systems (CMS) kann ein Unternehmen seine Compliance-Ziele festlegen und realisieren. Idealerweise betrachtet das CMS das gesamte Unternehmen und nennt für jeden Bereich spezielle Maßnahmen, mit denen Risiken erkannt und Normverstöße verhindert werden können. Es bewertet und gewichtet einzelne Risiken und leitet daraus sinnvolle Maßnahmen ab. Zusätzlich unterstützt ein Compliance Management System die Verantwortlichen dabei, den Compliance-Gedanken fest in den Köpfen der Mitarbeitenden zu verankern.

Compliance Management nach IDW PS 980

Das Compliance Managements bei Adacor verfolgt das Ziel mithilfe eines risikobasierten Ansatzes mögliche Rechtsrisiken in ihrer Eintrittswahrscheinlichkeit zu mindern. Wir prüfen jeweils, welche Vorarbeiten in einem Bereich bereits umgesetzt worden sind.

Bei der Ausgestaltung unseres Compliance-Management-Systems haben wir uns am Prüfstandard des Instituts der Wirtschaftsprüfer in Deutschland 980 (IDW PS 980) orientiert. Dieser legt sieben Bewertungskriterien für ein Compliance-Management-System zugrunde:

  1. Compliance-Kultur: Hier fließen die Grundeinstellungen und Verhaltensweisen des Unternehmens hinsichtlich Compliance mit ein. Der wichtigste Aspekt ist die Bekenntnis (das Commitment) des Managements („tone at the top”) als Vorbild für die Mitarbeitenden zu agieren. Unsere Geschäftsführung verfasste dafür eine eigene Compliance-Leitlinie.
  2. Compliance-Ziele: Für die Bewertung der Fähigkeiten des Compliance-Management-Systems müssen die gesetzlichen Vertreter Ziele festlegen, die mit dem CMS erreicht werden sollen. Diese sind bei uns ebenfalls in der Compliance-Leitlinie verankert.
  3. Compliance-Organisation: Zur Umsetzung der Ziele bedarf es einer angemessenen Aufbau- und Ablauforganisation. Bei Adacor setzt sich zur Klärung wichtiger Compliance-Fragen regelmäßig eine Gruppe von verantwortlichen Abteilungen zusammen.
  4. Compliance-Risiken: Anhand der Compliance-Ziele müssen die Risiken identifiziert werden, die die Zielerreichung verhindern könnten.
  5. Compliance-Programm: Hier werden alle geplanten und durchgeführten Maßnahmen zur Zielerreichung und Risikoabwehr beschrieben. Die über die Risikobetrachtung identifizierten notwendigen Maßnahmen fließen auf verschiedene Arten und Wege in die alltäglichen Prozesse und Richtlinien unserer Mitarbeitenden ein.
  6. Compliance-Kommunikation: Wichtig ist, dass den betroffenen Personen und Gruppen ihre jeweiligen Verantwortlichkeiten im Kontext der Compliance kommuniziert werden. Im Rahmen von regelmäßigen Schulungen erläutern wir den Mitarbeitenden ihre Pflichten und der Kontext aus denen sie entstehen.
  7. Compliance-Überwachung und -Verbesserung:Die Erreichung der Ziele und Funktionalität der geplanten Maßnahmen muss regelmäßig reviewed werden, um Schwächen und Verbesserungspotenziale zu erkennen. Die abgeleiteten Maßnahmen werden bei Adacor innerhalb des Auditprogramms geprüft. Das Compliance-Management-System wird durch die interne Revision geprüft.

Nachhaltiges Compliance Management bei Adacor

Bei Adacor führen wir eine Liste aller einzuhaltenden Regelungen, die laufend erweitert wird. Der Fokus liegt auf allgemeinen Pflichten, die sich für uns als IT-Dienstleistungsunternehmen aus Gesetzen ableiten lassen. In der Liste stehen keine Pflichten, die außerhalb unserer Verantwortung liegen oder die nur im Einzelfall Anwendung finden (z. B. konkrete Vertragsinhalte).

Betrachtete Rechtsgebiete sind das Telemedien- und Telekommunikationsrecht hinsichtlich der Pflichten, die wir als Internetdienste-Anbieter haben. Zudem fließen in die Betrachtung IT-sicherheitsrechtliche Aspekte, der Datenschutz sowie gewöhnliche arbeits- und wirtschaftsrechtliche Vorgaben ein, die für Adacor als deutsches Unternehmen allgemein gelten.

