Der Begriff "Compliance" steht in der Medizin dafür, wie folgsam sich ein Patient an die Anweisungen des Arztes hält. Auch Firmen machen sich heute verstärkt Sorgen, ob ihre Informationstechnologie "compliant" ist, ob sie mit den vielen neuen Gesetzen konform geht. Die Angst von Firmen ist berechtigt, bei missbräuchlicher Verwendung ihrer Datenverarbeitung zur Haftung gezogen zu werden. Eine oft zitierte Ursache ist SOX, der Sarbanes Oxley Act. Das amerikanische Gesetz verpflichtet größere US-Unternehmen zu äußerst strikter, zeitlich engmaschiger, interner betriebswirtschaftlicher Kontrolle, nicht zuletzt der gesamten IT-Infrastruktur, was technisch höchst kompliziert ist. Deswegen ist Compliance, ist aktive Gesetzeskonformität so wichtig geworden. Der Rechtsanwalt Doktor Peter Bräutigam von Nörr und Partner in München:
"Compliance – bin ich compliant? SOX – Sarbanes Oxley – antwortet auf zum Beispiel den Enron-Skandal, ist ganz klar an alle dort bei der Börse in den USA gelisteten Unternehmen, völlig egal, ob sie vorher sozusagen ein Mustermann waren im Unternehmen, und vorbildlich waren oder nicht. Entscheidend ist der Anlegerschutz. Und da sind in der Tat große Anforderungen, auch kostspielige Anforderungen. Und es trifft ja nicht nur amerikanische Unternehmen, es kann durchaus auch nach Deutschland abstrahlen."
Es hat schon nach Deutschland und Europa abgestrahlt, nicht nur wegen des italienischen Parmalat-Finanzbetrugs, sondern auch wegen vieler neuer Gesetzeswerke, die ein IT-Rechtsexperte genannt hat: Energiewirtschaftsgesetz, Gesundheitserneuerungsgesetz, sicherheitssensitive Gesetze, die Behörden betreffen. Es ist nicht belanglos für Unternehmen, was der Lehrbeauftragte an der Technischen Universität Darmstadt und IT-Berater Doktor Wolfgang Böhmer beobachtet:
"Dass Bilanzen verändert, gefälscht werden, manipuliert werden. Und das ist gerade wichtig für Länder, die ihre Altersversorgung mit den Börsen verknüpft haben. Wir haben jetzt in Europa die achte EU-Richtlinie, die so genannte Euro-SOX, die genau in diese Richtung geht, um diese Lücke intern zu schließen."
Die Firewalls funktionierten gut, nun komme der Feind von innen. SOX zwingt auch europäische Töchtern und deutschen Zulieferfirmen regelmäßige, tiefgreifende und sehr aufwendige Kontrollen ihrer gesamten IT auf. Das noch ältere Pendant Euro-SOX will informationstechnische Machenschaften rechtzeitig verhindern.
"Man nimmt einen USB-Stick, zapft Daten an und geht ins nächste Unternehmen. Um dieses alles zu kontrollieren, um so etwas zu unterbinden, das trifft den Bereich Compliance. Man muss sich vorstellen, wir betrachten hier die interne Bedrohungslage, also etwas was Innentäter in Firmen mit den Daten, die in einem Unternehmen vorhanden sein können, das können Pharmaziedaten sein, das können Forschungsdaten sein, das können auch E-Mails sein."
Und um das kriminelle Abgreifen dieser Daten bereits in der Firma zu erkennen, gibt es bereits aufwendige Standardwerke. Das zweihundert Seiten starke Buch COBIT 4.0 fasst alle wichtigen Schutz-Standards zusammen. Noch unfertig wirkende Softwarelösungen, zum Beispiel ArcSight, haben den Anspruch Attacken zu verhindern, seitens der IT. Böhmer betont …
"… dass Sie verantwortlich für die Datenqualität ist, für die Aufzeichnung der Daten, die verschiedenen Datentöpfe, von der E-Mail, von Human Resources-Daten, SAP-Systeme. Alle diese ganzen Daten, die in einem Unternehmen anfallen, werden von der IT gesammelt, verwaltet und betreut. Und da hat die IT eine herausragende Aufgabe in diesem Fall. Ich muss eine Verknüpfung haben zwischen der Person, die mit Computern in Verbindung tritt, dass die eindeutig ist und die auch nicht umgangen werden kann. Und dann müssen die Bewegungsdaten, die diese Person erzeugt, tatsächlich gespeichert werden, geloggt werden."
Wolfgang Böhmer setzt auf Profiling. Der Begriff aus der Kriminalistik, das vorausschauende, potentielle Täterprofil bedeutet nichts anderes als "gläserne" Mitarbeiter, strikte Verbote von Privat-E-Mails und privaten Anwendungen sowie rundum extrem scharfe Kontrolle. Methoden und Verfahren aus der Kriminalistik verkehren bald die letzten Unternehmenskulturen, die noch von Vertrauen geprägt sind, in ihr Gegenteil. Wolfgang Böhmer:
"Jetzt merken wir, dass wir eine interne Bedrohungslage haben. Und ich denke, wir brauchen einfach drei, vier, fünf Jahre, ähnlich wie vor zehn Jahren, als wir anfingen mit einfachen Paketfiltern. Heute haben wir Application Gateways, das heißt wir schauen in die Inhalte rein, die durch das Firewall-System durchkommen. Wir sind in einer Zeit, in der wir merken, dass wir die interne Bedrohungssituation haben, dass wir Missbräuche haben, in Firmen, in Behörden. Aber wir haben noch nicht die richtigen Mittel. Es wird nur stichprobenartig geprüft. Das ist, denke ich, was wir heute noch haben. Wir haben sozusagen ein Vertrauen in die Nutzer, in die Anwender, aber wir werden wahrscheinlich überwechseln in ein System, in dem wir mehr Kontrollfunktionen einbauen müssen."
