Springe zum Hauptinhalt

2012-04: Compliance bringt keine Sicherheit

Mei­ner Mei­nung nach völ­lig zu un­recht. Es ist ist zu kurz ge­dacht. Com­pli­ance be­deu­tet erst ein­mal le­dig­lich, Re­geln zu er­fül­len, die von der In­dus­trie, von Ver­bän­den, Ban­ken, Ver­si­che­run­gen oder dem Ge­setz­ge­ber auf­ge­stellt wur­den – et­wa der Sa­r­ba­nes Ox­ley Act von der US­-­Re­gie­rung, PCI­-DSS vom der Kre­dit­kar­ten­in­dus­trie, Ba­sel III von der Bank für In­ter­na­ti­o­na­len Zah­lungs­aus­gleich und so wei­ter. Ein Un­ter­neh­men, das „com­pli­ant“ ist, hat bis­her ge­nau ein ein­zi­ges Ri­si­ko aus­ge­schlos­sen: Den Ver­stoß ge­gen die­se Re­geln.

Kei­ne Fra­ge, be­stimm­te Ge­schäfts­mo­del­le sind zwangs­läu­fig dar­auf an­ge­wie­sen, Com­plian­ce­-­An­for­de­run­gen zu be­fol­gen: Wenn et­wa dar­an ei­ne Zu­las­sung hängt wie an PCI­-DSS für An­bie­ter von Kre­dit­kar­ten oder die Er­fül­lung von Ba­sel II­I­-­Kri­te­ri­en die Kre­dit­wür­dig­keit be­ein­fluss­t. Ich emp­feh­le je­doch, ge­nau zu prü­fen, ob und in wel­chem Ma­ße Ihr Un­ter­neh­men Com­plian­ce­-­Vor­schrif­ten nach­kom­men muss – oder aber, ob der Com­plian­ce­-­Vor­wand nicht nur als Ge­schäfts­füh­rer­schreck und Ho­no­r­ar­ma­schi­ne­rie für Un­ter­neh­mens­be­ra­ter und Se­cu­ri­ty­-­An­bie­ter an­ge­führt wird.

Compliant sein, heißt noch lange nicht, sicher sein

Die meis­ten Un­ter­neh­men sind aber mit an­de­ren Ri­si­ken kon­fron­tier­t, als „non­-­com­pli­ant“ zu sein: Sie ha­ben Ge­schäfts­ge­heim­nis­se zu ver­lie­ren, sie müs­sen in­no­va­tiv sein und sie müs­sen vor al­lem schnell auf Markt­ge­ge­ben­hei­ten re­a­gie­ren kön­nen, um mit­be­werbs­fä­hig zu blei­ben.

Ei­ne re­gel­ge­rech­te Com­pli­ance hilft da­bei aber nicht. Im Ge­gen­teil, sie kann so­gar Si­cher­heits­s­truk­tu­ren im We­ge ste­hen, die fle­xi­bel neue Si­tua­ti­o­nen be­rück­sich­ti­gen sol­len. Com­pli­ant sein, be­deu­tet näm­lich auch Schwer­fäl­lig­keit und Lang­sam­keit, denn je­der Pro­zess und je­de Ver­än­de­rung muss dar­auf­hin ge­prüft wer­den, ob al­le Re­geln ein­hal­ten wer­den. Und der Hy­pe um Com­pli­ance führt da­zu, dass kom­plet­te Se­cu­ri­ty­-­Bud­gets in teu­re Com­plian­ce­-­Maß­nah­men ge­steckt wer­den, die der Si­cher­heit des Un­ter­neh­mens we­nig die­n­lich sin­d. Haupt­sa­che ist, der Wirt­schafts­prü­fer be­schei­nigt beim Jah­res­ab­schluss, dass Ihr Un­ter­neh­men com­pli­ant ist. Ha­ken da­hin­ter. Ob al­le Si­cher­heits­ri­si­ken da­mit be­rück­sich­tigt sin­d, ist lei­der häu­fig ega­l.

Wer klug ist, der ach­tet we­ni­ger auf sei­ne Com­plian­ce, son­dern dar­auf, dass er ein Si­cher­heits­kon­zept er­häl­t, das wirk­lich pass­ge­nau auf sei­ne Ansprü­che zu­ge­schnit­ten ist. Nicht mehr und nicht we­ni­ger.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de