Kontrollierte Einhaltung von Vorschriften

Problembereich Compliance

20. Oktober 2005, 23:16 Uhr | Michael Rudrich/wg Michael Rudrich ist Regional Sales Manager Central Europe bei Ciphertrust.

Der Begriff "Compliance" ist heute in nahezu allen Bereichen des modernen Wirtschaftslebens zu finden. Übersetzt bedeutet "Compliance" schlicht "Einhaltung" (von Regeln) oder "Befolgung" (von Vorschriften). Solche Verhaltensmaßregeln oder gesetzlichen Vorschriften legen beispielsweise fest, wie ein Unternehmen E-Mail- Verkehr sichern, verschlüsseln und archivieren muss.

Unternehmensinterne Verhaltensregeln sowie gesetzliche Vorschriften gelten für die
unterschiedlichsten Wirtschaftsbereiche: von der Banken- und Versicherungsbranche bis hin zum
Gesundheitswesen. Die Festlegung der Richtlinien kann von unterschiedlicher Seite und durch
verschiedene Institutionen erfolgen. So hat beispielsweise der Baseler Ausschuss für Bankenaufsicht
Ende der 1990er-Jahre den Stein für Basel II ins Rollen gebracht. Diese Richtlinien zielen auf das
unternehmerische Handeln und dienen der Stabilisierung des internationalen Finanzsystems.

Gesetze und Branchenstandards

Ein anderes Beispiel ist der Sarbanes Oxley Act (SOX). Durch die spektakulären Zusammenbrüche
von Enron und Worldcom sah sich die US-Regierung 2002 veranlasst, stärker gegen Bilanzfälschung und
mangelnde interne Kontrolle vorzugehen. Der darauf erlassene Sarbanes Oxley Act regelt seit dem 15.
November 2004 die Verantwortlichkeiten der Unternehmensführung und der Wirtschaftsprüfer. Das
Gesetz betrifft alle an der New Yorker Börse notierten Unternehmen. In Zukunft dürften ähnliche
Regelungen auch innerhalb Europas gelten. Momentan arbeitet die EU an einem derartigen Gesetz, das
sie noch in diesem Jahr vorlegen will. Über diese Branchenstandards hinaus existieren in den USA
mit dem Health Insurance Protability and Accountability Act (HIPAA) oder dem Gramm-Leach-Bliley Act
(GLBA) zusätzliche Richtlinien im Gesundheitssektor und in der Finanzwirtschaft.

Dank Branchenstandards können Unternehmen Informationen in ihrem elektronischen Zustand belassen
und müssen sie nicht mehr ausgedruckt archivieren. Unternehmen haben elektronische Daten für einen
gewissen Zeitraum unter bestimmten Vorgaben sicherzustellen und dürfen sie nicht einfach löschen.
Ein nie zu vernachlässigender Punkt in allen Fragen der Compliance ist dabei stets die
Aufrechterhaltung des Datenschutzes.

Beim E-Mail-Verkehr kommt neben den Archivierungsvorschriften der Informationsgeheimhaltung und
-sicherheit eine besondere Bedeutung zu. Der Gesetzgeber fordert, dass Unternehmen sensible
Informationen – zum Beispiel nicht-öffentliche persönliche Informationen (NPI) – vertraulich
behandeln. Dazu müssen sie nicht nur den Datenverkehr verschlüsseln, sondern auch Nutzer von
Datenbanken und E-Mail-Servern authentifizieren. Zudem ist es von großer Bedeutung, die Compliance
gegenüber Geschäftsführung, Kunden oder Wirtschaftsprüfern belegen zu können.

Das Thema Compliance ruft in den Unternehmen stets Besorgnis hervor. Die Implementierung und die
fortlaufende Gewährleistung der auferlegten Richtlinien verursachen außerdem Kosten. So verwundert
es wenig, dass viele Unternehmen es nicht eilig haben, Compliance Guidelines zu implementieren.
Dabei laufen sie allerdings Gefahr, dass eine Verzögerung zu zusätzlichen Kosten führt oder eine
Implementierung zu spät erfolgen könnte und somit auf das Unternehmen empfindliche Strafen wegen
Nichteinhaltung zukommen.

Einführung von Richtlinien

Die Einführung von Branchenrichtlinien und die Kontrolle ihrer Einhaltung haben weit reichende
Folgen innerhalb eines Unternehmens, sowohl in geschäftlicher wie in personeller Hinsicht:
Letztlich betreffen sie jeden einzelnen Mitarbeiter. Die Herausforderung besteht vor allem darin,
die Einführung für alle Beteiligten so einfach wie möglich zu gestalten und bei minimalem
Kostenaufwand und geringer Beeinflussung des laufenden Geschäftsbetriebs eine höchstmögliche
Effizienz zu erzielen.

Bei der E-Mail-Sicherheit ist die Herausforderung, die neue Richtlinien an die Unternehmen
stellen, sicher mit am größten. E-Mails bilden heute einen elementaren Bestandteil der
Unternehmenskommunikation – unabhängig von der Unternehmensgröße und Branche.

