COMPLIANCE. Neue rechtliche Vorgaben bedeuten neue Aufgaben für die IT, erlauben aber auch mehr Kontrolle.
In der langen Liste der Schlagworte, die in der IT allgegenwärtig sind, obwohl seine genaue Bedeutung für viele unklar ist, liegt „Compliance“ wohl auf einem Spitzenplatz. Das harmlose Wort bedeutet an sich „Befolgung von Regeln“ – und lässt sich auf Aktiengesellschaften und die Vorschriften des jeweiligen Finanzplatzes ebenso anwenden wie auf Patienten, wenn es darum geht, ob sie brav die verordneten Pillen schlucken. Was Compliance für die IT bedeutet, ergibt sich daraus, welche Regeln befolgt werden sollen oder müssen. Die am häufigsten genannten kommen aus der Finanzwelt und heißen Basel II, Sarbanes-Oxley-Act, kurz SOX, und die 8. EU-Richtlinie („Euro-SOX“), die heuer in nationales Recht umgesetzt werden soll. Die (Bilanz)Zahlen, Aktennotizen und Transaktionen, die laut diesen Regelwerken vorgelegt und nachvollziehbar gemacht werden müssen, werden alle über die Unternehmens-IT abgewickelt und dort gespeichert – womit die Regeln der Finanzmärkte automatisch zu Aufgaben für die IT-Abteilungen werden – gemeinsam mit weiteren nationalen Bestimmungen sowie konzerninternen Vorgaben oder Regelungen, die etwa aus ISO-Qualitätsnormen herrühren.
Größte Herausforderung 2008
Nach Einschätzung der Unternehmensberater Ernst&Young stellen regulative und Complian-ce-Anforderungen für 2008 das größte strategische Risiko für Unternehmen dar, insbesondere wenn sie international tätig und daher gezwungen sind, mehrere verschiedene nationale Regelungen gleichzeitig zu befolgen.
Wer denkt, dass nur große Konzerne betroffen sind, irrt allerdings. EuroSOX etwa gilt neben börsennotierten Unternehmen auch für Unternehmen des öffentlichen Interesses – eine Definition, die viel Spielraum nach unten lässt und neben Telekomunternehmen oder Energieversorgern auch Ämter und Behörden betreffen kann. Auch schlagen die Regelungen teilweise auf Lieferanten durch. „Immer mehr Unternehmen verlangen von ihren Partnern ein SAS70-Zertifikat, das die internen Kontrollen eines Serviceunternehmens bewertet“, weiß Martin Kling, Solution Manager Governance, Risk&Compliance, IDS-Scheer. „Basel II hat etwa zur Folge, dass Unternehmen, die ein Rechenzentrum betreiben, ähnlich einer Bilanzprüfung auch eine IT-Prüfung vorlegen müssen, wenn sie einen günstigen oder überhaupt einen Kredit bekommen wollen“, nennt Martin Hell, Bereichsleiter Business Solutions IT bei Kapsch, ein weiteres Beispiel. „Zu den vorgeschriebenen Regeln kommen oft noch jene, denen sich das Unternehmen freiwillig unterwirft, wie SAS70- oder diverse ISO-Zertifikate, um die Chancen bei Ausschreibungen zu erhöhen“, berichtet Hell.
Vorgaben nun wirklich überprüft
„Die meisten der nun unter Schlagworten wie EuroSOX eingeforderten Standards sind nichts wirklich Neues. Vieles davon ergibt sich auch schon etwa aus dem Handelsgesetz – nur wird die Einhaltung dieser Vorgaben jetzt tatsächlich überprüft“, erklärt Kling. „Nun braucht es einen verantwortlichen Chief Security Officer, der die Daten nicht erst nach einem monatelangen Prüfverfahren, sondern praktisch auf Knopfdruck zur Verfügung haben muss“, ergänzt Hell. Dazu müssen große Datenmengen, etwa die Logfiles von Firewalls an verschiedenen Standorten, zusammengeführt werden. Zudem erfüllen oft mobile Zugänge ins Unternehmensnetz oder die Einbindung von Beratern und Freelancern nicht die geforderten Sicherheitsstandards. Hier würde nur eine umfassende Sicherheitsanalyse Abhilfe schaffen, betont Hell.
Kling ortet das größte Defizit der Unternehmen in der prinzipiellen Herangehensweise: „Die einzelnen Themen werden projektgetrieben angegangen um – meist in letzter Sekunde – irgendwie die erforderlichen Zahlen zu produzieren.“ Was fehlt, ist eine einheitliche Vorgehensweise für alle Compliance-Themen. „Dadurch wird unter anderem vermieden, dass die gleichen Daten mehrmals erhoben werden“, erklärt Kling. „Ideal sind Tools, mit denen eine einheitliche Quelle für alle Audits erstellt werden kann.“ Bei größeren Unternehmen ab etwa 500 Mitarbeitern oder Firmen, die in besonders sensiblen Branchen tätig sind, würde sich der Einsatz spezifischer Compliance-Lösungen auszahlen. „Eine strukturierte Herangehensweiselohnt sich aber für jedes Unternehmen“, so Kling. Nicht zuletzt, weil bei der Erstellung dieser Struktur automatisch die Unternehmensprozesse unter die Lupe genommen werden – und zwar so, wie sie tatsächlich gelebt werden – und so Compliance auch eine bessere Kontrolle nach innen erlaubt.
INFO. Compliance
Unter „Compliance“ versteht man die Einhaltung von Vorschriften und Regeln. In Zusammenhang mit IT kann es sich um Vorschriften handeln, die aufgrund gesetzlicher oder vertraglicher Verpflichtungen einzuhalten sind, oder um Regelwerke, denen sich Firmen freiwillig unterwerfen, um eigene Prozesse zu optimieren oder um Vorteile bei Ausschreibungen respektive bei der Finanzierung (Kreditrating nach Basel II) zu haben.
Die wichtigsten Gesetze sind der Sarbanas-Oxley-Act (SOX), die
8. EU-Richtlinie (EuroSOX) sowie Basel II. Darüber hinaus sind dieSAS70-Zertifizierung, die ISO-Normen 9001 und 27001 sowie firmeninterne Regelungen und Richtlinien Gegenstand von Compliance-Bemühungen.
("Die Presse", Print-Ausgabe, 16.04.2008)