- Anzeigen -

Sie sind hier: Home » Fachartikel » Management

Wertschöpfung durch Compliance


Konsequente Nutzung von Governance-, Risiko- und Compliance- Management (GRC)-Lösungen trägt dazu bei, das interne Kontrollsystem zu verbessern, ohne die Wirtschaftlichkeit von Compliance aus dem Blick zu verlieren
Immer noch substanzielle Schwachstellen in der Corporate Governance und im Risikomanagement von Finanzinstituten


Autor Ralf Zimpel:
Autor Ralf Zimpel: "Compliance-Verantwortliche sollten die Industrialisierung vorantreiben", Bild: CSC

Von Ralf Zimpel, CSC (*)

(23.07.10) - Finanzskandale sowie verstärkte Bemühungen um Verbraucher- und Anlegerschutz haben in der vergangenen Dekade zu einer Flut neuer Gesetze und Regularien geführt: Sarbanes-Oxley Act (SOX), Basel II, Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und 8. EU-Richtlinie (auch EuroSOX genannt) seien hier beispielhaft genannt.

Trotz der umfangreichen Regelungen hat die Finanzkrise aufgezeigt, dass nach wie vor substanzielle Schwachstellen in der Corporate Governance und im Risikomanagement von Finanzinstituten bestehen:

>> unzureichende Beaufsichtigung und Kontrolle von Vorständen und Geschäftsführern,

>> schwaches Risikomanagement,

>> übermäßige Risikobereitschaft und kurzfristiges Denken aufgrund unzweckmäßiger Vergütungs- und Anreizsysteme,

>> fehlende Kontrolle seitens der Aktionäre über die in ihren Finanzinstituten eingegangen Risiken.

Es gibt verschiedene Initiativen zur Verbesserung der Corporate Governance, die unter anderem auf die Schaffung einer an langfristigen Unternehmensinteressen orientierten Risikokultur auf allen Ebenen von Finanzinstituten und eine verstärkte Einbeziehung der Aktionäre, Aufsichtsorgane und externen Revisoren abzielen. Diese Initiativen werden die Corporate Governance- und Compliance-Strukturen sowie interne Kontrollsysteme auf den Prüfstand stellen.

Management von Compliance-Risiken
In den letzten Jahren haben zwei europäische Initiativen die Rahmenbedingungen für das Management von Compliance-Risiken grundlegend verändert – primär bei Finanzdienstleistern aber teilweise auch bei Industrieunternehmen: die 3. EU-Geldwäscherichtlinie (2006/60/EG) sowie die Richtlinie über Märkte für Finanzinstrumente (MiFID; 2004/39/EG).

Die Umsetzung beider Richtlinien in deutsches Recht stellt unter anderem die Verbesserung interner Kontrollen in den Mittelpunkt. So bezieht die 3. EU-Geldwäscherichtlinie beispielsweise Wirtschaftsprüfer und vereidigte Buchprüfer in die Terrorismusbekämpfung ein. Die Identifizierungspflichten hinsichtlich "des wirtschaftlich Berechtigten" bei Zahlungsvorgängen wurden erheblich verschärft. Das Kreditwesengesetz definiert in § 25c KWG die Bekämpfung betrügerischer Handlungen zu Lasten von Instituten und Kapitalanlagegesellschaften als eigenständige Aufgabe.

Compliance und interne Kontrollen
§ 25c KWG verpflichtet Kredit- und Finanzdienstleistungsinstitute sowie Finanzholding-Gesellschaften, "im Rahmen ihrer ordnungsgemäßen Geschäftsorganisation und des angemessenen Risikomanagements interne Grundsätze, angemessene geschäfts- und kundenbezogene Sicherungssysteme und Kontrollen zur Verhinderung von betrügerischen Handlungen zu ihren Lasten zu schaffen und laufend zu aktualisieren".

Gemäß § 25c Abs. 2 S. 1 KWG sind hierzu angemessene Datenverarbeitungssysteme einzusetzen, die betrügerische Handlungen bis auf Geschäftsbeziehungs- und Einzeltransaktionsebene erkennbar machen. Hiermit erweitert der Gesetzgeber die Verpflichtung der Institute zur Bekämpfung betrügerischer Handlungen.