Effizienter Umgang mit Compliance-Risiken

Der Dreh- und Angelpunkt ist wie bei vielen Managementsystemen eine Risikoanalyse, aus der zu ergreifenden Maßnahmen abgleitet werden. Bei der Risikobewertung werden üblicherweise das Schadensausmaß und die Eintrittswahrscheinlichkeit betrachtet. Eine solche Vorgehensweise ist bei Rechtsverstößen nur bedingt legal bzw. hilfreich. Gesetzliche Regelungen verlangen deren komplette Befolgung und nicht eine abgewogene. Gleichzeitig muss ein Unternehmen mit begrenzten Ressourcen unter Umständen priorisieren.

Bei Adacor nutzen wir Deshalb zwei andere Bewertungsfaktoren: Wir verbinden die potenzielle Bedrohung durch mögliche Sanktionen bei Regelverstoß mit der Größe des Personenkreises innerhalb des Unternehmens, welche den Regelverstoß verursachen könnte.

Bewertungsfaktor 1: Bedrohung durch Sanktionen

Hier geht es um die Sanktionen, die wir bei Adacor bei Verstoß gegen die jeweilige Vorgabe befürchten müssen. Wir unterscheiden nicht nach Auswirkungen der Sanktion selbst, sondern nur nach Art der Sanktion und der jeweiligen Priorität:

  • niedrig: einfache zivilrechtliche Ansprüche (Abmahnung, Unterlassung)
  • mittel: finanzielle Ansprüche (Schadensersatz, Geldbuße, Gewinnabschöpfung)
  • hoch: tatsächliche Einschränkung von Tätigkeiten (Behördenanordnung, Tätigkeitsverbot, Freiheitsstrafe)

Bewertungsfaktor 2: Schwachstelle durch Größe der Gruppe der Normadressaten

Die Schwachstelle für Compliance-Verstöße wird danach bemessen, welche Voraussetzungen Personen haben müssten, um gegen die Normen verstoßen zu können. Daraus ergibt sich indirekt eine quantitative Bewertung der möglichen Vorfälle. Je größer der Personenkreis, desto größer ist die Wahrscheinlichkeit eines Verstoßes. Je kleiner, desto weniger mögliche Fälle gibt es. Bei Adacor unterscheiden wir nach der Größe der potenziell angesprochenen Normadressaten:

  • hoch: alle Mitarbeitenden könnten den Sachverhalt erfüllen (auch unwissentlich)
  • mittel: Personenkreise, die zunächst ein gewisses Wissen, Möglichkeiten oder Fertigkeiten besitzen müssten, um gegen die Norm verstoßen zu können
  • niedrig: nur bestimmte einzelne Personen können den Verstoß begehen (bspw. bei Positionsbezug der Regelung)

Managed Security - Sicherheit auf höchstem Niveau

Die gemanagten Sicherheitslösungen von Adacor schützen Ihre Daten und Systeme optimal. Wir setzen sämtliche regulatorischen Anforderungen, Compliance-Vorgaben und Sicherheitsrichtlinien um.

Erfahren Sie mehr über unsere Managed-Security-Services DDos Protection, Vulnerability Scan, Web Application Firewall und VPN Gateway.

Sinnvolle Bewertung und Planung von Maßnahmen

Für die in der Liste aufgeführten Regelungen berechnen wir anhand der genannten Faktoren ein inhärentes Risiko der Regelung. Die Regelung selbst wird im Risikomanagement-System den Bereichen und Prozessen zugeordnet, in denen sie Anwendung findet. Ebenfalls berücksichtigt wird die Auswirkung der Sanktion auf diese, wodurch sich das Brutto-Risiko für eine Betrachtung ergibt. Anschließend leiten wir zusammen mit den verantwortlichen Fachabteilungen die notwendige Maßnahmen ab und priorisieren diese. Die Ergebnisse der Bewertung und Behandlung werden der Geschäftsführung regelmäßig mitgeteilt.

Fazit: Compliance-Management-System ist eine Notwendigkeit

Das beschriebene Vorgehen ermöglicht uns, viele potenzielle Rechtsfragen im Vorfeld behandeln und die Eintrittswahrscheinlichkeiten von Regelverstößen mindern zu können. Jedoch kommt es bei der juristischen Bewertung immer auf eine Vielzahl von Faktoren an, die den Einzelfall beeinflussen. Auf eine juristische Rechtsberatung kann auch mit dem besten Compliance-Management-System nicht verzichtet werden.Dennoch hilft die Übersicht, einen wichtigen ersten Überblick über die üblichen zu erfüllenden rechtlichen Aufgaben zu erhalten. So gelingt es, die Servicequalität nachhaltig und auf hohem Niveau zu erhalten.

Verwandte Artikel

Neue Impulse gefällig?
Sie erhalten unseren 4-wöchigen Newsletter zu den Themen Cloud, Hosting, IT-Security und Leadership.
Ich kann die Einwilligung jederzeit widerrufen. Ja, die Adacor Datenschutzerklärung habe ich gelesen.