Was ist IT-Compliance?

Die IT-Compliance beschreibt die Einhaltung von gesetzlichen, internen oder vertraglich vorgeschriebenen Vorgaben an die IT einer Organisation. Diese Vorgaben setzen sich aus verschiedenen Anforderungen an IT-Sicherheit, Datenschutz, Verfügbarkeit und Integrität zusammen, die für Systeme und Prozesse gelten.

Zum Myra DDoS Schutz
Bestandteile von IT Compliance

01

IT-Compliance: eine Definition

Für den Aufbau und den Betrieb digitaler Systeme in Unternehmen und öffentlichen Organisationen gelten feste Regeln, die über die IT-Compliance definiert sind. Sie bestimmt, welche Vorgaben an IT-Sicherheit, Datenschutz, Datenverfügbarkeit und Datenintegrität ein Unternehmen einhalten muss, um den geltenden Normen zu entsprechen. Die Ansprüche ergeben sich wiederum aus gesetzlich definierten Anforderungen, internen Regelungen sowie vertraglich festgeschriebenen Abmachungen mit Kunden und GeschäftspartnerInnen. Verstoßen Unternehmen gegen die IT-Compliance, kann das je nach Ausmaß mit hohen Geldbußen und sogar Freiheitsstrafen für die verantwortlichen Führungskräfte geahndet werden.

Personen arbeiten in einem Großraumbüro

02

Was unterscheidet IT-Compliance von Datenschutz & IT-Sicherheit?

IT-Compliance wird oft als Synonym für Datenschutz und IT-Sicherheit missverstanden. Während sich jedoch die beiden letztgenannten Bereiche mit der konkreten Implementierung von Technologien und operativen Prozessen zum Schutz digitaler Systeme und Informationen befassen, behandelt IT-Compliance die Einhaltung der geltenden Vorgaben. Aus den Vorgaben – egal ob gesetzlich, intern oder vertraglich – ergeben sich zwar oftmals konkrete Anforderungen an IT-Sicherheit oder Datenschutz, allerdings beschränken sich IT-Sicherheit und Datenschutz oftmals nicht allein auf Maßnahmen, die von der Compliance ausgehen. Zudem sind die regulatorischen Vorgaben des Gesetzgebers oftmals nicht direkt formuliert, sondern prinzipienorientiert gestaltet. Den Unternehmen wird also nicht vorgegeben, Lösung XY zu installieren, um ihre IT abzusichern.

Vielmehr muss jede Organisation eigenverantwortlich und bedarfsgerecht die Lösungen implementieren, die zur Einhaltung der vorgegebenen Prinzipien erforderlich sind. Die individuelle Umsetzung bleibt den Unternehmen selbst überlassen. Ein populäres Beispiel für prinzipienorientierte Regulatorik sind die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT). In ihnen definiert die Finanzaufsicht BaFin ein verbindliches Regelwerk zur Absicherung der IT in der Finanzindustrie. Zielsetzung ist eine sichere Ausgestaltung von Systemen und Prozessen sowie die Schaffung einer transparenten Governance. Weitaus expliziter fallen in der Regel die internen Compliance-Regeln sowie die vertraglich vereinbarten Anforderungen von GeschäftspartnerInnen aus. Hier definieren die Vertragsparteien bereits im individuellen Kontext die erforderlichen Ansprüche an die IT.

03

Wer braucht IT-Compliance?

Vorgaben für die IT-Compliance müssen sämtliche privaten Unternehmen, die öffentliche Hand sowie alle übrigen Organisationen beachten. Der Gesetzgeber und die Aufsichtsbehörden geben vor, welche Anforderungen das jeweilige Unternehmen in der spezifischen Branche zu erfüllen hat. Daraus ergeben sich die Compliance-Vorgaben, die es zu beachten gilt. Die Anforderungen an IT und Prozesse variieren stark nach Branche, Unternehmensgröße, Anzahl der Kunden und der gesamtgesellschaftlichen Bedeutung. Die strengsten Compliance-Vorgaben gelten für Kritische Infrastrukturen (KRITIS) aus den Bereichen Energie, Gesundheit, Staat und Verwaltung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur sowie Wasserversorgung.

Speziell in größeren Firmen fallen die Anforderungen an die Compliance oft so umfangreich aus, dass für die korrekte Umsetzung eine dedizierte Abteilung für IT-Compliance-Management erforderlich ist. In vielen Fällen wird die Einhaltung der geltenden Regulatorik stichprobenartig durch Aufsichtsbehörden überprüft. Manche Unternehmen müssen sogar regelmäßig über geeignete Mittel nachweisen, alle Anforderungen an die IT-Compliance ordnungsgemäß zu erfüllen – etwa über Berichte externer Prüfinstanzen oder Penetrationstests.

Zwei Personen arbeiten an Laptops und schreiben auf einem Notizblock

Compliance-Hürden bei der Dienstleisterwahl

Eine besondere Bedeutung kommt der IT-Compliance beim Outsourcing zu. Denn Dienstleister müssen in der Regel dieselben Compliance-Anforderungen für die ausgegliederten IT-Systeme und Prozesse erfüllen, die auch für das auftraggebende Unternehmen gelten. In hochregulierten Sektoren gestaltet sich das Outsourcing daher besonders komplex, da neben der fachlichen Eignung auch Faktoren wie der Standort des Anbieters (insbesondere beim Cloud Computing) oder das geltende Recht eine wichtige Rolle spielen. Die Einhaltung der regulatorischen Vorschriften wird zwischen den Parteien vertraglich bindend festgelegt. In solchen Outsourcing-Verträgen sichern sich die Auftraggeber etwa spezifische Prüf- und Kontrollrechte und regeln die Möglichkeit zur Einbeziehung von Subunternehmen. Je komplexer die Compliance-Anforderungen ausfallen, desto aufwendiger gestaltet sich meist die Vertragsgestaltung.

