Compliance bindet Kapazitäten der IT-Teams

Eine vom Security-Anbieter Sophos in Auftrag gegebene Studie zeigt, dass regulatorische Anforderungen inzwischen massiv in den Arbeitsalltag vieler Unternehmen eingreifen und die Ressourcen der IT- und Sicherheitsteams stark binden.

Sophos-Unternehmenszentrale in Abingdon (Großbritannien): 5.000 IT- und Cybersecurity-Verantwortliche aus 17 Ländern wurden befragt (Foto: Sophos)

Die wachsende Zahl an IT- und Cybersecurity-Vorgaben stellt Unternehmen in der gesamten DACH-Region vor Herausforderungen. Für eine hierzu von Sophos in Auftrag gegebene internationale Studie wurden insgesamt 5.000 IT- und Cybersecurity-Verantwortliche aus 17 Ländern und unterschiedlichen Branchen befragt. Die Ergebnisse machen deutlich, dass Compliance längst zu einer dauerhaften Managementaufgabe geworden ist, die erhebliche Ressourcen bindet und viele Betriebe und Organisationen an ihre Grenzen bringt.

Viele Standards und selten Gewissheit

Im Median erfüllen Unternehmen aktuell fünf verschiedene Compliance-Standards gleichzeitig. Diese Bandbreite verdeutlicht, wie komplex die Anforderungen geworden sind. Gleichzeitig fehlt vielen Organisationen die Sicherheit über den eigenen Status. 82 Prozent der Befragten geben an, besorgt zu sein, dass ihr Unternehmen nicht alle relevanten Vorgaben vollständig erfüllt. Fast ein Viertel äußert sogar große Bedenken. Weniger als ein Fünftel (18 Prozent) sieht sich auf der sicheren Seite.

Compliance-Aufgaben fressen Arbeitszeit

Im Schnitt wenden IT- und Cybersecurity-Teams 39 Prozent ihrer Arbeitszeit für Compliance-Aufgaben auf. Dazu gehören unter anderem die Umsetzung von Anforderungen, interne Abstimmungen sowie die Dokumentation und Berichterstattung. Dieser Aufwand fehlt an anderer Stelle. Die operative Sicherheitsarbeit gerät zunehmend unter Druck, weil Ressourcen gebunden sind.

Dauernde Änderungen sind fordernd

Viele Unternehmen haben zudem Schwierigkeiten, mit den stetigen Veränderungen Schritt zu halten. 79 Prozent der Befragten empfinden es als herausfordernd, aktuelle Anforderungen zu verfolgen und umzusetzen. 19 Prozent beschreiben dies als sehr schwierig. Die Vielzahl an Vorgaben führt zudem zu Überschneidungen: Ähnliche Anforderungen müssen mehrfach bearbeitet werden, was den Aufwand zusätzlich in die Höhe reibt.

KMU besonders unter Druck

Vor allem kleinere Unternehmen stehen vor großen Herausforderungen. Sie sehen sich häufig mit einer vergleichbaren Anzahl an Regelwerken konfrontiert wie größere Organisationen, verfügen jedoch über deutlich weniger personelle und fachliche Ressourcen. Das erhöht den Druck und erschwert eine nachhaltige Umsetzung der Anforderungen.

Zahl der Regelwerke führt zu Fragmentierung

Die am häufigsten genannten Regelwerke sind ISO 27001/2 (51,2 %), GDPR (40,4 %), CIS (29,7 %), NIST CSF (23,8 %), PCI DSS (23,1 %), HIPAA (21,7 %), DORA (19,8 %) und NIS2 (16,1 %). Ihre Bedeutung variiert je nach Branche und Region.

Für Unternehmen im DACH-Raum ergibt sich eine doppelte Herausforderung. Einerseits prägen europäische Vorgaben wie GDPR, NIS2 und künftig DORA das regulatorische Umfeld. Andererseits orientieren sich international tätige Unternehmen häufig zusätzlich an global etablierten Frameworks wie ISO 27001 oder NIST. Das wiederum erhöht die Komplexität in der Umsetzung erheblich, da unterschiedliche Anforderungen parallel berücksichtigt und miteinander in Einklang gebracht werden müssen. Ein einheitlicher Ansatz ist in der Praxis selten ausreichend. Wünschenswert wären flexible, aufeinander abgestimmte Lösungen.

Unklarer Compliance-Status

Ein zentrales Ergebnis der Sophos-Studie ist die eingeschränkte Transparenz über den eigenen Compliance-Status. Viele Unternehmen gehen davon aus, die Anforderungen zu erfüllen, ohne dies sicher belegen zu können. Diese Unsicherheit kann zu Lücken führen, die sowohl sicherheitsrelevant als auch betriebswirtschaftlich kritisch sind. Unentdeckte Schwachstellen erhöhen die Wahrscheinlichkeit von Cyberangriffen und Datenverlusten.

Bindende Managementaufgabe

Die Ergebnisse zeigen, dass Compliance weit über eine formale Pflicht hinausgeht. Sie entwickelt sich zu einer kontinuierlichen Managementaufgabe, die eng mit der Sicherheitsstrategie eines Unternehmens verknüpft ist. Angesichts weiter steigender Anforderungen prüfen viele Organisationen, wie sie ihre Prozesse effizienter gestalten können. Dazu gehört auch die Zusammenarbeit mit externen Spezialisten, die zusätzliche Expertise und Entlastung bieten.

CRN-Newsletter beziehen und das Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden