Zuletzt aktualisiert: Mo, 9. November 2020
Was ist IT-Compliance?
IT-Governance beschreibt die Steuerung und Planung der gesamten IT, mit dem Ziel Unternehmensziele und -strategien optimal zu unterstützen. Ein Teilbereich der IT-Governance ist die IT-Compliance. Diese beschäftigt sich mit der Einhaltung gesetzlicher, vertraglicher und auch unternehmenseigener Vorgaben mit Fokus auf die IT-Prozesse und -Infrastruktur. Unternehmen unterliegen unzähligen nationalen und internationalen Gesetzen und Standards, wie zum Beispiel DSGVO, SOX, ITIL usw.
Schwerpunkte der IT-Compliance sind unter anderem die Informationssicherheit und der Datenschutz. Die IT-Compliance regelt dabei neben vielen weiteren Punkten, welche Sicherheitsstandards einzuhalten sind, für welche Bereiche und in welchem Umfang eine Dokumentationspflicht besteht und wann ein Datenschutzbeauftragter konsultiert werden muss. Darüber hinaus sind aber auch vertragliche Regelungen wie zum Beispiel das Lizenzmanagement Bestandteil der IT-Compliance.
Wen betrifft IT-Compliance?
Ein weit verbreiteter Irrglaube ist, dass die IT-Compliance alleinige Aufgabe der IT-Abteilung wäre. Das ist falsch!
Auf Grund der stetig wachsenden Relevanz der IT in Unternehmen fällt diese unter die allgemeine Sorgfaltspflicht. Das bedeutet, dass die Verantwortung bei der Unternehmensführung liegt, auch wenn es üblich ist die IT-Compliance an den IT-Leiter zu delegieren.
Folgen bei Nichteinhaltung
Der Geschäftsführer einer GmbH haftet persönlich für die Einhaltung von gesetzlichen Regelungen, so auch bei Verstößen gegen IT-Compliance Vorgaben. Dabei reicht das Strafmaß von Geld- bis hin zu Bewährungs- und Freiheitsstrafen.
Aber auch die Folgen für das Unternehmen bei einer Nichteinhaltung, gehen noch weit über die gefürchteten Strafzahlungen hinaus. Wird zum Beispiel ein Verstoß gegen den Datenschutz publik, quittieren Kunden das in der Regel mit einem immensen Reputations- und auch Vertrauensverlust. Das wiederum hat deutliche Umsatzeinbußen zur Folge.
Dieser Punkt darf auf keinen Fall unterschätzt werden, denn die Auswirkungen können verheerend und vor allem langfristig spürbar sein. So dauert es in der Regel Jahre und verlangt enormen Aufwand, bis das verlorene Vertrauen bei Kunden und Geschäftspartnern wieder aufgebaut werden kann.
Hinzu kommt, dass auch all zu lasche Auslegungen und „Umgehungs-Taktiken“ der IT-Compliance, wie in den letzten Jahren des Öfteren in den Medien berichtet, von den Kunden äußerst negativ bewertet werden. Dadurch kann ein eklatanter Wettbewerbsnachteil entstehen.
Voraussetzungen für IT-Compliance
Der Themenbereich der IT-Compliance ist sehr umfassend und komplex. Dennoch lassen sich die Grundvoraussetzungen zur Einhaltung der Regelungen und Vorgaben kurz und einfach zusammenfassen: Bestandsaufnahme und Analyse der gesamten IT-Infrastruktur.
Das heißt, nur wer einen vollständigen Überblick über seine IT-Infrastruktur hat und die Prozesse versteht, kann geeignete Maßnahmen ergreifen.
Das klingt simpel, ist aber der häufigste Stolperstein, an dem die meisten Umsetzungen scheitern.
Herausforderungen bei der Umsetzung
Ist das Verständnis der IT-Infrastruktur und der Prozesse aufgebaut, kann mit der Planung und Umsetzung von Maßnahmen begonnen werden. Diese sind natürlich für jeden Teilbereich der IT-Compliance sehr individuell, lassen sich allerdings auf ein einheitliches Grundprinzip herunterbrechen:
Jede IT-Compliance Maßnahme greift in bestehende Geschäftsprozesse ein und erfordert eine Anpassung dieser. Die Geschäftsprozesse wiederum sind abhängig von der IT. Somit lässt sich zusammenfassen: Anpassungen an Geschäftsprozessen erfordern Anpassungen in der IT-Infrastruktur.
