Die Friedrich-Alexander-Universität Erlangen-Nürnberg hat gemeinsam mit Novell [1] in einer aktuellen Studie die Vorteile und Herausforderungen IT-gestützter automatisierter Compliance-Lösungen untersucht. Die wichtigste Lektion daraus: IT-Insellösungen, wie sie derzeit überwiegen, müssen durch zentralisierte Compliance-Systeme abgelöst werden. Nur so lassen sich Compliance-Anforderungen effektiv und effizient durchsetzen. Zu den gesetzlichen Vorgaben, die Unternehmen einzuhalten haben, gehören unter anderem die internationalen Sarbanes-Oxley Act von 2002 und Basel II aus dem Jahr 2004, bei denen es im weitesten Sinne um das Berichtswesen von Unternehmen geht, oder auch das deutsche Bundesdatenschutzgesetz, welches die Verwendung personenbezogener Daten in IT-Systemen regelt. Bei Verstoß gegen diese Gesetze haben Unternehmen mit Strafzahlungen sowie einem massiven Ansehensverlust zu rechnen. Der Enron-Skandal in den USA hat jedoch andererseits auch gezeigt, dass Verantwortliche sogar persönlich haftbar gemacht werden können. Die Regularien können einen Missbrauch nicht verhindern, wie das Phishing von Bewerberprofilen bei Monster oder die Hypothekenkrise in den USA zeigen. Sie helfen jedoch, solche Missstände schnell aufzudecken. Damit die gewünschten positiven Effekte entstehen können, müssen die Regularien in ein übergeordnetes Risikomanagement eingebettet werden. Automatisierte Compliance-Lösungen helfen hierbei weiter. Zu ihren Vorteilen zählen, neben der Minimierung von Risiken, geringere Help-Desk- und Administrations-Kosten sowie weniger Aufwand für Berichte. Zudem können Prozesse optimiert werden, da sie standardisiert, transparenter sowie ausgereifter und dadurch effizienter ablaufen. Damit verbessert sich ganz allgemein die interne Kontrolle und Unternehmen können zukünftige Verbesserungen flexibler angehen. All dies sind Vorteile, die das gesamte Geschäft voranbringen – dennoch sehen viele Unternehmen das Thema Compliance weiterhin als reinen Kostenfaktor, den man sich im Zweifelsfalle auch sparen kann. Dabei übersehen sie: Die Verknüpfung von Compliance mit allgemeinen Herausforderungen für die IT-Sicherheit in Unternehmen macht aus dem unangenehmen, weil teuren Anhängsel Compliance einen übergreifenden und damit strategischen Faktor für die gesamte Unternehmens-IT. Denn auch in anderen Bereichen der IT-Infrastruktur sind automatisierte Gesamtlösungen gegenüber manuellen oder Insellösungen klar im Vorteil. Die Ziele, die man bei Compliance verfolgt, also Risikominimierung und Effiktivitätssteigerung, treffen im gleichen Maße auf IT-Sicherheit zu. Denn wenn es um die IT-Sicherheit geht, dann ist das Bewusstsein für den Unternehmensnutzen akzeptiert: Unternehmen wollen ihre innerhalb der IT-Infrastruktur gespeicherten Daten vor unerlaubtem Zugriff schützen. Dafür sind diverse Maßnahmen notwendig, die von der korrekten Zuteilung aller notwendigen Ressourcen und Identitäten für jeden einzelnen Mitarbeiter bis zur Kontrolle aller externen und internen Zugriffe auf das Unternehmensnetzwerk reichen. Mit einer umfassenden Lösung für Mitarbeiter-Provisioning sowie Identity- und Access-Management ist gewährleistet, dass alle Informationen nur von den Mitarbeitern genutzt werden, die dafür auch autorisiert sind. Diese Lösungen für automatisiertes Management dienen letztendlich auch der Compliance. Sie schützen personenbezogene Daten, regeln den Umgang mit Informationen, die in Geschäftsberichte Eingang finden und mindern das Risiko von Gesetzesverstößen, Strafzahlungen und Imageverlust. Denn nur wenn Compliance und IT-Sicherheit als zwei Seiten derselben Medaille gesehen werden, sind Unternehmen und Behörden wirklich umfassend geschützt.

Informationweek-Newsletter abonnieren und neuen iPod Nano Video gewinnen.
Unter allen bis zum 31.Oktober 2007 neu registrierten Lesern verlosen wir fünf neue Apple iPods Nano mit Videofunktion. Jetzt anmelden! [2]