IT Governance

Compliance wird für IT immer wichtiger

22.09.2014 von Folker Scholz
EU Datenschutznovelle, CSR und Globalisierung verschärfen das Compliance-Risiko für das IT-Management.

Ob Sie morgens in der Bahn Ihre Mitreisenden beim Tippen und Wischen auf unzähligen Kleincomputern beobachten, im Auto durch ein Satelliten-gestütztes Navigationssystem geleitet werden oder Ihre neuen Weareables am Arm Blutdruck oder Körperschritte zählen: Informationstechnik wohin man sieht. Diese Entwicklung macht natürlich auch vor den Büros und Fabrikhallen der Unternehmen nicht halt. Die Sichtbarkeit und Funktionsfähigkeit der zentralen IT-Systeme und digitalen Präsenzen - egal ob Webshop, Internetseite oder Facebook-Forum - sind für viele Unternehmen mittlerweile unternehmenskritisch.

Fluch oder Segen?

Keine Frage: Die Errungenschaften der modernen Informationstechnik sind vielerorts ein Segen. Doch Technologie selbst ist neutral. Ein Messer kann man sowohl zum Schneiden einer Scheibe Brot verwenden als auch, um andere zu verletzen. Wie alle Technologien lässt sich auch die Informationstechnik gebrauchen und missbrauchen. Reichtum, Wissen und Macht locken seriöse Geschäftsleute und durchtriebene Verbrecher gleichermaßen an. Das technisch Machbare ist nicht immer gleichbedeutend mit dem gesellschaftlich Sinnvollen und ethisch Vertretbaren. Und wie immer, wenn sich eine Gesellschaft schützen möchte, werden rechtliche Rahmenbedingungen mit abschreckenden Konsequenzen geschaffen.

Folker Scholz: "Ein komplettes Re-Design von Anwendungen ist dann oftmals so teuer, dass die Versuchung groß ist, das Risiko einfach zu tragen."
Foto: Folker Scholz

Egal ob es sich um Umweltverschmutzung, Banken oder IT handelt: Auf Serien von Verletzungen und Skandalen folgen fast unweigerlich gesetzliche Schranken, Haftungen und Strafandrohungen. So darf es nicht verwundern, wenn im hochdynamischen Markt informationstechnischer Lösungen auch die Rechtslage relativ schnell den ständigen Veränderungen folgt. Die zunehmende Internationalisierung und Vernetzung der Lieferketten potenziert die Komplexität relevanter Gesetze, Verordnungen und Normen. Diese einzuhalten - und dafür steht der Begriff der "Compliance" - wird daher ein immer schwierigeres Unterfangen - auch wenn uns die Anbieter anderes verheißen.

Sie versprechen uns einfachste Services in Form von Apps und Cloud-Anwendungen, die wir in Stores und auf elektronischen Marktplätzen quasi im Vorübergehen ordern und unverzüglich konsumieren können, gerade so wie das Bestellen beim Pizza-Service oder dem beliebten Coffee-to-Go. So ordern wir womöglich aus Deutschland heraus auf einem Süd-Afrikanischen Internet-Marktplatz, eine in China entwickelte und gewartete "Software-as-a-Service", die in einem Rechenzentrum in Australien betrieben wird, jedoch eine "Infrastructure-as-a-Service" aus den USA nutzt.

Und schon hat Ihr Einkauf alle fünf Kontinente "berührt" mit mindestens ebenso vielen nationalen Rechtssystemen. Auch wenn dieses Beispiel hinsichtlich der regionalen Ansiedlung vielleicht etwas konstruiert erscheinen mag, so ist das Grundproblem hochgradig präsent:

Wir wissen oftmals gar nicht, wie und wo ein eingekaufter Service arbeitsteilig produziert wird. Die Nutzung in den diversen weltweiten Niederlassungen Ihres Unternehmens und denen Ihrer Kunden und Partner mit weiteren internationalen Außenstellen ist dabei noch gar nicht berücksichtigt. Doch auch dort können nationale oder gar regionale Gesetze, den Technologieeinsatz so regulieren, dass Sie in ihrer Heimatbasis geeignete Vorsorgen treffen müssen, um den lokalen Bedrohungen zu entgehen.

Denn neben den üblichen Geißelwerkzeugen wie Haftung und Strafen verleihen in einigen Fällen auch die Streichung aus Lieferantenlisten der öffentlichen Auftraggeber oder nationale Geschäftsverbote den Nachdruck der landesspezifischen Wohlverhaltens-Erwartungen. Wie soll man diesem unüberschaubaren Regulations-Dickicht begegnen?

