Für die IT-Branche existieren eine Vielzahl wichtiger Vorgaben, welche die Datensicherheit betreffen. Die Einhaltung dieser Regeln bezeichnet man als IT-Compliance. Erfahren Sie, welche Gesetze eine Rolle spielen, welche Sicherheitsmaßnahmen Sie ergreifen können und wie Sie eine IT-Compliance-Policy erarbeiten.
KOSTENLOSER LEITFADEN
So finden Sie den passenden IT-Dienstleister
Sie überlegen Managed Services in Ihrem Unternehmen einzuführen und sind auf der Suche nach einem passenden Service Provider? Unser Leitfaden „So finden Sie den passenden IT-Dienstleister“ unterstützt Sie dabei Ihre Anforderungen und Erwartungen klar zu definieren!
Inhalt dieses Blogbeitrags
Schön, dass Sie hier sind! Wie Ihnen vielleicht schon aufgefallen ist, verwenden wir aus Gründen der Lesbarkeit in erster Linie die männliche Form in unseren Texten. Im Sinne der Gleichbehandlung meinen wir damit selbstverständlich immer alle Geschlechter (m/w/d). Und jetzt wünschen wir Ihnen viel Spaß beim Lesen.
Definition: Was ist IT-Compliance?
Der englische Begriff „Compliance“ lässt sich auf Deutsch mit „Regelkonformität“ übersetzen. IT-Compliance bedeutet also, dass alle relevanten Vorgaben, welche für die Informationstechnologie einer Organisation gelten, eingehalten werden. Dabei kann es sich sowohl um gesetzliche Vorgaben handeln, als auch um unternehmensinterne Regeln. Auch aus vertraglichen Abmachungen mit Partnern und Kunden können sich Konsequenzen für die IT-Compliance ergeben. Dabei spielt es keine Rolle, ob die IT-Leistungen des Unternehmens ausschließlich intern verbracht werden oder ob auch externe Service-Provider involviert sind, zum Beispiel Hosting-Anbieter oder Managed-Services-Provider. Die IT-Compliance muss in jedem Fall gewährleistet sein.
Im zugespitzten Sinne wird der Begriff „IT-Compliance“ auch für Hard- und Softwareprodukte verwendet, welche die Einhaltung der IT-Compliance im Unternehmen sicherstellen sollen. Diese IT-gestützten Tools übernehmen zum Beispiel Monitoring- und Sicherheitsaufgaben.
Die IT-Compliance ist Bestandteil der IT-Governance. Letztere betrachtet zusätzlich die Themen Controlling, Geschäftsprozesse und Management. Der engere Blickwinkel der IT-Compliance fokussiert sich auf die Themen Informationssicherheit, Verfügbarkeit, Datenaufbewahrung und Datenschutz.
Eine Nichtbeachtung der IT-Compliance kann rechtliche Folgen für eine Organisation nach sich ziehen. Werden Gesetze wie die europäische Datenschutz-Grundverordnung verletzt, können empfindliche Geldstrafen sowie Haftungsverpflichtungen verhängt werden. Und selbst wenn von legaler Seite aus keine Konsequenzen drohen, können trotzdem wirtschaftlich unerwünschte Folgen eintreten, weil sich Kunden abwenden oder Partner die Zusammenarbeit aufkündigen. Die IT-Compliance ist also in jedem Fall ein wichtiges Thema für jedes Unternehmen, welches Daten elektronisch verarbeitet.
Diese Vorgaben existieren
Es gibt eine Reihe von Gesetzen und Richtlinien, welche für die Einhaltung der IT-Compliance im Unternehmen relevant sind. Die wichtigsten davon stellen wir Ihnen im Folgenden vor.
Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung (DSGVO) ist ein europäisches Gesetz, welches seit dem 25. Mai 2018 für alle Mitglieder der EU gilt. Außerdem haben die Nicht-EU-Staaten des Europäischen Wirtschaftsraumes (EWR) Island, Liechtenstein und Norwegen die DSGVO übernommen. Das Gesetz wurde geschaffen, um die Verarbeitung von personenbezogenen Daten durch Unternehmen europaweit einheitlich zu regeln. In 99 Artikeln, welche in elf Kapitel unterteilt sind, werden eine Vielzahl wichtiger Regelungen getroffen, unter anderem was die Rechte der betroffenen Person, die Auftragsverarbeitung und die Übermittlung personenbezogener Daten an Drittländer angeht.
Bundesdatenschutzgesetz (BDSG)
Das Bundesdatenschutzgesetz regelt den Umgang mit personenbezogenen Daten. Das Ziel besteht darin, die Privatsphäre der Bürger in Deutschland zu schützen. Grundsätzlich verbietet es, personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Es werden auch Ausnahmen definiert, die aber sehr streng geregelt sind. Man spricht in diesem Zusammenhang von einem „Verbot mit Erlaubnisvorbehalt“. Aus diesem Grund gilt das Bundesdatenschutzgesetz als eines der strengsten Datenschutzgesetze weltweit.
IT-Sicherheitsgesetz
Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz IT-Sicherheitsgesetz, wurde erstmals im Juli 2015 veröffentlicht; seit Mai 2021 gilt die Version 2.0. Das Gesetz legt fest, was die Betreiber sogenannter kritischer Infrastrukturen (KRITIS) beim Betrieb ihrer IT-Systeme zu beachten haben. Welche Organisationen genau unter das IT-Sicherheitsgesetz fallen, regelt die ergänzende Verordnung BSI-KritisV. Beispiele für KRITIS-Organisationen sind Telekommunikationsanbieter, Wassernetzbetreiber und Krankenhäuser. Sie alle müssen besonders hohe gesetzliche Auflagen erfüllen. Dazu zählt insbesondere der Betrieb eines „Information Security Management System“ (ISMS). Weiterhin muss die Organisation umgehend das Bundesamt für Sicherheit in der Informationstechnik (BSI) informieren, sollte es zu einem Angriff auf IT-Systeme kommen.
Telekommunikationsgesetz
Das Telekommunikationsgesetz (TKG) reguliert den Wettbewerb im Bereich der Telekommunikation. Sein Ziel besteht darin, leistungsfähige Infrastrukturen für die Telekommunikation zu unterstützen und ein flächendeckendes Angebot an Telekommunikationsdienstleistungen sicherzustellen. Entsprechende gewerbliche Anbieter haben eine Meldepflicht gegenüber der Bundesnetzagentur. Diese veröffentlicht eine Liste aller gemeldeten Unternehmen und reguliert diese. Das umfasst zum Beispiel die Einhaltung von Zugangsverpflichtungen und die Entgeltregulierung.
Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurde am 5. März 1998 vom Deutschen Bundestag verabschiedet. Es handelt sich um ein umfangreiches Artikelgesetz, welches die Corporate Governance in deutschen Unternehmen verbessern soll. Unter anderem macht es ein unternehmensweites Früherkennungssystem für Risiken erforderlich und regelt, dass existierende Risiken im Jahresabschlussbericht angesprochen und veröffentlicht werden müssen. Gleichzeitig wird die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern erhöht.
ISO 19600
Die Industrienorm ISO 19600 legt Standards für Systeme zum Compliance-Management fest, welche ein Fehlverhalten von Führungskräften und Mitarbeitenden verhindern sollen. Ist ein Unternehmen nach ISO 19600 zertifiziert, wurden nachweislich ausreichende Maßnahmen zur Sicherstellung der Compliance ergriffen.
ISO 27001
Die ISO 27001 beschäftigt sich damit, wie die Informationssicherheit in einem Unternehmen gewährleistet werden kann. Das Ziel besteht im Schutz der Vertraulichkeit, der Integrität und der Verfügbarkeit von Informationen in einem Unternehmen.