Diese Erkenntnis mag logisch klingen und auch nicht neu sein, ist aber im IT-Compliance Zusammenhang wesentlich. Bedeutet sie doch, dass die zuvor festgestellte Grundvoraussetzung, die Bestandsaufnahme und Analyse der IT-Infrastruktur, keinesfalls eine einmalige Sache sein kann. Ganz im Gegenteil muss dieser Vorgang ständig wiederholt werden, damit Entscheidungen und Umsetzung immer auf dem aktuellsten Stand der technischen und prozessualen Entwicklung stattfinden.
Verstärkt wird das Ganze noch durch sich unentwegt ändernde Vorgaben, in Form von neuen Gesetzen auf nationaler und internationaler Ebene.
Die Dokumentation dieses stetigen Wandels stellt wohl die größte Herausforderung für alle Unternehmen dar, ist aber zugleich fundamentale Voraussetzung für die Einhaltung von IT-Compliance Vorgaben. Wer keinen aktuellen Überblick über seine IT hat, kann zum Beispiel auch keine Aussage zu den Verarbeitungstätigkeiten personenbezogener Daten treffen, die ein Grundbaustein der DSGVO-Richtlinie sind.
Umsetzung mit Docusnap
Vollständiger Überblick über alle Systeme, Lizenzen usw., detailliertes Verständnis aller Business- und IT-Prozesse, tagesaktuelle Daten… manuell ist das natürlich nicht realisierbar.
Aus diesem Grund wurde die Software Docusnap entwickelt. Sie inventarisiert und dokumentiert automatisch und wiederkehrend die vollständige IT. Mit Hilfe von unzähligen vorgefertigten Berichten, Plänen und Diagrammen können komplette IT-Umgebungen schnell und zuverlässig analysiert und Abhängigkeiten der Business-Prozesse von der IT-Infrastruktur präzise ermittelt werden. Dank vollautomatischer und periodischer Erstellung, Export und Verteilung sind alle involvierten Personen immer auf dem aktuellsten Stand.
Stetig erneuernde gesetzliche Regelungen, Sicherheitsvorgaben oder Lizenzbestimmungen können auf diese Weise schnell und unkompliziert umgesetzt werden.
Da IT-Compliance Vorgaben für alle Unternehmen gleich gelten und deren Umsetzung verpflichtend ist, bringt die schnelle Umsetzung mit Docusnap auf diese Weise auch noch einen klaren Wettbewerbsvorteil.
Docusnap in der IT-Compliance Praxis
Die AccorHotels Deutschland GmbH setzt Docusnap bereits seit mehreren Jahren sehr erfolgreich im Bereich PCI-DSS Compliance, zur Absicherung von Kreditkartendaten, ein. Gerade im sehr sensiblen Umfeld der Kreditkarten-Sicherheit muss sich das verantwortliche Team auf 100 Prozent korrekte Daten verlassen können. Jede Varianz in Datensicherheit und -zugriff geht zu Lasten der Haftungspflichten. Gerade die Komplexität der 3er-Konstellation Anwender, der an diesem Gerät mit jener Software arbeitet, konnte vor Docusnap keine Software abbilden.
PCI-DSS Compliance Project Manager Bianca Daub fasst das wie folgt zusammen: „Die Daten sind immer aktuell und jederzeit verfügbar. Für mich ist Docusnap einfach zugänglich und äußerst verlässlich.“
Weitere Informationen zur Umsetzungen des PCI-DSS Compliance Regelwerks mit Hilfe von Docusnap bei der AccorHotels Deutschland GmbH finden Sie in unserer aktuellen Kundenfallstudie.
Fazit
Mit IT-Compliance muss sich jedes Unternehmen auseinandersetzen. Die Nichteinhaltung kann gravierende Folgen für das Unternehmen, wie auch für die Geschäftsführung haben. Die Vorgaben einzuhalten ist komplex und verursacht sehr viel Aufwand, Kosten und Stress.
Mit Docusnap werden Sie diese Sorgen los. Automatisieren Sie Ihre IT-Compliance und sichern sie sich dadurch einen Wettbewerbsvorteil.