Herausforderung IT-Compliance


Ein "Quantum Sicherheit" ist nicht genug: Datensicherheit ist weit mehr als ein reines Technikthema
Wer erfüllt die Forderung gemäß Bundesdatenschutzgesetz und setzt einen Datenschutzbeauftragten ein, um die Einhaltung der Datenschutzrichtlinien beim Umgang mit personenbezogenen Daten überwachen zu lassen?


Von Christian W. Seehafer, Geschäftsführer der Comp4U EDV-Anlagen GmbH

(01.03.10) - Können Sie garantieren, dass Ihre IT den gesetzlichen Compliance-Anforderungen entspricht? Meist sind Unternehmer IT-Laien und dennoch tragen sie die komplette rechtliche Verantwortung für die EDV. Bereits aus geringen Mängeln können weit reichende Rechtsverletzungen mit schwerwiegenden Folgen entstehen.

Gerade in kleinen und mittleren Unternehmen gerät die Betreuung der IT oft zur lästigen Pflicht und der Sicherheit wird nicht die gebührende Aufmerksamkeit gewidmet. Die Bedrohung von PCs wird eher diffus wahrgenommen, der Fokus meist auf Viren, Trojaner oder schlimmstenfalls den Einbruch eines Hackers ins Firmennetz gerichtet. Nur allzu leicht wird das Thema damit als Freigabe eines ungeliebten Budgets abgehandelt.

Doch Datensicherheit ist weit mehr als ein reines Technikthema und Virenschutz und Firewall sind lediglich das absolute Mindestmaß an Ausstattung. So bedeutet der Verlust von Daten nicht zwangsläufig, dass die Daten nicht mehr da sind, sie können auch als Kopien das Unternehmen verlassen. Gelöschte Daten lassen sich gegebenenfalls rekonstruieren, ausspionierte oder weitergegebene Daten jedoch nicht zurückholen. Gleichzeitig steht der Unternehmer gegenüber der deutschen bzw. internationalen Gesetzgebung in der Verantwortung – eine Kardinalpflicht, die allzu oft ignoriert wird.

Verfügbarkeit sichern
Das technische Versagen von Systemen kommt regelmäßig vor und ist eine Bedrohung, die auch ohne Fremdeinwirkung droht. Nicht selten führt der Ausfall der IT zum Infarkt der täglichen Routinen. Ob Warenwirtschaft, Buchhaltung, Mailsysteme, Kundendaten, Angebote oder Auftragsbearbeitung - Daten sind heute die Grundlage unternehmerischen Handelns. Was, wenn es Tage dauert, bis die Systeme technisch wiederhergestellt sind? Auf Notdienst und Service allein sollten sich Anwender nicht verlassen. Es empfiehlt sich Vorkehrungen zu treffen, die innerhalb einer definierten Zeit eine Wiederherstellung der Systeme garantieren.

Unkontrolliertem Datenabfluss und Spionage vorbeugen
Selbst in großen Unternehmen spielt das Thema "Data Leakage" bislang eine untergeordnete Rolle, in kleinen und mittelständischen Firmen so gut wie nie. Die Tatsache, dass ein wesentlicher Teil der Bedrohung von Innen kommt, wird übersehen. Dabei sind Datenverlust oder -diebstahl heute die Hauptbedrohung für Firmennetze: So gut wie jeder PC hat einen USB-Port oder CD-Brenner, jeder Mitarbeiter kann zumindest aus seinem Zugriffsbereich Daten oft wahllos kopieren und ungesehen aus der Firma bringen.

Sicherlich ist ein Generalverdacht unangebracht, doch als eine wichtige "Grundlage des Unternehmens" müsste der Schutz der Daten oberste Priorität haben. Und vorbeugen ist möglich: Daten auf Servern, Festplatten, CDs oder USB-Sticks lassen sich so verschlüsseln, dass die Mitarbeiter ungehindert arbeiten können, die Daten aber automatisch verschlüsselt und unbrauchbar sind, sobald sie kopiert werden bzw. ein Unbefugter auf USB-Stick oder CD zugreifen will. Eine verlorene oder gestohlene CD, ja selbst ein Notebook, ist für den Finder oder Dieb wertlos.