Daneben empfiehlt es sich, IT-Frameworks wie ITIL und COBIT zu berücksichtigen. Diese definieren, wie IT-Prozesse und -Funktionen im Unternehmen effizient und sicher gestaltet werden können und welche Rollen damit einhergehen. Auch wenn es sich hierbei nur um Orientierungsrahmen und nicht um verpflichtende Vorgaben handelt, führt ihre Einhaltung fast immer auch zu einer Verbesserung der gesetzlichen IT-Compliance.
Wie Sie Ihre Policy entwickeln
Sie sollten die eben genannten Praxismaßnahmen unbedingt in eine übergeordnete IT-Compliance-Policy einbinden. Der folgende Fahrplan hilft Ihnen dabei.
1. Analysieren Sie den Status quo
Im ersten Schritt sollten Sie sich im Team zusammensetzen, um gemeinsam verbindliche Richtlinien für Ihre IT-Compliance zu erarbeiten. Dabei helfen die folgenden Fragen:
- Welche Gesetze und sonstigen Normen spielen eine Rolle für die IT unserer Organisation? Hierbei gilt es zu beachten, um welche Art von Unternehmen es sich handelt (KRITIS), wo das Unternehmen lokalisiert ist und wie groß das Unternehmen ist.
- Welche unserer IT-Prozesse und Programme sind von Überlegungen der IT-Compliance betroffen? Welche Anforderungen müssen genau erfüllt werden? Es kann durchaus vorkommen, dass es Prozesse im Unternehmen gibt, die unkritisch sind, weil zum Beispiel keine personenbezogenen Daten verarbeitet werden oder weil ein Ausfall des Prozesses durch Cyberangriffe keine gravierenden Folgen hätte.
- Was für Risiken existieren, wenn sich unser Unternehmen nicht um IT-Compliance bemüht bzw. diese nicht korrekt umsetzt? IT-Compliance ist ein aufwendiger Prozess, der von manchen Unternehmen stiefmütterlich behandelt wird. Eine solche Risikoabschätzung kann dabei helfen, ein Bewusstsein für die drohenden Kosten zu entwickeln.
- Gibt es bereichsspezifische IT-Compliance-Anforderungen, die wir beachten müssen? Die IT-Landschaft eines Unternehmens ist keine homogene Einheit, sondern gliedert sich in viele Abschnitte wie Infrastruktur, Prozesse, Datenmanagement, Hard- und Software usw. Es kann Sinn machen, diese Segmente separat auf Herausforderungen zu untersuchen.
- Welche organisatorischen und personellen Konsequenzen ergeben sich für unser Unternehmen aus der IT-Compliance? IT-Compliance ist mitnichten nur ein technisches Thema. Vielmehr ist es entscheidend, die eigenen Mitarbeitenden fortlaufend für das Thema zu sensibilisieren; nicht nur, um Angriffe von außen abzuwehren, sondern auch um interne Verletzungen der Datensicherheit zu reduzieren.
2. Veröffentlichen Sie Ihre Policy
Im Anschluss werden die eben genannten Überlegungen in eine schriftliche IT-Compliance-Richtlinie übersetzt. Diese Policy muss dann veröffentlicht und nach innen kommuniziert werden. Sie ist von da an für alle Mitarbeitenden verbindlich. Zusätzlich muss aktiv ihre Einhaltung überwacht und gegebenenfalls durchgesetzt werden. Nur so lässt sich die Informationssicherheit im Unternehmen garantieren und kostspieligen Rechtsstreitigkeiten vorbeugen.
3. Bestellen Sie einen IT-Compliance-Manager
Zusätzlich zur Veröffentlichung Ihrer Policy sollten Sie auch einen Verantwortlichen für das Thema IT-Compliance benennen. Definieren Sie genau, worin seine Aufgaben bestehen. Mindestens berücksichtigt werden sollten:
- Der IT-Compliance-Manager nimmt in regelmäßigen Abständen eine ganzheitliche Beurteilung des Unternehmens vor. Das umfasst die Geschäftsabläufe, die Mitarbeitenden und die eingesetzten Technologien.
