DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

IT-Com­­pliance

Was haben Auf­be­wah­rungs­pflichten mit den Rege­lungen zur pri­vaten Nutzung von E‑Mails gemeinsam? Was ver­bindet Risi­­ko­­f­rüh­er­ken­­­nungs-Systeme und Risi­ko­ma­nagement? Sie alle fußen auf gesetz­lichen Anfor­de­rungen.

Diese Anfor­de­rungen sind u.a. defi­niert im: Bun­des­da­ten­schutz­gesetz (BDSG), Han­dels­ge­setzbuch (HGB), Bilan­z­­rechts­­mo­­der­­ni­­sie­­rungs-Gesetz (BilMoG), Straf­ge­setzbuch (StGB) Umsatz­steu­er­gesetz (UStG). Diverse bran­chen­spe­zi­fische Rege­lungen sowie unter­neh­mens­eigene Gebote und Verbote ergänzen diese Normen. Dabei werden die gesetz­lichen Anfor­de­rungen zukünftig noch zunehmen und deren Ein­haltung soll ver­stärkt durch Kon­trollen über­wacht werden. Zudem häufen sich die welt­weiten Schlag­zeilen über Daten­pannen von Unter­nehmen und Behörden.

Damit rückt das Thema „Ver­trauen sichern“ in den Mit­tel­punkt der Unter­neh­mens­stra­tegien. Es gilt Image­schäden als Folge von Daten­schutz­vor­fällen, Kor­rup­ti­ons­vor­würfen etc. zu ver­hindern; Strafen oder Buß­gelder sowie Umsatz­aus­fälle zu ver­meiden und die Wett­be­werbs­fä­higkeit zu stärken. Ver­ant­wortlich für die Ein­haltung der Regeln und Ver­pflich­tungen (Com­pliance) ist die Geschäfts­leitung bzw. der Fir­men­chefs selbst.

Was hat IT mit Com­pliance zu tun?

Com­pliance umschreibt die Beachtung von Rechts­vor­schriften und internen Rege­lungen eines Unter­nehmens und betrifft alle Pro­zesse in einem Unter­nehmen. In Zeiten der Digi­ta­li­sierung werden diese zunehmend von IT-Sys­­temen unter­stützt. Dabei steigt die elek­tro­nische Datenflut kon­ti­nu­ierlich an und damit wachsen die Com­­pliance-Anfor­­de­­rungen an die IT (IT-Com­­pliance), die es zu beachten gilt.

Dazu gehören bei­spiels­weise Fristen und Ver­fahren zur Archi­vierung und zum Zugriff auf elek­tro­nische Doku­mente, Aus­kunfts­rechte, Ver­füg­barkeit von Daten und IT-Sys­­temen, Schutz vor unbe­fugtem Zugriff und vor Wei­tergabe an Dritte. 

So gesehen wird mit den  tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nahmen zur Infor­ma­ti­ons­si­cherheit, IT-Security und dem Daten­schutz die Basis für IT-Com­­pliance gelegt.

Nach Wiki­pedia ist dabei „IT-Com­­pliance im Zusam­menhang mit der IT-Gover­­­nance zu sehen, die das Thema um die Bereiche Con­trolling, Geschäfts­pro­zesse und Management erweitert“. The­men­punkte sind hier u.A. Risi­ko­ma­nagement und Früh­warn­systeme.

Wie relevant ist nun IT-Com­­pliance im Mit­tel­stand?

Was bisher als Thema für Kon­zerne und größere Unter­nehmen ange­sehen wurde, betrifft immer mehr den Mit­tel­stand mit seinen kleinen bis mitt­leren Unter­nehmen. Je nach Branche, Unter­neh­mens­größe und Aufgabe, natio­naler oder inter­na­tio­naler Aus­richtung sind die unter­schied­lichsten Ge- und Verbote zu beachten.

Während natur­gemäß IT-Gover­­­nance bei klei­neren und mitt­leren Unter­nehmen nicht sofort an erster Stelle ein­zu­ordnen ist, wird IT-Com­­pliance hier schon bald ein wich­tiges Thema sein – wenn es das nicht heute schon ist.

Deutlich wird dies am Bei­spiel der E‑Mail-Kom­­mu­­ni­­kation. Werden per­so­nen­be­zogene Daten per E‑Mail ver­sendet, so sind die Vor­schriften aus dem Bun­des­da­ten­schutz­gesetz (BDSG) relevant. Demnach ist ein ange­mes­sener Schutz vor unbe­rech­tigter Ein­sicht­nahme durch Dritte, z.B. durch eine Ver­schlüs­selung der E‑Mail zu gewähr­leisten. Im Hin­blick auf Wett­be­werbs­vor­teile sollte dies bei schüt­zens­werten Unter­neh­mens­werten (Know-how, Betriebs­ge­heim­nisse etc.) ohnehin Standard sein. Darüber hinaus kann das Erlauben von pri­vater E‑Mail-Nutzung durch die Mit­ar­beiter eines Unter­nehmens zu tele­kom­mu­ni­ka­ti­ons­recht­lichen Pro­blemen führen. Emp­feh­lenswert ist hier in jedem Fall eine aus­drück­liche Regelung. Die Auf­be­wah­rungs­pflichten aus Han­dels­ge­setzbuch (HGB) und Abga­ben­ordnung (AO) betreffen auch die elek­tro­nische Kom­mu­ni­kation. Von diesen Rege­lungen betroffene E‑Mails müssen demnach u.U. digital archi­viert werden.

Was sollte ein kleines bis mitt­leres Unter­nehmen nun tun?

Der Unter­neh­menschef steht in der Pflicht, wenn es um die Ver­füg­barkeit der IT und Daten, um Daten­schutz und Daten­si­cherheit oder um Archi­vie­rungs­pflichten geht. Eine Miss­achtung der Vor­schriften kann neben Strafen oder Buß­geldern exis­tenz­be­dro­hende Folgen für das Unter­nehmen haben. Daher sollten für jedes Unter­nehmen fol­gende Fragen geklärt werden:

  • Welche Anfor­de­rungen aus den Rechts­normen und Regel­werken sind für das Unter­nehmen relevant?
  • Welche IT-gestützten Pro­zesse  sind betroffen und welche Maß­nahmen (tech­nisch, orga­ni­sa­to­risch, per­sonell) sind zur Gewähr­leistung von IT-Com­­pliance zu ergreifen bzw. vor­handen?

Um beim Bei­spiel E‑Mail zu bleiben: Hier emp­fehle ich den Leit­faden “Sichere E‑Mail-Kom­­mu­­ni­­kation” der kos­tenlos im Download-Bereich zur Ver­fügung steht. Dies könnte ein erster Schritt hin zur Sicher­stellung von IT-Com­­pliance im Unter­nehmen sein.
Abhängig von der Unter­neh­mens­größe und der Com­­pliance-Relevanz ist eine ganz­heit­liche Com­­pliance-Stra­­tegie das Ziel.  Welche letztlich auch Doku­­men­­ta­­tions- und Berichts­pflichten im Rahmen einer IT-Gover­­­nance-Stra­­tegie beinhaltet.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Brandl, DATEV eG

Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kom­mu­ni­kation und Ver­marktung des Bereichs IT-Lösungen und Security ist er ver­ant­wortlich für den DATEV Sicher­heits­check und DATEV-Ansprech­partner für das Hand­lungs­ver­sprechen „Start­hilfe Sicherheit für den Mit­tel­stand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicher­heits­mo­nitore „Sicher­heitslage im Mit­tel­stand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.