Zwei Seiten einer Medaille - IT-Sicherheit und Compliance

01.11.2007 |

Das Bewusstsein für Compliance-Fragen und der Bedarf nach einer entsprechenden IT-Lösung hält sich in deutschen Unternehmen noch sehr in Grenzen. Marina Walser, Director Identity & Security Management bei Novell verdeutlicht, wie die Erhöhung der IT-Sicherheit durch automatisierte, ganzheitliche Lösungen auch Compliance ermöglicht und damit zwei Fliegen mit einer Klappe geschlagen werden.

Zwei Seiten einer Medaille - IT-Sicherheit und Compliance

Die Überzeugung, dass IT-Maßnahmen nötig sind, wenn es um die Einhaltung gesetzlicher Vorgaben und interner Regelungen geht, setzt sich in Deutschland nur langsam durch. Ein Problem bei Compliance ist es, dass Unternehmen nur sehr schlecht ihren wahren Nutzen ermitteln können und damit zuallererst den Faktor Kosten sehen. Oft wird negativ argumentiert, dass man die Compliance-Vorgaben nur erfülle, um Strafzahlungen abzuwenden. Dabei wird leicht übersehen, dass Compliance kein behördlicher Selbstzweck ist und dass es bei ihrer Erfüllung auch um die Sicherheit des Unternehmens gehen kann.

Die Notwendigkeit IT-gestützter Compliance

Die Friedrich-Alexander-Universität Erlangen-Nürnberg hat gemeinsam mit Novell in einer aktuellen Studie die Vorteile und Herausforderungen IT-gestützter automatisierter Compliance-Lösungen untersucht. Die Studie identifiziert basierend auf Interviews mit Anwenderunternehmen die aktuellen Anforderungen und Vorgehensweisen und ermittelt die Kostentreiber. Dabei offenbart die Studie auch, in welcher Form Unternehmen auf Compliance-Anforderungen reagieren und wie erfolgreiche Lösungen aussehen können. Die wichtigste Lektion daraus: IT-Insellösungen, wie sie derzeit überwiegen, müssen durch zentralisierte Compliance-Systeme abgelöst werden. Nur so lassen sich Compliance-Anforderungen effektiv und effizient durchsetzen.

Zu den gesetzlichen Vorgaben, die Unternehmen einzuhalten haben, gehören unter anderem die internationalen Sarbanes-Oxley Act von 2002 und Basel II aus dem Jahr 2004, bei denen es im weitesten Sinne um das Berichtswesen von Unternehmen geht, oder auch das deutsche Bundesdatenschutzgesetz, welches die Verwendung personenbezogener Daten in IT-Systemen regelt. Bei Verstoß gegen diese Gesetze haben Unternehmen mit Strafzahlungen sowie einem massiven Ansehensverlust zu rechnen. Der Enron-Skandal in den USA hat jedoch andererseits auch gezeigt, dass Verantwortliche sogar persönlich haftbar gemacht werden können. Die Regularien können einen Mißbrauch nicht verhindern wie das Phishing von Bewerberprofilen bei Monster oder die Hypothekenkrise in den USA zeigen. Sie helfen jedoch, solche Mssstände schnell aufzudecken. Damit die gewünschten positiven Effekte entstehen können, müssen die Regularien in ein übergeordnetes Risikomanagement eingebettet werden.

Automatisierte Compliance-Lösungen helfen hierbei weiter. Zu ihren Vorteilen zählen, neben der Minimierung von Risiken, geringere Help-Desk- und Administrations-Kosten sowie weniger Aufwand für Berichte. Zudem können Prozesse optimiert werden, da sie standardisiert, transparenter sowie ausgereifter und dadurch effizienter ablaufen. Damit verbessert sich ganz allgemein die interne Kontrolle und Unternehmen können zukünftige Verbesserungen flexibler angehen. All dies sind Vorteile, die das gesamte Geschäft voranbringen - dennoch sehen viele der in der Studie befragten Unternehmen das Thema Compliance weiterhin als reinen Kostenfaktor, den man sich im Zweifelsfalle auch sparen kann.

Aus Zwei wird Eins

Dabei übersehen sie: Die Verknüpfung von Compliance mit allgemeinen Herausforderungen für die IT-Sicherheit in Unternehmen macht aus dem unangenehmen, weil teuren Anhängsel Compliance einen übergreifenden und damit strategischen Faktor für die gesamte Unternehmens-IT. Denn auch in anderen Bereichen der IT-Infrastruktur sind automatisierte Gesamtlösungen gegenüber manuellen oder Insellösungen klar im Vorteil. Die Ziele, die man bei Compliance verfolgt, also Risikominimierung und Effiktivitätssteigerung, treffen im gleichen Maße auf IT-Sicherheit zu.

Denn wenn es um die IT-Sicherheit geht, dann ist das Bewusstsein für den Unternehmensnutzen akzeptiert: Unternehmen wollen ihre innerhalb der IT-Infrastruktur gespeicherten Daten vor unerlaubtem Zugriff schützen. Dafür sind diverse Maßnahmen notwendig, die von der korrekten Zuteilung aller notwendigen Ressourcen und Identitäten für jeden einzelnen Mitarbeiter bis zur Kontrolle aller externen und internen Zugriffe auf das Unternehmensnetzwerk reichen. Mit einer umfassenden Lösung für Mitarbeiter-Provisioning sowie Identity- und Access-Management ist gewährleistet, dass alle Informationen nur von den Mitarbeitern genutzt werden, die dafür auch autorisiert sind.

Diese Lösungen für automatisiertes Management dienen letztendlich auch der Compliance. Sie schützen personenbezogene Daten, regeln den Umgang mit Informationen, die in Geschäftsberichte Eingang finden und mindern das Risiko von Gesetzesverstößen, Strafzahlungen und Imageverlust. Damit schließt sich der Kreis. Denn nur wenn Compliance und IT-Sicherheit als zwei Seiten der selben Medaille gesehen werden, sind Unternehmen und Behörden wirklich umfassend geschützt.

Quelle: Pressemeldung © 2007 Novell, Inc.

Dieser Beitrag wurde bisher 1144 mal gelesen.
(Rang 1135 auf Doppelklicker.de)