Die Fusion zwischen IT-Security und IT-Compliance
Welche Veränderungen erfordert die digitale Welt?
Stellen Sie sich vor, der FC Bayern München fusioniert mit Borussia Dortmund in der Fußballbundesliga? Völlig undenkbar. Aber wie ist es in der heutigen digitalen Welt? Die Unternehmen sind zunehmend mit komplexen Herausforderungen konfrontiert, die sowohl technologische als auch regulatorische Aspekte betreffen. Die Rolle des IT-Security-Managers und des IT-Compliance-Managers ist entscheidend für den Schutz von Unternehmensdaten und die Einhaltung gesetzlicher Vorschriften. In meinem nachfolgenden Artikel werde ich ausführlicher auf dieses Thema eingehen.
In der heutigen digitalen Welt sind IT-Experten und Compliance-Manager zwei Schlüsselrollen, die oft in unterschiedlichen Sphären agieren. Traditionell werden diese beiden Rollen eher getrennt betrachtet. Müssen wir nicht umdenken und sollten IT-Manager nicht viel enger mit IT-Compliance-Managern zusammenarbeiten? Sich vielleicht sogar ein Büro teilen?
IT-Management und IT-Compliance
Wie eine enge Zusammenarbeit die digitale Zukunft prägen könnte
Während IT-Manager sich auf die Entwicklung, Implementierung und Wartung von Technologien konzentrieren, sind IT-Compliance-Manager dafür verantwortlich sicherzustellen, dass Unternehmen gesetzliche und regulatorische Anforderungen einhalten. Doch was wäre, wenn diese beiden Rollen fusionieren würden, indem die beiden eine erfolgreiche Allianz bilden? Könnte diese Symbiose die Zukunft der IT- und Unternehmensführung prägen? Oder ist es nicht schon notwendig?
Der IT-Manager ist verantwortlich für die Planung, Implementierung und Verwaltung der IT-Infrastruktur eines Unternehmens. Dies umfasst die Auswahl und Integration von Hardware und Software, die Verwaltung von Netzwerken, die Gewährleistung von Datensicherheit und die Unterstützung der Benutzer. Weiterhin ist er für die Entwicklung und Überwachung von Sicherheitsstrategien verantwortlich, mit dem Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu schützen. Die Durchführung regelmäßiger Backups und Datenwiederherstellungs-Prüfungen gehören genauso zu seinen Aufgaben wie das Monitoring und ein Sicherheitskonzept zu erstellen. Das Risikomanagement beinhaltet die Identifizierung, die Evaluierung und die Minderung von Sicherheitsrisiken. Cybersicherheit bedeutet kurz zusammengefasst: Sichern, Verhindern, Schützen und Erkennen. Dazu gehören Maßnahmen wie End Point Protection, Monitoring, Cloud-Services, Firewalls und Backups sowie Datenmanagement. Ergo sind die Mittel eines IT-Managers meist technischer Natur.
Cyberkriminalität und neue gesetzliche Vorgaben
Welche Auswirkung hat die NIS-2-Richtlinie auf die Arbeit des IT-Compliance-Managers?
Cyberkriminalität ist global ein großes Geschäft. Für das Jahr 2025 werden weltweit Kosten für Sicherheitsmaßnahmen in Höhe von über 10 Billionen Dollar prognostiziert, 2015 waren es nur 3 Billionen Dollar. Die rasante Digitalisierung der vergangenen Jahre hat dazu beigetragen, dass immer mehr Unternehmensprozesse – wie Personalwesen und Finanzberichterstattung – online ablaufen. In Deutschland hat besonders der Markt des Gesundheitswesens mit der Einführung der digitalen Patientenakte große Fortschritte im digitalen Bereich erreicht, dieses wiederum bringt auch Risiken mit sich, da es sich hier um besonders sensible Daten handelt. Die Kassenärztliche Bundesvereinigung bietet sowohl den Arztpraxen als auch den Krankenhäusern ihre eigene IT-Sicherheitsrichtlinie, die diese nutzen können, sowie auch eine Liste für zertifizierte IT-Dienstleister.
