Was ist eigentlich IT-Compliance?

G DATA Ratgeber

Auch wenn das Wort hochtechnisch und kompliziert klingt: "Compliant" zu handeln heißt zunächst nichts anderes, als sich an geltendes Recht, branchenübliche Standards oder freiwillige Selbstverpflichtungen zu halten – also "regelkonform" zu handeln. Der Begriff Compliance (zu Deutsch: Konformität, Einhaltung, Übereinstimmung) wird dabei quer durch alle Wirtschaftsbereiche verwendet, weshalb man in der Welt der IT auch von "IT-Compliance" spricht, um das Thema einzugrenzen. In der betrieblichen Praxis wird Compliance oft stiefmütterlich behandelt, entsprechende Regeln sind meist nur in größeren Unternehmen vorhanden. Dabei drohen Unternehmern zum Beispiel bei einem Datenleck empfindliche Strafen, falls der Vorfall auf nicht regelkonformes Verhalten zurückzuführen ist.

Warum ist IT-Compliance wichtig?

Unternehmen, die Kundendaten speichern und verarbeiten, sind strengen Regelungen unterworfen, wie diese Daten geschützt werden müssen und in welchem Rahmen sie verwendet und weitergegeben werden dürfen. Wie in allen Bereichen der Rechtsprechung gilt: Unwissenheit schützt nicht vor Strafe. Das Problem: Das Einhalten von Recht und Gesetz muss im gesamten Unternehmen und von allen Mitarbeitern gelebt werden – das Sprichwort mit der Kette und ihrem schwächsten Glied trifft auch hier zu. Um gerichtlichen Ärger und Abmahnungen zu verhindern, sollten Unternehmen daher IT-Compliance-Richtlinien (sog. Policies) aufstellen, die für alle Mitarbeiter verbindlich sind. Anschließend muss deren Befolgung im Unternehmen überwacht und durchgesetzt werden. Nur so kann die IT erfolgreich geschützt und eine ausreichende Datensicherheit gewährleistet werden.

Die gesetzlichen Bestimmungen sind sehr umfangreich und unterscheiden sich nach Branche und Art des Unternehmens. Telekommunikationsanbieter müssen zum Beispiel nicht nur geeignete Maßnahmen ergreifen, um die Verbreitung von Schadsoftware einzudämmen, sie haben auch eine Meldepflicht bei Angriffen auf ihre Infrastruktur. Kommen sie dieser Meldepflicht nicht nach, da beispielsweise keine Frühwarnsysteme vorhanden sind, droht nach § 43 Abs. 1 Bundesdatenschutzgesetz ein Bußgeld in Höhe von 50.000 Euro.

Alle Unternehmen, die persönliche Daten Ihrer Kunden erheben, speichern und verarbeiten, müssen technische Maßnahmen ergreifen, um einen unerlaubten Zugriff auf ihre Telekommunikations- und Datenverarbeitungssysteme zu verhindern. Gelangen Kundendaten durch fehlende oder ungenügende IT-Compliance-Maßnahmen in falsche Hände oder werden ohne die Einwilligung der Personen für nicht vorgesehene Zwecke missbraucht, sieht das Bundesdatenschutzgesetz bei Fahrlässigkeit Strafen bis zu 300.000 Euro vor. Hinzu kommen in allen Fällen unter Umständen Schadenersatzforderungen der betroffenen Kunden.

20

Bußgeld oder 4 % des Jahresumsatzes sieht die EU-DSGVO als Strafzahlung bei Verstößen gegen den Datenschutz vor – je nachdem, welche Summe höher ausfällt.

(Quelle: Art. 83 EU-DSGVO)

Wer muss auf die Einhaltung von IT-Compliance-Richtlinien achten?

Grundsätzlich ist die Unternehmensleitung in der Pflicht, die Einhaltung der Gesetze in ihrem Unternehmen zu überwachen. Natürlich kann sie diese Verantwortung aber auch an jemanden delegieren, der die Vorschriften der Branche kennt und weiß, welche technischen Maßnahmen erforderlich und angemessen sind. Falls vorhanden, wird daher oft die IT-Abteilung bzw. der Administrator mit diesen Aufgaben betreut, der dann in Abstimmung mit der Unternehmensleitung die IT-Compliance-Policies entwickelt. Mit Hilfe des Policy Managements kann er deren Einhaltung überwachen. Welche Gesetze die eigene Branche und das eigene Unternehmen konkret betreffen, ist oft nur schwer festzustellen. Professionelle IT-Security-Dienstleister – wie zum Beispiel G DATA – können helfen, die eigenen Compliance-Vorgaben auf die relevanten Gesetze und Anforderungen abzustimmen.

Diese Branchen gehören zu den "Kritischen Infrastrukturen"
Vor allem sogenannte "Kritische Infrastrukturen" (KRITIS) müssen strenge Anforderungen erfüllen. Welche Branchen dazugehören, ist in der "KRITIS-Verordnung" (BSI-KritisV) festgehalten.

Die wichtigsten Gesetze, Verordnungen und Standards im IT-Bereich

Bundesdatenschutzgesetz (BDSG) 

Um die Privatsphäre der Bürger zu schützen, ist im BDSG der Umgang mit personenbezogenen Daten geregelt. Es gilt als eines der strengsten Datenschutzgesetze der Welt und verbietet es beispielsweise grundsätzlich, personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. Ausnahmen sind natürlich möglich und vorgesehen – zum Beispiel durch die Einwilligung des Nutzers – aber streng geregelt. Es gilt daher ein "Verbotsprinzip mit Erlaubnisvorbehalt".

