09 IT-SICHERHEIT Compliance Das macht man nicht! Frage: Was haben unzählige ehemalige Politiker, Geschäftsführer, Manager und Angestellte im Zusammenhang mit Compliance gemeinsam? Richtig, das Wort „ehemalig“ … I n meinem heutigen Gastbeitrag das Wort erst einmal googeln und werden von fügbarkeit und die Anforderungen an die Da- nehme ich das Fazit vorweg: Com- 126.000.000 Treffer in 0,16 Sekunden erschla- tenschutzrichtlinien subsumiert.“ pliance ist und bleibt ein Reizwort. gen. Sie können es auch von Langenscheidt Um Ihnen das Thema und die Wichtigkeit Und: Die meisten Menschen, die ich übersetzen lassen – Ergebnis: Befolgung, Ein- näherzubringen, möchte ich fünf anschauli- gefragt habe, was es bedeutet, konn- haltung, Regelbefolgung. Erwin Leichter, che Beispiele aus der Praxis beschreiben: ten es nicht erklären. Fragen, die Mitglied der Geschäftsleitung der antauris sich Unternehmer und Mitarbeiter stellen AG, bringt es auf den Punkt: „Compliance“ 1. Wenn die ganze Firma weiß, was die sollten, sind erstens: Brauche ich Compli- [engl. kəmˈplaɪəns] bedeutet die Einhaltung Geschäftsführung verdient ance? Antwort: Ja. Zweitens: Wird es teuer? von Gesetzen, Richtlinien und Verhaltens- Ein namhaftes deutsches Unternehmen Antwort: Jein. Drittens: Können wir das maßregeln für Unternehmen und Institutio- aus der Old Economy hat sich ordentlich mit selbst? Antwort: meistens Nein. nen. Um diesen Rahmen noch enger zu fas- der Nachfolge des Gründungs-Geschäftsfüh- Was bedeutet Compliance? Wenn Sie sen, werden mit der IT-Compliance wiederum rers beschäftigt. Nach einigen Monaten war spontan keine Antwort haben, können Sie alle Aspekte der Datensicherheit, deren Ver- der richtige Mann gefunden. Bis zur Auf- 112 FACTS SPECIAL 04_IT_Sicherheit_Scholl_k15_j.indd 112 26.03.2014 11:00:44 Uhr 09 IT-SICHERHEIT Compliance nahme seiner Tätigkeiten ging nun einige Zeit ins Land. Kaum ein paar Tage im Unter- INFO nehmen, wusste die gesamte Belegschaft, wie viel Gehalt „der Neue“ für seine Position bezieht. Was denken Sie, wer konnte das wissen? Der Personenkreis ist überschaubar: erstens die beiden Geschäftsführer, zweitens die Personalabteilung und drittens die ITAbteilung. Sie können sich vorstellen, dass Geschäftsführung und Personalabteilung Edgar Scholl ist anerkannter Experte und Trainer für das Thema Internetsicherheit. Scholl berät in seiner Funktion als Business Development Manager des IT-Dienstleisters antauris AG (internationale) Groß- und mittelständische Unternehmen in allen Fragen der IT-Sicherheit, des Web 2.0 und CloudComputings. sich schnell einig waren, die Info nicht in den Flurfunk gesendet zu haben. Also, wer war’s? Richtig, die IT-Mitarbeiter. Da der „Täter“ nie eindeutig ermittelt werden konn- E-Mail: [email protected] Telefon: 0 20 65 499 16-35 Internet: www.antauris.de te, sind mir keine rechtlichen Konsequenzen bekannt. Was hat sich schnell geändert? Alle Personaldaten wurden fortan verschlüsselt. Macht Sinn, oder? 2. Gut geschmiert: aus der Praxis eines Vertriebsleiters 3. Dumm gelaufen! Schicke niemals Ge- 4. Ich bin doch (nicht) blöd: Wenn der schäfts-E-Mails an deine Privatadresse Admin alles mitliest Das ist meine Lieblingsstory: Eine Key- Klaus ist seit vielen Jahren Administrator Account-Managerin eines Bankhauses eines mittelständischen Unternehmens. Sei- Es gibt eine Menge Unternehmen in unse- schickt an einem Freitag eine Kundenliste ne Hilfsbereitschaft und die Tatsache, dass er rem Land, die von der Globalisierung profi- im *.xls-Format an ihre private E-Mail-Ad- über so viele Dinge stets so gut informiert ist, tieren. Stellen Sie sich vor, dass die Maschi- resse, Beispiel [email protected]. machen ihn bei seinen Kollegen überaus be- nenbau xy AG einen internationalen Vertrieb Leider vertippt sie sich und die sensiblen liebt. Eines Tages ist einer der beiden Ge- aufgestellt hat. Als einige Key-Account-Ma- Daten gehen an michael4711@irgendwas. schäftsführer in Urlaub: im Dschungel – kein nager in Konkurrenzsituation kurz vor Ab- de. Unterschied bemerkt? Das scheinbar Handyempfang, kein Internet. Dennoch sen- schluss eines Millionendeals stehen, greift Witzige daran ist, das es Michael wirklich den ihm Mitarbeiter und der andere Ge- der Vertriebsleiter zu einem altbewährten gibt. Er ist Datenschutzbeauftragter. Völlig schäftsführer E-Mails – das kennen Sie auch!? Mittel, Motto: „Wer gut schmiert, der gut erschrocken über die Mail in seinem Post- Wenn nun der verbliebene Geschäftsführer fährt.“ Er informiert per E-Mail seine Ver- eingang informiert er unverzüglich den Lan- eine E-Mail an seinen Kollegen sendet und triebsmannschaft, dass Aufträge nicht an desdatenschutzbeauftragten, den Daten- eine Lesebestätigung erhält, wirft das Fragen „Bakschisch“ scheitern sollen. Halten Sie die schutzbeauftragten des Kreditinstituts und auf … In diesem Fall fanden externe Experten Vorgehensweise für rechtens? Mitnichten! auch gleich das Fernsehen. Alle Beteiligten Antworten und der Administrator sich sehr Was in einigen Ländern dieser Welt durchaus kommen so zu zweifelhaftem Ruhm. Micha- schnell auf dem freien Arbeitsmarkt wieder. ein normaler Weg ist, kollidiert bei uns ela trägt zusätzlich die rechtlichen Konse- schnell mit verschiedenen Gesetzen. quenzen. Wollen Sie das auch? 5. Erotische Aktienkurse: So wird man berühmt … FAZIT & TIPPS Für alle Anwender gilt: „Erst denken, dann klicken!“ „Manche Dinge macht man nicht“ – das sagt uns schon der gesunde Menschenverstand. Speziell für Unternehmen rät Erwin Leichter: „IT-Compliance bedeutet auch das Vorhandensein von Systemdokumentationen, Notfallplänen und Richtlinien im Umgang mit der Informationstechnologie im Unternehmen. Eine ordentliche Dokumentation unterstützt das IT-Risikomanagement, um auch langfristig einen stabilen Geschäftsablauf zu gewährleisten. Die antauris AG unterstützt Sie bei diesen oft unbeliebten Aufgaben und selbstverständlich auch bei der technischen Umsetzung. Viele Unternehmen sprechen uns derzeit auf das Thema Userand-File-Monitoring an. Wenn das auch für Sie ein Thema ist, schreiben Sie uns doch einfach eine E-Mail.“ Erinnern Sie sich noch? Vor einiger Zeit zeigten Nachrichtensender weltweit ein TVInterview eines australischen Anlageberaters. Nennen wir ihn heute einfach Mike. Das Interview mit dem Fernsehsender fand direkt an seinem Arbeitsplatz statt, der Bildschirm war im Hintergrund zu sehen. Es dauerte nicht lange, bis aufmerksame Zuschauer bemerkten, dass auf Mikes Bildschirm Erotik statt Börsenkurse zu sehen war. Ich weiß nicht, was Mike heute macht. Ich kann Ihnen aber versichern, dass das hier zu (arbeits)rechtlichen Konsequenzen führt. Denken Sie nur an die aktuelle Diskussion in der „Edathy-Affäre“. Edgar Scholl 114  FACTS SPECIAL 04_IT_Sicherheit_Scholl_k15_j.indd 114 26.03.2014 11:01:06 Uhr