Die EU führt daher eine neue, rechtliche Rahmenbestimmung ein, die NIS-2-Richtlinie. Ursprünglich sollte die nationale Umsetzung durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) am 18.10.2024 erfolgen. Aktuell verschiebt sich die Umsetzung jedoch. Diese soll mehr Unternehmen und Branchen in den Geltungsbereich der bestehenden Rechtsvorschriften einbeziehen. Unternehmen werden so forciert, höhere Standards für die Einhaltung der Vorschriften nachzuweisen. 2024 wurden in der EU aufgrund von Verstößen gegen die Allgemeine Datenschutz-Grundverordnung (DSGVO) Geldbußen in Höhe von rund 1,2 Milliarden Euro verhängt.
Damit stehen IT-Compliance-Manager vor zahlreichen Herausforderungen. Die stetige Veränderung gesetzlicher Vorschriften und Regularien stellt eine kontinuierliche Herausforderung dar. Zu den wesentlichen Gesetzen im Bereich der IT gehören das BDSG (Bundesdatenschutzgesetz), die EU-DSGVO (EU-Datenschutz-Grundverordnung) und das IT-Sicherheitsgesetz. Zusätzlich ist für den IT-Bereich die internationale Norm ISO 19600 wichtig. Die DORA ist eine Verordnung, die den Finanzdienstleistungssektor betrifft. Diese am 16.01.2023 in Kraft getretene Verordnung muss von den jeweiligen Unternehmen bis zum 17.01.2025 umgesetzt worden sein.
Globale IT-Compliance-Herausforderungen
Kulturelle Unterschiede, Remote- und Hybrid-Arbeitsmodelle, Einführung von KI und Blockchain
Auf multinationaler Ebene müssen die Diversitäten, insbesondere die kulturellen Unterschiede der verschiedenen Länder, berücksichtigt werden. Global operierende Unternehmen müssen diese Unterschiede und deren Auswirkungen auf das Compliance-Verhalten sensibel und kulturübergreifend angehen, um einheitliche Konzepte zu aller Zufriedenheit zu entwickeln. Dieses erfordert ein tiefgehendes Verständnis der internationalen rechtlichen Rahmenbedingungen und die Fähigkeit, diese effektiv zu integrieren. Auch auf organisatorischer Ebene wird es schwieriger, die Compliance einzuhalten, da mit der Verbreitung von Remote- und Hybrid-Arbeitsmodellen mehr sensible Daten außerhalb des Büros genutzt werden. Die Einführung von KI und Blockchain durch den schnellen, technologischen Fortschritt stellt weitere, neue Herausforderungen dar. Regelmäßige Schulungen der Mitarbeiter sind notwendig, um sicherzustellen, dass alle Mitarbeiter die Compliance-Richtlinien verstehen und auch einhalten.
Eine starke Allianz für Sicherheit und Compliance kann das Unternehmen optimal vor Bedrohungen schützen.
Mit Zahnschmerzen geht man zum Zahnarzt und nicht zum Kardiologen, so hat jeder seinen fachspezifischen Beruf und so wurden auch bisher der IT-Manager und der IT-Compliance-Manager als komplett separierte Bereiche angesehen. Beide Manager verfolgen das gleiche Ziel, nämlich die Risiken zu minimieren und das Unternehmen zu schützen. Eine starke Allianz für Sicherheit und Compliance dieser beiden kann das Unternehmen optimal vor Bedrohungen schützen und die Daten sichern. Eine Zusammenarbeit zwischen IT-Managern und IT-Compliance-Managern kann dazu beitragen, Risiken besser zu identifizieren und zu bewerten. Durch den Austausch von Informationen können potenzielle Probleme frühzeitig erkannt und angegangen werden. Darüber hinaus kann, wie in allen Bereichen, fehlendes Fachpersonal die Umsetzung erschweren und es muss eine Integration der IT-Security in die Unternehmensprozesse erfolgen. Sicherheitsmaßnahmen müssen benutzerfreundlich und effizient gestaltet werden, damit diese insbesondere von Mitarbeitern auch befolgt werden. Denn eine der größten Sicherheitslücken ist und bleibt der Faktor Mensch.
