IT Compliance. Schikane durch Regulatoren oder Chance für Wettbewerbsvorteile und wirksamer Schutz von Unternehmensdaten?

Inhaltsverzeichnis

Abkürzungsverzeichnis

1 IT-Compliance
1.1 Einführung in das Thema IT-Compliance
1.2 Motivation
1.3 Gliederung der Seminararbeit

2 Wettbewerbsvorteile durch IT-Compliance
2.1 Motivation
2.2 Grundlagen
2.2.1 IT-Governance
2.2.2 COBIT
2.2.3 ITIL
2.3 Analyse der IT-Compliance hinsichtlich Wertbeitrag
2.3.1 Internes Kontrollsystem
2.3.2 Wertbeitrag und Relevanz von richtiger IT-Governance
2.3.3 Wertbeitrag durch COBIT
2.3.4 Wertbeitrag durch ITIL
2.3.5 Wertbeitrag durch Dokumentationspflicht
2.4 Fazit

3 Gefahr durch Wirtschaftskriminalität
3.1 Motivation
3.2 Grundlagen
3.2.1 Allgemeine Grundlagen
3.2.2 Zertifizierung von IT-Compliance-Standards
3.2.3 Sicherheitslücken und Wirtschaftskriminalität
3.3 IT-Compliance Standards
3.3.1 International Organization for Standardization (ISO 2700X)
3.3.2 IT-Grundschutz
3.3.3 Gemeinsamkeiten und Unterschiede zwischen ISO 2700X & IT-Grundschutz
3.4 Schutz von Unternehmensdaten & Einwände gegen IT-Compliance-Standards
3.5 Fazit

4 Zusammenfassung

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 IT-Compliance

Diese Seminararbeit setzt sich mit dem Thema IT-Compliance auseinander. Speziell werden im Verlauf dieser Seminararbeit die Themen Wertschöpfung und das Thema Sicherheit in Bezug auf IT-Compliance behandelt.

1.1 Einführung in das Thema IT-Compliance

Die IT-Compliance ist im Zusammenhang mit Unternehmen einzuordnen. Hierbei stammt das Wort Compliance von der Corporate Compliance (Klotz/Dorn 2008). Compliance beinhaltet die Einhaltung von Vorgaben und Normen und verpflichtet zu verantwortungsvoller Unternehmensführung (Teubner/Feller 2008). Anzusiedeln ist die IT-Compliance als Bestandteil der IT-Governance, welche eine Möglichkeit für die Geschäftsführung darstellt, Informationstechnologie (IT) strategisch zu planen und zu koordinieren (Teuteberg 2012).

Das IT-Riskmanagement besitzt eine Schnittmenge mit der IT-Compliance. Diese beruht auf identischer Zielsetzung in Bezug auf das Identifizieren und Minimieren von Risiken in Unternehmen. Risiken entstehen durch den Einsatz von Informationstechnologie (Klotz/Dorn 2008).

IT-Compliance beinhaltet verschiedene Direktiven beziehungsweise regulatorische Vorgaben. Diese setzen sich zusammen aus (Klotz/Dorn 2008):

Regulatorische Vorgaben, Rechtsnormen beziehungsweise Verordnungen
Unternehmensexterne auf IT bezogene Regelwerke (Standards)
Verträge und Service Level Agreements (SLAs)
Unternehmensinterne Regelwerke

Regulatorische Vorgaben sind Gesetze und Verordnungen, die von staatlichen Institutionen erlassen werden. Diese können rechtskräftig sanktioniert werden. Beispiele hierfür werden im Verlauf der Seminararbeit noch näher erläutert. Standards beziehungsweise Unternehmensexterne auf IT bezogene Regelwerke sind Zusammenstellungen wiederkehrender Anwendungen, Regeln und Leitlinien die normativen Charakter besitzen (Deutsches Institut für Normung e. V. 2007).

Verträge oder SLAs stellen Vereinbarungen zwischen Unternehmen und Kunden oder Lieferanten dar. Diese Kontrakte beruhen auf unternehmensinternen Regelwerken und beschreiben Verfahrensanweisungen für betriebsinterne Handlungen (Teubner/Feller 2008).

