Auch wenn das Wort hochtechnisch und kompliziert klingt: "Compliant" zu handeln heißt zunächst nichts anderes, als sich an geltendes Recht, branchenübliche Standards oder freiwillige Selbstverpflichtungen zu halten – also "regelkonform" zu handeln. Der Begriff Compliance (zu Deutsch: Konformität, Einhaltung, Übereinstimmung) wird dabei quer durch alle Wirtschaftsbereiche verwendet, weshalb man in der Welt der IT auch von "IT-Compliance" spricht, um das Thema einzugrenzen. In der betrieblichen Praxis wird Compliance oft stiefmütterlich behandelt, entsprechende Regeln sind meist nur in größeren Unternehmen vorhanden. Dabei drohen Unternehmern zum Beispiel bei einem Datenleck empfindliche Strafen, falls der Vorfall auf nicht regelkonformes Verhalten zurückzuführen ist.
Unternehmen, die Kundendaten speichern und verarbeiten, sind strengen Regelungen unterworfen, wie diese Daten geschützt werden müssen und in welchem Rahmen sie verwendet und weitergegeben werden dürfen. Wie in allen Bereichen der Rechtsprechung gilt: Unwissenheit schützt nicht vor Strafe. Das Problem: Das Einhalten von Recht und Gesetz muss im gesamten Unternehmen und von allen Mitarbeitern gelebt werden – das Sprichwort mit der Kette und ihrem schwächsten Glied trifft auch hier zu. Um gerichtlichen Ärger und Abmahnungen zu verhindern, sollten Unternehmen daher IT-Compliance-Richtlinien (sog. Policies) aufstellen, die für alle Mitarbeiter verbindlich sind. Anschließend muss deren Befolgung im Unternehmen überwacht und durchgesetzt werden. Nur so kann die IT erfolgreich geschützt und eine ausreichende Datensicherheit gewährleistet werden.
Die gesetzlichen Bestimmungen sind sehr umfangreich und unterscheiden sich nach Branche und Art des Unternehmens. Telekommunikationsanbieter müssen zum Beispiel nicht nur geeignete Maßnahmen ergreifen, um die Verbreitung von Schadsoftware einzudämmen, sie haben auch eine Meldepflicht bei Angriffen auf ihre Infrastruktur. Kommen sie dieser Meldepflicht nicht nach, da beispielsweise keine Frühwarnsysteme vorhanden sind, droht nach § 43 Abs. 1 Bundesdatenschutzgesetz ein Bußgeld in Höhe von 50.000 Euro.
Alle Unternehmen, die persönliche Daten Ihrer Kunden erheben, speichern und verarbeiten, müssen technische Maßnahmen ergreifen, um einen unerlaubten Zugriff auf ihre Telekommunikations- und Datenverarbeitungssysteme zu verhindern. Gelangen Kundendaten durch fehlende oder ungenügende IT-Compliance-Maßnahmen in falsche Hände oder werden ohne die Einwilligung der Personen für nicht vorgesehene Zwecke missbraucht, sieht das Bundesdatenschutzgesetz bei Fahrlässigkeit Strafen bis zu 300.000 Euro vor. Hinzu kommen in allen Fällen unter Umständen Schadenersatzforderungen der betroffenen Kunden.
Bußgeld oder 4 % des Jahresumsatzes sieht die EU-DSGVO als Strafzahlung bei Verstößen gegen den Datenschutz vor – je nachdem, welche Summe höher ausfällt.
Grundsätzlich ist die Unternehmensleitung in der Pflicht, die Einhaltung der Gesetze in ihrem Unternehmen zu überwachen. Natürlich kann sie diese Verantwortung aber auch an jemanden delegieren, der die Vorschriften der Branche kennt und weiß, welche technischen Maßnahmen erforderlich und angemessen sind. Falls vorhanden, wird daher oft die IT-Abteilung bzw. der Administrator mit diesen Aufgaben betreut, der dann in Abstimmung mit der Unternehmensleitung die IT-Compliance-Policies entwickelt. Mit Hilfe des Policy Managements kann er deren Einhaltung überwachen. Welche Gesetze die eigene Branche und das eigene Unternehmen konkret betreffen, ist oft nur schwer festzustellen. Professionelle IT-Security-Dienstleister – wie zum Beispiel G DATA – können helfen, die eigenen Compliance-Vorgaben auf die relevanten Gesetze und Anforderungen abzustimmen.