- Er führt Audits durch, also systematische Analysen von Schwachstellen im Unternehmen. Das betrifft zum Beispiel die Gültigkeit von Softwarelizenzen, Wartungsmängel an der Infrastruktur sowie die Zuteilung von User-Berechtigungen.
- Er optimiert Schwachstellen und Prozesse fortlaufend, um mehr IT-Sicherheit zu gewährleisten. Dabei beachtet er alle gesetzlichen und unternehmensinternen Vorgaben.
- Der IT-Compliance-Manager behält auch die regelmäßige Datensicherung im Auge.
- Er beschäftigt sich mit Fragen des Urheberrechts.
- Für alle diese Vorgänge erstellt er eine lückenlose Dokumentation.
4. Gehen Sie mit gutem Beispiel voran
Wenn Ihre Mitarbeitenden das Gefühl haben, dass nur von ihnen IT-Compliance erwartet wird, stellt sich schnell Unmut ein. Gehen Sie deshalb mit gutem Beispiel voran, indem Ihre Führungskräfte verantwortungsvoll mit User-Berichtigungen umgehen oder fortschrittliche Verschlüsselungsmethoden einsetzen.
5. Führen Sie Schulungen durch
Bei der Optimierung der IT-Compliance wird oft auf die technischen Maßnahmen abgehoben. Dabei ist die beste Sicherheitstechnologie nur so gut wie die Menschen, die sie anwenden. Führen Sie deshalb regelmäßig Trainings durch, um Ihre Mitarbeitenden für vorbeugende Schutzmaßnahmen zu sensibilisieren. Auch das Verhalten bei einem Cyberangriff oder einem Ausfall der Systeme sollte eingeübt werden.
Stellen Sie unterschiedliche Angebote für unterschiedliche Typen von Lernenden bereit. Manche Mitarbeitende bilden sich lieber in der Gruppe fort, während andere besser mit zeitlich flexiblen E-Learning-Angeboten zurechtkommen.
6. Suchen Sie sich einen Partner
Viele Unternehmen sind so mit dem Tagesgeschäft eingespannt, dass es ihnen schwerfällt, die IT-Compliance intern zu stemmen. Hier kann die Zusammenarbeit mit einem Managed-Security-Services-Provider Abhilfe schaffen. Solche spezialisierten Anbieter kennen sich aufgrund ihrer Tätigkeit für viele Kunden sehr gut mit relevanten Anforderungen aus und garantieren feste Wartungsintervalle.
Beispiele für die Implementierung
Abhängig von den jeweiligen Anforderungen Ihrer IT-Compliance-Policy müssen in der Praxis bestimmte Sicherheits- und Datenschutzmaßnahmen durchgeführt werden. Die folgenden Beispiele vermitteln einen Eindruck davon.
Schutz von personenbezogenen Daten
Insbesondere seit der DSGVO sind die Anforderungen an den Schutz von personenbezogenen Daten stark gestiegen. Das macht eine Reihe von organisatorischen und technischen Anpassungen erforderlich:
- Sie müssen in den meisten Fällen einen Datenschutzbeauftragten benennen (kleine Unternehmen können hiervon unter Umständen ausgenommen sein).
- Es muss ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten geführt werden. Dieses listet, welche personenbezogenen Daten im Unternehmen wann, wie und warum erhoben wurden. Das umfasst zum Beispiel Kundendaten wie Namen und Adressen. Aber auch die Daten der eigenen Mitarbeitenden fallen hierunter.
- Sie sollten Ihre personenbezogenen Prozesse optimieren. Das umfasst zum Beispiel, wie Kunden über die Erhebung ihrer Daten informiert werden, wie die Löschung von Daten geschieht oder wie im Falle von Datenlecks verfahren wird.
- Für Unternehmen, die mit besonders sensiblen Daten arbeiten, wie zum Beispiel Arztpraxen, sollte außerdem eine Datenschutz-Folgenabschätzung durchgeführt werden. Ergibt diese, dass ein erhöhtes Risiko besteht, muss die entsprechende Aufsichtsbehörde einbezogen werden.
