Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Complianceprozesse in KMU´s
Viele Unternehmen legen viel zu viel Wert auf die Compliance Zertifizierung, anstatt auf die Compliance Prozesse zu achten.
Letztes Jahr wurden zahlreiche Sicherheitsvorfälle in großen und bekannten Unternehmen bekannt. Paradoxerweise hatte jedes dieser Unternehmen eine Zertifizierung eines Sicherheitsstandards.
Hier könnte man jetzt ketzerisch fragen, wozu überhaupt all die Standards und Zertifizierungen, wenn sie offensichtlich doch nichts nützen. So einfach ist es aber leider nicht.
Wie aber allzu häufig im Sicherheits- und Compliance Bereich ist man sich oftmals nicht im Klaren darüber, dass Sicherheit und Compliance nicht irgendwann fertig oder abgeschlossen ist. Das Ziel sollte also nicht ein Stück Papier in Händen, also das Zertifikat sein, sondern viel mehr der Weg dahin sein. Man sollte Wert darauf legen, die Faktoren auszumachen, die Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten bedrohen.
Das bedeutet aber im Ernstfall, nicht nur eine Checkliste abzuarbeiten, die von einer externen Organisation vorgegeben wird, sondern das eigene Unternehmen individuell und ganz genau auf den Prüfstand stellen.
Compliance Checklisten können niemals ein Maß an Sicherheit garantieren, wie es ein vernünftiges Risikomanagement tun kann. Diese Checklisten sind ein guter Ausgangspunkt für eigenes Risikomanagement, können aber nie alle Problemzonen des Unternehmens ausmachen.
Gerade kleine Unternehmen befinden sich hier in einem gewaltigen Spannungsfeld. Einerseits müssen auch sie sich an gesetzliche Normen und Vorgaben halten, und dies selbstverständlich auch im IT-Bereich. Andererseits ist es auch hier teilweise ein personelles Problem. Während multinationale Konzerne zwar unter Umständen erheblich mehr Regularien beachten müssen, haben sie hierfür auch entsprechende personelle Ressourcen und auch automatisierte Kontrollsysteme zur Verfügung.
Für kleinere Unternehmen kann die Einhaltung und Kontrolle von Compliance erheblich mehr Aufwand bedeuten.
Deshalb wundert es auch nicht, dass manche Anbieter mit Angeboten wie „Compliance to go“ versuchen, das Thema an kleiner mittelständische Unternehmen zu bringen. Das ist in jeden Fall besser als gar nichts zu tun.
Fazit:
Man muss sich aber immer darüber im Klaren sein, dass derart standardisierte und oft auch vereinfachte Checklisten niemals alle Risikofaktoren für das eigene Unternehmen abbilden können.Eine erfolgreiche Verankerung von Compliance als fester Bestandteil der Unternehmenskultur erfordert erheblichen Zeiteinsatz und kontinuierliche Anstrengung auf mehreren Ebenen.
Bild: © Claaslietz / pixelio.de
Über die Autorin:
Diplom-Kauffrau
Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienstleistungen und Security seit 2005 zuständig für übergreifende Kommunikation und Vermarktung technischer Produktlösungen. Verfasst in diesem Kontext regelmäßig Beiträge in der Kundenzeitschrift der DATEV und ist Co-Autorin des Leitfadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „technische Beraterin” der Unternehmer im Bekanntenkreis.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare