IT-Compliance

Was gibt es bei IT Compliance, Datenschutz und Informationssicherheit zu beachten?

IT-Compliance betrifft die Informationstechnik (IT) eines Unternehmens oder einer Organisation. Die IT-Compliance umfasst die Einhaltung rechtlicher IT-Vorgaben. Zur IT-Compliance gehören auch interne sowie vertraglich festgelegte IT-Vorschriften. Diese Vorschriften gelten für IT-Prozesse und IT-Systeme. Neben freiwilligen Richtlinien und einschlägigen Sicherheitsstandards wie ISO 27001, COBIT (Control Objectives for Information and Related Technology) oder ITIL (Information Technology Infrastructure Library) sorgen Gesetze, Normen und Grundsätze dafür, dass sich Unternehmen ihrer damit verbundenen Handlungsweisen und Haftungsverpflichtungen bewusst sind. Durch die Vorgaben sind die Anforderungen an Datenschutz und IT-Sicherheit sehr hoch. Der Datenschutz von Unternehmen ist ein komplexes und schwieriges Thema. Das transatlantische Datenschutzabkommen EU-US Privacy Shield wurde vom Europäischen Gerichtshof für ungültig erklärt und das mit weitreichenden Folgen. Es ist schwieriger geworden, die Daten eines Unternehmens zu schützen. Organisationen und Firmen nutzen oft US-Software wie beispielsweise Programme und Betriebssysteme des Softwareriesen Microsoft. Der Einsatz von US-Software birgt die Gefahr, dass Daten über Personen und Unternehmensstrukturen in die USA weitergeleitet werden. Es ist wichtig, die IT-Compliance zu optimieren, um gesetzliche Vorgaben sowie vertraglich festgelegte IT-Vorschriften einzuhalten.

Warum ist IT-Compliance wichtig?

IT-Compliance-Systeme bieten den Verantwortlichen eines Unternehmens viele Vorteile. Geschäftsführer einer GmbH sind haftbar (§ 43 GmbHG) und müssen persönlich die Verantwortung übernehmen, wenn gesetzliche Regelungen nicht eingehalten werden. Ein IT-Compliance-System hilft den Verantwortlichen bei der Einhaltung der gesetzlichen IT-Regeln. Durch die Einführung von IT-Compliance-Systemen wirkt ein Unternehmen seriös und glaubwürdig. Das schafft auch bei Kapitalgebern und Banken vertrauen. Firmen können ihr Schadensrisiko reduzieren und für Kostenoptimierung und Kostentransparenz sorgen. Lizenzverstöße werden geahndet und führen zu vergleichsweise hohen Kosten. Durch IT-Compliance sollen Lizenzverstöße verhindert werden.

Wie werden Datenschutz, Informationssicherheit und IT-Compliance differenziert?

IT-Compliance beinhaltet alle wesentlichen Gesetzgebungen (DSGVO und andere Regeln), die ein Unternehmen beachten muss. Die Anforderungen, die sich aus den Gesetzen, Verordnungen und Vereinbarungen ergeben, fließen in IT-Compliance ein.

EDV-Systeme in Firmen und Organisationen müssen sicher und integer sein. Der Bereich Informationssicherheit beinhaltet Maßnahmen, die die Integrität und Vertraulichkeit von Unternehmensdaten sicherstellt. Zur Informationssicherheit gehören auch Maßnahmen, die dafür sorgen, dass befugte Personen sicher auf Unternehmensdaten zugreifen können. Der Datenschutz ist in Deutschland und Europa ein wichtiges Thema. Die Daten von Privatpersonen, Internetnutzern und Unternehmen müssen ausreichend geschützt werden. Die DSGVO (Datenschutz-Grundverordnung) gilt europaweit. Die DSGVO beinhaltet Vorschriften, die natürliche Personen schützen sollen. Natürliche Personen haben das Grundrecht, ihre personenbezogenen Daten zu schützen. Bei der Verarbeitung und der Verbreitung solcher Daten, muss ein Unternehmen die Vorschriften der DSGVO einhalten.

Wichtige Gesetze, Verordnungen und Standards im IT-Bereich

Im IT-Bereich müssen verschiedene Gesetze, Verordnungen und Vereinbarungen eingehalten werden. Zu den wesentlichen Gesetzen zählen BDSG (Bundesdatenschutzgesetz), EU-DSGVO (EU-Datenschutz-Grundverordnung) und das IT-Sicherheitsgesetz. Zusätzlich ist für den IT-Bereich die internationale Norm ISO 19600 wichtig.

BDSG

Das Bundesdatenschutzgesetz dient zum Schutz der bürgerlichen Privatsphäre. Im BDSG wird geregelt, wie ein Betrieb mit personenbezogenen Daten umgehen muss. Das BDSG verbietet die Nutzung und Verarbeitung personenbezogener Daten. Sogar die Erhebung von personenbezogenen Daten ist verboten. Es handelt sich um ein sogenanntes „Verbotsprinzip mit Erlaubnisvorbehalt“. Das bedeutet, der Nutzer muss der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zustimmen. Schneller Überblick: https://dsgvo-gesetz.de/bdsg/

EU-DSGVO

Die EU-Datenschutz-Grundverordnung, kurz EU-DSGVO, ist seit dem Frühjahr 2018 in den EU-Ländern gültig. Die Verordnung reguliert die Verarbeitung von personenbezogenen Daten durch Unternehmen in der EU. Die Verordnung wurde geschaffen, um die Datenverarbeitung in der EU zu vereinfachen und einheitlich zu gestalten. Schneller Überblick: https://gesellschaft-datenschutz.de/dsgvo/

ISO 19600

Die ISO 19600 ist eine internationale Norm, die für den Bereich IT-Compliance gilt. Die Norm gibt Standards für Compliance-Management-Systeme vor. Mit der Hilfe der Norm soll ein Fehlverhalten von Mitarbeitern entdeckt werden. Wenn ein Unternehmen IT-Compliance-Systeme einführt und diese nach ISO 19600 zertifizieren lässt, dann ist das ein Beleg für ausreichende Compliance-Maßnahmen.

IT-Sicherheitsgesetz

Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz IT-Sicherheitsgesetz, umfasst die Anforderungen an IT-Betreiber sogenannter „kritischer Infrastrukturen“. Zu den kritischen Infrastrukturen gehören Krankenhäuser, Telekommunikationsunternehmen, Betreiber von Strom- und Wassernetzen sowie andere Unternehmen, die in empfindlichen Strukturbereichen arbeiten. Die Anforderungen an IT-Compliance sind bei diesen Unternehmen besonders hoch. Eventuelle Systemangriffe müssen schnell an das BSI gemeldet werden. Die BSI-KritisV (KRITIS-Verordnung) legt genau fest, welche Sparten und Bereiche zur kritischen Infrastruktur zählen und dem IT-Sicherheitsgesetz unterliegen. Die KRITIS-Branchen müssen ein „Information Security Management System“ (ISMS) besitzen.

Weitere Gesetze

Zu den Gesetzen, die im IT-Bereich beachtet werden müssen, gehören auch KonTraG, HGB, Basel II, GoBD und Solvency II. Es kommen betriebliche Vereinbarungen und Verordnungen hinzu. HGB ist die Abkürzung für Handelsgesetzbuch. Im HGB sind Gesetze für den IT-Bereich zu finden. Basel II enthält Eigenkapital-Vorschriften. Die Vorschriften wurden vom sogenannten Basler Ausschuss für Bankenaufsicht entwickelt. Solvency II ist die Bezeichnung für eine EU-Richtlinie, die für Versicherungsunternehmen gilt. Das GoBD enthält wesentliche Grundsätze zur Aufbewahrung und Führung von elektronischen Unterlagen und Büchern. Des Weiteren enthält das GoBD auch Vorschriften zum Datenzugriff durch Finanzverwaltungen. Das KonTraG ist ein Gesetz zur Transparenz und Kontrolle im Firmenbereich. Es können weitere verbindliche interne Vorschriften vereinbart worden sein, die ebenfalls beachtet werden müssen. IT-Compliance-Bestandteile sind auch DSGVO Gesetze und Regularien, die sich auf den Bereich Informationstechnik eines Unternehmens auswirken.