1.2 Motivation

Das Thema IT-Compliance gewinnt in den letzten Jahren für Unternehmen durch die Zunahme der regulatorischen Vorgaben, seitens des Gesetzgebers, tagtäglich an Relevanz. Staatlichen Direktiven sollten innerbetrieblich so umgesetzt werden, dass ein möglichst positiver Nutzen entsteht. Durch kosteneffiziente Umsetzung und den Aufbau eines konsequenten Sicherheitssystems für den Schutz von Unternehmensdaten kann Wettbewerbsfähigkeit gewährleistet werden. Die Richtlinien so umzusetzen, dass dabei ein Wertbeitrag für den Unternehmenserfolg entsteht, ist das normative Ideal.

1.3 Gliederung der Seminararbeit

Die Seminararbeit behandelt das Thema IT-Compliance. In diesem Zusammenhang wird sich mit Wettbewerbsvorteilen und Informationssicherheit auseinandergesetzt. Der erste Teil (Kapitel 2) handelt von IT-Compliance im Zusammenhang mit der IT-Governance. Zunächst wird IT-Governance definiert und erläutert. Weiterhin werden die Standards ITIL und COBIT vorgestellt. Es folgt eine Analyse des internen Kontrollsystems und der vorgestellten Standards. Das Hauptaugenmerk liegt auf dem geleisteten Wertbeitrag durch die IT-Compliance. Dabei wird ebenfalls auf die Dokumentationspflicht eingegangen.

Der zweite Teil (Kapitel 3) setzt sich mit dem Thema Informationssicherheit im Zusammenhang mit IT-Compliance auseinander. Im Verlauf dieses Kapitels werden zunächst Begrifflichkeiten erläutert, die für eine Auseinandersetzung mit der Sicherheitsthematik wichtig sind. Unter anderem wird dabei auf gesetzliche Richtlinien und Forderungen nach Datensicherheit eingegangen. Die beiden IT-Compliance-Standards ISO 2700X und der IT-Grundschutz werden im Anschluss vorgestellt. Abschließend werden verschiedene empirische Studien und wissenschaftliche Literatur herangezogen, um die Wirksamkeit von IT-Compliance-Standards in Bezug auf Informationssicherheit zu untersuchen.

2 Wettbewerbsvorteile durch IT-Compliance

2.1 Motivation

Die IT ist heutzutage in Unternehmen die treibende Kraft der Geschäftstätigkeiten. Sicherheit, Verfügbarkeit und Fehlerfreiheit müssen auf Grund der hohen Abhängigkeit der Unternehmen jedoch auch gewährleistet werden (Hardy 2006/Böhm 2008). Diese Eigenschaften sicherzustellen ist Ziel der zunehmenden Regulierung durch den Staat und verschiedener Standards („Frameworks“).

Die anfallenden Kosten durch diese „IT-Compliance“, beispielsweise der Anpassung an den Sarbanes-Oxley Act (SOX) werden durch verschiedene Studien (Glaum et al. 2006, Ponemon/Tripwire 2011) im Schnitt auf über 1 Million Euro beziffert. Somit müssen Unternehmen in ihrer Funktion als erwerbswirtschaftlicher Betrieb (Gutenberg 1990) versuchen, zunächst diese Kosten zu minimieren. Ein weiteres Ziel ist es, aus dieser „Investition“ einen positiven Effekt auf die Performance der IT abzuleiten. Inwieweit die Einhaltung der Direktiven und Frameworks einen Wertbeitrag zum Unternehmenserfolg beitragen kann, ist Ziel dieser Seminararbeit.

