|  |
: Hochdruckeinfluss - Die Folgen der Compliance-Debatte
Schon seit einiger Zeit geistern die Schlagwörter Compliance und Governance verstärkt durch die IT-Landschaft. Die hat bei Anbietern, Beratern und Verbänden nachgefragt, was die gesteigerte Aufmerksamkeit für Regularien der Informations-Sicherheit gebracht hat.
Sind durch die Diskussion über Regularien und ihre Einhaltung wichtige zusätzliche Ressourcen für die IT-Security freigesetzt worden? Ist der Stellenwert der Informations-Sicherheit auf der Management-Ebene gestiegen? Oder bindet vielmehr das "Ringen" um und Dokumentieren von Konformität (weiterhin) knappe Ressourcen, die besser anders eingesetzt würden? Hat "Compliance" womöglich sogar zu einer (überflüssigen?) Bürokratisierung der Sicherheit geführt?
Um die Auswirkungen der "Compliance-Debatte" zu ergründen hat die Ende März bei Beratern, Anbietern von Sicherheitsprodukten, Forschungsinstituten und Verbänden nachgefragt – die Rückmeldequote zeigte sich ungewohnt gering, wobei offen bleiben muss, ob das der Jahreszeit oder dem Thema geschuldet war. Gerne würden wir zusätzlich auch Erfahrungen und Kommentare von Verantwortlichen und Beauftragten für Informations-Sicherheit, Revisoren sowie Geschäftsführern ergänzen. Falls Sie sich zum Thema äußern möchten, freuen wir uns über Ihre Zuschrift an redaktion@kes.de – bei entsprechender Beteiligung bringen wir gerne eine Fortsetzung dieses Beitrags.
Unter Druck
Einig waren sich alle Antwortenden unserer Umfrage, dass die Diskussion um Compliance zu einem hohen Druck auf die Betroffenen geführt hat – bei unterschiedlicher Bewertung der Konsequenzen. Sascha Pfeiffer, Principal Security-Consultant bei Sophos, fasst zusammen: "Ob sie wollen oder nicht: Unternehmen müssen in entsprechende Prozesse und Technologien investieren, wenn sie nicht von Gerichten oder der Börsenaufsicht belangt werden und bei ihren Geschäftspartnern, Kunden und Mitarbeitern in Verruf geraten wollen. Mit dem Thema Compliance und den damit einhergehenden Diskussionen um die Einhaltung rechtlicher Vorgaben hat die IT-Sicherheit in Unternehmen an Brisanz gewonnen. Der Druck, geeignete Vorkehrungen gegen Datenmissbrauch und -diebstahl zu treffen, hat enorm zugenommen. Nicht mehr nur IT-Administratoren fühlen sich verantwortlich, Systeme und Netzwerke zu schützen, sondern auch Geschäftsführer, die die IT-Security vorher noch eher stiefmütterlich behandelt haben, sind jetzt verpflichtet, entsprechende Maßnahmen durchzusetzen."
Auch Ulrich Weigel, Chief-Security-Strategist bei Attachmate, sieht eine positive Rückkopplung auf das Management: "In vielen Unternehmen wird das Thema Compliance deutlich strategischer angegangen. Da sich Compliance auf (fast) alle Bereiche eines Unternehmens bezieht, also nicht ausschließlich auf die IT, hat sich das Verständnis für die Probleme durchaus verbessert. Durch den Druck, der durch die Compliance-Vorgaben ausgeübt wird, ist auch das Verständnis in den betroffenen Unternehmen gestiegen, speziell auf der Management-Ebene. Allerdings besteht weiterhin das Problem, das IT-Abteilungen über 'ihre Compliance' immer noch sehr technisch berichten – und das führt häufig zu Verständnisproblemen."
Eine Zwickmühle schildert hingegen phion-CEO Dr. Wieland Alge: "Die Hoffnung, dass Compliance im Management mehr Bewusstsein für Sicherheitsfragen schafft, ist irreführend. Vorschriften sind unbeliebt. Statt positivem Bewusstsein sorgen Regularien für ein schlechteres Image der Security. Am Ende der Compliance-Spirale steht die Einstellung: Was sich nicht vermeiden lässt, wird gemacht. Aber: Was nicht reguliert ist, wird erst recht nicht gemacht." Der Druck, zu handeln, habe dabei allerdings nicht nur wünschenswerte Folgen: "Compliance-Verletzungen gehören heute zu den größten Gesamtrisiken für Unternehmen. Nicht ohne Grund sind daher oft die besten Köpfe mit Compliance befasst – und damit abgelenkt von den tatsächlichen, akuten Bedrohungen ihres Netzwerks. Auf Managementebene lässt sich zudem manchmal die vermeintliche Gewissheit feststellen, dass bereits mit der Erfüllung von Vorschriften Informationssicherheit erreicht wird. Aber erreicht ein Autofahrer mit dem Anlegen des Sicherheitsgurtes, der Anbringung einer TÜV-Plakette und der Einrichtung einer Freisprecheinrichtung unfallfreies Fahren? Nein!"
[...] 05/2008, <kes> – Die Zeitschrift für Informations-Sicherheit
| | <kes> - Die Zeitschrift für Informations-Sicherheit behandelt alle für die Informationstechnik sicherheitsrelevanten Themen. Sie enthält das "BSI-Forum" - offizielles Organ des Bundesamts für Sicherheit in der Informationstechnik (BSI)
Mehr Informationen zu <kes> - Die Zeitschrift für Informations-Sicherheit
|
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | E-Mails sind ein unerlässliches Tool für nahezu jedes Unternehmen, gleich welcher Größe. In vielen Unternehmen werden fast 95 Prozent aller Dokumente per E-Mail übertragen, weshalb eine robuste und sichere E-Mail-Infrastruktur von entscheidender ... | |  | | Unternehmenserfolg abgesichert: Bei Osram haben nicht nur Energiesparlampen ein langes Leben, auch das internationale Unternehmensnetzwerk ist durch intelligentes Application-Switching von Radware ausfallfrei ... | |  | | Deutsche Unternehmen gefährden Kundendaten für Test- und Entwicklungszwecke. Das Thema „Datenschutz“ genießt in Deutschland hohe mediale Aufmerksamkeit. Die Debatte über die Durchführung von Onlinedurchsuchungen zeigt, wie sensibel die Öffentlichkeit ... | |  | | Es ist nicht gut bestellt um den Datenschutz. Einer Befragung von NIFIS unter 100 IT-Führungskräften in deutschen Unternehmen zufolge nutzten 2006 64 Prozent der Manager Kundendaten für Anwendungstests, und 36 Prozent der Befragten gaben an, nicht ... | |  | | Die Frage nach der Messbarkeit von Informationssicherheit ist fast so alt wie der Gedanke an Informationssicherheit selbst. Mit dem „Open Source Security Testing Methodology Manual“ (OSSTMM) von ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