IT-Sicherheitsgesetz

Im IT-Sicherheitsgesetz – oder "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" – ist festgehalten, welchen Anforderungen die Betreiber "kritischer Infrastrukturen" (KRITIS) im Bereich IT Security unterworfen sind. Zu diesem Kreis zählen beispielsweise Strom- und Wassernetzbetreiber, Telekommunikationsanbieter oder Krankenhäuser. Diese Unternehmen unterliegen besonders strengen gesetzlichen Anforderungen zum Thema IT-Compliance. Sie müssen beispielsweise Angriffe auf ihre Systeme frühzeitig an das BSI melden und ein "Information Security Management System" (ISMS) betreiben. In der zugehörigen "KRITIS-Verordnung" (BSI-KritisV) ist festgelegt, welche Branchen unter das IT-Sicherheitsgesetz fallen.

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die EU-DSGVO trat in allen Ländern der EU am 25. Mai 2018 in Kraft. Ziel der Verordnung ist es, die Verarbeitung von personenbezogenen Daten durch private Unternehmen innerhalb der EU zu vereinheitlichen.

ISO 19600

Die internationale Norm beschreibt Standards für den Einsatz von Compliance-Management-Systemen, die Fehlverhalten von Mitarbeitern aufdecken sollen. Eine Zertifizierung nach ISO 19600 dient einem Unternehmen als Nachweis dafür, dass ausreichende Maßnahmen zur Compliance-Sicherung ergriffen wurden.

Wie überwache ich die Einhaltung der IT-Compliance-Richtlinien?

Eine große Hilfe bei der Durchsetzung der Compliance-Vorgaben ist eine Policy Management Lösung, die unter anderem regelt, welche Rechte die Angestellten im Netzwerk oder auf ihren PCs und Mobilgeräten haben. Der IT-Administrator kann mithilfe des Policy Managements beispielsweise festlegen, dass an Notebooks keine USB-Speichermedien genutzt werden dürfen – oder dass die Datenbank mit den Kundendaten nur von bestimmten Nutzergruppen und nur im internen Netzwerk der Firma eingesehen werden darf. Auch private Geräte, die Beschäftigte in der Firma nutzen ("Bring Your Own Device" oder "BYOD"), müssen bei der Umsetzung der IT-Compliance mit einbezogen werden. Der Einsatz eines effektiven Mobile Device Management stellt hier eine gute Lösung dar. Geht ein Smartphone mit firmeninternen Daten verloren, können damit zum Beispiel aus der Ferne alle Daten des betroffenen Geräts gelöscht werden.

Eine Zertifizierung nach ISO 19600 in Verbindung mit der Einführung eines Compliance Management Systems kann ebenfalls eine sinnvolle Lösung sein. Tritt ein Ernstfall ein, hat ein Unternehmen so den Nachweis, dass ausreichende Maßnahmen ergriffen wurden, um Schaden abzuwenden.

Was sollte eine Policy Management Lösung leisten?

Um die eigenen Unternehmensrichtlinien wirksam durchzusetzen, sollte eine Policy Management Lösung beispielsweise eine Gerätekontrolle ermöglichen. Damit können IT-Administratoren verhindern, dass Mitarbeiter USB-Sticks oder andere externe Laufwerke an Firmenrechnern nutzen. So schützen sie ihr Netzwerk etwa vor USB-Sticks mit Malware, die Angreifer auf dem Firmenparkplatz verteilen. Und davor, dass sensible Firmendaten von Endpoints kopiert werden, die bewusst vom Netzwerk abgeschottet sind.

Ein weiterer wichtiger Bestandteil des Policy Managements ist die Anwendungskontrolle durch Black- oder Whitelisting: Dadurch kann festgelegt werden, welche Anwendungen die Angestellten auf den Firmenrechnern installieren oder starten dürfen. Es wird somit verhindert, dass beispielsweise über Instant Messenger unbemerkt Informationen aus dem Netzwerk geschleust werden.

Policy Management sollte zudem ermöglichen, einzelne Webseiten für die Beschäftigten zu sperren, um die Sicherheit der Endpoints zu gewährleisten. Zu guter Letzt können Administratoren mithilfe eines guten Policy Managements festlegen, wie lange einzelne Nutzer oder Gruppen das Internet nutzen dürfen.

Welche Herausforderungen können sich bei der Umsetzung der IT-Compliance-Richtlinien ergeben?

Bei der Durchsetzung der IT-Compliance-Anforderungen muss darauf geachtet werden die Rechte der Arbeitnehmer nicht zu verletzen. Es dürfen beispielsweise nicht wahllos die Geräte der Angestellten nach Firmendaten durchsucht werden, wenn dabei die Gefahr besteht, dass auch private Informationen eingesehen werden. Außerdem sollten die Mitarbeiter selbst zur Einhaltung der IT-Compliance-Vorgaben beitragen, indem sie für Datenschutz sensibilisiert werden.

Zusätzlich sollte auch bei der Auswahl von IT-Ressourcen darauf geachtet werden, dass die IT-Compliance gewährleistet bleibt. Es empfiehlt sich, eine Sicherheitslösung zu wählen, bei der garantiert ist, dass keine Zugriffe durch Dritte wie etwa ausländische Geheimdienste stattfinden. Bei G DATA erfolgen Forschung und Software-Entwicklung ausschließlich in Deutschland. Die Sicherheitslösungen entsprechen daher den strengen deutschen und europäischen Datenschutzgesetzen und enthalten keine Hintertüren für Geheimdienste.

Mehr zur G DATA Endpoint Protection

Der Chef kann sehen, was der Mitarbeiter am Rechner macht
Die Rechte der Angestellten müssen bei der Umsetzung der Compliance-Anforderungen berücksichtigt werden.