Auf Grund der Komplexität der Direktiven ist mit verschiedenen Standards die Möglichkeit gegeben, eine IT-Abteilung/Organisation umzustrukturieren beziehungsweise eine IT-Compliance herzustellen. In diesem Zusammenhang wird COBIT und ITIL näher betrachtet werden. Es stellt sich hierbei die Frage, wie diese beiden Standards im Besonderen einen Wertbeitrag leisten können. Auch Pflichten in Bezug auf die Einrichtung und Umsetzung eines internen Kontrollsystems (IKS), die sich aus dem SOX oder dem „Bilanzrechtsmodernisierungsgesetz“ (BilMoG) ergeben, werden auf ihre Wertbeiträge geprüft. Dies kann dazu führen, dass der Fokus anhand der gewählten Beispiele mehr auf die Finanzindustrie gerichtet wird. Es bedeutet jedoch nicht, dass IT-Compliance in anderen Industrien weniger relevant ist.

2.2 Grundlagen

Im folgenden Kapitel werden die IT-Governance und nachfolgend zwei in der Praxis häufig angewandte Standards (Klotz 2009) der IT-Compliance vorgestellt.

2.2.1 IT-Governance

Die IT-Governance ist Bestandteil der Corporate Governance und befindet sich, wie bereits erwähnt, in Zusammenhang mit IT-Risikomanagement und IT-Compliance.

Da die Literatur bei dieser Thematik keiner einheitlichen Definition folgt, findet die folgende IT-Governance Begriffsbestimmung des „IT Governance Institute“ (2013) Verwendung:

“IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives.”

Somit liegt die IT-Governance in der Verantwortung der Geschäftsführung und ist eingebettet in die Corporate Governance. Sie beinhaltet eine normative Ausrichtung hinsichtlich der Strukturen und Prozesse in der Unternehmens-IT, welche eine Aufrechterhaltung der IT und deren Umsetzung als Organisationsstrategie zum Inhalt hat.

In der wissenschaftlichen Literatur wird empfohlen, IT-Governance und insbesondere IT-Compliance auf Top-Management-Ebene zu besprechen. (OECD 2004, Hardy 2006, Klinger/Cuske 2008) IT-Compliance in diesem Zusammenhang ist, wie erläutert, ein regulatives Ideal, welches normativen Charakter besitzt (Klotz/Dorn 2008). Diese kann mit Hilfe verschiedener Standards erreicht werden.

2.2.2 COBIT

„Control Objectives for Information and related technology“ (COBIT) ist einer dieser Standards. Die „Information Systems Audit and Control Association“ (ISACA), der Herausgeber der COBIT, ist eine Organisation von IT-Auditoren. Im Jahr 1969 gegründet, entwickelte diese das erste COBIT im Jahr 1996. COBIT offeriert eine Möglichkeit für Unternehmen jedweder Größe Investitionen in IT zu optimieren, sowie ein Unterstützungswerkzeug zur Beibehaltung einer IT-Compliance (Hardy 2006). Das Minimieren von IT-Risiken und das Verwalten von IT-Prozessen ist ebenfalls erläutert und wird durch Anwendungsanweisungen ergänzt. COBIT gilt somit als Referenzmodell für die IT-Governance (Stawinski/Stawinski 2011).

COBIT beinhaltet auch in der aktuellen Version COBIT 5 ein Prozessreferenzmodell, wobei es grundsätzlich zwei Arten von Prozessen unterscheidet: Managementprozesse und Governanceprozesse. Die Managementprozesse werden in vier Bereiche gegliedert:

1.Align, Plan and Organise (APO)
2.Build, Acquire and Implement (BAI)
3.Deliver, Service and Support (DSS)
4.Monitor, Evaluate and Assess (MEA)

Die Unterteilung ist eine Weiterentwicklung der in COBIT 4 eingeführten Prozessstruktur. Ein Beispiel für einen „Align, Plan and Organise“ Prozess ist „Manage Suppliers“. Dieser betrifft jedoch nicht das Tagesgeschäft, sondern bezieht sich auf die Rahmenbedingungen mit den Zulieferern. Das Bestreben ist ein Angleichen der Ziele von Geschäftseinheiten mit IT-Einheiten und somit die optimale Verwendung der IT. Die „Build, Acquire and Implement“ Prozesse, wie zum Beispiel „Manage Changes“, befassen sich dagegen mit der Anpassung der IT und deren Implementierung. „Manage Problems“, einer der sechs „Deliver, Service and Support“-Prozesse, orientiert sich an der Ausführung und Durchführung des IT-Systems. Der sich mit der Aktualität des IT-Systems auseinandersetzender und dessen Effektivität beurteilender „Monitor, Evaluate and Assess Compliance with External Requirements“ Prozess wird dem gleichnamigen Bereich zugeordnet. (ISACA 2013)