Ähnlich schwerwiegende Folgen haben MiFID und deren Umsetzung in deutsches Recht für die Aufgabenstellung und das Pflichtenheft der Compliance-Funktion. Durch Verweis auf § 25a KWG und deren Konkretisierungen wie die Mindestanforderungen für Risikomanagement (MaRisk) ist die Compliance-Funktion nunmehr auch in der gesetzlichen Betrachtung integraler Bestandteil des internen Kontrollsystems (IKS). Diesen Vorgaben zufolge ist die Geschäftsleitung verantwortlich für die ordnungsgemäße Geschäftsorganisation sowie insbesondere für ein angemessenes und wirksames Risikomanagement.

Mindestanforderungen an Compliance
Analog zu den MaRisk hat die Bundesagentur für Finanzaufsicht (BaFin) Mindestanforderungen an Compliance (MaComp) formuliert. Die MaComp stärken den Compliance-Beauftragten / Compliance-Manager im Unternehmen und definieren erweiterte Berichts- und Aufzeichnungspflichten. Darüber hinaus konkretisieren die Mindestanforderungen die Überwachungsaufgaben.

So müssen Überwachungshandlungen nicht nur risikobasiert sondern auch regelmäßig auf der Grundlage eines Überwachungsplans erfolgen. Zudem soll die Compliance-Funktion im Gegensatz zur internen Revision "ihre Prüfungen kontinuierlich, wenn möglich prozessbegleitend oder zumindest zeitnah durchführen". Eine ausschließliche Stützung auf Prüfungsergebnisse der internen Revision ist nicht zulässig.

All diese Vorschriften erweitern das Aufgabenspektrum und den Abdeckungsgrad von Compliance erheblich. Ergänzend ist die häufig noch autark agierende Compliance-Abteilung in das interne Kontrollsystem zu integrieren, sowohl organisatorisch, prozessual als auch systemseitig. Die Industrialisierung – also die Standardisierung und Automatisierung von Geschäfts- und Kontrollprozessen – ist eine wichtige Aufgabe zur Verwirklichung dieses Ziels.

Compliance-Verantwortliche sollten die Industrialisierung vorantreiben, damit sie aktuelle und künftige aufsichtsrechtliche Anforderungen erfüllen und eine größtmögliche Transparenz der Geschäftsvorgänge sowie der damit verbundenen Risiken für das Finanzinstitut, seine Mitarbeiter und externe Interessenten wie Anteilseigner, Aufsichtsbehörden oder externe Revisoren erreichen.

IT unterstützt Compliance-Umsetzung
Hier setzen IT-basierte, risikoorientierte Governance-, Risiko- und Compliance- Management (GRC)-Lösungen an. Diese unterstützen Finanzinstitute bei der Weiterentwicklung des aktuellen Compliance-Ansatzes zu einem strategischen Instrument der Unternehmensführung. Zentraler Bestandteil ist dabei das Reifegradmodell (Maturity Check) zur Etablierung eines ganzheitlichen und konsistenten GRC-Rahmens.

Anhand eines strukturierten Fragenkatalogs kann das relevante Normen- und Kontrollumfeld bestimmt und mit ökonomischen, rechtlichen und ethischen Unternehmenszielen abgeglichen werden. Darauf aufbauend werden Handlungsfelder identifiziert, aus denen sich organisatorische, personelle und informationstechnologische Maßnahmen ableiten lassen. In diesem Zusammenhang bestimmen die Verantwortlichen auch die Anforderungen an "angemessene Datenverarbeitungssysteme".