Es bedarf eines Tools, welches die Sicherheit und die Compliance miteinander verknüpft. Dieses Tool sollte Sicherheitskontrollen der IT-Security beinhalten, welche im Nachgang direkt von der IT-Compliance auf die Einhaltung der gesetzlichen Standards überprüft werden. Dadurch werden Sicherheitskontrollen durch regelmäßige Prüfungen erstellt, die sowohl von der Security- als auch von der Compliance-Seite überprüft werden. So werden Datenschutzverletzungen und technische Lösungen der IT-Sicherheit gleichzeitig überwacht. Ein starkes Programm zur Einhaltung dieser beiden Bereiche könnte die Reaktionsschnelligkeit und das dadurch erforderliche Handeln optimieren. Regelmäßige Meetings, in Form von wöchentlichen Besprechungen, sollten stattfinden, um Sicherheitsrichtlinien zu überprüfen, Bedrohungen zu diskutieren und zukünftige Maßnahmen zu planen. Beide Manager sollten sich bei der Durchführung von Risikoanalysen und der Evaluierung der IT-Infrastruktur abstimmen. Hierbei könnte der IT-Compliance-Manager die Infrastruktur aus der Sicht der Skalierbarkeit und des Unternehmens analysieren, während der IT-Manager die Sicherheitslücken identifiziert. Die Durchführung von Workshops und Schulungen als gemeinsames Team könnte dazu dienen, alle Mitarbeiter für Sicherheitsthemen zu sensibilisieren. Auch Führungskräfte sollten regelmäßig über Aktuelles und geplante Neuerungen gemeinsam informiert werden. Beide Manager könnten auch ein Incident Response Team (IRT) bilden, um im Ernstfall bei Sicherheitsvorfällen ad hoc reagieren zu können.
Herausforderung: Wie können Unternehmen IT-Compliance gewährleisten?
Der Umgang mit IT-Compliance unterscheidet sich je nach Größe des Unternehmens, seiner Ressourcen und der Komplexität seiner IT-Infrastruktur.
- Kleine Unternehmen haben in der Regel begrenzte finanzielle und personelle Ressourcen. Oft existieren keine eigenen IT-Abteilungen, und die IT wird entweder von externen Dienstleistern oder von einer kleinen internen IT-Abteilung verwaltet. IT-Compliance ist für viele kleinere Unternehmen eine eher abstrakte Herausforderung, die nicht immer die notwendige Priorität erhält. In kleinen Unternehmen fehlt häufig eine dedizierte Compliance-Abteilung. Oft wird IT-Compliance nebenbei von der Geschäftsführung oder der IT-Abteilung mit erledigt. Sie greifen oft auf externe IT-Dienstleister zurück, um die Einhaltung von Vorschriften sicherzustellen. Dieses betrifft insbesondere Cloud-Dienste, Datensicherung und die Implementierung von Sicherheitsstandards. Aufgrund begrenzter Ressourcen werden häufig nur die grundlegenden Anforderungen erfüllt, z. B. die Einhaltung der Datenschutz-Grundverordnung (DSGVO) oder grundlegende Sicherheitsstandards. Kleine Unternehmen setzen meistens auf kostengünstige, praktische Lösungen, um Compliance zu gewährleisten, wie z. B. Standardsoftware für Datensicherung und Antivirusprogramme, ohne tief in maßgeschneiderte Compliance-Strategien zu investieren.
- Mittlere Unternehmen verfügen oft über spezialisierte IT-Abteilungen und mehr Ressourcen, um sich mit IT-Compliance auseinanderzusetzen. Die Compliance ist häufig eine aufgewertete Funktion, oft als Teil des Risikomanagements oder der IT-Sicherheit. Diese Unternehmen stellen oft Compliance-Verantwortliche oder IT-Sicherheitsbeauftragte ein, die speziell mit der Einhaltung gesetzlicher Vorschriften und der Sicherstellung von Sicherheitsstandards beauftragt sind.
Diese Unternehmen verfügen meist über interne Richtlinien und Prozesse, die an gängige Standards wie ISO 27001, DSGVO und PCI DSS angepasst sind. Die Compliance wird daher umfassender betrachtet und in die IT-Strategie integriert. Um den Anforderungen gerecht zu werden, führen mittlere Unternehmen regelmäßig Audits durch und schulen ihre Mitarbeiter zu den Themen Datensicherheit und Compliance.