Rechtliche Compliance-Vorgaben umsetzen
In IT-Fragen ist der Unternehmer der Hauptverantwortliche vor dem Gesetz und haftet für alle Rechtsverstöße in diesem Bereich. Aber wer erfüllt bereits die Forderung gemäß Bundesdatenschutzgesetz und setzt einen Datenschutzbeauftragten ein, um die Einhaltung der Datenschutzrichtlinien beim Umgang mit personenbezogenen Daten überwachen zu lassen? Und welche Firmen sind in der Lage, rechtssicher zu verhindern dass ihre Mitarbeiter auf unerlaubten Webseiten surfen oder deren Inhalte downloaden? Gleichzeitig ist schon das einfache "Verbieten" des Zugriffs auf Inhalte im Internet per Regel heikel, wenn z. B. die Verbindungsversuche mit dem Namen des Nutzers aufgezeichnet werden.

Allein diese Beispiele zeigen, im Gesetzesdschungel von Datenschutz und Compliance geht es ohne den Rat von Experten meist nicht. Dabei sollte der beratende Dienstleister jedoch mit dem rechten Augenmaß für die Realität beraten und unterstützen, nach dem Motto "so wenig Aufwand wie möglich und dennoch soviel wie im rechtlichen Sinne nötig". Sich dagegen nur auf das Minimum von Virenschutz und Firewall zu verlassen, ist keine Option, denn ein Quantum Sicherheit ist nicht genug. (Comp4U EDV-Anlagen: ra)

Comp4U EDV-Anlagen: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Reduktion bürokratischer Hürden war überfällig

    Die Deutsche Kreditwirtschaft (DK) begrüßt, dass die EU-Kommission die Bedeutung des europäischen Verbriefungsmarktes erkannt und konkrete Reformvorschläge vorgelegt hat. Die geplanten Entlastungen bei Sorgfaltspflichten, Reporting und aufsichtlichen Prozessen sind ein Schritt in die richtige Richtung.

  • Haftungsübernahme der Banken & Betrugsproblem

    Die Europäische Union will Betrug eindämmen, bei dem Kundinnen und Kunden von Kriminellen getäuscht und zu Zahlungen verleitet werden. Der Rat hat sich nun auf seine Position zur Änderung des Zahlungsrechts verständigt. Heiner Herkenhoff, Hauptgeschäftsführer des Bankenverbandes und diesjähriger DK-Federführer, betont: "Betrug kann nur wirksam bekämpft werden, wenn alle Beteiligten - Kreditinstitute, Telekommunikationsanbieter und Internetplattformen - ihren Beitrag leisten. Das muss auch der gesetzliche Rahmen widerspiegeln." Denn die Kriminellen entwickelten ihre Betrugsmaschen ständig weiter und nutzen neue Einfallstore über Social Media und andere digitale Kommunikationsmittel. Unerlässlich ist aber auch die Wachsamkeit der Kundinnen und Kunden. "Ohne ihre Mithilfe kann das Problem nicht gelöst werden", so Herkenhoff weiter.

  • Neue EU-Labels zu Langlebigkeit

    Am 20. Juni 2025 trat die neue EU-Ökodesignverordnung in Kraft.?Zugleich gibt es neue EU-Labels zu Langlebigkeit und Reparierbarkeit. Dazu erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: "Die neuen Regelungen zum Ökodesign und entsprechenden Kennzeichen sind ein wichtiger Schritt für mehr Nachhaltigkeit in der digitalen Welt."

  • Finanzsektor muss mitgedacht werden

    Die Deutsche Kreditwirtschaft (DK) sieht Fortschritte, da sich die EU-Mitgliedsstaaten auf eine allgemeine Ausrichtung zur Omnibus Initiative geeinigt haben. Die ursprünglich von der Europäischen Kommission geplanten Vereinfachungen bei Berichtspflichten im Bereich Sustainable Finance sind ein wichtiger Schritt, um Unternehmen von Bürokratie zu entlasten und Nachhaltigkeit in der Praxis wirksamer zu gestalten.

  • Krisenmanagement & Einlagensicherung

    Die Deutsche Kreditwirtschaft (DK) begrüßt den politischen Kompromiss zur Reform des europäischen Rahmens für Krisenmanagement und Einlagensicherung (CMDI). "Der Kompromiss ist ein Schritt in die richtige Richtung. Die Einlagensicherung kann modernisiert, das europäische Abwicklungsregime gestärkt werden. Doch zentrale Fragen zur Rolle und finanziellen Belastung nationaler Sicherungssysteme bleiben offen", sagt Heiner Herkenhoff, Hauptgeschäftsführer des diesjährigen DK-Federführers Bundesverband deutscher Banken."

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen