- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Strategien zur Reduktion von Compliance-Kosten


Non-Compliance-Kosten durch Betriebsunterbrechungen sind mehr als doppelt so hoch, als Kosten durch tatsächliche Strafzahlungen
Die meisten Unternehmen fokussieren sich beim Thema Compliance-Kosten in erster Linie auf Bußgelder und Sanktionen bei evtl. Verstößen


(09.10.12) - Praktisch jedes Unternehmen, das mit sensitiven Informationen umgeht, ist mit Compliance-Anforderungen konfrontiert. Dabei zielen Industriestandards, behördliche Bestimmungen und unternehmensinterne Security-Policies darauf ab, sensible und geschäftskritische Daten sowie die gesamte IT-Infrastruktur zu schützen. Bei der Validierung von Compliance gehen viele Unternehmen jedoch selten strukturiert und ganzheitlich vor. Sie installieren stattdessen oft lediglich die vorgeschriebenen Kontrollen und prüfen im Anschluss nicht, ob die getroffenen Vorkehrungen ihre Systeme und Daten tatsächlich wirkungsvoll schützen. Auf diesem kürzesten und wohl auch kostengünstigsten Weg in Richtung Compliance haben die Organisationen das Wesentliche übersehen – nämlich dass die ohnehin nicht vermeidbaren Compliance-Investitionen effektiv genutzt werden können, um die IT-Sicherheit zu verbessern.

Dass dies möglich ist, belegt u. a. die Ponemon-Studie "The True Cost of Compliance" aus 2011 (1). Sie liefert zahlreiche Anhaltspunkte dafür, dass heute in Compliance getätigte Investitionen – insbesondere, wenn diese die Security optimieren– längerfristig zu noch viel deutlicheren Einsparungen führen können, indem sie die Kosten und Konsequenzen reduzieren, die aus einer Nicht-Konformität resultieren. Zwar ist es laut Ponemon unmöglich, Compliance-Kosten vollständig zu vermeiden, sie können aber signifikant reduziert werden.

Wie dies in der Umsetzung aussehen kann, dafür hat jetzt Tripwire drei grundlegende Strategien aufgelegt, die sowohl auf die Empfehlungen aus der Ponemon-Studie eingehen, als auch Lösungswege zu deutlichen Kosteneinsparungen aufzeigen.

Schritt 1: Verringern Sie den zeitlichen Abstand zwischen dem ersten Auftreten einer Datengefährdung und der Entdeckung der Gefahr
Die meisten Unternehmen fokussieren sich beim Thema Compliance-Kosten in erster Linie auf Bußgelder und Sanktionen bei evtl. Verstößen. Demgegenüber belegt die "True Cost of Compliance"- Studie, dass der Hauptteil der Non-Compliance-Kosten auf indirekte Kosten entfällt, etwa durch eine zu geringe Mitarbeiterproduktivität, nicht verfügbare Dienste, Auftragsstornierung durch Kunden oder größere Systemausfälle. Tatsächlich sind die Non-Compliance-Kosten durch Betriebsunterbrechungen mehr als doppelt so hoch, als Kosten durch tatsächliche Strafzahlungen.

Je länger eine Kompromittierung von Daten unentdeckt bleibt, desto höher werden diese indirekten Folgekosten. Die Unternehmen müssen daher die Zeiträume zwischen dem Eintreten einer Gefährdung und der oft erst sehr viel späteren Entdeckung und Behebung der Gefahr verkürzen. Hierfür sind Lösungen erforderlich, die dabei helfen, Veränderungen an den Systemen zu erkennen, zu verwalten und zu kontrollieren. Und die präzise dokumentieren und darstellen, welche Änderungen vorgenommen wurden, und von wem.

Schritt 2: Führen Sie regelmäßig und häufiger Audits durch und setzen Sie hierfür auf Automation
Der Ponemon-Studie zufolge haben Unternehmen, die häufiger interne Audits durchführen, tendenziell geringere Compliance-Kosten. Zum einen, weil diese Organisationen ganz generell offensiver mit dem Thema Compliance umgehen. Vermutlich haben sie außerdem eine ausgeprägte Sicherheitskultur, so dass weniger Schulungen und diszipli­narische Maßnahmen nötig sind, um für die Durchsetzung von Compliance und Sicherheitsstandards zu sorgen. Vor allem können diese Unternehmen aber durch kontinuierliche Audits Compliance-Kosten einsparen, da sie sich jederzeit in einem Audit-fähigen Status befinden, und zwar unabhängig von der Anzahl ihrer Compliance-Mandate.

Viele Organisationen befürchten jedoch, dass die fortlaufende Vorbereitung, Durchführung und Nachbearbeitung von Audits ihre verfügbaren Ressourcen übersteigt, besonders dann, wenn sie verschiedene Compliance-Mandate zu erfüllen haben. Angesichts knapper Budgets versuchen sie daher, den Aufwand möglichst gering zu halten und nur die vorgeschriebenen Audits durchzuführen. In den oft langen Zeitabständen zwischen den Revisionen können die Unternehmen keine durchgängige Compliance gewährleisten und müssen die damit verbundenen Kosten tragen.

Teuer sind die Vorbereitung, Durchführung und Nachbearbeitung von Audits jedoch nur dann, wenn sie ohne kostensparendes und proaktives Konzept erfolgen. Dies belegt u.a. eine 2011 von Thomson Reuters veröffentlichte Studie zu Compliance-Kosten (2), wonach gut ein Drittel der befragten Compliance-Teams angab, mehr als einen Arbeitstag pro Woche dafür aufzuwenden, mit den ständig wechselnden Bestimmungen und entsprechenden Veränderungen Schritt zu halten. Darin noch nicht enthalten ist der Zeitaufwand für die Erstellung oder Nachbearbeitung von Compliance-Berichten für das Management.

Eine schnelle Korrektur unzulässiger Konfigurationen vermeidet Non-Compliance-Kosten, etwa durch nicht verfügbare Dienste oder Bußgelder.

Schritt 3: Erstellen Sie eine effektivere Security-Strategie
Eines der signifikantesten Ergebnisse der "True Cost of Compliance"-Studie liegt darin, dass Unternehmen, die im Bereich IT-Sicherheit gut aufgestellt sind, erheblich geringere Non-Compliance-Kosten verzeichnen, als andere. So wenden von den befragten Organisationen diejenigen in der Gruppe mit der besten Sicherheitsinfrastruktur etwa 4,5-mal weniger Mittel für Non-Compliance auf, als die Unternehmen mit dem schlechtesten IT-Sicherheitsstatus. Eine höhere Systemsicherheit resultiert also durch weniger Störfälle und Service-Unterbrechungen, eine bessere Mitarbeiterproduktivität oder auch geringere Kosten für eventuelle Rechtsstreitigkeiten direkt in einer signifikanten Reduktion von Compliance-Kosten.

Zur Studie
Die "True Cost of Compliance"- Studie bewertete die Effektivität von Sicherheitsmaßnahmen in Unternehmen anhand des so genannten Security Effectiveness Score (SES). Es wurde ermittelt, wie erfolgreich Unternehmen 25 wichtige Security-Ziele (3) umsetzen. Gefragt wurde beispielsweise, ob bekannt ist, wo sen­sible oder vertrauliche Daten physisch gespeichert sind oder ob der physische Zugang zu Geräten eingeschränkt ist, auf denen sich solche Daten befinden.

Die wichtigsten Ergebnisse der "True Cost of Compliance"-Studie 2011 in der Zusammenfassung:
>> Non-Compliance ist letztlich teurer als Investitionen in Compliance.
>> Häufigere Audits reduzieren die Gesamtkosten für Compliance.
>> Je effektiver die Sicherheitsstrategie eines Unternehmens, desto niedriger die Kosten für Non-Compliance.
>> Je schwerwiegender die Datenschutzverletzung, desto größer die Differenz zwischen Compliance und Non-Compliance-Kosten.

(1) The True Cost of Compliance: A Benchmark Study of Multinational Organizations by the Ponemon Institute, January 2011.
(2) Cost of Compliance Survey 2011 by Susannah Hammond and Stacey English, 2011.
(3) The True Cost of Compliance: A Benchmark Study of Multinational Organizations, Ponemon Institute, January 2011. Appendix 3, Seite 30.
(Tripwire: ra)

Tripwire: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Datenschutz mit Zertifikat

    Zertifizierungen erleichtern das Geschäftsleben. Man weist gegenüber Geschäftspartnern nach, dass man einen hohen Standard einhält. Sollte trotzdem mal etwas schief gehen kann der Geschäftsführer belegen, dass er alles Erforderliche getan hat. Die EU-Datenschutzgrundverordnung sieht die Möglichkeit einer Zertifizierung ausdrücklich vor, aber wie und wo kann man ein solches Zertifikat erhalten?

  • "Stand der Technik": Nicht definiert im Gesetz

    Was ist das eigentlich: der "Stand der Technik"? Wer in Deutschland so genannte "Kritische Infrastrukturen" betreibt, ist nach dem IT-Sicherheitsgesetz und dem BSI-Gesetz dazu verpflichtet, IT-Systeme, -Prozesse und -Komponenten angemessen zu schützen. [1] Unter "Kritischen Infrastrukturen" versteht man Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall dramatische Folgen hätte. Wer als KRITIS-Betreiber gilt, ist wiederum in der KRITIS-Verordnung geregelt. [2] Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und erhalten dafür alle sie betreffenden Informationen zu Gefahren in der IT-Sicherheit, um entsprechende "technische und organisatorische Maßnahmen" treffen zu können (BSI-Gesetz §8 a). Hierbei soll, so fordert es der Gesetzgeber, "der Stand der Technik" eingehalten werden. [3]

  • Beschwerden wegen unerlaubter Telefonwerbung

    Zu einem möglichen Gesetzgebungsvorschlag gegen Telefonwerbung und rein telefonischen Vertragsabschluss von Bundesjustizministerin Katarina Barley äußert sich Matthias Stauch, Vorstand der Intervista AG und Experte für digitalen Vertrieb: "Verbraucherinnen und Verbraucher sollen durch eine Bestätigungslösung im Zusammenhang mit telefonischen Angeboten und Verträgen besser abgesichert werden - in erster Linie geht es dabei um den rein telefonischen Abschluss. So müssen die Unternehmen vom Kunden für die Wirksamkeit zusätzlich eine schriftliche Bestätigung, zum Beispiel per E-Mail, einholen. Insbesondere der Energiemarkt gilt als große Baustelle: Hier gab es 2018 bis zum November knapp 20.000 bei der Bundesnetzagentur eingereichte Beschwerden wegen unerlaubter Telefonwerbung.

  • DSGVO/GDPR: Gold-Standard für Compliance?

    Wir schreiben das Jahr 2019. Daten sind omnipräsent und allein mit unseren Fingerspitzen agieren wir hochgradig transformativ. Das ändert, wie wir unsere Geschäftstätigkeit betrachten, macht uns produktiver und vereinfacht an vielen Stellen unser Leben. Sei es, dass wir sicher nach Hause finden, Lebensmittel online bestellen können oder entscheiden, was wir wann auf welchem Gerät ansehen. Die Möglichkeiten sind schier unendlich sowohl für den privaten als auch für den geschäftlichen Bereich. Und jede Minute kommen neue Optionen dazu. Unglücklicherweise hat jede neue Möglichkeit auch neue Sicherheitsrisiken im Gepäck. Risiken, denen sich Sicherheitsverantwortliche wie CISOs nur allzu bewusst sind. Welche Verhaltensweisen, Methoden und Haltungen sind also besser als andere geeignet das bestmögliche aus unseren Daten herauszuholen und gleichzeitig deren Sicherheit zu gewährleisten?

  • Gesetzliche Anforderungen an Auskunftsersuchen

    mailbox.org veröffentlicht en Transparenzbericht zu Auskunftsersuchen und Telekommunikationsüberwachung (TKÜ). Im Jahr 2018 erhielt der Dienst der Heinlein Support GmbH insgesamt 72 Anfragen von Strafverfolgungsbehörden, vier davon aus dem Ausland. 48 der Anfragen enthielten offensichtliche Fehler und mussten aufgrund ihrer Rechtswidrigkeit zurückgewiesen werden, darunter sogar zwei TKÜ-Anfragen. In 35 Fällen wurde die Anfrage daraufhin formfehlerfrei erneut gestellt und bearbeitet, insgesamt 13 mussten weiterhin abgelehnt werden. Die meisten Ermittlungsbehörden verschickten ihre Anfragen nach wie vor rechtswidrig unverschlüsselt per E-Mail und erwarteten auch auf diesem Wege Antwort. Zum Teil wurde sogar telefonisch die Herausgabe von Informationen verlangt, die nicht zu den Bestandsdaten gehören. Lediglich eine einzige Polizeibehörde hat Anfragen per E-Mail auf Anhieb korrekt und verschlüsselt gestellt.