Was ist eigentlich IT-Compliance?

G DATA Ratgeber

Auch wenn das Wort hochtechnisch und kompliziert klingt: „Compliant“ zu handeln heißt zunächst nichts anderes, als sich an geltendes Recht, branchenübliche Standards oder freiwillige Selbstverpflichtungen zu halten – also „regelkonform“ zu handeln. Der Begriff Compliance (zu Deutsch: Konformität, Einhaltung, Übereinstimmung) wird dabei quer durch alle Wirtschaftsbereiche verwendet, weshalb man in der Welt der IT auch von „IT Compliance“ spricht, um das Thema einzugrenzen. In der betrieblichen Praxis wird Compliance oft stiefmütterlich behandelt, entsprechende Regeln sind meist nur in größeren Unternehmen vorhanden. Dabei drohen Unternehmern zum Beispiel bei einem Datenleck empfindliche Strafen, falls der Vorfall auf nicht regelkonformes Verhalten zurückzuführen ist.

Warum ist IT-Compliance wichtig?

Unternehmen, die Kundendaten speichern und verarbeiten, sind strengen Regelungen unterworfen, wie diese Daten geschützt werden müssen und in welchem Rahmen sie verwendet und weitergegeben werden dürfen. Wie in allen Bereichen der Rechtsprechung gilt: Unwissenheit schützt nicht vor Strafe. Das Problem: Das Einhalten von Recht und Gesetz muss im gesamten Unternehmen und von allen Mitarbeitern gelebt werden – das Sprichwort mit der Kette und ihrem schwächsten Glied trifft auch hier zu. Um gerichtlichen Ärger und Abmahnungen zu vermeiden, sollten Unternehmen daher IT Compliance-Richtlinien (sog. Policies) aufstellen, die für alle Mitarbeitenden verbindlich sind. Anschließend muss deren Befolgung im Unternehmen überwacht und durchgesetzt werden. Nur so kann die IT erfolgreich geschützt und eine ausreichende Datensicherheit gewährleistet werden.

Die gesetzlichen Bestimmungen sind sehr umfangreich und unterscheiden sich je nach Branche und Art des Unternehmens. Telekommunikationsanbieter müssen zum Beispiel nicht nur geeignete Maßnahmen ergreifen, um die Verbreitung von Schadsoftware einzudämmen, sie haben auch eine Meldepflicht bei Angriffen auf ihre Infrastruktur. Kommen sie dieser Meldepflicht nicht nach, weil beispielsweise keine Frühwarnsysteme vorhanden sind, droht nach § 43 Abs. 1 Bundesdatenschutzgesetz ein Bußgeld in Höhe von 50.000 Euro.

Alle Unternehmen, die persönliche Daten ihrer Kund*innen erheben, speichern und verarbeiten, müssen technische Maßnahmen ergreifen, um einen unerlaubten Zugriff auf ihre Telekommunikations- und Datenverarbeitungssysteme zu verhindern. Gelangen Kundendaten durch fehlende oder ungenügende IT Compliance-Maßnahmen in falsche Hände oder werden ohne die Einwilligung der Personen für nicht vorgesehene Zwecke missbraucht, sieht das Bundesdatenschutzgesetz bei Fahrlässigkeit Strafen von bis zu 300.000 Euro vor. Hinzu kommen in allen Fällen unter Umständen Schadenersatzforderungen der betroffenen Kund*innen.

Wer muss auf die Einhaltung von IT Compliance-Richtlinien achten?

Grundsätzlich ist die Unternehmensleitung in der Pflicht, die Einhaltung der Gesetze in ihrem Unternehmen zu überwachen. Natürlich kann sie diese Verantwortung aber auch an jemanden delegieren, der die Vorschriften der Branche kennt und weiß, welche technischen Maßnahmen erforderlich und angemessen sind.

Falls vorhanden, wird daher oft die IT-Abteilung bzw. der Administrator mit diesen Aufgaben betreut, der dann in Abstimmung mit der Unternehmensleitung die IT Compliance-Policies entwickelt. Mit Hilfe des Policy Managements kann er dann deren Einhaltung überwachen. Welche Gesetze die eigene Branche und das eigene Unternehmen konkret betreffen, ist oft nur schwer festzustellen. Professionelle IT Security-Dienstleister – wie zum Beispiel G DATA – können helfen, die eigenen Compliance-Vorgaben auf die relevanten Gesetze und Anforderungen abzustimmen.

Diese Branchen gehören zu den "Kritischen Infrastrukturen"
Vor allem sogenannte "Kritische Infrastrukturen" (KRITIS) müssen strenge Anforderungen erfüllen. Welche Branchen dazugehören, ist in der "KRITIS-Verordnung" (BSI-KritisV) festgehalten.

Die wichtigsten Gesetze, Verordnungen und Standards im IT-Bereich

Bundesdatenschutzgesetz (BDSG) 

Um die Privatsphäre der Bürger zu schützen, ist im BDSG der Umgang mit personenbezogenen Daten geregelt. Es gilt als eines der strengsten Datenschutzgesetze der Welt und verbietet es beispielsweise grundsätzlich, personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. Ausnahmen sind natürlich möglich und vorgesehen – zum Beispiel durch die Einwilligung des Nutzers – aber nur streng geregelt. Es gilt daher ein „Verbotsprinzip mit Erlaubnisvorbehalt“.

IT-Sicherheitsgesetz

Im IT-Sicherheitsgesetz – oder „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ – ist festgehalten, welchen Anforderungen die Betreiber „kritischer Infrastrukturen“ (KRITIS) im Bereich IT Security unterworfen sind. Zu diesem Kreis zählen beispielsweise Strom- und Wassernetzbetreiber, Telekommunikationsanbieter oder Krankenhäuser. Diese Unternehmen unterliegen besonders strengen gesetzlichen Anforderungen zum Thema IT Compliance. Sie müssen beispielsweise Angriffe auf ihre Systeme frühzeitig an das BSI (Bundesamt für Sicherheit in der Informationstechnik) melden und ein „Information Security Management System“ (ISMS) betreiben. In der zugehörigen „KRITIS-Verordnung“ (BSI-KritisV) ist festgelegt, welche Branchen unter das IT-Sicherheitsgesetz fallen.

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die EU-DSGVO trat in allen Ländern der EU am 25. Mai 2018 in Kraft. Ziel der Verordnung ist es, die Verarbeitung personenbezogener Daten durch private Unternehmen innerhalb der EU zu vereinheitlichen.

ISO 19600

Die internationale Norm beschreibt Standards für den Einsatz von Compliance Management-Systemen, die Fehlverhalten von Mitarbeitenden aufdecken sollen. Eine Zertifizierung nach ISO 19600 dient einem Unternehmen als Nachweis dafür, dass ausreichende Maßnahmen zur Compliance-Sicherung ergriffen wurden.

Wie überwache ich die Einhaltung der IT Compliance-Richtlinien?

Eine große Hilfe bei der Durchsetzung der Compliance-Vorgaben ist eine Policy Management-Lösung, die unter anderem regelt, welche Rechte die Mitarbeitenden im Netzwerk oder auf ihren PCs und Mobilgeräten haben. Der IT-Administrator kann mithilfe des Policy Managements beispielsweise festlegen, dass an Notebooks keine USB-Speichermedien genutzt werden dürfen – oder dass die Datenbank mit den Kundendaten nur von bestimmten Nutzergruppen und nur im internen Netzwerk der Firma eingesehen werden darf. Auch private Geräte, die Beschäftigte in der Firma nutzen („Bring Your Own Device“ oder „BYOD“), müssen bei der Umsetzung der IT Compliance mit einbezogen werden. Der Einsatz eines effektiven Mobile Device Management stellt hier eine gute Lösung dar. Geht ein Smartphone mit firmeninternen Daten verloren, können damit zum Beispiel aus der Ferne alle Daten auf dem betroffenen Gerät gelöscht werden.

Eine Zertifizierung nach ISO 19600 in Verbindung mit der Einführung eines Compliance Management Systems kann ebenfalls eine sinnvolle Lösung sein. Tritt ein Ernstfall ein, hat ein Unternehmen so den Nachweis, dass ausreichende Maßnahmen ergriffen wurden, um Schaden abzuwenden.

Was sollte eine Policy Management-Lösung leisten?

Um die eigenen Unternehmensrichtlinien wirksam durchzusetzen, sollte eine Policy Management-Lösung beispielsweise eine Gerätekontrolle ermöglichen. Damit können IT-Administratoren verhindern, dass Mitarbeitende USB-Sticks oder andere externe Laufwerke an Firmenrechnern nutzen. So schützen sie ihr Netzwerk etwa vor USB-Sticks mit Malware, die Angreifer auf dem Firmenparkplatz verteilen. Und davor, dass sensible Firmendaten von Endpoints kopiert werden, die bewusst vom Netzwerk abgeschottet sind.

Ein weiterer wichtiger Bestandteil des Policy Managements ist die Anwendungskontrolle durch Black- oder Whitelisting. Dadurch kann festgelegt werden, welche Anwendungen die Mitarbeitenden auf den Firmenrechnern installieren oder starten dürfen. Es wird somit verhindert, dass beispielsweise über Instant Messenger unbemerkt Informationen aus dem Netzwerk geschleust werden.

Policy Management sollte zudem ermöglichen, einzelne Webseiten für die Mitarbeitenden zu sperren, um die Sicherheit der Endpoints zu gewährleisten. Zu guter Letzt können Administratoren mithilfe eines guten Policy Managements festlegen, wie lange einzelne Nutzer oder Gruppen das Internet nutzen dürfen.

Welche Herausforderungen können sich bei der Umsetzung der IT Compliance-Richtlinien ergeben?

Bei der Durchsetzung der IT Compliance-Anforderungen muss darauf geachtet werden, die Rechte der Arbeitnehmer nicht zu verletzen. Es dürfen beispielsweise nicht wahllos die Geräte der Mitarbeitenden nach Firmendaten durchsucht werden, wenn dabei die Gefahr besteht, dass auch private Informationen eingesehen werden. Außerdem sollten die Mitarbeitenden selbst zur Einhaltung der IT Compliance-Vorgaben beitragen, indem sie für Datenschutz sensibilisiert werden.

Zusätzlich sollte bei der Auswahl von IT-Ressourcen darauf geachtet werden, dass die IT Compliance gewährleistet bleibt. Es empfiehlt sich, eine Sicherheitslösung zu wählen, bei der garantiert ist, dass keine Zugriffe durch Dritte wie etwa ausländische Geheimdienste stattfinden. Bei G DATA erfolgen Forschung und Software-Entwicklung ausschließlich in Deutschland. Die Sicherheitslösungen entsprechen daher den strengen deutschen und europäischen Datenschutzgesetzen und enthalten keine Hintertüren für Geheimdienste.

Mehr zur G DATA Endpoint Protection

Der Chef kann sehen, was der Mitarbeiter am Rechner macht
Die Rechte der Angestellten müssen bei der Umsetzung der Compliance-Anforderungen berücksichtigt werden.