Der Überbau durch Governanceprozesse, welche ein Rahmenwerk geben, wird einzeln nach folgenden Kategorien aufgegliedert: Evaluate, Direct and Monitor (EDM). Der „Ensure Benefits Delivery“ Prozess ist ein Beispiel anhand welchem zu sehen ist, dass mit Hilfe der Governance die Bedürfnisse der Stakeholder analysiert werden und anhand einer Priorisierung die Zielvorgaben erfüllt werden.

Insgesamt werden im Prozessreferenzmodel 37 Prozesse dargestellt. Mittels dieser erfolgt eine einfachere Analyse oder Implementierung im Unternehmen des Anwenders.

2.2.3 ITIL

Ein weiterer Standard, der zur Aufrechterhaltung der IT-Compliance und zur Vereinfachung der IT-Governance beitragen soll, ist die „Information Technology Infrastructure Library“ (ITIL). ITIL wurde in den Jahren 1989 bis 1995 erstmals entwickelt. Seit 2007 ist Version 3 veröffentlicht. Zunächst von der „Central Communications and Telecommunications Agency“ publiziert, ist die Veröffentlichung nun Aufgabe des „Office of Government Commerce“. (ITIL 2013) Dieses ist eine Behörde des Vereinigten Königreichs.

ITIL ist eine Sammlung von „Best Practice“ IT-Services und beschreibt die wichtigsten Aufgaben, Verfahren und Aktivitäten innerhalb einer IT-Organisation (Catlidge et al. 2013). In diesem Zusammenhang bietet ITIL eine Beschreibung von steuernden und auch operativen Maßnahmen in Unternehmen, um die IT serviceorientierter zu gestalten (Stawinski/Stawinski 2011).

Unterschieden wird hierbei in fünf Prozessbereiche:

1.Service Strategy (SS)
2.Service Design (SD)
3.Service Transition (ST)
4.Service Operation (SO)
5.Continual Service Improvement (CSI)

Diese Prozessbereiche decken den gesamten Lebenszyklus des IT-Services ab (Cartlidge et al. 2013). Hierbei beinhaltet der Prozessbereich „Service Strategy“ sämtliche Informationen und Prozesse, um eine spezifische Strategie für die Befriedigung der Kundenbedürfnisse zu verfassen. Die Konstruktion spezieller Services auf Grund von spezifischen Anforderungen ist das Aufgabengebiet des „Service Designs“. Der nächste Schritt im Lebenszyklus des IT-Services wird durch den „Service Transition“ Prozessbereich dargestellt. Hauptaufgabe in diesem Prozessbereich ist die Implementierung des Services, der im Service Design fertiggestellt wurde. Die ständige Kontrolle, der Support und der Kundenservice werden unter dem Bereich „Service Operation“ zusammengefasst. Auch das Lösen von Stüörungen („incidents“) wird in diesem Abschnitt des Lebenszyklus vorgenommen. Die kontinuierliche Verbesserung nicht nur der Services, sondern auch aller Prozessbereiche wird im „Continual Service Improvement“ verortet. Dieses reagiert auf Änderungen, wie auch auf Verbesserungsvorschläge, die im jeweiligen Unternehmen gemacht werden.

Dem Anwender wird grundsätzlich durch die Implementierung von ITIL die Möglichkeit gegeben, IT-Services mit den Forderungen der Geschäftsbereiche anzugleichen („Alignment“).

2.3 Analyse der IT-Compliance hinsichtlich des Wertbeitrages

Die folgenden Kapitel beinhalten eine Analyse verschiedener Umsetzungswerkzeuge der IT-Compliance hinsichtlich ihres Wertbeitrags zum Unternehmenserfolg.

[...]