Was ist IT Compliance? Alles Wissenswerte im Überblick

Der englische Begriff Compliance (Befolgung, Einhaltung, Konformität) taucht in vielen Wirtschaftsbereichen auf. Beim Compliance-Management geht es immer darum, etwas zu regulieren bzw. Standards und Richtlinien durchzusetzen. Diese Regelkonformität wird meistens gesetzlich vorgegeben, kann aber auch branchenüblich oder sogar freiwillig befolgt werden.

Ein alltägliches Beispiel sind die Angaben auf einem Lebensmitteletikett. Bei Fleischwaren sind genaue Beschreibung, detaillierte Herkunft und Mindesthaltbarkeit gesetzlich vorgeschrieben, während zusätzliche Informationen zur Region (das Regionalfenster) oder zur Tierhaltung freiwillig von den Herstellern geleistet werden.

Erfüllt ein Etikett alle rechtlichen Anforderungen, ist es compliant, also regelkonform. Bei Nicht-Compliance drohen dem Hersteller bzw. Verkäufer der Fleischwaren empfindliche Strafen.

So ähnlich verhält es sich auch in der Informationstechnologie.

Dieser Artikel definiert zunächst den Begriff Compliance für den IT-Bereich und was Unternehmen alles zu berücksichtigen haben. Am Ende wird das dann anhand eines Beispiels zu Kennwortrichtlinien eingehend erklärt.

Was bedeutet IT-Compliance?

Es beschreibt die Einhaltung von gesetzlichen, branchenüblichen und betrieblichen Standards, Auflagen zum Datenschutz sowie zur Informationssicherheit in Unternehmen, Organisationen und Behörden. Alle Systeme, mit denen personenbezogene Daten erhoben, verarbeitet und geteilt werden, unterliegen der IT-Compliance.

Das betrifft zum einen die Abläufe und Prozesse zur Datenverarbeitung und zum anderen die Technologie (Hard- und Software), die für diesen Zweck zum Einsatz kommt.

Prozesse

Es gibt genaue und strenge Richtlinien, wie Unternehmen personenbezogene Daten erheben und weiterverarbeiten dürfen. Wer darf welche Daten anfordern, einsehen und in welcher Form dürfen diese Daten weitergegeben werden (z.B. komplett, teilweise oder nur anonymisiert bzw. verschlüsselt)? Unter IT-Compliance fallen auch die Dokumentationspflicht der Bearbeitungsabläufe sowie die Informationspflicht im Fall eines Datenlecks.

Technische Maßnahmen

Die Unternehmen müssen sicherstellen, dass die benutzte Hard- und Software den gesetzlichen und sicherheitstechnischen Anforderungen entspricht. So bieten unter anderem veraltete Geräte oder Netzwerkstrukturen eine potenzielle Angriffsfläche für Cyberattacken.

Noch signifikanter ist der regelkonforme Einsatz von Softwarelösungen. Ein vergessenes Update des Betriebssystems oder ein unzureichende Einstellung in den Active Directory Passwortrichtlinien sind reale Sicherheitsrisiken.

Dabei ist es egal, ob sich die IT-Struktur komplett im gleichen Gebäude befindet oder von einem Dienstleister an einem anderen Ort erbracht wird (Cloudlösungen). IT-Compliance muss auch für Strukturen im Ausland gewährleistet werden, selbst wenn dort andere gesetzliche Gegebenheiten herrschen.

Warum ist IT-Compliance wichtig?

Ziele der betrieblichen Compliance-Maßnahmen sind:

• Die regelkonforme Behandlung und Verarbeitung von personenbezogenen Daten.
• Bösartige oder versehentliche Zugriffe und Cyberattacken sollen verhindert werden.
• Das Unternehmen vor wirtschaftlichen Verlusten und Imageschäden zu schützen.
• Der Schutz vor betrieblichen bzw. persönlichen Haftungsansprüchen im Falle einer Datenpanne (etwa Schadensersatz oder Bußgelder).

Gerade der letzte Punkt kann für die Unternehmen und für die zuständigen Verantwortlichen teuer werden. So sind bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO – siehe auch nächstes Kapitel) Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes möglich.

IT-Compliance liegt also im wirtschaftlichen und sozialen Interesse aller Beteiligten.

Welche Vorgaben gibt es?

Jedes Unternehmen, das etwas mit Datenerhebung und -verarbeitung zu tun hat (z. B. Anlegen von Kundendaten), muss bestimmte Gesetze, Standards und Regeln dazu beachten. Das durchzusetzen und einzuhalten ist die Funktion der IT-Compliance. Dafür gibt es einige nationale und internationale Gesetze und Normen.

In Deutschland regelt das strenge Bundesdatenschutzgesetz (BDSG) den Umgang mit personenbezogenen Daten. Vor allem für Betreiber von kritischen Infrastrukturen gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz). Hier sind die Compliance-Anforderungen besonders hoch.