Strategie-Suche

Im Umgang mit Compliance-Verletzungen, kann man drei Grundstrategien verfolgen:

Corporate Social Responsibility (CSR)

Um die Bedeutung von CSR für die Compliance besser zu verstehen, muss man sich zwei scherenartig aufeinander zulaufenden Effekten bewusst werden, die in der steigenden Transparenz des Internets und der wachsenden Vielfalt unabhängiger Medien ihre Ursache haben: Erstens werden Angebote immer vergleichbarer. Produktinnovationen werden schnell offensichtlich und provozieren Nachahmung. Echte Unterscheidungsmerkmale sind daher in vielen Märkten rar.

Zweitens fällt Fehlverhalten häufiger auf, die Information darüber macht schneller die Runde und öffentlichkeitswirksame Desaster lassen sich kaum noch vermeiden. Wenn das eigentliche Produkt kaum noch zur Differenzierung beiträgt, kommt den ergänzenden Angebotsfaktoren, wie dem Image des Anbieters, eine immer größere Bedeutung zu.

Die Werbung weiß das schon lange und setzt vielfach auf imagebildende Emotionen. Leider führt Fehlverhalten zu negativen Emotionen und schlechtem Image. Die meisten Firmen sind deshalb sorgsam daran interessiert, ihr Wohlverhalten und die Einhaltung einschlägiger Standards öffentlich zu machen und Fehlverhalten zu vermeiden. Dazu gehört neben den zentralen Umweltschutz- und Beschäftigungsaspekten regelmäßig auch die Einhaltung bestehender Gesetze.

Glaubhafte CSR ohne Compliance ist nicht darstellbar

Audits zur Dokumentation des korrekten Verhaltens werden die IT-Abteilungen zukünftig häufiger beschäftigen. Da entsprechende Erwartungen auch an die Lieferanten weitergegeben werden und viele Unternehmen selber in einer Lieferantenposition gegenüber anderen Unternehmen stehen, sieht sich aktuell eine wachsende Zahl von Unternehmen mit entsprechenden Erwartungen ihrer Auftraggeber konfrontiert. Die IT Abteilungen werden daher die in den Unternehmensleitlinien formulierten Forderungen nach Compliance ernst nehmen müssen.

Die Herausforderungen

Da jedoch in den Unternehmensleitlinien in aller Regel nicht steht, wie Compliance konkret erreicht wird, nehmen Fachabteilung und IT die freundliche Ermahnung zwar wohlwollend zur Kenntnis, fühlen sich im konkreten Tagesgeschäft jedoch oft gar nicht betroffen. Ergänzende Richtlinien und Handlungsempfehlungen werden - sofern sich die handelnden Akteure im Richtlinien-Dschungel ihres Unternehmens überhaupt ihrer bewusst sind - häufig als nicht immer ernst zu nehmendes Drangsal betrachtet.

Nicht praktizierte IT-Compliance ist mehr als ein Kavaliersdelikt und kann zu hohen Strafen führen.
Foto: Thomas Jansa - Fotolia.com

Diese Aufgabe jedoch den Compliance- oder Risiko-Abteilungen zu überlassen, kann für das Unternehmen fatal werden: diese Abteilungen sind in der Regel zu weit weg vom Tagesgeschäft der IT und ihren Entscheidungen. Die interne Revision kommt zudem meist erst dann vorbei, wenn die Systeme schon lange in Betrieb sind. Eine Rückabwicklung oder ein komplettes Re-Design von Anwendungen ist dann oftmals so teuer, dass die Versuchung groß ist, das Risiko einfach zu tragen. Die Missachtung der Richtlinien fällt aber am Ende auf die Entscheider - also auch die IT Abteilung - zurück.

Und in diesem Kontext sollte nicht unerwähnt bleiben, dass die persönliche Verantwortung und Haftung des Managements Teil des Trends der sich verschärfenden Compliance-Lage ist. Von funktionsverantwortlichen Managern wird unter dem Stichwort der Garantenpflicht erwartet, dass sie erkennbaren Bedrohungen für das Unternehmen im Rahmen ihrer Aufgabenstellungen adäquat begegnen und diese nicht durch Unterlassen zulassen.

Kommen signifikante Strafzahlungen auf ein Unternehmen zu, ist es mittlerweile durchaus en vogue geworden, Schadensersatz gegenüber den verantwortlichen Managern geltend zu machen. Auch vor diesem Hintergrund ist es also ratsam, Compliance in der IT nicht zu verharmlosen.