Eine große Hilfe bei der Durchsetzung der Compliance-Vorgaben ist eine Policy Management Lösung, die unter anderem regelt, welche Rechte die Angestellten im Netzwerk oder auf ihren PCs und Mobilgeräten haben. Der IT-Administrator kann mithilfe des Policy Managements beispielsweise festlegen, dass an Notebooks keine USB-Speichermedien genutzt werden dürfen – oder dass die Datenbank mit den Kundendaten nur von bestimmten Nutzergruppen und nur im internen Netzwerk der Firma eingesehen werden darf. Auch private Geräte, die Beschäftigte in der Firma nutzen ("Bring Your Own Device" oder "BYOD"), müssen bei der Umsetzung der IT-Compliance mit einbezogen werden. Der Einsatz eines effektiven Mobile Device Management stellt hier eine gute Lösung dar. Geht ein Smartphone mit firmeninternen Daten verloren, können damit zum Beispiel aus der Ferne alle Daten des betroffenen Geräts gelöscht werden.
Eine Zertifizierung nach ISO 19600 in Verbindung mit der Einführung eines Compliance Management Systems kann ebenfalls eine sinnvolle Lösung sein. Tritt ein Ernstfall ein, hat ein Unternehmen so den Nachweis, dass ausreichende Maßnahmen ergriffen wurden, um Schaden abzuwenden.
Um die eigenen Unternehmensrichtlinien wirksam durchzusetzen, sollte eine Policy Management Lösung beispielsweise eine Gerätekontrolle ermöglichen. Damit können IT-Administratoren verhindern, dass Mitarbeiter USB-Sticks oder andere externe Laufwerke an Firmenrechnern nutzen. So schützen sie ihr Netzwerk etwa vor USB-Sticks mit Malware, die Angreifer auf dem Firmenparkplatz verteilen. Und davor, dass sensible Firmendaten von Endpoints kopiert werden, die bewusst vom Netzwerk abgeschottet sind.
Ein weiterer wichtiger Bestandteil des Policy Managements ist die Anwendungskontrolle durch Black- oder Whitelisting: Dadurch kann festgelegt werden, welche Anwendungen die Angestellten auf den Firmenrechnern installieren oder starten dürfen. Es wird somit verhindert, dass beispielsweise über Instant Messenger unbemerkt Informationen aus dem Netzwerk geschleust werden.
Policy Management sollte zudem ermöglichen, einzelne Webseiten für die Beschäftigten zu sperren, um die Sicherheit der Endpoints zu gewährleisten. Zu guter Letzt können Administratoren mithilfe eines guten Policy Managements festlegen, wie lange einzelne Nutzer oder Gruppen das Internet nutzen dürfen.
Bei der Durchsetzung der IT-Compliance-Anforderungen muss darauf geachtet werden die Rechte der Arbeitnehmer nicht zu verletzen. Es dürfen beispielsweise nicht wahllos die Geräte der Angestellten nach Firmendaten durchsucht werden, wenn dabei die Gefahr besteht, dass auch private Informationen eingesehen werden. Außerdem sollten die Mitarbeiter selbst zur Einhaltung der IT-Compliance-Vorgaben beitragen, indem sie für Datenschutz sensibilisiert werden.
Zusätzlich sollte auch bei der Auswahl von IT-Ressourcen darauf geachtet werden, dass die IT-Compliance gewährleistet bleibt. Es empfiehlt sich, eine Sicherheitslösung zu wählen, bei der garantiert ist, dass keine Zugriffe durch Dritte wie etwa ausländische Geheimdienste stattfinden. Bei G DATA erfolgen Forschung und Software-Entwicklung ausschließlich in Deutschland. Die Sicherheitslösungen entsprechen daher den strengen deutschen und europäischen Datenschutzgesetzen und enthalten keine Hintertüren für Geheimdienste.