Der Datenskandal um die Deutsche Telekom ist nur ein Beispiel dafür, dass in vielen Unternehmen Aufklärungs- und Handlungsbedarf in Sachen Compliance besteht. CIO.de sprach mit dem Gartner-Analysten Carsten Casper über unterschiedliche Vorschriften und Regelungen in Deutschland und Europa und deren Auswirkungen auf die Unternehmens-IT.
CIO.de: In welchen Bereichen stellen EU und deutsche Behörden Regelungen für Unternehmen auf?
Casper: Drei wesentliche Themenbereiche sind Corporate Governance, Data Retention und Datenschutz. Transparenz und Nachvollziehbarkeit bestimmen Corporate Governance. Schlagworte wie Vorratsdatenspeicherung und Aufbewahrung von Geschäftsunterlagen fallen in den Bereich Data Retention. Datenschutz erfordert häufig eine Verschlüsselung personenbezogener Daten.
CIO.de: Welcher Bereich ist am wichtigsten?
Casper: Man muss das eine tun und darf das andere nicht lassen. Corporate Governance hat die meiste öffentliche Diskussion mit sich gebracht. Es hängt aber vom jeweiligen Unternehmen ab, welcher Bereich dominiert.
CIO.de: Welche Auswirkungen haben Regularien auf die IT?
Casper: Ein Grundproblem ist es, genau das herauszufinden. In den Vorschriften werden die Auswirkungen auf die IT nicht benannt. Man muss die Compliance-Anforderungen an die IT selbst herausfinden.
CIO.de: Und welche Bereiche haben Sie ausfindig gemacht?
Casper: IT-Abteilungen müssen sich mit Themengebieten wie Logging, Zugriffsschutz und Authentisierung auseinandersetzen. Auch Segregation of Duties gewinnt immer mehr an Bedeutung: Dabei gilt es, Rollenkonflikte zu analysieren, sie zu erkennen und zu eliminieren.
Firmen brauchen zentrale Management-Plattformen
CIO.de: Gibt es weitere Gebiete, mit denen sich IT-Abteilungen befassen sollten?
Casper: Ja. Wenn Vorschriften Schutz vor unerlaubtem Zugriff verlangen, dann muss man sich mit den Bereichen Verschlüsselung, Perimeter- und Endpunktschutz sowie Datensicherheit auseinandersetzen. Ein weiteres wichtiges Thema ist die Notwendigkeit einer zentralen Management-Plattform.
CIO.de: Was ist das wichtigste Thema für IT-Abteilungen?
Casper: Viele der Themen sind über die Jahre Dauerbrenner. Ein Schlagwort, das in den vergangenen zehn Monaten deutlich an Bedeutung gewonnen hat, ist Segregation of Duties.