Kernfunktionen einer effizienten IT-Plattform
Diese Anforderungen an die IT lassen sich vor dem Hintergrund der Einbindung in das interne Kontrollsystem nicht allein durch individuelle Speziallösungen beispielsweise zur Betrugsprävention oder durch die Schaffung weiterer Insellösungen erfüllen. Um eine konsistente Sicht auf das Gesamtrisiko ("Central Point of Control") zu etablieren, ist vielmehr eine flexible, konfigurierbare und integrierte Plattform erforderlich, die Geschäftsprozesse, Unternehmensrisiken und alle Compliance-Felder abdeckt. Solch eine Plattform umfasst folgende Kernfunktionen:

>> Dokumentation der aufsichtsrechtlichen Anforderungen, Risiken und Kontrollen in Relation zum Geschäftsmodell, den relevanten Geschäftsprozessen, Unternehmenswerten, Offenlegungspflichten, Risiken und Kontrollen;

>> Workflow-Management zur Koordination der Maßnahmen eines GRC-Programms (unter anderem Compliance- und Schulungsprogramme, Risikobewertung, Maßnahmenkatalog und Case Management sowie Wiedervorlage- und Eskalationsprozesse);

>> Content-Management für eine revisionssichere Dokumentation der unterschiedlichen Nutzer, Rollen, Verantwortlichkeiten und Maßnahmen inklusive Versionsmanagement, Datenmanagement und Datenqualitätsmanagement;

>> Flexible Reporting-Instrumente und -Verfahren für eine systematische Analyse zur Verfolgung und Bewertung des GRC-Status auf Basis aktueller Bewertungsmethoden, Risikotypologien, Leistungsindikatoren, Verlusthistorien und weiterer Kriterien

Mit Blick auf das sich schnell verändernde regulatorische Umfeld ist dabei die Geschwindigkeit entscheidend, mit der Geschäfts- und Kontrollprozesse modelliert, in der IT abgebildet und in die Produktionsumgebung überführt werden können. Um Zukunftssicherheit zu gewährleisten, müssen darüber hinaus Faktoren wie Kompatibilität und Web-Technologie berücksichtigt werden, besonders in Hinsicht auf Open-Source-Technologie und die Einbindung von Analyseverfahren.

Wertschöpfungsbeiträge durch die Verbesserung des GRC-Managements lassen sich dabei in den Dimensionen Wirtschaftlichkeit, Risikoreduzierung und Unternehmenssteuerung realisieren.

Wirtschaftlichkeit
Prozessorientierte, konfigurierbare und skalierbare übergeordnete Compliance- Systeme (GRC-Plattform) helfen, Mehrfachaufwendungen zu vermeiden und gleichzeitig komplexere Anforderungen abzudecken. Durch Prozessautomation und Integration bewährter Technologielösungen wie Dokumentenverwaltungssystemen sowie Identitäts- und Case-Management-Systemen lassen sich Rationalisierungs- und Synergiepotenziale im Kontrollprozess realisieren. Ein Beispiel hierfür sind niedrigere Help-Desk- und Administrationskosten sowie ein geringerer Aufwand für die Berichterstattung.

Risikoreduzierung
Durch die Integration von Applikationen zur Unterstützung von Revision und Risikomanagement (inklusive Compliance-Risiken), Finanzen, Corporate- und IT-Governance sowie der Reportingprozesse ermöglichen GRC-Lösungen eine systematische und kontinuierliche Überwachung sowie konsistente Steuerung aller relevanten Risiken. Sie unterstützen zudem das Aufbrechen der nach wie vor vorherrschenden "Silos".

Unternehmenssteuerung
Mit effizienten Compliance-Tools lässt sich außerdem die interne Kontrolle verbessern. Entscheidungsprozesse und Strategieentwicklung können flexibler auf neue Anforderungen reagieren. Ebenso lassen sich Krisenprävention und Krisenmanagement effektiver umsetzen.

Die vielfältigen Vorteile zeigen, dass ein ganzheitliches Governance-, Risk- und Compliance-Management dazu beiträgt, sich langfristig im Financial-Services-Wettbewerb zu behaupten sowie die Anforderungen der 3. EU-Geldwäscherichtlinie und der MiFID umzusetzen.

Der Autor
(*) Ralf Zimpel war mehr als zwei Jahrzehnte in verschiedenen Compliance- und Risikomanagement-Managementpositionen bei internationalen Finanzinstituten tätig. Bei CSC ist er nun als Management Consultant im Bereich Compliance & Intelligence Solutions verantwortlich für die Entwicklung ganzheitlicher Risiko- und Compliance-Lösungen für Bankinstitute und Versicherungsunternehmen.

