Die Herrschaften in Brüssel erlassen EU-Richtlinien, die in ihrer Schärfe von den nationalen Bestimmungen der 25 Mitgliedstaaten manchmal noch übertroffen werden. Hinzu kommt, dass das Umsetzen von EU-Vorgaben so oder so interpretiert werden kann. Und wer jenseits des Atlantiks Geschäfte machen will, kommt an Sarbanes-Oxley nicht vorbei. "Verwirrend" nennen die Analysten diese Situation. Und geben obendrein zu Bedenken, dass der Markt für die entsprechenden IT-Tools noch nicht ausgereift ist.
Wer nun aber meint, das Thema Compliance mit Ignoranz strafen zu dürfen, wird das früher oder später bitter büßen. Im schlimmsten Fall droht Haft.
Lässige Engländer, strenge Italiener
In einer aktuellen Bestandsaufnahme der Situation hebt Forrester drei Regelwerke als besonders wichtig hervor: den Sarbanes-Oxley Act (SOX), die Datenschutz-Richtlinie der EU und Basel II. Dabei gilt, dass die EU-Datenschutzrichtlinie in den einzelnen Ländern unterschiedlich streng ausgelegt wird. Wie die Analysten schreiben, kommt man bei bestimmten Verstößen in England mit einem Klaps auf die Finger davon, während in Italien empfindliche Strafen verhängt werden.
Die Implementierung des Basel-II-Frameworks beginnt spätestens 2008. Wegen der Ähnlichkeit mit SOX können Firmen beide Vorgaben parallel umsetzen, so die Analysten. Auffallend ist jedoch ein grundsätzlicher Mentalitätsunterschied diesseits und jenseits des großen Teiches: Private Daten von Kunden und Endverbrauchern werden in Europa generell strenger geschützt als in den USA.
Die Anbieter für Lösungen rund um Compliance unterteilen sich in drei grobe Kategorien: Generalisten wie HP, Microsoft oder Cisco, Sicherheitsspezialisten mit unterschiedlichen Schwerpunkten wie Symantec, Juniper oder RSA und schließlich eine große Menge an Compliance-Verkäufern. Zurzeit bieten rund 400 Anbieter Software-Lösungen für bestimmte Einzelbereiche an.
Als möglichen ersten Schritt in Richtung eines compliance-fähigen Unternehmens empfehlen die Analysten die Ausrichtung auf den ISO-Standard (ISO 17799) oder die IT Infrastrucure Library (ITIL).
Konkret stellen die Analysten folgenden Fahrplan auf:
-
Die wichtigsten Regelungen identifizieren: Welche Vorgaben haben auf welche Branche und welche Unternehmen die stärksten Auswirkungen? Dabei gilt für Europäer: Es lohnt sich, abzuwarten, wie die jeweiligen Mitgliedstaaten neue EU-Richtlinien im jeweiligen Land interpretieren.
-
Bewusstsein schaffen: Das A und O bei Compliance wie auch bei jedem Sicherheits-Thema bleiben die Mitarbeiter. Solange kein Bewusstsein dafür herrscht, welche Konsequenzen das Nichtbeachten der Regeln haben kann, werden diese Regeln bei aller IT-Ausstattung nicht greifen.
-
Die Lücken aufspüren: Eine genaue Analyse der vorhandenen Lösungen zeigt die Lücken auf.
-
Policies entwickeln: Um Compliance-Vorgaben zu erfüllen, muss eine Strategie entwickelt werden, die die Regeln in technische Maßnahmen überträgt.
-
Policies implementieren: Wer ist wann für was verantwortlich? Zuständigkeiten schaffen Transparenz und Verlässlichkeit.
-
Tools benutzen: Die richtige Software hilft, Compliance-Prozesse zu automatisieren und zu standardisieren.
-
Konsequenz zeigen: Policies müssen immer wieder überprüft und gegebenenfalls an veränderte Verhältnisse angepasst werden.
Mit dem Einzug der rechtlichen Vorgaben ändert sich die Rolle des Chief Information Security Officers, so die Analysten. Er wird immer mehr zum Navigator zwischen betriebswirtschaftlichen Zielen, juristischen Positionen und der IT. Dass das nicht jedem gefällt, belegt die Studie mit dem Zitat eines CISO einer großen europäischen Bank: "Ich weiß nicht, was IT-Sicherheit ohne IT sein soll. Wie soll es mit meinem Team weitergehen? Wenn weniger Techniker und mehr Compliance-Experten gebraucht werden, sind wir nicht diejenigen mit den richtigen Qualifikationen. Ich bin es nicht gewohnt, mit Juristen zu arbeiten, und die verstehen auch nichts von IT. Die verstehen nichts von meinem Job."
Forrester kann die erhitzten Gemüter zumindest ein wenig beruhigen: Rund die Hälfte der Befragten erklärt, das Umsetzen von Compliance-Vorgaben wirke sich positiv auf das Unternehmen aus. Allerdings bezeichnen die Analysten dieses Ergebnis selbst als "überraschend". Und sie geben auch nicht wieder, was die andere Hälfte sagt.