Verwirrende Standards: So finden sie die richtige IT-Compliance

Die richtige IT-Compliance finden

Das regulatorische Umfeld für IT-Compliance ist unkonkret und interpretationsbedürftig

Keyfacts über IT-Compliance

  • Viele nutzen IT-Compliance als Schlagwort
  • Zeit und Ressourcen werden verschwendet
  • Bezugsobjekt und Kontrollziel festlegen
Zusammenfassung lesen

Ich habe kürzlich wieder eine Ausschreibung gelesen, in der es um Rechenzentrumsleistungen ging, also um Hosting. Und mir fiel auf: Viele nutzen IT-Compliance als Schlagwort – ohne zu wissen, was wirklich dahinter steckt.

In der Ausschreibung heißt es, der Dienstleister solle compliant zu den Anforderungen aus PCI DSS sein. Dabei geht es um einen Sicherheitsstandard bei der elektronischen Zahlung, den die Kreditkartenindustrie entwickelte.

Dann stellt sich heraus: Es geht gar nicht um Zahlungsabwicklung oder Kreditkarten. Sondern um etwas ganz anderes. Eine Zeit- und Ressourcenverschwendung – für beide Seiten.

Kurz gesagt: Hier passt nichts zusammen

Auch viele IT-Dienstleister bestätigen meinen Eindruck. Sie erhalten Compliance-Anforderungen, die für sie völlig irrelevant sind. PCI DSS steht ganz oben auf der Liste. Wer bei der Google-Suche IT-Compliance als Stichwort eingibt, erhält schon bei den ersten Treffern Links zu diesem Standard. Vielleicht potenziert sich dadurch auch der Fehler.

Wie geht es richtig?

Mit dem folgenden einfachen Baukasten lassen sich Compliance-Anforderungen einordnen:

Bezugsobjekt und Kontrollziel festlegen

Das regulatorische Umfeld für IT-Compliance ist seit jeher unkonkret und interpretationsbedürftig. Standards wie ISO 27001, COBIT oder PCI DSS helfen bei der Ausgestaltung. Es muss aber immer das Bezugsobjekt und das Kontrollziel festgelegt werden.

Das heißt: Geht es um den Schutz von personenbezogenen Daten oder Kreditkarteninformationen? Stehen rechnungslegungsrelevante Informationen im Fokus? Oder wollen wir das Know-How eines Unternehmens schützen?

Zwei Aspekte betrachten: Verlässlichkeit und Beherrschbarkeit

Ist das Bezugsobjekt klar, geht es darum, was und warum die IT geschützt werden soll. Im Konzept der dualen Sicherheit hat Rüdiger Dierstein schon ab 1997 neben der Verlässlichkeit des Systems (Vertraulichkeit, Integrität, Verfügbarkeit) die Beherrschbarkeit mit den Dimensionen Zurechenbarkeit und Revisionsfähigkeit eingeführt und beschrieben.

Das heißt: PCI DSS befasst sich primär mit der Vertraulichkeit von Kreditkarteninformationen, der sogenannten PAN payment account number. Das Bundesdatenschutzgesetz fokussiert ebenfalls auf Aspekte der Vertraulichkeit von personenbezogenen Daten. Viele Anforderungen aus dem Bereich der Wirtschaftsprüfung gehen eher in Richtung Integrität, Zurechenbarkeit oder Revisionssicherheit.

IT-Compliance ist deshalb geschäftsrisikoorientiert und individuell zu definieren. Denn: Ohne das richtige Verständnis der IT-Leistung, schießen Sie sich mit dem Verweis auf einen beliebigen IT-Compliance-Standard schnell ein Eigentor.

18. Juni 2013
Zusammengefasst

»Ohne das richtige Verständnis der IT-Leistung, schießen Sie sich mit dem Verweis auf einen beliebigen IT-Compliance-Standard schnell ein Eigentor.«

Viele nutzen IT-Compliance als Schlagwort – ohne zu wissen, was wirklich dahinter steckt. Viele IT-Dienstleister erhalten Compliance-Anforderungen, die für sie völlig irrelevant sind. PCI DSS steht ganz oben auf der Liste. Wer bei der Google-Suche IT-Compliance als Stichwort eingibt, erhält schon bei den ersten Treffern Links zu diesem Standard. Ohne das richtige Verständnis der IT-Leistung, schießen Sie sich mit dem Verweis auf einen beliebigen IT-Compliance-Standard schnell ein Eigentor.

Michael Falk Partner, Cyber Security
Ganzen Artikel lesen

Kommentare

Reicht das regulatorische Umfeld für IT-Compliance aus?

Kommentar von Yves Vogl
17. November 2015 | 11:56 Uhr

In der Praxis ist jedoch oft zu beobachten, dass aufgrund der oftmals großen Schnittmenge der unterschiedlichen Standards und Normen eine derartige Anforderung trotz unschärfe in Bezug auf das Kontrollziel zielführend sein kann. So ist letzten Endes eher die Art (Umfang, Qualität) der Implementierung des ISMS ausschlaggebend (z.B. Maßnahmenstärke, Zuverlässigkeit, vgl. Siegelstufen BSI 100-2), welche nur im Rahmen eines Audits festgestellt werden kann.

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen