Definition IT-Compliance

Was bedeutet Compliance für Unternehmen?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.
IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: Pixabay / CC0)

Compliance in der IT ist für jedes Unternehmen Pflicht. Der Datenschutz ist dabei nur ein Beispiel. Vor jedem IT-Projekt muss geprüft werden, welche rechtlichen und vertraglichen Anforderungen bestehen und zu erfüllen sind.

Unter IT-Compliance versteht man die Einhaltung des Regelwerkes, das für die IT in Unternehmen und Behörden aufgestellt wurde. Welche Compliance oder Regeltreue genau gefordert ist, kommt auf die jeweilige Organisation und auf das jeweilige IT-Verfahren an. Neben den internen Richtlinien des Unternehmens oder der Behörde sind es die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind.

Compliance in der IT bedeutet, dass mit der IT nicht alles umgesetzt wird, was technisch und organisatorisch möglich ist, sondern nur das, was innerhalb des Regelwerkes erlaubt ist. Unternehmen und Behörden sind deshalb laufend gefordert zu prüfen, ob ein bestimmtes Vorhaben in der IT auch regelkonform und damit compliant ist. Die Führung und Organisation der IT, die IT-Governance, muss sich also mit ihren Entscheidungen und Maßnahmen innerhalb des Rahmens bewegen, der sich aus den Vorgaben der IT-Compliance ergibt.

Compliance bedeutet Einhaltung des Datenschutzes

Ein wichtiges Beispiel für rechtliche Vorgaben, die für die IT-Compliance einzuhalten sind, ist der Datenschutz. Die IT muss so gestaltet und genutzt werden, dass der Schutz personenbezogener Daten gewährleistet ist. Was dies konkret bedeutet, regelt das Bundesdatenschutzgesetz (BDSG) und die Landesdatenschutzgesetze der Bundesländer sowie auf EU-Ebene ab Mai 2018 die Datenschutz-Grundverordnung (DSGVO), auch General Data Protection Regulation (GDPR) genannt.

IT-Compliance wird auch von Finanzämtern gefordert

Ein weiteres Beispiel, wo die IT genauen rechtlichen Vorgaben Folge leisten muss, sind die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“. Betriebsprüfungen durch Finanzämter finden digital statt. Damit dies technisch einwandfrei möglich ist, müssen Unternehmen die Vorgaben der GoBD einhalten. Die GoBD sind deshalb Teil der IT-Compliance-Vorgaben.

Vorgaben zur IT-Compliance verweisen häufig auf Standards

Neben den rechtlichen Vorgaben können auch Verträge bestimmte Regeln für die IT vorschreiben. Vertragliche Regelwerke für die IT verweisen oftmals auf anerkannte Standards, um einheitliche, erprobte Vorgaben zu machen. Im Bereich der IT-Sicherheit wird häufig eine Einhaltung des IT-Sicherheitsstandards ISO 27001 oder IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) gefordert. Die Einhaltung eines Standards kann durch unabhängige Stellen im Rahmen einer Zertifizierung bestätigt werden.

IT-Compliance berücksichtigt auch Branchenstandards

Während der Datenschutz von allen Unternehmen und Behörden zu beachten ist, die personenbezogene Daten verarbeiten, nutzen oder speichern, gibt es Regelwerke, die für bestimmte Branchen spezielle Vorgaben enthalten. Ein Beispiel ist der Payment Card Industry Data Security Standard (PCI/DSS), ein IT-Sicherheitsstandard, der von allen Unternehmen eingehalten werden muss, die Kreditkartendaten verarbeiten. Basel II ist ein Beispiel für rechtliche Rahmenbedingungen im Bankengeschäft und stellt eine Vorgabe der Bankenaufsicht dar, die auch Forderungen an die IT-Sicherheit der Banken enthält.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Pipeline-Scan bei Software-Build

Veracode Static Analysis stützt DevSecOps

Pipeline-Scan bei Software-Build

Die jüngste Generation von Veracode Static Analysis kommt mit einem Pipeline-Scan daher. Dieser wurde für den Einsatz bei der Übergabe von Code an den Build-Prozess optimiert. Die statische Code-Analyse ist dabei Teil der Veracode SaaS-Plattform. lesen

