Suchen

Geschäftsoptimierung durch Compliance-Vorgaben Microsoft veröffentlicht Compliance-Reifegradmodell für Unternehmen

Redakteur: Stephan Augsten

Geschäftsführer, Berater und IT-Entscheider tragen maßgeblich zu geschäftlichen Entscheidungen bei. Doch aufgrund unterschiedlicher Fachjargons können sie sich nicht immer präzise verständigen, insbesondere wenn es um komplexe Themen wie Compliance-Vorgaben geht. Deshalb hat Microsoft gemeinsam mit der Experton Group ein Dokument erarbeitet, dass allen drei Gruppen als Compliance-Einstieg dienen soll.

Firmen zum Thema

Als wäre der Compliance-Begriff nicht komplex genug, stellt zusätzlich die schiere Anzahl der Vorgaben die Unternehmen vor Probleme.
Als wäre der Compliance-Begriff nicht komplex genug, stellt zusätzlich die schiere Anzahl der Vorgaben die Unternehmen vor Probleme.
( Archiv: Vogel Business Media )

Ob Basel II, Bundesdatenschutzgesetz oder ISO-Normen: Sowohl die unkonkrete Formulierung als auch die unfassbare Zahl der Compliance-Vorgaben stellt Unternehmen immer wieder vor Probleme – und die Anzahl nimmt ständig zu. Dieses Thema beschäftigt auch Michael Kranawetter, Chief Security Advisor von Microsoft und Autor des Compliance-Leitfadens „Nutzenpotentiale regulatorischer Anforderungen zur Geschäftsoptimierung“.

In fünf Kapitel erläutert Kranawetter, wie man sich Compliance-Vorgaben im Geschäftsalltag zunutze machen kann. Hierbei will der Autor über die Ebenen der Geschäftsführer, technischen Entscheider und IT-Experten hinweg ein gemeinsames Verständnis für IT-Infrastruktur-Compliance schaffen.

Als Hintergrund für seine Arbeit an dem umfassenden Dokument nennt Kranawetter die Tatsache, dass viele Unternehmen ihre Basis-Infrastrukturen durch Microsoft-Systeme abdecken. „Wir wollen unseren Kunden dabei helfen Sicherheitsvorfälle zu vermeiden, um nachher nicht selbst am Pranger zu stehen.“ Außerdem könnten für Auditoren und Wirtschaftsprüfer relevante Daten nur dort erhoben werden, wo sie anfallen.

Man müsse den Unternehmen deutlich machen, dass Auditing- und Reporting-Tools sowie Sicherheitsfunktionen von vornherein in viele Microsoft-Produkte integriert sind. „Nur sind sie oft nicht aktiviert, fehlerhaft konfiguriert oder sie arbeiten im falschen Kontext“, so Kranawetter.

Große Compliance-Konformität bei minimalem Aufwand

Viele Compliance-Anforderungen lassen sich laut Kranawetter also bereits durch bereits existierende Systeme abdecken. Auf dieser Grundlage beschreibt der Leitfaden einen Ansatz, der wie das Pareto-Prinzip die Aufwandsverteilung berücksichtigt – also dass sich 80 Prozent der Anforderungen durch ein Fünftel des gesamten Aufwands abdecken lassen.

Angesichts der Branchenspezifika und vielen Nischen ist eine allgemein gültige Vorgaben-Übersicht laut Kranawetter wahrscheinlich unmöglich. Stattdessen setzt er regulatorische und geschäftliche Anforderungen über die fünf Grundziele Schutz, Verfügbarkeit, Nachvollziehbarkeit, Transparenz und Sorgfalt miteinander in Beziehung. Dadurch lassen sich wiederum fünf Kernbereiche ausmachen: Informationsschutz, Risikomanagement, Informationsmanagement, Internes Kontrollsystem sowie Mitwirkungs- und Informationspflicht.

Muss man sich langsam an das Thema Compliance herantasten, könne man diese fünf Säulen einzeln angehen. „Aber eigentlich sollte man die fünf Bereiche als gleichwertig betrachten“, mahnt Kranawetter, „denn es sind fünf Säulen – und wenn man auch nur eine vergisst, kommt es zu einem Ungleichgewicht.“

Das Compliance-Reifegradmodell für Geschäftsführung, Compliance- und IT-Verantwortliche ist als Whitepaper auf Security-Insider.de erhältlich, wird von Microsoft in Kürze aber auch in gedruckter Form veröffentlicht.

(ID:2022135)