Compliance und IT: Schnittstellen mit Schwachstellen

Kaum ein Unternehmensprozess wird heutzutage ohne IT-Unterstützung durchgeführt. Compliance bildet an dieser Stelle keine Ausnahme. Im Gegenteil: Häufig lastet die Einhaltung der Compliance auf den Schultern der IT-/ EDV-Abteilung. Um all das Hierarchie-übergreifend zu implementieren sind professionelle Lösungen gefragt.

Zwischen mangelnder Kommunikation und technischen Barrieren

In jedem Unternehmen sollte Compliance nicht bloß ein Stichwort am Rande sein, sondern tatsächlich über alle Ebenen und Strukturen hinweg deutlich definiert beziehungsweise auch eingehalten werden. Im Normalfall umfasst dies nicht weniger als ein hochgradig komplexes Regularium an Vorschriften und Verhaltensweisen. Ob es nun um organisatorische Maßnahmen geht, um Berücksichtung von Urheberrechten, Lizenzmanagement oder Transaktionsanalysen: Complianceprozesse gelten ausnahmslos für alle Mitarbeiter, wenngleich sie nicht von jedem im selben Umfang angewendet werden. Zur Durchführung wird in der Regel die IT-Abteilung beauftragt, im Sinne von Berechtigungsvergaben im Dateisystem bis hin zu speziellen Anwendungen für Complianceprozesse.

Obgleich die IT damit eine wesentliche Schnittstelle zwischen Mitarbeitern und Unternehmensvorschriften darstellt, scheint gerade diese häufig ein regelrechtes Eigenleben zu entwickeln. Mangelnde Kommunikation zwischen den Abteilungen führt oftmals dazu, dass bestimmte Zusammenhänge nicht verstanden werden und damit die saubere Durchführung der Compliance vernachlässigt wird.

Andererseits behindern technische Barrieren und fehlendes beziehungsweise unterqualifiziertes Fachpersonal eine tiefgreifende Systemanalyse. Schwachstellen bleiben unerkannt oder werden nicht korrekt behoben und das gesamte Unternehmen wird angreifbar.

Schwachstellen der IT-Compliance

Bereits bei der schlichten Anweisung von Vorschriften gehen zwischen einzelnen Abteilungen Informationen verloren. Neue Mitarbeiter werden während des vollen Tagespensums mal nebenbei eingearbeitet, andere Vorgaben verbreiten sich durch das Stille-Post-Schema und werden somit verfälscht oder der Fachjargon wird einfach nicht ausreichend aufgeschlüsselt. Selbst Mitarbeiter, die seit Jahren im Unternehmen tätig sind verpassen so den Anschluss an Neuerungen, wenn die Kommunikation nicht durchweg sauber und eindeutig durchgeführt wird.

Ein nach wie vor brisantes Beispiel ist die Weitergabe von Passwörtern. Immer wieder werden Vorfälle bekannt, bei denen Mitarbeiter ihre betrieblichen Passwörter zwar nicht an natürliche Personen weitergegeben, aber sie zur Authentifizierung unternehmensfremder Dienste verwendet haben. Dadurch gerieten Passwörter in die Hände Dritter und wurden zum Teil für Hackerangriffe auf das Unternehmen missbraucht. Man kann davon ausgehen, dass hier die Passwort-Compliance nicht richtig verstanden wurde.

Selbst Maßnahmen wie das Vier-Augen-Prinzip oder ausführliche Protokollierung helfen nur bedingt weiter, wenn Mitarbeiter unternehmensspezifische Daten im wahrsten Sinne des Wortes nach „Außen“ tragen. Datenträger wie USB-Sticks gehen zum Beispiel regelmäßig verloren. Ein ähnlicher Complianceverstoß stellte einen Halbleiterhersteller vor den Worst Case. Hier vergaß ein Mitarbeiter den vorgeschriebenen Virusscan einer Download-Datei durchzuführen und so geriet ein Virus in das Unternehmensnetzwerk. Mehreren Unternehmensstandorten drohte der totale Produktionsausfall.

Kommunikationsdefizite

  • Fachbegriffe werden nicht verständlich erklärt bzw. in Eigenrecherche nicht genau erörtert, Anweisungen werden entsprechend nicht verstanden oder fehlinterpretiert
  • Interesse der Mitarbeiter für andere Abteilungen fehlt, Daten werden achtlos weitergereicht
  • Vorschriften werden für jede Abteilung einzeln segmentiert statt übergreifend angewiesen
  • bei Vertretung eines Kollegen fehlt die ausreichende Einarbeitung
  • dezentraler, nicht geführter Austausch zwischen Mitarbeitern führt zu Missverständnissen und Verfälschung von Informationen

Technikbarrieren

  • private Smartphones greifen per WiFi oder digitalem Zugang auf das Betriebsnetzwerk zu und verarbeiten nicht nachvollziehbar sensible Daten
  • Datenfreigabe (zum Beispiel auf Bereiche im Netzwerk) erfolgt an unauthoriziertes Personal oder an Mitarbeiter, die nicht ausreichend geschult sind
  • Datenträger wie USB-Sticks, CDs oder Festplatten werden für private/ geschäftliche Zwecke mitgenommen und gehen verloren
  • Upload und Download von Daten wird nicht vollständig verifiziert, zum Beispiel durch Virenscanner
  • Unsichere Webseiten werden aufgerufen, Cookies zugelassen oder unseriöse Benachrichtungen aktiviert

Recht und Unrecht

  • Urheber-/ Lizenzrechte werden verletzt, z.B. bei der Verwendung von Bildmaterial oder im Umgang mit Sozialen Medien
  • Unternehmenskritische Informationen gelangen an die Öffentlichkeit trotz Verschwiegenheitsklausel/ Schweigepflicht
  • Der Verhaltenskodex gegenüber Kunden wird nicht korrekt beachtet (zu viel Kulanz, falsche Auskünfte oder mündliche Absprachen, die nicht eingehalten werden können)
  • Rechtlichen Konsequenzen wegen Fehlern bei Vertragsabschlüssen, Bestellungen und logistischen Prozessen
  • Firmenspionage, Koorperation mit der Konkurrenz, Diebstahl und Missbrauch von Daten

IT-Forensik, -Infrastruktur und -Sicherheit

Fehlerstellen zu finden und zu beheben ist eine wesentliche Aufgabe der IT-Forensik. Im Idealfall können diesen jedoch prinzipiell vorgebeugt werden, beispielsweise durch entsprechend präventive Maßnahmen. Dazu ist es ebenso wichtig zu klassifizieren, welche Unternehmensdaten besonders sensibel/ sicherheitskritisch sind und damit interessant für Fremdzugriff. Waren bislang vor allem technische Informationen und Zahlungsstöme im Fokus der Hacker, gelten neuerdings Details zur Aufbauorganisation und Personaldaten potentiell abwerbbarer Fachkräfte als Angriffsziele.

Datenlecks entstehen zudem immer wieder durch Innentäter, sprich Mitarbeiter, die bewusst oder nachlässig falsch mit Informationen umgehen. Das kann der Aufruf fragwürdiger Webseiten über den Betriebsrechner sein oder die Verwendung von privaten Geräten, die sich mit dem Firmennetzwerk per WLAN vernetzen und so ebenfalls Viren einschleusen können.

Die Frage nach dem Modus Operandi, wer wann was getan hat, verbraucht dann im wesentlichen Maße die IT-Ressourcen bei der Suche nach dem entsprechenden Datenleck. Vor allem private Geräte, die drahtlos vernetzt werden, können im Gegensatz zum lokalen Netzwerk deutlich schwerer kontrolliert werden. Selbst Datenräume wie die Cloud, externe Server und unterschiedliche Kommunikationsplattformen werden viel zu selten im Sinne der IT-Forensik berücksichtigt.