Die Herausforderungen bei der Implementierung neuer E-Mail-Richtlinien fallen in vier Gruppen.
Erstens ist zu bewerten, wie wichtig E-Mail innerhalb eines Unternehmens ist. Zweitens muss das
Unternehmen ein akzeptables E-Mail-Verhalten definieren. Drittens ist zu beachten, wie E-Mail in
die unternehmenseigenen Sicherheitsregeln passt, und schließlich viertens, wie E-Mail die von
externer Seite auferlegten Richtlinien erfüllt. So entsteht ein Regelwerk, das die
unternehmenseigenen Richtlinien unter strenger Berücksichtigung der allgemeingültigen Vorschriften
garantiert. Die Umsetzung der Branchenrichtlinien muss auf jeden Fall im Hause beginnen.

Compliance in die Tat umsetzen

Bestandteile der Compliance-Umsetzung sind die Sicherheitsrichtlinie (Security Policy),
Aufklärung, Informationsintegrität und Verantwortlichkeit (Accountability). Die Security Policy
beschreibt die für ein Unternehmen akzeptablen und zu befolgenden Vorgaben. Eine zuverlässige und
erfolgreiche Sicherheitspolitik kann nur in Abstimmung zwischen Unternehmensleitung und
IT-Verantwortlichen erfolgen. Sie legen fest, wer auf Informationen zugreifen darf und wie diese
archiviert und verschlüsselt werden. Ausgehend von dieser Security Policy ergeben sich die
Richtlinien für deren Implementierung und letztlich für die Auswahl einer Lösung für die
Compliance-Kontrolle.

Unter Aufklärung ist zu verstehen, dass Unternehmen die in der Security Policy festgelegten
Regeln allen Mitarbeitern erläutern sollten. Die Mitarbeiter müssen deren Wichtigkeit
verinnerlichen, damit sie die Richtlinien letztlich automatisch befolgen. Nur diese Basis und eine
zentrale Sicherheitsrichtlinie, die gewisse Aktionen erzwingt, stellen die Compliance konstant und
lückenlos sicher. Der dritte Punkt, die Informationsintegrität, bedeutet schlicht, dass jede
Kommunikation den Datenschutzregeln entsprechen muss und Verschlüsselung die Unversehrtheit der
Daten gewährleistet. Verantwortlichkeit bedeutet den lückenlosen Nachweis, dass ein Unternehmen die
richtigen Schritte unternommen hat, Informationen für ein Reporting zur Verfügung stehen und vor
allem das Verhalten standardisiert ist.

Um die durch Branchenstandards gestellten Anforderungen zu erfüllen, ist die Investition in
Compliance-Managementlösungen sinnvoll. Solche Lösungen unterstützen den Systemverantwortlichen
dabei, die Richtlinien der jeweiligen Branche kostengünstig zu implementieren und deren Befolgung
bei niedrigem administrativen Aufwand sicherzustellen. Tools bewerten und verschlüsseln hierbei
ein- und ausgehende Nachrichten. Der Filterung von Inhalten dienen Wörterbücher, die Wörter,
Ausdrücke, bewertete Wortlisten und Textmuster enthalten. Diese Wörterbücher sind für die zentralen
US-amerikanischen Vorschriften wie SOX, HIPAA, GLBA und das Anti-Spam-Gesetz Can-Spam verfügbar.
Bei Bedarf lassen sie sich aber auch mit Ausrichtung auf andere internationale Bestimmungen
erstellen.

Um Inhaltsfilter anzuwenden, wählt der Administrator ein Wörterbuch aus und legt die
entsprechende Aktion fest. Die Lösung durchsucht dann Nachrichten nach Schlüsselwörtern,
Textzeichenfolgen und ASCII-Textdateianlagen. Richtlinien regeln, welche Dateianlagen die Anwender
empfangen oder versenden dürfen.

Entsprechende Tools setzen Verschlüsselungsregeln am Gateway um. Die Filterregeln sind durch
Absender (Benutzer, Gruppen oder Domänen), Empfänger (Benutzer oder Domänen) sowie Open-PGP- und
S/MIME-Standards definiert. Gleichzeitig ermöglicht eine solche Lösung die Einschränkung und
Steuerung ausgehender verschlüsselter Nachrichten. Ein Verteilerserver übergibt die Nachrichten an
Empfänger, die sonst keine verschlüsselten E-Mails empfangen könnten.

Die Einhaltung von Vorschriften muss beweisbar sein und umfasst deshalb auch die Erstellung von
Reports über die Umsetzung der gesetzlichen Bestimmungen. Anhand von Serverprotokollen und
detaillierten Berichten rufen Administratoren zuverlässige Daten ab und stellen sie nach Bedarf
zusammen, um Anfragen der Behörden oder der internen Revisionsabteilung Folge zu leisten. Spezielle
Reports veranschaulichen die Anzahl abgewehrter Spams, nicht autorisierter Meldungen oder
unverschlüsselt nach außen gehender Nachrichten, die NPI enthalten. So können Führungskräfte den
Umfang der Compliance definieren und den erzielten Fortschritt messen. Wirtschaftsprüfer können
nachvollziehen, welche Vorkehrungen das Unternehmen zur Gewährung der E-Mail-Sicherheit tatsächlich
getroffen hat und wie effektiv diese in der Praxis sind.

Fazit

Die Implementierung von Branchenrichtlinien und gesetzlichen Vorschriften innerhalb eines
Unternehmens hat tief greifende Auswirkungen auf Organisation und Betrieb. Ebenso weit reichende
Folgen aber zieht eine Verzögerung der Implementierung nach sich. Deshalb kann den Unternehmen nur
empfohlen werden, sich schnellstmöglich mit dem Thema Compliance auseinanderzusetzen.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+