Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

2012-04: Compliance bringt keine Sicherheit

Compliance ist ein viel bemühter Begriff in der IT-Security-Branche. Compliance-Officer, Security-Anbieter und Wirtschaftsberater proklamieren „Compliance“ als Wundermittel gegen Bedrohungsszenarien jeder Art, egal ob aus dem Internet, durch Korruption oder unachtsame Mitarbeiter. Und die Geschäftsführer nicken teure Compliance-Maßnahmen ab – aus Angst um ihre Unternehmenssicherheit und vor gesetzlichen Repressalien

Meiner Meinung nach völlig zu unrecht. Es ist ist zu kurz gedacht. Compliance bedeutet erst einmal lediglich, Regeln zu erfüllen, die von der Industrie, von Verbänden, Banken, Versicherungen oder dem Gesetzgeber aufgestellt wurden – etwa der Sarbanes Oxley Act von der US-Regierung, PCI-DSS vom der Kreditkartenindustrie, Basel III von der Bank für Internationalen Zahlungsausgleich und so weiter. Ein Unternehmen, das „compliant“ ist, hat bisher genau ein einziges Risiko ausgeschlossen: Den Verstoß gegen diese Regeln.

Keine Frage, bestimmte Geschäftsmodelle sind zwangsläufig darauf angewiesen, Compliance-Anforderungen zu befolgen: Wenn etwa daran eine Zulassung hängt wie an PCI-DSS für Anbieter von Kreditkarten oder die Erfüllung von Basel III-Kriterien die Kreditwürdigkeit beeinflusst. Ich empfehle jedoch, genau zu prüfen, ob und in welchem Maße Ihr Unternehmen Compliance-Vorschriften nachkommen muss – oder aber, ob der Compliance-Vorwand nicht nur als Geschäftsführerschreck und Honorarmaschinerie für Unternehmensberater und Security-Anbieter angeführt wird.

Compliant sein, heißt noch lange nicht, sicher sein

Die meisten Unternehmen sind aber mit anderen Risiken konfrontiert, als „non-compliant“ zu sein: Sie haben Geschäftsgeheimnisse zu verlieren, sie müssen innovativ sein und sie müssen vor allem schnell auf Marktgegebenheiten reagieren können, um mitbewerbsfähig zu bleiben.

Eine regelgerechte Compliance hilft dabei aber nicht. Im Gegenteil, sie kann sogar Sicherheitsstrukturen im Wege stehen, die flexibel neue Situationen berücksichtigen sollen. Compliant sein, bedeutet nämlich auch Schwerfälligkeit und Langsamkeit, denn jeder Prozess und jede Veränderung muss daraufhin geprüft werden, ob alle Regeln einhalten werden. Und der Hype um Compliance führt dazu, dass komplette Security-Budgets in teure Compliance-Maßnahmen gesteckt werden, die der Sicherheit des Unternehmens wenig dienlich sind. Hauptsache ist, der Wirtschaftsprüfer bescheinigt beim Jahresabschluss, dass Ihr Unternehmen compliant ist. Haken dahinter. Ob alle Sicherheitsrisiken damit berücksichtigt sind, ist leider häufig egal.

Wer klug ist, der achtet weniger auf seine Compliance, sondern darauf, dass er ein Sicherheitskonzept erhält, das wirklich passgenau auf seine Ansprüche zugeschnitten ist. Nicht mehr und nicht weniger.