Vom Passwortmanager zum PAM

Evolution des Identity Managements

Vom Passwortmanager zum PAM

Die effektive Absicherung von privilegierten Passwörtern ist eine wichtige Säule der Unternehmenssicherheit. War eine manuelle Passwort-Verwaltung bis vor ein paar Jahren noch gängige Praxis, stehen den Verantwortlichen heute zentralisierte PAM-Tools für eine automatisierte und nutzerfreundliche Überwachung von privilegierten Konten zur Verfügung. lesen

Was sich 2020 bei der Cloud-Sicherheit ändern wird

Prognosen für das neue Jahr

Was sich 2020 bei der Cloud-Sicherheit ändern wird

Die Cloud-Sicherheit wird beeinflusst von neuen Cloud-Trends, der dynamischen Bedrohungslage und innovativen Security-Technologien. Wir haben uns spannende Prognosen für 2020 angesehen und bewerten die Konsequenzen. lesen

BSI veröffentlicht Neuauflage des C5-Katalogs

Anerkannter Nachweis der Sicherheit von Cloud-Diensten

BSI veröffentlicht Neuauflage des C5-Katalogs

Seit seiner Veröffentlichung 2016 hat sich der „Cloud Computing Compliance Criteria Catalogue“ (C5) des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum etablierten und vielfach national wie international umgesetzten Standard der Cloud-Sicherheit entwickelt. Da Cloud-Techniken schnellen Innovationen unterworfen sind, hat das BSI den C5 nun einer umfassenden Revision unterzogen und neu aufgelegt. lesen

Externe Datenschützer als Security-Berater

Intellectual Property der Mandanten schützen

Externe Datenschützer als Security-Berater

In Unternehmen türmen sich Datenberge mit undurchsichtigen Zugriffsrechten auf den Windowsservern – ein Sicherheitsrisiko. Denn das geistige Eigentum ist in Gefahr, wenn manuelle Eingriffe das Berechtigungs­management und die Access Control aushebeln. Eine Software-Lösung kann externen Datenschützern helfen, die Compliance des Mandanten zu unterstützen und gleichzeitig ihr Intellectual Property zu schützen. lesen

Neues Rüstzeug für höhere Datensicherheit

Trends 2020 im Identitätsmanagement

Neues Rüstzeug für höhere Datensicherheit

Der Faktor Mensch ist und bleibt immer noch die Achillesferse bei Datenhacks. Multifaktor-Authentifizierung könnte ein wichtiger Schritt sein, digitale Identitäten als Einfallstor für Hacker in den Griff zu bekommen. Dabei ist die Investition in eine prozessbegleitende Sicherheitskultur die Basis für ein erfolgreiches Identitätsmanagement. lesen

Backup im größeren IT-Zusammenhang

Datensicherungsagenda 2020

Backup im größeren IT-Zusammenhang

Je mehr die Verfügbarkeit von Daten, Systemen und Anwendungen gefährdet ist, desto wichtiger werden Basistechnologien wie Sicherung und Wiederherstellung von Informationen. Klassisches Backup und Datensicherung allein werden aber nicht mehr genügen. Immer mehr Industrien werden darüber hinaus Replikationslösungen zur Realisierung der geforderten Hochverfügbarkeit benötigen – auch in Kombination mit IT-Security-Lösungen. lesen

Probleme beim Management von Benutzerrechten

„Pain Points“ beim Berechtigungs­management

Probleme beim Management von Benutzerrechten

Die Verwaltung von Benutzerkonten und Zugriffsrechten ist kein so spannendes Aufgabenfeld wie zum Beispiel die Planung des ersten Einsatzes einer KI-gesteuerten Software im Unternehmen. Trotzdem ist Management und Kontrolle von Zugriffen allgegenwärtig und leider viel zu häufig von unterschätzter Wichtigkeit. lesen

Gen10-HPE-Server: Kaum zu knacken

HPE-ILO5 mit Silicon Root of Trust

Gen10-HPE-Server: Kaum zu knacken

Nachdem Version 4 der „ILO“-Software für das Remote Server Management ärgerliche Sicherheitslücken offenbarte, hat HPE bei ILO 5 nachgelegt und Systeme mit dieser Technologie extrem gegen Angriffe gehärtet. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44448926 / Definitionen)