Dies hilft dabei, eine Kultur der Compliance zu etablieren. Die IT-Infrastruktur mittlerer Unternehmen ist komplexer, was den Einsatz spezialisierter Compliance-Management-Software oder Audit-Tools erforderlich machen kann. - Große Unternehmen verfügen über umfangreiche Ressourcen und eine gut ausgebaute, spezialisierte Infrastruktur. Sie haben oft große IT- und Compliance-Abteilungen, die sich ausschließlich mit IT-Compliance und der damit verbundenen Risikominderung befassen.
Diese Unternehmen haben in der Regel eine umfassende, strukturierte Compliance-Abteilung, die sich auf alle relevanten Standards und Vorschriften konzentriert. Es gibt spezialisierte Teams für Datenschutz, IT-Sicherheit und Risikomanagement, die eng zusammenarbeiten. Viele große Unternehmen sind international tätig und müssen daher eine Vielzahl von nationalen und internationalen Vorschriften einhalten. Das bedeutet, dass sie global koordinierte Compliance-Strategien und IT-Management-Frameworks implementieren müssen. Diese Unternehmen setzen häufig auf fortschrittliche Technologien zur Automatisierung und Überwachung von IT-Compliance-Prozessen. Hier kommen komplexe Tools zur Anwendung, die es ermöglichen, Compliance-Management auf allen Ebenen der Organisation in Echtzeit zu überwachen und zu steuern. Es werden regelmäßige, interne und externe Audits durchgeführt, um sicherzustellen, dass alle Compliance-Anforderungen erfüllt sind. Sie erstellen detaillierte Compliance-Berichte für Aufsichtsbehörden und sind verpflichtet, diese in einer Vielzahl von Bereichen nachzuweisen, von der Finanzbuchhaltung bis hin zur IT-Sicherheit.
Wer haftet bei IT-Compliance-Verstößen in einem Unternehmen, unabhängig von der Unternehmensgröße?
Zu den zentralen Pflichten des GmbH-Geschäftsführers nach § 43 Abs. 1 GmbHG gehört die Sorge dafür, dass sich die GmbH rechtmäßig verhält, also insbesondere öffentlich-rechtliche Pflichten einhält. Diese Pflicht des Geschäftsführers wird als sogenannte Legalitätspflicht bezeichnet. Experten gehen aufgrund der aktuellen Rechtssprechung davon aus, dass die Regelungen des Aktiengesetzes, § 93 Abs. 1 AktG und § 91 Abs. 2 AktG, eine ausstrahlende Wirkung auf andere Kapitalgesellschaften – wie eine GmbH – haben. Daher besteht für einen Geschäftsführer persönlich die Gefahr, dass dieser für einen eventuellen Schaden innerhalb der IT-Sicherheit z. B. haftbar gemacht werden kann.
Wenn Hackerangriffe durch fehlende Schutzmaßnahmen ermöglicht werden, kann der Geschäftsführer verantwortlich gemacht werden.
Bei einem Hackerangriff ist die Haftung des Geschäftsführers ebenfalls von mehreren Aspekten abhängig. Wenn es zu einem Cyberangriff kommt, der zu einem Datenverlust oder einer Sicherheitsverletzung führt, muss geprüft werden, ob der Geschäftsführer angemessene Maßnahmen ergriffen hat, um das Unternehmen vor solchen Angriffen zu schützen. Hier sind die wesentlichen Fragen: Haben angemessene Sicherheitsvorkehrungen wie Firewalls, Verschlüsselungstechnologien, regelmäßige Sicherheitsupdates und Sicherheitsprüfungen stattgefunden? Wurde ein Sicherheitskonzept entwickelt, das alle relevanten Bedrohungen berücksichtigt und Schutzmaßnahmen für die IT-Systeme des Unternehmens umfasst?
