Die Bedenken der Anwender

Warum IT-Compliance so schwer fällt

09.11.2011, von Matthias Zacher

Unternehmen belassen es bei IT-Sicherheit oft mit Teilumsetzungen. Dafür gibt es zwar gute Gründe. Doch werden sie damit Compliance-Anforderungen nicht gerecht, schreibt Matthias Zacher von IDC in seiner Kolumne.

Die Abwehr von Angriffen auf die IT und Daten sowie der Schutz und die Beseitigung von Schwachstellen gestalten sich zunehmend komplexer und aufwendiger. Eine bisher geschlossene, nach außen abgeschottete Unternehmens-IT mit festen Ein- und Ausgängen wird abgelöst von losen Gebilden mit einer Vielzahl von Zugriffspunkten, temporären Beziehungen und oftmals unbekannten Akteuren. Die Grenzen zwischen der eigenen IT und den Systemen und Services Dritter werden immer undeutlicher.

Matthias Zacher ist Senior Consultant bei IDC in Frankfurt.Vergrößern
Matthias Zacher ist Senior Consultant bei IDC in Frankfurt.
Foto: IDC

Aktuell sind die meisten Unternehmen jedoch in Produktions- und Lieferketten eingebunden und der Datenaustausch innerhalb solcher Gebilde findet zwischen vernetzten Informations- und Kommunikationssystemen statt. Es liegt daher auf der Hand, dass solch ein Gesamtsystem nur so sicher ist wie das schwächste Glied innerhalb der Kette.

Welche gesetzlichen Anforderungen es gibt

Seit mehr als zehn Jahren unterliegen IT-Verantwortliche einem mehr oder minder starken Regulierungsdruck. Von allen Seiten werden Unternehmen mit neuen Gesetzen, Standards und Richtlinien penetriert. Beispielsweise von der EU-Kommission, der Bundesregierung oder unterschiedlichen Industriekonsortien. Zu den Gesetzen und Richtlinien, die für IT-Verantwortliche in Deutschland relevant sind, zählen das Bundesdatenschutzgesetz, die EU Direktive 136, die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) oder das Telekommunikations- und Telemediengesetz.

Dr. Martin Bartonitz - 11.11.2011 10:07
Es gibt inzwischen über 25.000 Regeln, die das Vertrauen in unsere Geschäfte stärken sollen. Da ist es offensichtlich sehr schwierig, komplett überall mit dem richtigen Risikomanangement am Ball zu bleiben. Wir bemerken derzeit eine zunehmende Informationsnachfrage zum Stichwort "Internes Kontrollsystem". Wir bieten mit unserem Enterprise Content Management System vorrangig den revisionssicheren Schutz auf die unstrukturierten Daten, sprich Geschäftsdokumente. Wir haben in diesem Jahr speziell eine Masterarbeit zu dem Thema "Internes Kontrollsystem" im Kontext unseres Produktes begleitet. Uns interessierte hier die die Implementierung einer entsprechenden Anwendung auf Basis unseres Produktes. Da das SAPERION ECM System die Prüfobjekte verwalten kann, liegt es auch nicht fern, die Aufgabensteuerung als auch das Berichtswesen gleich mit anzubieten. Christine Mummert, damals die Studentin, heute inzwischen bei uns im Produktmanagement fest angestellt, konnte ihre Arbeiten auf einem schon fertigen Szenario einer Versicherung aufsetzen. Diese hat sich damit für SAS 70 II schon das zweite Mal zertifizieren lassen. Wer Interesse an den Erkenntnissen der Masterarbeit hat, dem Empfehle ich die Lektüre einer Artikelserie von Frau Mummert: http://www.saperionblog.com/tag/iks-serie
Weitere Inhalte zu:
Compliance, IT-Sicherheit, Services, GDPdU, EU-Kommission