<kes>: Hochdruckeinfluss - Die Folgen der Compliance-Debatte
Schon seit einiger Zeit geistern die Schlagwörter Compliance und Governance verstärkt durch die IT-Landschaft. Die <kes> hat bei Anbietern, Beratern und Verbänden nachgefragt, was die gesteigerte Aufmerksamkeit für Regularien der Informations-Sicherheit gebracht hat.
Sind durch die Diskussion über Regularien und ihre Einhaltung wichtige zusätzliche Ressourcen für die IT-Security freigesetzt worden? Ist der Stellenwert der Informations-Sicherheit auf der Management-Ebene gestiegen? Oder bindet vielmehr das "Ringen" um und Dokumentieren von Konformität (weiterhin) knappe Ressourcen, die besser anders eingesetzt würden? Hat "Compliance" womöglich sogar zu einer (überflüssigen?) Bürokratisierung der Sicherheit geführt?
Um die Auswirkungen der "Compliance-Debatte" zu ergründen hat die <kes> Ende März bei Beratern, Anbietern von Sicherheitsprodukten, Forschungsinstituten und Verbänden nachgefragt – die Rückmeldequote zeigte sich ungewohnt gering, wobei offen bleiben muss, ob das der Jahreszeit oder dem Thema geschuldet war. Gerne würden wir zusätzlich auch Erfahrungen und Kommentare von Verantwortlichen und Beauftragten für Informations-Sicherheit, Revisoren sowie Geschäftsführern ergänzen. Falls Sie sich zum Thema äußern möchten, freuen wir uns über Ihre Zuschrift an redaktion@kes.de – bei entsprechender Beteiligung bringen wir gerne eine Fortsetzung dieses Beitrags.
Unter Druck
Einig waren sich alle Antwortenden unserer Umfrage, dass die Diskussion um Compliance zu einem hohen Druck auf die Betroffenen geführt hat – bei unterschiedlicher Bewertung der Konsequenzen. Sascha Pfeiffer, Principal Security-Consultant bei Sophos, fasst zusammen: "Ob sie wollen oder nicht: Unternehmen müssen in entsprechende Prozesse und Technologien investieren, wenn sie nicht von Gerichten oder der Börsenaufsicht belangt werden und bei ihren Geschäftspartnern, Kunden und Mitarbeitern in Verruf geraten wollen. Mit dem Thema Compliance und den damit einhergehenden Diskussionen um die Einhaltung rechtlicher Vorgaben hat die IT-Sicherheit in Unternehmen an Brisanz gewonnen. Der Druck, geeignete Vorkehrungen gegen Datenmissbrauch und -diebstahl zu treffen, hat enorm zugenommen. Nicht mehr nur IT-Administratoren fühlen sich verantwortlich, Systeme und Netzwerke zu schützen, sondern auch Geschäftsführer, die die IT-Security vorher noch eher stiefmütterlich behandelt haben, sind jetzt verpflichtet, entsprechende Maßnahmen durchzusetzen."
Auch Ulrich Weigel, Chief-Security-Strategist bei Attachmate, sieht eine positive Rückkopplung auf das Management: "In vielen Unternehmen wird das Thema Compliance deutlich strategischer angegangen. Da sich Compliance auf (fast) alle Bereiche eines Unternehmens bezieht, also nicht ausschließlich auf die IT, hat sich das Verständnis für die Probleme durchaus verbessert. Durch den Druck, der durch die Compliance-Vorgaben ausgeübt wird, ist auch das Verständnis in den betroffenen Unternehmen gestiegen, speziell auf der Management-Ebene. Allerdings besteht weiterhin das Problem, das IT-Abteilungen über 'ihre Compliance' immer noch sehr technisch berichten – und das führt häufig zu Verständnisproblemen."
Eine Zwickmühle schildert hingegen phion-CEO Dr. Wieland Alge: "Die Hoffnung, dass Compliance im Management mehr Bewusstsein für Sicherheitsfragen schafft, ist irreführend. Vorschriften sind unbeliebt. Statt positivem Bewusstsein sorgen Regularien für ein schlechteres Image der Security. Am Ende der Compliance-Spirale steht die Einstellung: Was sich nicht vermeiden lässt, wird gemacht. Aber: Was nicht reguliert ist, wird erst recht nicht gemacht." Der Druck, zu handeln, habe dabei allerdings nicht nur wünschenswerte Folgen: "Compliance-Verletzungen gehören heute zu den größten Gesamtrisiken für Unternehmen. Nicht ohne Grund sind daher oft die besten Köpfe mit Compliance befasst – und damit abgelenkt von den tatsächlichen, akuten Bedrohungen ihres Netzwerks. Auf Managementebene lässt sich zudem manchmal die vermeintliche Gewissheit feststellen, dass bereits mit der Erfüllung von Vorschriften Informationssicherheit erreicht wird. Aber erreicht ein Autofahrer mit dem Anlegen des Sicherheitsgurtes, der Anbringung einer TÜV-Plakette und der Einrichtung einer Freisprecheinrichtung unfallfreies Fahren? Nein!"
© 2012 FEiG & PARTNER