Wenn Hackerangriffe durch fehlende oder unzureichende Schutzmaßnahmen (z. B. keine regelmäßige Sicherheitsüberprüfung oder das Fehlen einer Datensicherung) ermöglicht werden, kann der Geschäftsführer verantwortlich gemacht werden. Nach einem Hackerangriff muss der Geschäftsführer sicherstellen, dass schnell und effektiv auf den Vorfall reagiert wird, insbesondere hinsichtlich der Schadensbegrenzung, der Information der betroffenen Parteien und der Meldung an die zuständigen Behörden (z. B. nach der DSGVO). Ein Geschäftsführer kann sich grundsätzlich durch eine D&O-Versicherung (Directors and Officers Liability Insurance) gegen Haftungsrisiken absichern. Diese Versicherung deckt in der Regel Haftungsansprüche ab, die aus Pflichtverletzungen im Rahmen der Geschäftsführung resultieren, einschließlich IT-Compliance-Verstößen und Cyberangriffen. Allerdings decken nicht alle Versicherungen alle Risiken ab, insbesondere bei grober Fahrlässigkeit oder vorsätzlichem Verhalten.
Die Haftung des Geschäftsführers im Fall von IT-Compliance-Verstößen oder Hackerangriffen hängt in hohem Maße davon ab, wie sorgfältig er seine Pflichten im Bereich der IT-Sicherheit und des Datenschutzes wahrnimmt. Eine klare und verantwortungsbewusste Gestaltung von Sicherheitsprozessen sowie regelmäßige Schulungen und Audits sind essenziell, um die Haftungsrisiken zu minimieren. Wenn der Geschäftsführer seinen Pflichten nicht nachkommt oder grob fahrlässig handelt, kann er persönlich haftbar gemacht werden.
Unabhängig von der Unternehmensgröße ist IT-Compliance jedoch von entscheidender Bedeutung, um Risiken zu minimieren, die Integrität von Daten zu gewährleisten und das Vertrauen von Kunden und Partnern zu sichern. In einer zunehmend digitalen und regulierten Welt müssen alle Unternehmen, unabhängig von ihrer Größe, sicherstellen, dass ihre IT-Systeme den notwendigen Compliance-Standards entsprechen.
IT-Security auf den diesjährigen IT-Tagen
Spannende Vorträge und Workshops zum Thema IT-Security erwarten Euch auch auf den IT-Tagen, der Jahreskonferenz von Informatik Aktuell. Die IT-Konferenz findet jedes Jahr im Dezember in Frankfurt statt – dieses Jahr vom 08.-11.12.
Fazit
Die enge Zusammenarbeit, quasi eine Fusion des IT-Managers und des IT-Compliance-Managers, ist in meinen Augen unerlässlich für die Prävention und schnelle Reaktion auf Sicherheitsbedrohungen. Die zunehmende Komplexität der IT-Struktur, die Explosion der Cyberbedrohungen und die immer strikteren Vorschriften erfordern diese enge Zusammenarbeit. Ein gemeinsames Team der beiden Manager sorgt für eine ganzheitliche, transparente Sicherheitsstrategie, minimiert Risiken, verbessert die Effizienz und stellt sicher, dass das Unternehmen bestmöglich aufgestellt ist. Regelmäßige Meetings zwischen IT-Managern, IT-Compliance-Managern und der Geschäftsführung dienen dazu, sich über aktuelle und neue angekündigte Gesetze zu informieren, auszutauschen und dementsprechend frühzeitig zu agieren und Maßnahmen zu ergreifen, um diese einzuhalten und die Arbeitnehmer dediziert zu schulen. Ein gemeinsam aufgestellter Notfallplan dient dem Unternehmen als große Stütze, im Falle eines Falles überlegt und kontrolliert zu handeln und nicht in Panik zu verfallen. Die Kommunikation und Transparenz spielen, wie in meinem Artikel aufgezeigt, eine entscheidende Rolle.
Es wird sicherlich einige Zeit in Anspruch nehmen, diese Vorstellung durchzusetzen, aber langfristig gesehen wäre diese gemeinschaftliche Teamarbeit die optimale Innovation, um sich mit den zukünftigen Anforderungen auseinanderzusetzen. Gerade die kleineren Unternehmen stehen somit vor großen Herausforderungen, um dieses umzusetzen, da der Kostenfaktor nicht außer Acht gelassen werden kann. Wie Konfuzius einst sagte: "Der Weg ist das Ziel", in diesem Fall der gemeinsame Weg. Ob nun zukünftig der FC Bayern mit Borussia Dortmund fusioniert? Wohl eher nicht, aber als gebürtige Hannoveranerin und Hannover-96-Fan habe ich dort keine Aktien im Spiel.