Absicherung der Netzübergänge
Um den Zugriff Unbefugter auf Ihre Unternehmensdaten zu verhindern, sollten Sie Ihre Netzübergänge absichern. Das ist eine der wichtigsten und grundlegendsten Maßnahmen für mehr IT-Compliance.
Im ersten Schritt sollten Sie dafür eine Bestandsaufnahme Ihrer unterschiedlichen Netzübergänge vornehmen. Halten Sie für jeden Übergang fest, wie viele Teilnehmer bzw. Geräte involviert sind, aber auch, um welche spezifische Art von Übergang es sich handelt. Insbesondere gilt es dabei zu bedenken, dass Netzübergänge nicht nur nach außen gegen das Internet abgesichert werden müssen, sondern auch intern voneinander.
Komponenten, die Schutzmaßnahmen der allgemeinen Infrastruktur unterwandern könnten, sollten besondere Aufmerksamkeit erhalten. Dazu zählen unter anderem:
- Individuelle Internet-Zugänge, insbesondere aus dem Home-Office
- Mobile Datenverbindungen von Geräten wie Smartphones und Tablets
- Netzübergänge zwischen unterschiedlichen Liegenschaften eines Unternehmens
- Übergänge mit Produktivsystemen der Organisation, wie im Falle einer Smart Factory
- IoT-Geräte, welche selbstständig Daten erheben und gegebenenfalls bereits an der Edge verarbeiten
- Von Usern selbst eingerichtete VPN-Verbindungen
- Fernwartungszugänge von Administratoren, um Infrastrukturen und Systeme über räumliche Distanz hinweg zu managen
Im Anschluss an diese Bestandsaufnahme sollten Sie sich fragen, ob alle diese Netzübergänge tatsächlich benötigt werden. Das betrifft insbesondere die externen Netzübergänge. Je weniger Variablen hier beherrscht werden müssen, desto leichter ist es, die wirklich unabdingbaren Übergänge abzusichern. Achten Sie jedoch darauf, Redundanz zu gewährleisten. Sie sollten immer zumindest über zwei externe Übergänge verfügen, um im Falle einer Störung einen Ersatz zu haben.
Erst jetzt sollten Sie dazu übergehen, die verbliebenen Netzübergänge mit Sicherheits-Gateways zu versehen. Solche Gateways sollten im Idealfall die folgenden Eigenschaften aufweisen:
- Es sollte sich um ein Application-Level-Gateway bzw. eine Proxy-Firewall handeln.
- Datenströmen wie E-Mail, HTTP und FTP sollten fortlaufend auf Malware gescannt werden.
- Über sogenannte Whitelists und Blacklists lässt sich steuern, auf welche Websites Ihre Mitarbeitenden von Unternehmensrechnern aus zugreifen können.
- Zumindest für kritische Daten sollten Sie ein automatisches Intrusion-Detection-System implementieren, um eine schnelle Reaktionszeit zu gewährleisten.
- Für Daten mit höchster Kritikalität empfiehlt sich ein zusätzliches Intrusion-Prevention-System, welches in der Lage ist, selbstständig auf Attacken zu reagieren.
Zuletzt muss sichergestellt werden, dass die Sicherheits-Gateways selbst nicht umgangen werden können. Insbesondere gilt es Angriffen über externe Speichermedien wie USB-Sticks oder Digitalkameras vorzubeugen. Das kann durch eine technische Schnittstellenkontrolle auf Client-Systemen und Servern ausgeschlossen werden.
Absicherung der mobilen Zugänge
Eine erhöhte Gefahr geht von mobilen Geräten wie Smartphones, Tablets oder Laptops aus. Anders als Desktop-Rechner gehen diese transportablen Devices unterwegs schnell verloren. Auch Diebstähle kommen vor, teilweise im Zusammenhang mit Industriespionage. War der User zum Zeitpunkt des Verlusts noch angemeldet, kann der Angreifer ungehindert in das Unternehmensnetzwerk eindringen.
