Was ist IT-Compliance?

Bei IT-Compliance geht es um die Sicherstellung und Überwachung der Einhaltung von gesetzlichen, unternehmensinternen und vertraglichen Vorgaben. Sobald IT im Unternehmen eingesetzt wird, wird auch das Thema IT-Compliance wichtig.

Bereiche, in denen im Unternehmen Vorschriften durch den Einsatz von IT zu beachten sind, gibt es viele: Im Zusammenhang mit dem Internetauftritt sind dies zum Beispiel das Telemediengesetz TMG (Impressumspflicht, Pflicht hinsichtlich Datenschutzerklärung, elektronische Einwilligung), das Bundesdatenschutzgesetz BDSG (Verarbeitung von personenbezogenen Daten; z. B. Mitarbeiter-Telefonverzeichnis im Internet), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KonTraG (Überwachungssystem zur Gefahrenerkennung) oder das Urheberrecht UrhG (Fotoveröffentlichung, sonstige Abbildungen).

Bei all diesen Projekten hat die Geschäftsleitung die Pflicht, für die Einhaltung der gesetzlichen Bestimmungen und der unternehmerischen Leitlinien zu sorgen.

Warum IT-Compliance?

Ziel von IT-Compliance ist die umfassende und dauerhafte Einhaltung von Anforderungen des Gesetzgebers und des Unternehmens. Die Missachtung arbeitsrechtlicher oder datenschutzrechtlicher Bestimmungen kann den Glauben an die Integrität des Unternehmens schwer schädigen.

Eine durch ethische Werte geprägte Unternehmenskultur kann die Leistung der Mitarbeiter steigern und legt somit das Fundament für nachhaltigen Erfolg. So festigt sie zum einen die Loyalität der Mitarbeiter und zum anderen stärkt sie die Bindung langjähriger Kunden an das Unternehmen. Daraus resultiert unter anderem eine höhere IT-Sicherheit, da sich loyalere Mitarbeiter hier mehr engagieren.

Wie funktioniert IT-Compliance?

Gerade bei kleineren Unternehmen werden Dinge oft nach dem Motto „das machen wir schon immer so“ umgesetzt. Die dazugehörigen Prozesse sind dann oft nicht gründlich dokumentiert und nur einige, wenige Personen wissen darüber Bescheid.

Um diesem Phänomen entgegenzuwirken, besteht die Kernaufgabe von IT-Compliance in der Dokumentation und der entsprechenden Anpassung der IT-Ressourcen (Hardware, Software, Infrastruktur und Services) und der Analyse und Bewertung der entsprechenden Risiken oder Gefahrenpotentiale. Wichtig ist hierbei, dass die Umsetzung von IT-Compliance als ein dauerhafter Prozess und nicht als kurzfristige Maßnahme aufgefasst wird.

Cloud-Computing und IT-Compliance

Services, wie zum Beispiel IaaS, PaaS und SaaS zählen genauso zu den IT-Ressourcen. Somit fallen auch externe Cloud-Angebote unter die Compliance-Regelung. Doch gerade bei externen Angeboten ist es eine Herausforderung, dort sicherzustellen, dass eigene Compliance-Regelungen umgesetzt und eingehalten werden. Im Rahmen des Cloud-Computings spricht man daher auch von Cloud-Compliance.

Zur Erreichung einer adäquaten Cloud-Compliance gehört es, die Anforderungen insgesamt zu kennen und hinsichtlich ihrer Bedeutung zu bewerten. Die Identifikation als auch die Kategorisierung sollten sowohl für Nutzer als auch für Anbieter von Cloud-Computing individuell für die Geschäftszwecke vorgenommen werden.

Hinter den Anforderungen stehen in aller Regel Ziele zur adäquaten Behandlung klassischer IT-Risiken (Sicherheit, Verfügbarkeit, Vollständigkeit, Nachvollziehbarkeit, etc.). Allerdings ist die Gewichtung bei Cloud-Compliance anders als bei der klassischen IT. So wird der Verfügbarkeit der Internet-Verbindung bei externen Diensten eine sehr hohe Priorität zugeordnet.

Quellen: Wikipedia IT-Compliance | AGA IT-Compliance | Cloud Compliance