Book Review

Erfolgreiches Management regulatorischer Anforderungen

IT-Compliance

Redaktion RiskNET04.12.2014, 17:10

Um was geht es eigentlich beim Thema IT-Compliance. Vielfach wird IT-Compliance gleichgesetzt mit der Einhaltung regulatorischer beziehungsweise gesetzlicher Vorschriften. Die Autoren verdeutlichen, dass IT-Compliance (analog zum allgemeinen Begriff der Compliance) weit mehr ist als die bloße Einhaltung von IT-spezifischen Regularien.

IT-Compliance umfasst die Befolgung und Einhaltung von "Spielregeln", also Gesetzen, Richtlinien, Verordnungen, aber auch Branchen-Standards und die Beachtung von Anforderungen des Qualitätsmanagements. Mit der Umsetzung dieser Vorgaben einher geht der Begriff "IT Governance". Darunter sind alle Maßnahmen zur Organisation, Steuerung und Kontrolle der IT-Systeme eines Unternehmens zu verstehen. IT-Governance ist ein wichtiger Bestandteil der gesamten Corporate Governance, sprich einer "verantwortungsvollen Unternehmenssteuerung". Danach sind sowohl der Vorstand einer AG als auch der Geschäftsführer einer großen GmbH verpflichtet, neben der Einhaltung der einschlägigen Gesetze und Vorgaben auch für eine transparente Organisation und ein angemessenes (IT-)Risikomanagement zu sorgen.

Da die Informationstechnologie immer stärker ein zentrales und zugleich anfälliges Nervensystem des Unternehmens darstellt, steigt auch die Relevanz einer adäquaten IT-Compliance. Hierfür ist es in einem ersten Schritt wichtig, sich einen Überblick zu verschaffen und die Systematik der relevanten Regelungen sowie deren unterschiedliche Zielrichtungen zu verstehen. Zudem muss eingeschätzt werden, wie "verbindlich" diese Regeln sind, ob sie also als formelles Gesetz (und ohne Handlungsalternativen) anzusehen sind oder ob aufgrund der relativ generischen Anforderungen nur ein Ermessenspielraum für deren Umsetzung geschaffen wird. Das Buch reiht die unterschiedlichen regulatorischen Anforderungen nicht nur aneinander, sondern versucht, die Herkunft dieser Normen, deren unterschiedliche Zielsetzungen sowie die unterschiedlichen Möglichkeiten der Umsetzung und des Management von IT-Compliance darzustellen.

Das Buch gliedert sich in insgesamt zwölf Kapitel. In einem einführenden Kapitel werden die Ursprünge und Ziele von (IT-)Compliance diskutiert und vorgestellt. Hierbei wird deutlich, dass IT-Compliance ein interdisziplinäres Thema ist. Ein Jurist betrachtet IT-Compliance zunächst aus dem Blickwinkel der anwendbaren Gesetze und Verordnungen und ordnet diese gegebenenfalls nach Gesetz und deren Zielsetzung beziehungsweise Sanktion bei Nichtbeachtung. Auch ein IT-Revisor nimmt, ähnlich wie der Jurist, die regulatorischen Vorgaben als Ausgangspunkt und überprüft deren Einhaltung sowie die Angemessenheit der Schutzmaßnahmen. Der Risikomanager hingegen schätzt mit Blick auf die operationellen Risiken die potenziellen Risikoszenarien. Er interessiert sich vor allem für monetäre Schadenszenarien und die Schadensfrequenz. Auch der IT-Sicherheitsspezialist führt eine Risikoanalyse durch und bewertet – ähnlich wie der Risikomanager – die potenziellen Schäden. Der zertifizierte Auditor prüft und zertifiziert ein IT-System basierend auf nationalen oder internationalen Standards, beispielsweise basierend auf ISO 27001.

Nach Definition und Abgrenzung der unterschiedlichen Begriffe und Bedeutungsinhalte von (IT)-Governance, (IT)-Compliance, Data Governance und Governance-Risk-Compliance (GRC) wird im zweiten Kapitel ein Wirkungsmodell der IT-Sicherheit (das GRC-Wirkungsmodell) entwickelt, welches eine Integration von IT-Revision sowie des IT-Sicherheits-, IT-Risiko- und IT-Compliance-Managements zu einer GRC-Funktion ermöglicht. Regulatorische Anforderungen werden als Pflichtschutzmaßnahmen abgeleitet.

