Verwirrende Standards: So finden sie die richtige IT-Compliance

Das regulatorische Umfeld für IT-Compliance ist unkonkret und interpretationsbedürftig

Keyfacts

  • Viele nutzen IT-Compliance als Schlagwort
  • Zeit und Ressourcen werden verschwendet
  • Bezugsobjekt und Kontrollziel festlegen
Dr. Michael Falk
  • Partner, Consulting, Cyber Security
Mehr über meine Themen Nachricht schreiben

Ich habe kürzlich wieder eine Ausschreibung gelesen, in der es um Rechenzentrumsleistungen ging, also um Hosting. Und mir fiel auf: Viele nutzen IT-Compliance als Schlagwort – ohne zu wissen, was wirklich dahinter steckt.

In der Ausschreibung heißt es, der Dienstleister solle compliant zu den Anforderungen aus PCI DSS sein. Dabei geht es um einen Sicherheitsstandard bei der elektronischen Zahlung, den die Kreditkartenindustrie entwickelte.

Dann stellt sich heraus: Es geht gar nicht um Zahlungsabwicklung oder Kreditkarten. Sondern um etwas ganz anderes. Eine Zeit- und Ressourcenverschwendung – für beide Seiten.

Kurz gesagt: Hier passt nichts zusammen

Auch viele IT-Dienstleister bestätigen meinen Eindruck. Sie erhalten Compliance-Anforderungen, die für sie völlig irrelevant sind. PCI DSS steht ganz oben auf der Liste. Wer bei der Google-Suche IT-Compliance als Stichwort eingibt, erhält schon bei den ersten Treffern Links zu diesem Standard. Vielleicht potenziert sich dadurch auch der Fehler.

Wie geht es richtig?

Mit dem folgenden einfachen Baukasten lassen sich Compliance-Anforderungen einordnen:

Bezugsobjekt und Kontrollziel festlegen

Das regulatorische Umfeld für IT-Compliance ist seit jeher unkonkret und interpretationsbedürftig. Standards wie ISO 27001, COBIT oder PCI DSS helfen bei der Ausgestaltung. Es muss aber immer das Bezugsobjekt und das Kontrollziel festgelegt werden.

Das heißt: Geht es um den Schutz von personenbezogenen Daten oder Kreditkarteninformationen? Stehen rechnungslegungsrelevante Informationen im Fokus? Oder wollen wir das Know-How eines Unternehmens schützen?

Zwei Aspekte betrachten: Verlässlichkeit und Beherrschbarkeit

Ist das Bezugsobjekt klar, geht es darum, was und warum die IT geschützt werden soll. Im Konzept der dualen Sicherheit hat Rüdiger Dierstein schon ab 1997 neben der Verlässlichkeit des Systems (Vertraulichkeit, Integrität, Verfügbarkeit) die Beherrschbarkeit mit den Dimensionen Zurechenbarkeit und Revisionsfähigkeit eingeführt und beschrieben.

Das heißt: PCI DSS befasst sich primär mit der Vertraulichkeit von Kreditkarteninformationen, der sogenannten PAN payment account number. Das Bundesdatenschutzgesetz fokussiert ebenfalls auf Aspekte der Vertraulichkeit von personenbezogenen Daten. Viele Anforderungen aus dem Bereich der Wirtschaftsprüfung gehen eher in Richtung Integrität, Zurechenbarkeit oder Revisionssicherheit.

IT-Compliance ist deshalb geschäftsrisikoorientiert und individuell zu definieren. Denn: Ohne das richtige Verständnis der IT-Leistung, schießen Sie sich mit dem Verweis auf einen beliebigen IT-Compliance-Standard schnell ein Eigentor.

Dr. Michael Falk
  • Partner, Consulting, Cyber Security
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.