04

Welche Gesetze und Normen prägen die IT-Compliance?

Die meisten Compliance-Anforderungen entstammen gesetzlicher Grundlagen oder behördlichen Verordnungen. Zu den bekanntesten Regelwerken für Unternehmen und andere Organisationen zählen:

Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) – englisch General Data Protection Regulation (GDPR) – ist eine Verordnung der Europäischen Union, die seit dem 25. Mai 2018 die Verarbeitung personenbezogener Daten einheitlich regelt. Die Vorschriften gelten für alle privaten Unternehmen und öffentliche Stellen, die personenbezogene Daten von EU-Bürgern verarbeiten – unabhängig davon, ob die jeweilige Organisation aus der EU oder einem anderen Wirtschaftsraum stammt. Neuerungen wie das Recht auf Vergessenwerden oder das Recht auf Datenportabilität sollen den Schutz der Privatsphäre verstärkt absichern.

BSI-Gesetz (BSIG)

Das BSI-Gesetz (BSIG) definiert den Aufgabenbereich des Bundesamts für Sicherheit in der Informationstechnik (BSI). Als obere Bundesbehörde verfolgt das BSI das selbst definierte Ziel, Cybersecurity “durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft” aufrechtzuerhalten. Mit der Definition etablierter Mindeststandards, Best-Practice-Modellen und verpflichtender Regularien liefert das BSI einen Leitfaden für eine sichere Digitalisierung großer und kleiner Organisationen. Unter anderem sind im BSIG (§ 8a) Vorgaben für KRITIS enthalten, die die Implementierung geeigneter Sicherheitstechnologien für den Erhalt von “Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse” vorsehen.

IT-Sicherheitsgesetz (IT-SiG)

Als Artikelgesetz ändert und ergänzt das IT-Sicherheitsgesetz (IT-SiG) die bestehende Gesetzgebung aus dem BSI-Gesetz, dem Energiewirtschaftsgesetz, dem Telemediengesetz, dem Telekommunikationsgesetz und weiteren Gesetzen. Zu den Kernzielen des IT-SiG zählt die Verbesserung der Sicherheit und des Schutzes der IT-Systeme und Dienste – insbesondere im Bereich KRITIS. Für diese sieht das Gesetz etwa eine Meldepflicht von erheblichen IT-Störungen gegenüber dem BSI vor.

ISO 27001 & ISO 27001 auf Basis von IT-Grundschutz

ISO 27001 und „ISO 27001 auf Basis von IT-Grundschutz“ definieren ein Rahmenwerk und beschreiben ein Konzept zur Umsetzung eines Informationssicherheitsmanagementsystems (ISMS). ISO 27001 spezifiziert die Anforderungen an Aufbau, Umsetzung, Betrieb, Überwachung, Bewertung, Wartung und Verbesserung von dokumentierten ISMS in Bezug auf die allgemeinen Geschäftsrisiken. Die internationale Norm verfolgt einen Top-Down-Ansatz, bei dem die Prozesse im Mittelpunkt stehen und die notwendigen Sicherheitsmaßnahmen auf Basis einer individuellen Risikoanalyse implementiert werden. Die vom BSI entwickelte ISO 27001 auf Basis von IT-Grundschutz beschreibt eine systematische Methode zur Identifizierung und Umsetzung notwendiger IT-Sicherheitsmaßnahmen in Unternehmen, um ein mittleres, angemessenes und ausreichendes Schutzniveau zu erreichen. Einem Bottom-Up-Ansatz folgend liegt der Fokus auf konkreten Maßnahmen zur Absicherung der IT-Systeme.

05

IT-Compliance: Das müssen Sie wissen

IT-Compliance lässt sich als die Einhaltung geltender Anforderungen aus gesetzlichen, internen oder vertraglichen Bestimmungen definieren. Die Anforderungen betreffen Maßnahmen hinsichtlich Datenschutz, IT-Sicherheit, Verfügbarkeit und Integrität. Für die regelkonforme Umsetzung ist das IT-Compliance-Management zuständig. Dort wird festgelegt, welche Anforderungen für das Unternehmen überhaupt gelten und wie sich diese bestmöglich umsetzen lassen. Ferner reagiert das IT-Compliance-Management auf Änderungen in der Gesetzgebung, um gegebenenfalls Anpassungen an der IT vorzunehmen. Oberstes Ziel ist die Gewährleistung aller technischen, organisatorischen und personellen Maßnahmen, um der geltenden Regulatorik zu entsprechen und Sanktionen zu vermeiden.

Myra Security liefert seinen Kunden hochzertifizierte Schutzlösungen zur Absicherung digitaler Geschäftsprozesse. Als Spezialanbieter für hochregulierte Bereiche wie die Finanz- und Versicherungsindustrie, KRITIS, Behörden oder den Healthcare-Sektor erfüllt Myra strengste Vorgaben an Datenschutz und Compliance.