Mit zunehmendem Fortschritt der Technik, sowie einer immer größer werdenden Anzahl von Anbietern und Abnehmern illegal erworbener firmeninterner Daten wird der Schutz dieser Daten immer wichtiger. Dabei reicht es oft nicht aus, die wichtigen Informationen rein technisch zu schützen. Mindestens ebenso wichtig ist die Entwicklung und Überwachung von ‚Spielregeln‘, an die sich alle Mitarbeiter und Mitarbeiterinnen halten müssen. Im folgenden Beitrag erfahren Sie etwas mehr über die Grundlagen der Compliance.

Woher kommt der Begriff Compliance?

Ursprünglich stammt der Begriff Compliance aus dem medizinischen Bereich und bezeichnet das Befolgen von ärztlichen Ratschlägen. Als in den 1980er-Jahren eine Reihe von Skandalen die US Wirtschaft erschütterte, wurde dieser Ausdruck als Sammelbegriff für die Einhaltung von internen wie externen Regeln zur Korruptionsbekämpfung gewählt.

Mit der zunehmenden Digitalisierung sowie Globalisierung der Wirtschaft entstanden spätestens seit Beginn dieses Jahrtausends immer mehr Bedrohungen für Betriebe, welche mit den ursprünglichen Compliance-Regeln zur Korruptions- und Spionagebekämpfung nicht mehr abgedeckt werden konnten. Als Antwort auf diese Bedrohungen hat sich eine eigene Unterdisziplin der Compliance entwickelt: Die IT-Compliance. Worum es dabei genau geht erfahren Sie in den nächsten Kapiteln.

Warum IT-Compliance wichtig ist

Seit Jahren ist der erfolgversprechendste Angriffsvektor für Hacker und sonstige Datendiebe nicht mehr ein direkter Angriff auf IT-Systeme. Diese sind – wenn sie immer auf den aktuellsten Stand gehalten werden – mittlerweile so sicher, dass ein derartiger Angriff viel zu umständlich (und in einzelnen Fällen nahezu unmöglich) wäre. Viel gefährlicher für Unternehmen sind in diesem Zusammenhang Angriffe über „Social Engineering“. Dieser Begriff bezeichnet das Sammeln und Ausnützen öffentlich verfügbarer Informationen, sowie organisatorischer Mängel. Beispiele für derartige Angriffe sind:

• Das Platzieren eines vermeintlichen USB-Sticks mit der Aufschrift „Urlaubsfotos“ im oder in der Nähe des Betriebsgebäudes. Dieser „USB-Stick“ hat aber in Wirklichkeit eine automatische Startfunktion, die beim Anstecken eine Verbindung zu einem anderen Computer aufbaut und so dem Angreifer vollen Zugriff auf den angegriffenen PC gibt.
• Phishing-Attacken: Der Angreifer sucht auf Social Media und sonstigen öffentlichen Kanälen nach Hobbies und Interessen des Opfers, und sendet unter falschem Namen eine E-Mail mit einem infizierten Anhang oder dem Link zu einer betrügerischen Seite, welche ihm Zugriff auf den Computer des Opfers gibt.
• Einfache oder lang benutzte Passwörter: Mit einer ausgiebigen Recherche über die Interessen und Hobbies des Opfers kann ein Angreifer automatisiert eine Liste mit möglichen einfachen Passwörtern erstellen, und diese wieder und wieder durchprobieren, bis er einmal das richtige Passwort erwischt und dadurch Zugriff erlangt.

Wie sie sehen, benötigen all diese gefährlichen Angriffe im Gegensatz zur klassischen Wirtschafts-Compliance keine böse Absicht, sondern nur Unachtsamkeiten der Mitarbeiter. Gleichzeitig können derartige Angriffe aber kaum mit rein technischen Maßnahmen verhindert werden.

Was kann ich tun?

Grundsätzlich muss jedes Unternehmen selbst herausfinden, welche Maßnahmen sinnvoll und nützlich sind. Einige grundlegende Gedanken, die allerdings für jedes Unternehmen gelten sollten, sind folgende:

• Wie gehen Mitarbeiter mit unbekannten Medien um?
• Was passiert, wenn interne Medien verloren gehen?
• Wie kompliziert sind Passwörter?
• Wie oft werden Passwörter geändert?
• Haben Mitarbeiter Zugriff auf Daten, die sie nicht benötigen?
• Haben Fremdfirmen freien Zugang zu Räumlichkeiten mit internen Daten?

Aber Achtung!

Wenn Sie Regelungen und Richtlinien zu streng gestalten, kann es sein, dass Maßnahmen das Gegenteil des gewünschten Effekts erzielen. Wenn sie beispielsweise die Mitarbeiter dazu zwingen, wöchentlich ein neues, hochkomplexes Passwort zu wählen, werden diese früher oder später ihre Passwörter niederschreiben und so eine neue Sicherheitslücke aufmachen. Daher spielt das Fingerspitzengefühl – ebenso wie eine gute Aufklärung – eine große Rolle bei der Einführung solcher Maßnahmen.

Haben wir Ihr Interesse geweckt?

Sollten Sie weitere Informationen benötigen, haben wir hier eine kompakte Checkliste erstellt, die Ihnen bei den ersten Schritten hilft. Ebenso stehen wir Ihnen natürlich jederzeit gerne mit Rat und Tat zur Seite.