Was Ihnen IT-Compliance bringt

Lesezeit: 2 Minuten

Woher kommt der Begriff Compliance?

Ursprünglich stammt der Begriff Compliance aus dem medizinischen Bereich und bezeichnet das Befolgen von ärztlichen Ratschlägen. Als in den 1980er-Jahren eine Reihe von Skandalen die US Wirtschaft erschütterte, wurde dieser Ausdruck als Sammelbegriff für die Einhaltung von internen wie externen Regeln zur Korruptionsbekämpfung gewählt.

Mit der zunehmenden Digitalisierung sowie Globalisierung der Wirtschaft entstanden spätestens seit Beginn dieses Jahrtausends immer mehr Bedrohungen für Betriebe, welche mit den ursprünglichen Compliance-Regeln zur Korruptions- und Spionagebekämpfung nicht mehr abgedeckt werden konnten. Als Antwort auf diese Bedrohungen hat sich eine eigene Unterdisziplin der Compliance entwickelt: Die IT-Compliance. Worum es dabei genau geht erfahren Sie in den nächsten Kapiteln.

Warum IT-Compliance wichtig ist

Seit Jahren ist der erfolgversprechendste Angriffsvektor für Hacker und sonstige Datendiebe nicht mehr ein direkter Angriff auf IT-Systeme. Diese sind – wenn sie immer auf dem aktuellsten Stand gehalten werden – mittlerweile so sicher, dass ein derartiger Angriff viel zu umständlich wäre. Viel gefährlicher für Unternehmen sind in diesem Zusammenhang Angriffe über „Social Engineering“. Dieser Begriff bezeichnet das Sammeln und Ausnützen öffentlich verfügbarer Informationen, sowie organisatorischer Mängel. Beispiele für derartige Angriffe sind:

• Das Platzieren eines vermeintlichen USB-Sticks mit der Aufschrift „Urlaubsfotos“ im oder in der Nähe des Betriebsgebäudes. Dieser „USB-Stick“ hat aber in Wirklichkeit eine automatische Startfunktion, die beim Anstecken eine Verbindung zu einem anderen Computer aufbaut und so dem Angreifer vollen Zugriff auf den angegriffenen PC gibt.
• Phishing-Attacken: Der Angreifer sucht auf Social Media und sonstigen öffentlichen Kanälen nach Hobbys und Interessen des Opfers, und sendet unter falschem Namen eine E-Mail mit einem infizierten Anhang oder dem Link zu einer betrügerischen Seite, welche ihm Zugriff auf den Computer des Opfers gibt.
• Einfache oder lang benutzte Passwörter: Mit einer ausgiebigen Recherche über die Interessen und Hobbys des Opfers kann ein Angreifer automatisiert eine Liste mit möglichen einfachen Passwörtern erstellen, und diese wieder und wieder durchprobieren, bis er einmal das richtige Passwort erwischt und dadurch Zugriff erlangt.

Wie sie sehen, benötigen all diese gefährlichen Angriffe im Gegensatz zur klassischen Wirtschafts-Compliance keine böse Absicht, sondern nur Unachtsamkeiten der Mitarbeiter:innen. Gleichzeitig können derartige Angriffe aber kaum mit rein technischen Maßnahmen verhindert werden.

Was kann ich tun?

Grundsätzlich muss jedes Unternehmen selbst herausfinden, welche Maßnahmen sinnvoll und nützlich sind. Einige grundlegende Gedanken, die allerdings für jedes Unternehmen gelten sollten, sind folgende:

• Wie gehen Mitarbeiter:innen mit unbekannten Medien um?
• Was passiert, wenn interne Medien verloren gehen?
• Wie kompliziert sind Passwörter?
• Wie oft werden Passwörter geändert?
• Haben Mitarbeiter:innen Zugriff auf Daten, die sie nicht benötigen?
• Haben Fremdfirmen freien Zugang zu Räumlichkeiten mit internen Daten?

Aber Achtung!

Wenn Sie Regelungen und Richtlinien zu streng gestalten, kann es sein, dass Maßnahmen das Gegenteil des gewünschten Effekts erzielen. Wenn sie beispielsweise die Mitarbeiter:innen dazu zwingen, wöchentlich ein neues, hochkomplexes Passwort zu wählen, werden diese früher oder später ihre Passwörter niederschreiben und so eine neue Sicherheitslücke aufmachen. Daher spielt das Fingerspitzengefühl – ebenso wie eine gute Aufklärung – eine große Rolle bei der Einführung solcher Maßnahmen.

Haben wir Ihr Interesse geweckt?

Sollten Sie weitere Informationen benötigen, haben wir eine kompakte IT-Compliance Checkliste erstellt, die Ihnen bei den ersten Schritten hilft. Ebenso stehen wir Ihnen natürlich jederzeit gerne mit Rat und Tat zur Seite.