DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Com­pli­an­ce­pro­zesse in KMU´s

 

Viele Unter­nehmen legen viel zu viel Wert auf die Com­pliance Zer­ti­fi­zierung, anstatt auf die Com­pliance Pro­zesse zu achten.

 

 
Letztes Jahr wurden zahl­reiche Sicher­heits­vor­fälle in großen und bekannten Unter­nehmen bekannt. Para­do­xer­weise hatte jedes dieser Unter­nehmen eine Zer­ti­fi­zierung eines Sicher­heits­stan­dards.
Hier könnte man jetzt ket­ze­risch fragen, wozu über­haupt all die Stan­dards und Zer­ti­fi­zie­rungen, wenn sie offen­sichtlich doch nichts nützen. So einfach ist es aber leider nicht.

Wie aber allzu häufig im Sicher­heits- und Com­pliance Bereich ist man sich oftmals nicht im Klaren darüber, dass Sicherheit und Com­pliance nicht irgendwann fertig oder abge­schlossen ist. Das Ziel sollte also nicht ein Stück Papier in Händen, also das Zer­ti­fikat sein, sondern viel mehr der Weg dahin sein. Man sollte Wert darauf legen, die Fak­toren aus­zu­machen, die Ver­trau­lichkeit, Inte­grität und Ver­füg­barkeit von Sys­temen und Daten bedrohen.
Das bedeutet aber im Ernstfall, nicht nur eine Check­liste abzu­ar­beiten, die von einer externen Orga­ni­sation vor­ge­geben wird, sondern das eigene Unter­nehmen indi­vi­duell und ganz genau auf den Prüf­stand stellen.
Com­pliance Check­listen können niemals ein Maß an Sicherheit garan­tieren, wie es ein ver­nünf­tiges Risi­ko­ma­nagement tun kann. Diese Check­listen sind ein guter Aus­gangs­punkt für eigenes Risi­ko­ma­nagement, können aber nie alle Pro­blem­zonen des Unter­nehmens aus­machen.

Gerade kleine Unter­nehmen befinden sich hier in einem gewal­tigen Span­nungsfeld. Einer­seits müssen auch sie sich an gesetz­liche Normen und Vor­gaben halten, und dies selbst­ver­ständlich auch im IT-Bereich. Ande­rer­seits ist es auch hier teil­weise ein per­so­nelles Problem. Während mul­ti­na­tionale Kon­zerne zwar unter Umständen erheblich mehr Regu­larien beachten müssen, haben sie hierfür auch ent­spre­chende per­so­nelle Res­sourcen und auch auto­ma­ti­sierte Kon­troll­systeme zur Ver­fügung.
Für kleinere Unter­nehmen kann die Ein­haltung und Kon­trolle von Com­pliance erheblich mehr Aufwand bedeuten.
Deshalb wundert es auch nicht, dass manche Anbieter mit Ange­boten wie „Com­pliance to go“ ver­suchen, das Thema an kleiner mit­tel­stän­dische Unter­nehmen zu bringen. Das ist in jeden Fall besser als gar nichts zu tun.
 

Fazit:
Man muss sich aber immer darüber im Klaren sein, dass derart stan­dar­di­sierte und oft auch ver­ein­fachte Check­listen niemals alle Risi­ko­fak­toren für das eigene Unter­nehmen abbilden können.Eine erfolg­reiche Ver­an­kerung von Com­pliance als fester Bestandteil der Unter­neh­mens­kultur erfordert erheb­lichen Zeit­einsatz und kon­ti­nu­ier­liche Anstrengung auf meh­reren Ebenen.

Bild: © Claas­lietz / pixelio.de

 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekann­ten­kreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.