Auch bei mobilen Access-Points sollte die Anzahl der verwendeten Geräte so klein als möglich gehalten werden. Gleichzeitig sollten die Berechtigungen des jeweiligen Users auf dem Mobile Device auf ein Mindestmaß reduziert werden. Ist ein Mitarbeitender von Ihnen unterwegs und braucht Zugriff auf sensible Unternehmensdaten, erteilen Sie der Person nach Bedarf eine zeitlich begrenzte Berechtigung.
Mindestens genauso wichtig ist es, einen Notfallplan für den Verlust zu entwickeln und mit Ihrem Team durchzuspielen. Sehr gut geht das in Form einer kleinen Checkliste, die alle Teammitglieder ständig bei sich führen. Diese regelt, was genau in welcher Reihenfolge getan werden muss, zum Beispiel die Sperrung des Geräts aus der Ferne, die Durchführung von Ortungsmaßnahmen und der Wechsel von Passwörtern.
Logdaten-Überprüfung
Cyberangriffe bleiben häufig lange Zeit unbemerkt, weil die Logdaten von Unternehmen nicht regelmäßig unter die Lupe genommen werden. Viele kostspielige Datenverluste würden sich so leicht verhindern lassen. Benennen Sie deshalb einen Verantwortlichen, der in einem fest definierten Intervall die Logdateien Ihres Systems auf Anomalien untersucht. Falls Sie dies aufgrund von Personalknappheit nicht leisten können, sollten Sie zumindest die Anschaffung eines Intrusion-Detection Systems erwägen. Besser noch, beginnen Sie eine Zusammenarbeit mit einem Managed-Security-Services-Provider. Dieser verfügt nicht nur über entsprechende Software, sondern auch über jahrelange Erfahrung bei der Einordnung von Angriffen.
Kryptographische Verfahren
Sollten Nachrichten oder Datenträger mit wichtigen Informationen in falsche Hände geraten, kann immer noch das Schlimmste verhindert werden, falls Sie eine wirksame kryptographische Methode verwenden. Weit verbreitet sind die synchrone und die asynchrone Verschlüsselung von Daten, wobei letztere den Vorteil bietet, dass durch die Verwendung eines Public und eines Private Key der Schlüssel selbst nicht besonders geschützt werden muss; der Public Key kann bedenkenlos an Kunden und Partner übermittelt werden. In den nächsten Jahren wird außerdem die Verschlüsselung von Daten via Quantencomputer stark an Bedeutung gewinnen. Es macht viel Sinn, diese Entwicklung schon heute durch hybride Verschlüsselungsverfahren zu antizipieren.
Patchmanagement
Um potenzielle Einfallstore bei Ihren Unternehmensanwendungen zu schließen, sollten Sie zeitnah neue Patches aufspielen. Hierbei ist es wichtig, dass das Patchmanagement zentral gesteuert wird. Ansonsten droht die Gefahr, dass sich ein Flickenteppich im Unternehmen herausbildet — einige Abteilungen, welche das Patch schon aufgespielt haben, andere, die noch hinterherhinken. Diese unübersichtliche Situation würde Angreifern in die Karten spielen.
Antiviren-Scans
Um Würmern und Trojanern die Stirn zu bieten, sollten Sie regelmäßig Ihre Systeme unter Verwendung einer guten Antiviren-Software scannen. Es ist wichtig, sowohl einen dezentralen Scan auf einzelnen Clients und Servern durchzuführen als auch an zentralen Knotenpunkten wie dem Mailserver oder anderen Gateways.
KOSTENLOSER LEITFADEN
So finden Sie den passenden IT-Dienstleister
Sie überlegen Managed Services in Ihrem Unternehmen einzuführen und sind auf der Suche nach einem passenden Service Provider? Unser Leitfaden „So finden Sie den passenden IT-Dienstleister“ unterstützt Sie dabei Ihre Anforderungen und Erwartungen klar zu definieren!