"Compliance – bin ich compliant? SOX – Sarbanes Oxley – antwortet auf zum Beispiel den Enron-Skandal, ist ganz klar an alle dort bei der Börse in den USA gelisteten Unternehmen, völlig egal, ob sie vorher sozusagen ein Mustermann waren im Unternehmen, und vorbildlich waren oder nicht. Entscheidend ist der Anlegerschutz. Und da sind in der Tat große Anforderungen, auch kostspielige Anforderungen. Und es trifft ja nicht nur amerikanische Unternehmen, es kann durchaus auch nach Deutschland abstrahlen."
Es hat schon nach Deutschland und Europa abgestrahlt, nicht nur wegen des italienischen Parmalat-Finanzbetrugs, sondern auch wegen vieler neuer Gesetzeswerke, die ein IT-Rechtsexperte genannt hat: Energiewirtschaftsgesetz, Gesundheitserneuerungsgesetz, sicherheitssensitive Gesetze, die Behörden betreffen. Es ist nicht belanglos für Unternehmen, was der Lehrbeauftragte an der Technischen Universität Darmstadt und IT-Berater Doktor Wolfgang Böhmer beobachtet:
"Dass Bilanzen verändert, gefälscht werden, manipuliert werden. Und das ist gerade wichtig für Länder, die ihre Altersversorgung mit den Börsen verknüpft haben. Wir haben jetzt in Europa die achte EU-Richtlinie, die so genannte Euro-SOX, die genau in diese Richtung geht, um diese Lücke intern zu schließen."
Die Firewalls funktionierten gut, nun komme der Feind von innen. SOX zwingt auch europäische Töchtern und deutschen Zulieferfirmen regelmäßige, tiefgreifende und sehr aufwendige Kontrollen ihrer gesamten IT auf. Das noch ältere Pendant Euro-SOX will informationstechnische Machenschaften rechtzeitig verhindern.
"Man nimmt einen USB-Stick, zapft Daten an und geht ins nächste Unternehmen. Um dieses alles zu kontrollieren, um so etwas zu unterbinden, das trifft den Bereich Compliance. Man muss sich vorstellen, wir betrachten hier die interne Bedrohungslage, also etwas was Innentäter in Firmen mit den Daten, die in einem Unternehmen vorhanden sein können, das können Pharmaziedaten sein, das können Forschungsdaten sein, das können auch E-Mails sein."
Und um das kriminelle Abgreifen dieser Daten bereits in der Firma zu erkennen, gibt es bereits aufwendige Standardwerke. Das zweihundert Seiten starke Buch COBIT 4.0 fasst alle wichtigen Schutz-Standards zusammen. Noch unfertig wirkende Softwarelösungen, zum Beispiel ArcSight, haben den Anspruch Attacken zu verhindern, seitens der IT. Böhmer betont …
"… dass Sie verantwortlich für die Datenqualität ist, für die Aufzeichnung der Daten, die verschiedenen Datentöpfe, von der E-Mail, von Human Resources-Daten, SAP-Systeme. Alle diese ganzen Daten, die in einem Unternehmen anfallen, werden von der IT gesammelt, verwaltet und betreut. Und da hat die IT eine herausragende Aufgabe in diesem Fall. Ich muss eine Verknüpfung haben zwischen der Person, die mit Computern in Verbindung tritt, dass die eindeutig ist und die auch nicht umgangen werden kann. Und dann müssen die Bewegungsdaten, die diese Person erzeugt, tatsächlich gespeichert werden, geloggt werden."
Wolfgang Böhmer setzt auf Profiling. Der Begriff aus der Kriminalistik, das vorausschauende, potentielle Täterprofil bedeutet nichts anderes als "gläserne" Mitarbeiter, strikte Verbote von Privat-E-Mails und privaten Anwendungen sowie rundum extrem scharfe Kontrolle. Methoden und Verfahren aus der Kriminalistik verkehren bald die letzten Unternehmenskulturen, die noch von Vertrauen geprägt sind, in ihr Gegenteil. Wolfgang Böhmer:
"Jetzt merken wir, dass wir eine interne Bedrohungslage haben. Und ich denke, wir brauchen einfach drei, vier, fünf Jahre, ähnlich wie vor zehn Jahren, als wir anfingen mit einfachen Paketfiltern. Heute haben wir Application Gateways, das heißt wir schauen in die Inhalte rein, die durch das Firewall-System durchkommen. Wir sind in einer Zeit, in der wir merken, dass wir die interne Bedrohungssituation haben, dass wir Missbräuche haben, in Firmen, in Behörden. Aber wir haben noch nicht die richtigen Mittel. Es wird nur stichprobenartig geprüft. Das ist, denke ich, was wir heute noch haben. Wir haben sozusagen ein Vertrauen in die Nutzer, in die Anwender, aber wir werden wahrscheinlich überwechseln in ein System, in dem wir mehr Kontrollfunktionen einbauen müssen."