CSC: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Corporate Compliance Zeitschrift

Corporate Compliance Zeitschrift
Corporate Compliance Zeitschrift Fachartikel zum Thema Corporate Compliance


Lesen Sie weitere Compliance-Themen

in der Corporate Compliance Zeitschrift, Zeitschrift zur Haftungsvermeidung im Unternehmen.

Corporate Compliance Zeitschrift“ (CCZ) heißt die neueste juristische Fachzeitschrift zur Haftungsvermeidung im Unternehmen. Die CCZ erscheint seit Januar 2008 sechsmal jährlich in den Verlagen C.H.Beck / Franz Vahlen und wird von Compliance-Magazin.de (Hrsg. Presse, Messe & Kongresse Verlags GmbH) vertrieben.

Hier geht's zur Kurzbeschreibung der Zeitschrift

Hier geht's zum Schnupper-Abo
Hier geht's zum regulären Abo

Hier geht's zum pdf-Bestellformular (Normal-Abo) [70 KB]
Hier geht's zum pdf-Bestellformular (Schnupper-Abo) [69 KB]

Hier geht's zum Word-Bestellformular (Normal-Abo) [41 KB]
Hier geht's zum Word-Bestellformular (Schnupper-Abo) [40 KB]


Leseproben der Corporate Compliance Zeitschrift (CCZ)

08.09.17 - "Unter Freunden" - Interessenkonflikte erkennen. vermeiden und bereinigen

07.09.17 . Für ein Unternehmen ist es existenziell, die Mitarbeiter mit dem Thema Werte zu erreichen und sie von der Richtigkeit und Wichtigkeit der Unternehmensethik zu überzeugen

07.09.17 - Ein Eintrag in die Insiderliste ist vorzunehmen, sobald der Zugang zu einer "Insiderinformation" im Raum steht

07.09.17 - Ein "Berliner Compliance Modell" (BCM) - oder: Die Herausforderung, Orientierung für Compliance zu schaffen

07.09.17 - Sanktionierung von Bankmitarbeitern nach dem Geldwäschegesetz-Entwurf

06.09.17 - Die neue Institutsvergütungsverordnung - im Widerstreit mit dem Arbeitsrecht

06.09.17 - Die neuen Vorgaben nach MiFID II - Teil 3 - Die Zulässigkeit und Offenlegung von Zuwendungen

06.09.17 - Kopplungsgeschäfte und Korruption (§ 299 StGB) - Die Grenzen der Privatautonomie

06.09.17 - Unter Beobachtung - Der amerikanische Monitor im deutschen Unternehmen

14.06.17 - Das Thema Kommunikation wird in der Compliance oft vernachlässigt

14.06.17 - Compliance bei Joint Ventures und MinderheitsbeteiIigungen

14.06.17 - Neue Betrugsformen im Internet - weshalb Regelungen und Verhaltensanweisungen nicht ausreichen

14.06.17 - Grundsätze der Arbeitnehmerhaftung und Compliance-Verstöße

13.06.17 - Grenzen im Kampf um kluge Köpfe - Strafrechtliche Risiken bei der Abwerbung von Mitarbeitern

13.06.17 - Compliance beim Einrichten und Betreiben von Arbeitsstätten

13.06.17 - Änderungen des DCGK betreffen Compliance Management-Systeme

12.06.17 - DS-GVO: Anforderungen an die Auftragsverarbeitung als Instrument zur Einbindung Externe

12.06.17 - DOJ veröffentlicht neue "Compliance-Program Evaluation Guidance"

12.06.17 - Die Pläne zur Errichtung eines zentralen Transparenzregisters

20.03.17 - Ein verständliches Compliance-Regelwerk, oder: wie sage ich's den Mitarbeitern?

20.03.17 - Effektive Compliance im Kartellrecht: Von der Verbandsanalyse zur Risikominimierung

20.03.17 - Die Führungskräfte im Zentrum eines funktionierenden Compliance Management Systems

17.03.17 - Compliance bei Unternehmenstransaktionen: M&A-Prozesse sind mit erheblichen Compliance-Risiken behaftet

17.03.17 - Erleichterungen für Konzernsachverhalte durch die Europäische Datenschutz-Grundverordnung (DS-GVO)?

17.03.17 - Beschlagnahme von Unterlagen beim Ombudsmann?

17.03.17 - Vorstandspflichten und Compliance-Anforderungen im eingetragenen Verein

16.03.17 - Die Aufzeichnungspflichten betreffend Telefongespräche und elektronischer Kommunikation

16.03.17 - Leitfaden zum Einsatz quantitativer Verfahren in der Aufdeckung kartellrechtlichen Fehlverhaltens

30.01.17 - Compliance, Big Data und die Macht der Datenvisualisierung

30.01.17 - Hinweise zur Beurteilung des Risikos kartellrechtlicher Verstöße am Beispiel des Konsumgütersektors

27.01.17 - Befragungstaktik und Aussagepsychologie bei unternehmensinternen kartellrechtlichen Untersuchungen

27.01.17 - Mehr Klarheit bei Kontoeröffnungen für Flüchtlinge

27.01.17 - Die neuen Vorgaben nach MiFID II

26.01.17 - Warum bestehende Methoden zur Wirkungsmessung von Compliance so wenig über deren Erfolg aussagen

26.01.17 - Leitfaden des Deutschen Caritasverbandes für Entscheidungen im Management christlicher Organisationen

26.01.17 - Compliance und Benediktsregel eine Gegenüberstellung

06.12.16 - Compliance ist im Markt, aber noch nicht im Recht - Ergebnisse einer Unternehmensbefragung

06.12.16 - Das FCPA Pilot-Programm - Wesentliche Inhalte und Bewertung

06.12.16 - Insiderverzeichnis des WpHG schon wieder Rechtsgeschichte

06.12.16 - Das neue Kapitalmarktmissbrauchsrecht für Emittenten

05.12.16 - Berücksichtigung von Compliance-Programmen bei der Bußgeldbemessung - Vorbild USA?

05.12.16 - Kairos für Compliance oder wie die Gunst des Augenblicks nutzen?

05.12.16 - Umgehung von Compliance als tatbestandausschließender Exzess bei § 130 OWiG

05.12.16 - Compliance-Kommunikation braucht Kopf und Bauch

02.12.16 - Welche Folgen hat die EU-Datenschutz-Gerundverordnung für Compliance?

22.08.16 - Die neue DICO-Leitlinie "Kartellrechtliche Compliance"

19.08.16 - Die geldwäscherechtliche Identifizierung von Personen, die für den Vertragspartner auftreten

18.08.16 - Pflicht zur Herausgabe interner Untersuchungsergebnisse im Rahmen von US-Ermittlungsverfahren?

17.08.16 - Richtlinie zum Schutz von Geschäftsgeheimnissen

16.08.16 - Das Gesetz zur Bekämpfung von Korruption im Gesundheitswesen und seine Auswirkungen auf Strafverfolgung und Healthcare-Compliance

12.08.16 - Die neuen strafrechtlichen Sanktionsregelungen im Kapitalmarktrecht

11.08.16 - Objektgerechte Aufklärung über Risiken von Fondsbeteiligungen

08.07.16 - Rechtskonformen Umgang mit ihren personenbezogenen Daten

08.07.16 - Panama Papers -Konsequenzen für die Compliance-Praxis?

07.07.16 - UK Bribery Act 2010 aktuell - Die Strafverfolgung von Unternehmen unter Sec. 7 UKBA gewinnt an Fahrt

07.07.16 - Produktsicherheitsrecht 2016 - Neue Anforderungen an den Warenvertrieb als Compliance-Herausforderung

06.07.16 - Zur Einrichtung eines Compliance-Ausschusses im Aufsichtsrat

06.07.16 - Geht gar nicht? Bußgeldmildernde Compliance bei Entscheidungen der EU-Kommission

05.07.16 - Fragen und Antworten zum UK Modern Slavery Act 2015

05.07.16 - Internationale Pflichtenkollisionen widersprüchliche Rechtsordnungen und damit einhergehende Haftungsrisiken

26.04.16 - Wesentliche Neuerungen für zwischengeschaltete ZahIungsdienstleister

25.04.16 - Kartellschadensprävention als Bestandteil der kartellrechtlichen Compliance

