Regeln mit Unternehmensprozessen verzahnen

So lässt sich Compliance in den Griff kriegen

Ralf Nemeyer ist Principal Consultant Secure Information bei Computacenter
Regelwerke zur Compliance haben in Unternehmen oft enzyklopädische Dimensionen angenommen - und stehen sich damit selbst im Weg. Abhilfe kann hier nur ein pragmatischer Ansatz schaffen.

Compliance braucht keine Magie, sondern nur die richtigen Methoden und Tools. Die Realität sieht in vielen Unternehmen jedoch anders aus: Die ausufernde Komplexität der Regelwerke erweist sich in der Praxis als eines der Haupthindernisse für nachweisbare Compliance mit internen und externen Vorschriften. Das ist umso prekärer, als in vielen Branchen der Audit- und Zertifizierungsdruck wächst.

Eine Lockerung der Regulierungsschraube ist nirgendwo in Sicht - sie wird in Zukunft eher noch fester angezogen. So steht die Finanzwirtschaft spätestens seit der Bankenkrise unter verschärfter Kontrolle.

In Deutschland steigt die Zahl der Audits, in denen Kreditinstitute gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nachweisen müssen, dass sie die "Mindestanforderungen an das Risikomanagement" (MaRisk) erfüllen.

So ein Audit ist alles andere als ein Routinetermin, denn es steht viel auf dem Spiel: Bei MaRisk-Verstößen drohen mitunter harte Sanktionen - nicht nur Verwarnungen und Geldbußen, sondern schlimmstenfalls auch der Lizenzentzug.

Computacenter hat eine Methode entwickelt, bei der Compliance-Richtlinien direkt mit den davon betroffenen Unternehmensprozessen verzahnt werden.
Computacenter hat eine Methode entwickelt, bei der Compliance-Richtlinien direkt mit den davon betroffenen Unternehmensprozessen verzahnt werden.
Foto: Computacenter

Regulationsdruck: Keine Entspannung in Sicht

Untätig waren die meisten Unternehmen beim Thema Compliance auch in der Vergangenheit nicht. Im Gegenteil: In großen Banken ist mitunter ein ganzer Compliance-Stab mit der Übersetzung nationaler und internationaler Vorgaben in unternehmensinterne Richtlinien befasst. Bei einer deutschen Großbank umfasst das daraus entstandene Regelwerk beispielsweise fast 700 Einträge, die überdies an weltweit rund 70 Standorten zur Anwendung kommen sollen.

Ähnlich gigantische Dimensionen weist bei einem namhaften Automobilhersteller allein das Regel-Kompendium für IT-Sicherheit auf - nämlich knapp 1.300 Einträge. IT-Systeme gelten in der Automobilindustrie zunehmend als kritischer Compliance-Faktor. Denn einerseits funktioniert die Lieferkette mittlerweile so integriert, dass die Systeme von Auftraggebern und Zulieferern vielerorts automatisch miteinander interagieren. Auf der anderen Seite dringt die Digitalisierung mit rasantem Tempo immer weiter in produktionsnahe Bereiche vor.

Die Folge: Fallen Server im Rechenzentrum aus, steht möglicherweise eine komplette Fertigungslinie still. Kein Wunder also, dass sich Zertifizierungen in dieser Branche verstärkt auch auf die IT-Landschaft beziehen. Schließlich müssen Abnehmer die Verfügbarkeit und Compliance auch in ihrer verlängerten Werkbank sicherstellen.

Heute findet man in fast allen großen Unternehmen eine zentrale Anlaufstelle für alle IT-bezogenen Compliance-Fragen: den Compliance Manager beziehungsweise Chief Information Security Officer oder auch ein ganzes Compliance-Team. Ihre Aufgabe besteht vorrangig darin, externe Anforderungen zu sichten und relevante Regularien in interne Unternehmensrichtlinien umzuformulieren.

Für eine Großbank sind hierbei nicht nur die hiesigen MaRisk relevant, sondern auch ähnliche nationale Vorschriften all jener Länder, in denen sie Niederlassungen unterhält. In Fernost wären das etwa die Technology Risk Management Guidelines (TMRG) der Monetary Authority of Singapore.

Schwammige Definitionen

Vergleichsweise unproblematisch sind solche Vorgaben, die für einen klar umrissenen Prozessbereich den geforderten Sicherheitsstandard präzise definieren und zugleich vorschreiben, welche Schutzvorkehrungen dafür an welcher Stelle zu implementieren sind.

Das trifft zum Beispiel auf den Payment Card Industry Data Security Standard PCI-DSS zu, der für die Systemsicherheit bei der Abwicklung von Kreditkartentransaktionen eine Rolle spielt. Derart eindeutig gefasste Vorgaben sind jedoch eher die Ausnahme - der Großteil aller Regularien ist stattdessen in hohem Grade interpretationsbedürftig.

In Anlage 1 der 2012 novellierten MaRisk-Fassung ist beispielsweise folgender Satz zu lesen: "Zumindest bei IT-Berechtigungen und Zeichnungsberechtigungen in Verbindung mit Zahlungsverkehrskonten wird eine mindestens jährliche, bei kritischen IT-Berechtigungen eine mindestens halbjährliche Überprüfung erwartet."

Was dabei als kritisch versus unkritisch einzustufen ist - das bleibt der Interpretation der Compliance-Verantwortlichen in Banken vorbehalten. Sie müssen selbst entscheiden, ob sie die Zugriffsrechte von Administratoren kritischer oder weniger kritisch als etwa die Applikationsberechtigungen in Fachabteilungen einstufen. Danach können sie nur noch hoffen, dass beim nächsten Stresstest der BaFin-Auditor ihre Sichtweise teilt.