Auf europäischer Ebene soll die EU-Datenschutz-Grundverordnung (EU-DSGVO) die Verarbeitung von personenbezogenen Daten in den Mitgliedsstaaten vereinheitlichen. Die internationale Norm ISO 1960 unterstützt Organisationen beim Einsatz von Compliance-Management-Systemen. Eine Zertifizierung nach ISO 19600 bedeutet, dass betreffende Unternehmen alle Maßnahmen zur IT-Compliance erfolgreich implementiert haben

Außerdem gibt es noch zahlreiche betriebliche, internationale oder brancheninterne Compliance-Standards. Oder gar Vorgaben für Unternehmen die besondere Aufgaben in unserer Gesellschaft, wie z.B. den KRITIS-Branchen, innehaben.

Das geht teilweise bis in kleinste Detail, z.B. wie schnell ein passwortgeschützter Bildschirmschoner den PC/Laptop nach Verlassen des Arbeitsplatzes sperrt.

Welche Herausforderungen ergeben sich aus der IT Compliance für Unternehmen?

IT-Compliance ist Chefsache, da die Geschäftsführung bzw. die IT-Verantwortlichen bei Verstößen auch persönlich zur Rechenschaft gezogen werden können. Da die Vorgaben recht vielfältig und komplex sind, benötigen Betriebe ein Compliance-Management bzw. einen Compliance-Beauftragten. Die Herausforderung besteht darin, die Arbeitsabläufe regelkonform zu organisieren, transparent zu dokumentieren und dabei das Recht der Mitarbeiter auf Privatsphäre zu bewahren.

Des Weiteren gehört es zu den Aufgaben des Compliance-Managements, auf die passende Auswahl von Hard- und Softwarelösungen zu achten und diese auf dem neuesten Stand zu halten.

Alle beschriebenen Maßnahmen gelten unternehmensweit und sind als fortlaufender Prozess zu verstehen. So verändern sich mit der Zeit bestimmte Anforderungen, die dann nachjustiert werden müssen ‒ wie beispielsweise die Passwort-Richtlinien.

Beispiel Kennwortrichtlinien

Angenommen, Unbefugte haben sich durch ein kompromittiertes Passwort Zutritt zu sensiblen betrieblichen und persönlichen Informationen verschafft. Das passiert täglich sowohl in großen als auch in kleinen Unternehmen. Im Nachhinein stellt sich heraus, dass ein leistungsstarker Passwortfilter dieses Kennwort blockiert und gar nicht erst zugelassen hätte.

Das Einhalten von gesetzlichen und freiwilligen Passwort-Richtlinien für starke Kennwörter steht ganz oben auf der IT-Compliance-Liste. Die gängigen Empfehlungen oder Vorgaben von Institutionen sind BSI (ORP4.A8), KRITIS und das bereits genannte BDSG sind, dass vergebene Kennwörter auf keinem Fall kompromittiert sein dürfen. Eine professionelle Erweiterung der Kennwortrichtlinien in Active Directory mit Specops Password Policy hätte in diesem Fall zuerst die Richtlinien für ein sicheres Kennwort betriebsweit durchgesetzt. Mithilfe der automatischen Prüfung der Passwörter im Active Directory gegen unsere Liste aus mehr aus 3 Milliarden kompromittierter Passwörter, wäre das bekannt gewordene Passwort automatisch verhindert worden und dem Unternehmen die Datenpanne erspart geblieben.

Dieses Beispiel steht stellvertretend für die oben beschriebene Sorgfaltspflicht bei der Auswahl von regelkonformen Softwarelösungen. Entspricht die Lösung nicht den gestellten Compliance-Anforderungen, darf sie auch nicht im Unternehmen eingesetzt werden. Gerade im Bereich Passwortsicherheit kann ein unzureichendes Programm verheerende Konsequenzen und Schäden nach sich ziehen.

Fazit: Was ist IT-Compliance?

Im Kern geht es bei der IT-Compliance sowohl um die Sicherheit als auch um eine nachvollziehbare Behandlung von sensiblen Daten und Informationen.

Um das zu ermöglichen, haben Gesetzgeber und Branchenverbände Gesetze, Richtlinien und Standards (Beispielsweise: NIST, CJIS, NCSC, ANSSI, CNIL, BSI, HITRUST, PCI und vielen weiteren) unter dem Oberbegriff der IT-Compliance erlassen. Es liegt an jedem Unternehmen bzw. jeder Organisation, diese Normen genau umzusetzen, um die Daten, die Mitarbeiter und letztendlich ihre eigene Geschäftsgrundlage zu schützen.

Alle Fragen zu den Specops-Produkten werden Ihnen unsere Experten gerne beantworten. Wer Password-Policy live in Aktion sehen möchte, kann dort auch eine unverbindliche Demo vereinbaren. Wenn Sie sich ein Bild über den aktuellen Status, einen Überblick über die kompromittierten Passwörtern in Ihrem active Directory und Ihren Vortschritt bei der Einhaltung von institutionellen Empfehlungen machen wollen, dann unterstützt Sie unser kostenloses Tool Specops Password Auditor jederzeit.