IT-Compliance

• Georg Disterer

Mehrere Studien attestieren KMUs bezüglich IT-Compliance Nachholbedarf. Nach einer Untersuchung bei KMU in Deutschland im Jahr 2010 werden in zwei Dritteln der Unternehmen zwar einzelne Maßnahmen verfolgt, jedoch fehlt bei der großen Mehrheit ein umfassendes, definiertes und gezieltes Vorgehen.
Einige einfache Situationen, die in der Praxis immer wieder vorkommen, sind:
– Ausgeschiedenen Mitarbeitern ist die Nutzung der IT-Systeme möglich;
– Benutzer von IT-Systemen werden nicht ausreichend authentifiziert, so dass Unbefugte die Systeme nutzen können;
– Datenbestände werden nicht ausreichend gesichert und die Lesbarkeit gesicherter Datenbestände wird nicht getestet;
– Rechnerräume sind ungesichert gegen Zugang von Unbefugten.
Nachlässiges oder fahrlässiges Verhalten dieser Art ist nicht in das Belieben von Unternehmensleitungen gestellt, sondern verletzt – in der Regel mehrere – gesetzliche Vorgaben, sind also Verstöße gegen die IT-Compliance. Bei den genannten Beispielen ist etwa der Schutz personenbezogener Daten, die mit den betreffenden IT-Systemen verarbeitet werden, gefährdet. Ebenso ist die Ordnungsmäßigkeit von Buchführungssystemen, die auf den IT-Systemen betrieben werden, gefährdet. Unsicherheiten und Verstöße gegen einschlägige Auflagen und Regelungen können erhebliche Folgen für die Geschäftstätigkeit haben, wie unmittelbare Schäden in Form von Bußgeld-, Straf- oder Schadensersatzzahlungen, aber auch mittelbare Schäden durch Reputationsverluste, Imageschäden gegenüber der Öffentlichkeit, Vertrauens- und Akzeptanzverlust bei Kunden, Ausschluss von Vergabeverfahren, notwendiger Aufwand für Berater und Anwälte.

Seiten 181 - 210