Teil 2: IT-Compliance bei der Zusammenarbeit mit der Agentur

Unter dem Begriff "Compliance" versteht man grundsätzlich die Befolgung und Einhaltung von Vorgaben und Regeln. IT-Compliance bedeutet, dass die IT eines Unternehmens nachweislich alle ihr aufgetragenen Regeln und Gesetze sowohl technisch, als auch organisatorisch befolgt. Hierbei ist es unwichtig, ob die IT-Leistungen ausschließlich unternehmensintern oder durch externe Dienstleister erbracht werden (darunter fallen auch Entwicklungs-, Hosting- und Outsourcing-Verträge).

Die IT eines jeden Unternehmens unterliegt im Allgemeinen dem Bundesdatenschutzgesetz (BDSG), welches die Erhebung, Verarbeitung und Nutzung von Daten natürlicher Personen regelt.

Verwendet ein Unternehmen ein IT-basiertes System zur Unterstützung ihrer Buchführung, so fallen sämtliche Tätigkeiten diesbezüglich unter die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS).

Unternehmensinterne Regelungen

Neben Gesetzen gibt es auch diverse interne und externe Regelwerke, die Unternehmen in diesem Rahmen beachten sollten. Dazu gehören unter anderem DIN- und ISO-Normen:

In Bezug auf die IT können zum Beispiel ITIL (IT Infrastructure Library) oder die ISO 27001-Norm (IT-Sicherheit) als externe Regelwerke angesehen werden. Durch die Befolgung dieser Regelwerke erfüllen Unternehmen die Standards ihrer Branche und schaffen dadurch eine Voraussetzung für ihre Geschäftstätigkeit und Wettbewerbsfähigkeit.

Als interne Regelwerke werden unternehmensinterne Regelungen und Vorgaben bezüglich der IT angesehen. Dazu zählen zum Beispiel Vorgaben im Umgang mit Passwörtern, E-Mail-Richtlinien oder grundlegende IT-Sicherheitsvorschriften.

1. Informationsschutz zur Wahrung der Vertraulichkeit (§9 BDSG)
2. Schutz der Datenintegrität
3. Stabilität und Sicherheit der IT-Prozesse
4. Gewährleistung der physischen Sicherheit
5. Datenaufbewahrung und -archivierung
6. Mitarbeitermanagement im Hinblick auf IT-Sicherheit
7. Wirksames IT-Management durch alle Phasen
8. Kontrolle der ausgelagerten Bereiche
9. Materieller Datenschutz

Um rechtliche und unternehmensinterne Regelungen einzuhalten ist eine stetige Überwachung der eingesetzten Maßnahmen notwendig.
Zu diesem Zweck überwachen wir dauerhaft alle Ebenen unserer IT-Infrastruktur.

Zu diesen Maßnahmen zählen unter anderem:

• Hohe Sicherheitsstandards für den Zugang zu unserem Colocation-Bereich (Zugangssystem basierend auf Badgecards und biometrischer Handflächenscanner)
• Komplexe Passwort-Richtlinien
• Einsatz von Benutzer- und Gruppenrichtlinien
• Regelmäßige Datensicherungen
• Katastrophenwiederherstellungs-Konzepte
• Überwachung von Anwendungs- und System-Protokollen
• Personalisierung von Zugangsaccounts

In erster Linie sollen Grundlagen der IT-Compliance Unternehmen vor den wirtschaftlichen Nachteilen in Folge einer Rechtsverletzung schützen. Schadensersatzpflichten, Buß-, Zwangs- oder Strafgelder sowie erhöhte Steuerzahlungen können die Wettbewerbs- und Überlebensfähigkeit eines Unternehmens nachhaltig beeinträchtigen und sollen deshalb durch die Vorgaben und Richtlinien vermieden werden. Zusätzlich droht betroffenen Unternehmen ein immenser Imageschaden, sollte es zu Problemen oder im schlimmsten Fall sogar zu dem Missbrauch von Kundendaten kommen.

Werden die Maßnahmen jedoch implementiert und umgesetzt, so winken enorme Vorteile für Unternehmen:

• Höhere Qualität von IT-Prozessen
• Insgesamt höhere IT-Sicherheit
• Langfristige Kostenersparnis
• Erhöhung des Unternehmenswertes

Mit der Implementierung einer konkreten IT-Compliance-Strategie für Ihr Unternehmen setzen Sie einen ersten richtigen Schritt in Richtung der Befolgung der Regelungen des neuen IT-Sicherheitsgesetzes.

Im dritten und letzten Teil verraten wir Ihnen, wie Sie die neuen Regelungen des IT-Sicherheitsgesetzes korrekt umsetzen und in Ihr Unternehmen integrieren!