22.04.16 - Strafrechtliche Verantwortlichkeit von Compliance-Mitarbeitern von Banken und Zahlungsdienstleistern bei der Abwicklung und Kontrolle von Zahlungsverkehr und anderen Finanzdienstleistungen für Kunden der Bank - am Beispiel der Bereitstellungsverbote

21.04.16 - Die Folgen von Rechtsverstößen bei der Vergabe öffentlicher Aufträge

20.04.16 - Herausforderungen für das Compliance-Management in Start-up-Unternehmen

19.04.16 - § 22 Abs. 4 AWG: Bestandsaufnahme drei Jahre nach Einführung einer dogmatisch diskutierten und praktisch postulierten Vorschrift

18.04.16 - "Gesetz zur Bekämpfung von Korruption im Gesundheitswesen" (BT-Drs. 18/6446)

15.04.16 - Integrität durch nachhaltiges Compliance Management

09.02.16 - Die neue Sentencing Guideline for Fraud, Bribery and Money Laundering Offences in England und Wales

08.02.16 - (Cloud-)Datentransfer und Exportkontrolle - Neue Compliance-Herausforderungen für Unternehmen

05.02.16 - Die Haftung des Geschäftsführers einer Gesellschaft mit beschränkter Haftung (000) nach russischem Recht

04.02.16 - Zur Strafbarkeit juristischer Personen in Spanien nach der Reform von Art. 31 Código Penal

03.02.16 - Interne Untersuchungen von Exportkontrollverstößen und der strategische Einsatz von Computer-Forensik und E-Discovery

02.02.16 - Compliance bei vertriebsbezogener Product Governance

24.04.17 - Bestechung im geschäftlichen Verkehr: Brasilien ist eines der wenigen Länder, die derzeit noch keine Strafvorschriften in Bezug auf Bestechung und Bestechlichkeit im geschäftlichen Verkehr besitzen

24.04.17 -Trotz der hohen Verbreitung fehlen vielen Unternehmen ausreichende Open-Source-Compliance-Systeme: Dies kann fatale Folgen haben

24.04.17 - Konzeption zur wirtschaftlichen Ausgestaltung kartellrechtlicher Compliance-Maßnahmen

24.04.17 - "Loi Sapin 211: Die Revolution im französischen Anti-Korruptionsrecht

25.04.17 - Warum Compliance-Regeln das Strafbarkeitsrisiko nach der Neufassung des § 299 StGB erhöhen

25.04.17 - Compliance-Risiko: Was ist das? - Ein Blick in die Banken

25.04.17 - Der Regierungsentwurf zur Umsetzung der Vierten EU-Geldwäscherichtlinie

25.04.17 - Nicht nur die Aufgabe birgt ein potenzielles Korruptionsrisiko, sondern auch der Mensch, der sie ausführt

26.04.17 - Wie führt man eine Risikoanalyse prozesssicher durch

26.04.17 - Compliance-Prüfung bei Spenden und Sponsoring-Aktivitäten

26.04.17 - Fehlende Compliance als Strafmilderungsgrund?

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Management

  • IT-gestützte Compliance ist kein Hexenwerk

    Compliance wird immer wichtiger. Unternehmen müssen umfangreiche gesetzliche Vorgaben und Richtlinien einhalten und deren Befolgung auch nachweisen. Bei Rechtsverletzungen drohen empfindliche Strafen und ein erheblicher Imageschaden. Doch viele Firmen sind mit dem Compliance-Management überfordert. Abhilfe schafft hier ein pragmatischer, IT-gestützter Ansatz wie das Compliance-Framework von Computacenter, das die Regularien mit den entsprechenden IT- und Geschäftsprozessen verzahnt und Abweichungen erkennt. Compliance gilt für alle Fachbereiche eines Unternehmens, auch für die IT-Abteilung. In den meisten Unternehmen sind heutzutage alle Daten elektronisch gespeichert und sämtliche Geschäftsprozesse in Software abgebildet. Angesichts der zentralen Rolle der IT fordert der Gesetzgeber verstärkt IT-Sicherheit und Datenschutz. Daher ist IT-Compliance oft geschäftskritisch für Unternehmen.

