Vertrauen ist gut – Compliance ist besser (Teil 2)

Wie funktioniert erfolgreiches Compliance?

Die deutsche Wirtschaft zählt rund 2,2 Mio. KMU (www.destatis.de, Statistisches Bundesamt, Stand 2013). Deren regulatorisches Umfeld wird immer anspruchsvoller. Die Behörden zögern nicht mehr, auch KMU bei Rechtsverstößen mit drakonischen Sanktionen und Auflagen in die Pflicht zu nehmen. Eine gute Compliance hilft, diese zu verhindern.

Zahlreiche Unternehmer glauben, es genüge, Ideale und Werte vorzuleben und den eigenen Mitarbeitern uneingeschränkt zu vertrauen, um sicherzustellen, dass sich alle an die Gesetze und die internen Regeln halten. Es gab und gibt immer noch viele Fälle, in welchen die KMU besonders anfällig sind für rechtswidriges Verhalten im Gegensatz zu Großunternehmen. Es gibt immer wieder Beispiele von Korruption, dem gezielten Nach-Außen-Tragen von Firmengeheimnissen oder schlichthin einem sehr verantwortungslosem Umgang mit Sicherheitsrichtlinien und Compliance-Regeln im Unternehmen. Egal von welcher Art der Mißbrauch ist, er schadet dem Unternehmen immens. In all diesen Fällen spielen die IT-Sicherheitsrichtlinien eine elementare Rolle im Zusammenhang mit einer ganzheitlichen Compliance im Unternehmen. In all diesen Fällen stellt sich die Frage, ob die verantwortlichen Organe des KMU alles getan haben, um einen Rechtsverstoß zu vermeiden.

Compliance soll die festgestellten rechtlichen Risiken minimieren und im besten Fall sogar beseitigen. Dafür muss man diese Risiken vorher kennen und identifizieren. Zu den typischen Risiken gehören beispielweise die Ablage von wichtigen Dokumenten, mit sensiblen Inhalten in einem DMS oder auf dem Fileserver. An sich ist das Thema bereits aus technischer Sicht sicherheitsrelevant, aber in der Realität kommt zusätzlich das Verhalten der Beteiligten hinzu. Überforderte Mitarbeiter der IT-Abteilung, der tägliche Anstieg von Unternehmensdaten und fachlich eingesetzte Mitarbeiter ohne fundierte IT-Kenntnisse bieten Angriffspunkte, so dass diese Sicherheitsrelevanz angegriffen werden kann. Besonders anfällig wird das Ganze beim Integrieren von alten Datenbeständen in neue Strukturen, was u.a. beim Kauf oder bei der Umstrukturierung eines Unternehmens oder einzelnen Abteilungen vorkommen kann. Das Hauptaugenmerk liegt dann oftmals nicht auf dem Thema Compliance bzw. ob die Datenberechtigung für die neuen Kollegen oder neuen technischen Aspekten sicherheitskonform mit den bestehenden Regeln ist.

Die zwei wichtigsten Compliance-Prinzipien

Hier gilt es Fehler und Lücken zu erkennen und mit der frühzeitigen Planung bzw. mit Präventionsmaßnahmen anzusetzen. Es existieren keine IT-Standardlösungen, welche alles abdecken, da die IT an ihre Grenzen stößt, sobald man menschliches Handeln und das Verständnis von Regeln mit einbezieht. Aus diesem Grund kann man u.a. folgende zwei Prinzipen als wichtige Grundlage für eine erfolgreiche Compliance ansehen:

  • Verantwortung: die Führungskräfte müssen die Verantwortung tragen und die Compliance-Kultur des Unternehmens vorleben
  • Kontrolle: das Thema ist das wohl unbeliebteste und mit Sicherheit auch die umstrittenste Aufgabe des Managements, Grundlage von Kontrolle muss Vertrauen sein!

 

Die wichtigsten zwei Compliance Prinzipien

Die wichtigsten zwei Compliance-Prinzipien. Quelle: Eduard Daoud

Wenn die Unternehmensleitung die wichtigen Elemente der erfolgreichen Compliance, wie Orientierungshilfe, Schulung, klare Prozesse und vollständige Dokumentation, sicherstellt, bleibt das Thema trotzdem oft auf der Strecke bzw. wird nicht ausreichend betrachtet. Heutzutage wird hierbei die Unterstützung der IT benötigt.

Wie kann und sollte man kontrollieren?

Aus KMU-Sicht ist das Thema Compliance sehr aufwändig und ressourcenintensiv. Zusätzlich scheint es keinen direkten Gewinn in der Wertschöpfungskette zu geben und wirkt dadurch unproduktiv. Je einfacher die Kontrolle, desto besser und effektiver lässt sich dieses Thema durchsetzen. Es gibt zahlreiche Kontrollpunkte, mit denen ein effektiver Abgleich der festgelegten Sicherheitsrichtlinien mit dem IST-Zustand des Systems möglich ist. Damit können Fehler und Lücken im System aufgedeckt werden. Wichtig dabei ist, den Mitarbeiter in den gesamten Prozess mit einzubinden. Geben Sie die Kontrolle an den Mitarbeiter weiter, behalten Sie aber gleichzeitig den Überblick, um Überraschungen zu vermeiden.

Beispiel aus der Praxis:

Dank der modernen Technik, wie Enterprise Search, können Sie Ihren Mitarbeitern ein Compliance Dashboard und damit eine Ansicht zur Verfügung stellen, in welcher er seine Datenberechtigungen überprüft und selbst Fehler korrigiert. Egal, wo die Daten abgelegt sind, ob das in einem DMS, einer E-Mail oder auf dem Fileserver ist, mit dem Compliance-Dashboard behält er den Überblick auf seine relevanten Daten. Schauen Sie in unsere Fallstudie von: intergator Trusted Search Appliance bei der Viessmann Gruppe.

Effektive Compliance zahlt sich aus und gilt als Wettbewerbsvorteil!

Zusammenfassung als Liste:

  • Vertrauen ist gut – Compliance ist besser
  • Risiken mindern
  • Mitarbeiter mit einbinden
  • Effektive IT-Unterstützung
  • Keine Standardlösungen

Lesen Sie hier den 1.Teil unseres Beitrags: Informationssicherheit und Datenschutz in Enterprise Search-Lösungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.