Zusammengefasst spricht man hier von Schatten-IT, also den Teilen der IT-Infrastruktur, die nicht der permanenten Kontrolle unterliegen. Beginnend beim USB-Stick über Smartphones bis hin zum Home Office wird der Datenprozess substituiert. Mitarbeiter sind es gewohnt und nicht zuletzt auch darauf angewiesen, jederzeit Zugriff auf funktionale, übergreifende und performante Anwendungen zu haben.

Integration von Compliance-Lösungen

Compliance-Bereiche wie die Mitarbeiter-Kommunikation lassen sich via CPassS deutlich besser lösen als über private Messenger. Allein die Frage nach der DSGVO kann für Angebote wie Whatsapp und Co nicht ausreichend geklärt werden. Wird jedoch zum Beispiel ein professioneller SMS Gateway Anbieter genutzt, sind zusätzliche Funktionen wie Logbuch, Statistiken, Budgetkontrolle und Integration via API in unternehmenseigene Anwendungen gleich mit abgedeckt. Dadurch lassen sich Sicherheits- sowie Archivierungsprozesse nachhaltig umsetzen, bei gleichzeitiger Minimierung der Risiken von Datenlecks.

Dass eine Festlegung zur Anwendung von Daten seitens Regierung eine unfassbar schwierige Herausforderung sein kann, mussten nun chinesische Unternehmen wieder einmal kompensieren. Das VPN-Verbot in China zwang Virtuelle Private Netzwerke in die Knie. Wer dennoch weiterhin damit arbeiten will, muss sein VPN fortan lizenzieren lassen. Dadurch gerät der sonst eigentlich sicher verschlüsselte Datenverkehr zwischen verschiedenen Unternehmensteilen in die Überwachung durch den Staat. Die Vertraulichkeit der Datenübermittlung kann nicht mehr gewährleistet werden und auch dass Daten verändert werden, lässt sich nicht ausschließen.

Um diese technischen Barrieren zu umgehen sowie bereits erwähnte Kommunikationsschwierigkeiten nicht zu Schwachstellen werden zu lassen, müssen innovative Lösungen her, die IT und Compliance gleichermaßen einbinden. IT-Abteilung und juristische Vertreter des Unternehmens müssen hier noch enger zusammen arbeiten. Denn die eigentliche Frage, wer denn nun endgültig die Verantwortung zur Identifizierung von Risiken und Datenlecks trägt oder wer für Behebung und präventive Maßnahmen zuständig ist, scheint in vielen Unternehmen immer noch unklar zu sein. Die Situation erfordert, dass die Abteilungen übergreifend miteinander kommunizieren und den Complianceprozess vereinheitlichen.

Kommunikationslösungen

  • teamübergreifende Weiterbildungsmaßnahmen im Sinne von Schulungen, Workshops, Compliance-Projekten
  • Anweisungen für jeden verständlich aufschlüsseln und zum Nachlesen verfügbar machen
  • Mitarbeiterkommunikation über CPaaS und betriebseigene Geräte effektiv gestalten

IT-Sicherheit

  • (vor allem virtuelle) Netzwerke und Internetzugänge verschlüsseln, mit Antiviren-Software und entsprechenden Programmen absichern, um internen wie externen Fremdzugriff zu verhindern
  • Mobile Datenträger vermeiden, dafür mobilen Zugriff auf Netzwerke unterstützen
  • Server- und Systemmonitoring integrieren und so rechtzeitig eine Alarmierung des zuständigen Fachpersonal gewährleisten, beispielsweise bei auffälligen Zugriffen, Error Codes oder anstehenden Systemupdates

Rechtsgrundlagen

  • Mustervorlagen für Rechnungen, Bestellungen etc. im System bereitstellen und archivieren
  • Spezifisch zusammengefasste Aufklärung zur Gesetzeslage, eingehende Erläuterung von Fachbegriffen und Paragraphen
  • Arbeitsverträge entsprechend anpassen, so dass Zuständigkeit und Strafen eindeutig feststehen
Mit besten Grüßen
Ihr seven Team

Headerbild von EtiAmmos via iStock.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Fill out this field
Fill out this field
Bitte gib eine gültige E-Mail-Adresse ein.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.