  • Compliance-konforme Datensicherheit

    Die Vertraulichkeit und Integrität von Daten ist unverzichtbar – nicht zuletzt auch aus Compliance-Gründen. Eine Grundlage dafür: Die konsequente Verschlüsselung von wichtigen Informationen. Ein besonders hohes Schutzniveau bieten Hardware-basierte Verschlüsselungssysteme, so genannte Hardware Security Module (HSM). Zur Sicherung von Daten und Transaktionen sind kryptographische Verfahren unverzichtbar. Sie umfassen zwei Bereiche: das Erzeugen, Speichern und Verwalten von Schlüsseln sowie die Anwendung für die Signaturerstellung und Verschlüsselung mit diesen kryptographischen Schlüsseln. Hier kommen Hardware Security-Module ins Spiel: Sie erzeugen hochwertige kryptographische Schlüssel und speichern sie so sicher, dass unautorisierte Personen keinen Zugriff darauf haben.

  • Schutz kritischer Infrastrukturen

    Das IT-Sicherheitsgesetz - das erste seiner Art in Deutschland - ist vom Kabinett verabschiedet worden und liegt nun im Bundestag zur Beratung. Es ist ein Anfang und eine Chance für Unternehmen, um sich vor Angriffen zu schützen. Die Notwendigkeit dieser Gesetzgebung ist offenkundig: Das zivile Leben in Deutschland darf nicht durch Cyberattacken beeinträchtigt werden. Besonders das Thema Wirtschaftspionage soll mit dem Gesetz adressiert werden, denn beinahe jede Woche werden neue Angriffe auf Unternehmens- und Organisationsstrukturen gemeldet. Offensichtlich ist es für Wirtschaftskriminelle, politische Akteure und Cyberterroristen immer noch viel zu einfach, in die Infrastrukturen einzudringen, zu sabotieren und Daten zu entwenden. Vollständig verhindern wird das IT-Sicherheitsgesetz diese Attacken nicht, es soll aber zumindest die gröbsten Sicherheitslücken beseitigen. Es soll unter anderem sicherstellen, dass es ein dokumentiertes Sicherheitsmanagement gibt und dass alle sicherheitskritischen Elemente in der IT-Infrastruktur im Unternehmen identifiziert und ganzheitlich überwacht werden.

  • Verschlüsselung - auch eine Frage der Compliance

    Global tätige Unternehmen aller Branchen sind neben nationalen Regeln auch an landesübergreifende Gesetze gebunden. Innerhalb der EU gehört dazu beispielsweise die European Union Data Protection Directive (EU DPD). Die Datenschutz-Richtlinie 95/46/EG regelt den Schutz der Privatsphäre natürlicher Personen im Zusammenhang mit der Verarbeitung von Daten. Da alle EU-Mitgliedsstaaten zur Umsetzung in nationales Recht verpflichtet waren, sind die Bestimmungen für alle in Europa tätigen Organisationen verbindlich. Darüber hinaus existiert eine Vielzahl unterschiedlicher Regulatorien für einzelne Branchen. So hat sich etwa in der Gesundheitsbranche mit dem Health Information Portability and Accountability Act (HIPAA) ein Standard etabliert.

  • IT-Compliance ist unverzichtbar

    Ob KMU oder Großkonzern: Heute besitzt jedes Unternehmen sensible Daten, die nicht in falsche Hände geraten sollten. Doch Datenklau geschieht nicht nur durch Angriffe von außen - auch intern gibt es eine Schwachstelle: den Umgang mit den Zugriffsrechten. Access Governance geht also alle an, denn gerade hier entstehen Sicherheitslücken. Oft genug wird im Arbeitsalltag "vergessen", eine gegebene Zugriffsberechtigung zurückzunehmen. Das ist zum Beispiel dann der Fall, wenn ein Kollege das Unternehmen verlässt oder ein Externer sein Projekt abgeschlossen hat. Diese vermeintliche "Kleinigkeit" kann im schlimmsten Fall fatale Folgen für das Unternehmen nach sich ziehen.