Suchen

Reine Regelerfüllung statt Risiko-Prophylaxe Compliance ist keine Garantie für Sicherheit

| Autor / Redakteur: Hartmut Goebel, Goebel Consult / Stephan Augsten

Das Einhalten von industriellen und gesetzlichen Compliance-Vorgaben bedeutet nicht zwangsläufig, dass eine Organisation sicher ist. In den Unternehmen ist diese Annahme jedoch weit verbreitet. Als unabhängiger Sicherheitsexperte will Hartmut Goebel dieses Missverständnis aus der Welt schaffen.

Security-Budgets fallen immer öfter dem Compliance-Hype zum Opfer.
Security-Budgets fallen immer öfter dem Compliance-Hype zum Opfer.

Hartmut Goebel: „Compliance bedeutet zunächst einmal, nicht gegen die Regeln Dritter zu verstoßen.“
Hartmut Goebel: „Compliance bedeutet zunächst einmal, nicht gegen die Regeln Dritter zu verstoßen.“
Compliance ist ein viel bemühter Begriff in der IT-Security-Branche: Compliance-Officer, Security-Anbieter und Wirtschaftsberater preisen Compliance als Wundermittel gegen Bedrohungsszenarien jeder Art, egal ob aus dem Internet, durch Korruption oder unachtsame Mitarbeiter. Und die Geschäftsführer nicken teure Compliance-Maßnahmen ab - aus diffuser Angst um ihre Sicherheit und vor gesetzlichen Repressalien.

Der Reality-Check, ob das Unternehmen durch diese Maßnahmen wirklich sicherer wird, bleibt auf der Strecke. Es ist ist zu kurz gedacht, wenn Unternehmens- und IT-Chefs sich damit begnügen, alle vorgeschriebenen Compliance-Regeln zu befolgen und meinen, damit auf der sicheren Seite zu sein.

Compliance bedeutet erst einmal lediglich, Regeln zu erfüllen, die von der Industrie, von Verbänden, Banken, Versicherungen oder dem Gesetzgeber aufgestellt wurden – etwa der Sarbanes Oxley Act von der US-Regierung, PCI-DSS von der Kreditkartenindustrie, Basel III von der Bank für Internationalen Zahlungsausgleich und so weiter. Ein Unternehmen, das "compliant" ist, hat bisher genau ein einziges Risiko ausgeschlossen: Den Verstoß gegen diese von Dritten aufgestellten Regeln.

Es drohen andere und weit existentiellere Risiken für ein Unternehmen, als nur "non-compliant" zu sein: Dazu gehört an vorderster Stelle der Verlust von Geschäftsgeheimnissen, Diebstahl persönlicher Kundendaten oder auch die Beschädigung von Ansehen. Nicht zuletzt müssen Unternehmen innovativ bleiben und schnell auf Marktgegebenheiten reagieren können, um wettbewerbsfähig zu bleiben.

Eine regelgerechte Compliance hilft dabei aber nicht. Im Gegenteil, sie kann sogar Sicherheitsstrukturen im Wege stehen, die ja flexibel jede neue Situation berücksichtigen soll. "Compliant sein" bedeutet nämlich auch Schwerfälligkeit und Langsamkeit, denn jeder Prozess und jede Veränderung muss daraufhin geprüft werden, ob alle Regeln eingehalten werden.

Der Hype um Compliance führt dazu, dass komplette Security-Budgets in teure Compliance-Maßnahmen gesteckt werden, die der konkreten Sicherheit des Unternehmens wenig dienlich sind. Hauptsache ist, der Wirtschaftsprüfer bescheinigt beim Jahresabschluss, die Compliance des Unternehmens. Ob die für das Unternehmen relevanten Sicherheitsrisiken berücksichtigt und mit passgenauen Sicherheitsmaßen abgedeckt sind, schenken CEOs weit weniger Beachtung.

(ID:34537620)