Im dritten Kapitel werden die Treiber von IT-Compliance beschrieben und eine Diskussion hinsichtlich der absoluten und relativen Zielvorgaben für Pflichtschutzmaßnahmen der IT-Compliance geführt. Diese Kapitel soll ein Verständnis dafür schaffen, woher die vielfältigen Anforderungen der IT-Compliance kommen und wohin die Entwicklung gehen wird.
Im vierten Kapitel wird der rechtliche Rahmen der IT-Compliance abgesteckt. Es wird anhand einer Normenpyramide aufgezeigt, welchen Stellenwert Pflichtanforderungen haben, welche Zielsetzungen die Regulatoren verfolgen und wie die Gültigkeitsbereiche aussehen. Im Anschluss wägen die Autoren die absolute gegen die relative Formulierung von Compliance-Anforderungen ab.

In fünften Kapitel wird der Berufsverband ISACA und das IT Governance Institute (ITGI) sowie ihr gemeinsamer Standard CobiT (Control Objectives for Information and Related Technology) beschrieben, der sowohl für Zwecke der IT-Revision wie auch der IT-Governance eingesetzt werden kann. Da CobiT als Meta-Standard mit nahezu allen wichtigen IT -Standards verbunden und im Bereich der IT-Compliance – nach Ansicht der Autoren – von sehr großem Nutzen ist, beschreiben die IT-Governance-Experten in diesem Kapitel die Entwicklung des Standards und das Referenzmodell im Detail.

Das sechste Kapitel befasst sich mit den Kosten von IT-Compliance sowie einer umfassenden Rentabilitäts- beziehungsweise Kosten-/Nutzenanalyse. Auch die Kosten der "Non-IT-Compliance" werden erläutert. Dieses Kapitel dient dazu, Informationen über den größten "Widerstand" gegen (IT)-Compliance zu geben, die "Cost of Compliance". Es wird das Ziel der so genannten wirtschaftlichen "Risk-adjusted Comfort Zone" aufgestellt, in der weder ineffizienter Unter- noch Überschutz besteht.

Die Kapitel sieben bis neun sind dem Management der IT-Compliance gewidmet, wobei in Kapitel sechs allgemeine Gedanken dazu vorgetragen und die Aufbauorganisation sowie weitere Elemente wie Kommunikation, Mitarbeiterprofile, Schulung und Training usw. erläutert werden. Kapitel sieben befasst sich mit dem Compliance-Prozess von der Bestandsaufnahme regulatorischer Anforderungen über die Überwachung bis zur Berichterstattung. Im Anschluss daran wird ein Vorgehensmodell eines Initialprojekts zur Einführung von IT-Compliance dargestellt.

Kapitel neun behandelt die Werkzeuge des (IT)-Compliance-Managements, mit dem Einsatz unternehmensübergreifender Standards, Compliance-Management- Software, Benchmarking sowie Ergebnisse aus Benchmark-Studien zur IT-Compliance.

Das zehnte Kapitel beschreibt die wesentlichen Maßnahmen von IT-Compliance, die nach verschiedenen Ansätzen ermittelt werden, und zwar aufgrund von Umfragedaten und auf der Basis von empirischen Daten des Unified Compliance Framework (UCF). Das Kapitel enthält weiterhin eine Beschreibung der wesentlichen IT-Sicherheitsmaßnahmen sowie einen Leitfaden zur Gestaltung der IT-Sicherheit.

Kapitel 11 behandelt das Sonderthema IT-Compliance und Outsourcing. Es werden verschiedene Aspekte wie Reifegrad der IT und Auslagerungsfähigkeit, der Umfang der Abhängigkeit  und Nachweise der IT-Compliance bei Outsourcing dargestellt und diskutiert.

Das zwölfte Kapitel schließt das Buch mit einem kurzen Fazit ab. Der Anhang enthält unter anderem eine Übersicht zu IT-Compliance-Anforderungen sowie ein umfangreiches Quellenverzeichnis.


Review details

Author: Michael Rath/Rainer Sponholz
Run: 2., neu bearbeitete Auflage
Number of pages: 305
Publisher: Erich Schmidt Verlag
Place of publication: Berlin
Date of publication: 2014

RiskNET rating:

gut practical relevance
befriedigend content
gut understandability
gut total rating

order now