Wie kann die Einhaltung des Policy Managements überwacht werden?

Das Policy Management regelt die Netzwerkrechte von Angestellten und hilft bei der Umsetzung von IT-Compliance-Vorschriften. IT-Administratoren legen fest, welche IT-Geräte (Laptops, externe Festplatten, Speichermedien) im Unternehmen eingesetzt werden dürfen. Im Rahmen von IT-Compliance und Policy Management können Administratoren Kundendaten nur bestimmten Angestellten im Unternehmen zugänglich machen. Nutzen Angestellte ihre privaten Geräte im Unternehmen, dann müssen diese in das IT-Compliance-System integriert werden. Mobile Geräte können mit der Hilfe eines Mobile Device Managements geschützt werden. Wenn mobile Unternehmens-IT verloren geht, dann werden Daten aus der Ferne gelöscht und sind Unbefugten nicht zugänglich.

Kontrollmechanismen für Policy Management

Es gibt nicht nur Mobile-Device-Management-Lösungen, um Datensicherheit zu gewährleisten und IT-Richtlinien durchzusetzen. Das Policy Management umfasst auch Gerätekontrollen und Anwendungskontrollen. Durch die Kontrollen wird verhindert, dass Daten von externen Medien wie USB-Sticks, externen Laufwerken oder SD-Karten in die Unternehmens-IT gelangt. Das Einschleusen von Malware und Erpressungssoftware wird erschwert. Die Unternehmensdaten werden geschützt und das firmeninterne Netzwerk bleibt integer.

Im Rahmen des Policy Managements darf auch die Nutzungszeit für das Internet begrenzt werden. Die Administratoren legen fest, welche Angestellten das Internet nutzen dürfen. Des Weiteren können bestimmte Webseiten für Angestellte gesperrt werden. Die Anwendungskontrolle ist ein wichtiger Faktor des Policy Managements. IT-Administratoren erstellen White- und Blacklists, durch die Anwendungen entweder freigeben oder gesperrt werden. Apps, die auf der Blacklist stehen, sind für Angestellte nicht installier- und nutzbar. Apps auf der Whitelist können installiert, geöffnet und bedient werden. Durch die Anwendungskontrolle wird verhindert, dass Schadprogramme, soziale Netzwerke und Messengersysteme unbefugt auf den Unternehmensrechnern landen.

Sensibilisierung der Mitarbeiter (Security Awareness)

Schadprogramme und Cyberangriffe gelangen von außen in die IT eines Unternehmens. Mitarbeiter sind das Angriffsziel von Hackern und anderen Cyberkriminellen. Über E-Mails, USB-Sticks, externe Festplatten oder Instantmessenger wird die IT angegriffen und es werden Schadprogramme wie beispielsweise Trojaner oder Erpressungssoftware eingeschleust. Informationstechnik und Lösungen zur IT-Sicherheit werden immer komplizierter. Mitarbeiter können schnell den Überblick verlieren und ohne effektives Training den Cyberangriffen hilflos ausgeliefert sein. Es ist wichtig, dass die Mitarbeiter eines Unternehmens effektiv geschult werden.

IT Security Awareness Schulungen

Ein sogenanntes Security Awareness Training macht auf die Gefahren durch Phishing und andere Cyberangriffe aufmerksam. Die Schulungen sind online oder vor Ort möglich. Im Training können Phishing-Situationen simuliert werden. Das Training bezieht auch vermeintlich harmlose Links ein, die sich als gefährliche Fallen herausstellen können. In der Schulung wird auf die Themen Back-ups und sichere IT-Infrastrukturen eingegangen. Die Onlineschulungen bieten den Vorteil, dass sie bequem von zu Hause aus durchgeführt werden können. Schulungen vor Ort werden im Unternehmen durchgeführt und bieten die Möglichkeit, in gewohnter Arbeitsatmosphäre auf Sicherheitsprobleme einzugehen. Die Schulungen sollen jeden Mitarbeiter befähigen, potenzielle Gefahren selbst zu erkennen. Der Erfolg von Cyberangriffen wird durch intensive Mitarbeiterschulungen reduziert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.
Sie müssen den Bedingungen zustimmen, um fortzufahren.

.