IT-Compliance: Spagat zwischen zu viel und zu wenig Kontrolle

Bespitzelung bei der Telekom, Datenskandal bei der Bahn, Überwachung der Mitarbeiter bei Lidl oder die Korruptionsaffäre bei Siemens – die Skandale in deutschen Unternehmen machten weltweit Schlagzeilen. In letzter Zeit häufen sich auch die Berichte von verlorenen oder gestohlenen Daten. Prominentes Beispiel sind die Angebote mit CDs von Steuersündern.

Alle diese Fälle haben eines gemeinsam: den Verstoß gegen Compliance. Ganz allgemein gefasst bedeutet Compliance, dass Unternehmen die Einhaltung von gesetzlichen Vorgaben sicherstellen und überwachen sowie sich selbst dazu verpflichten, eigene Richtlinien zu befolgen. Diese Regeln sollen den Missbrauch von vertraulichen Daten, daraus folgende mögliche Schadenersatzklagen und einen Imageschaden des Unternehmens abwehren. Was in der Theorie gut klingt, ist in der Praxis schwer umzusetzen – wird aber für immer mehr Unternehmen unumgänglich.

Michael H. Brauer, Leiter der Abteilung Corporate Automation der Zentralstelle Corporate Information Technology bei Siemens, erinnert sich nicht gerne an die Zeit, in der die Staatsanwälte bei dem Konzern ein- und ausgingen. „Die öffentliche Aufmerksamkeit war sehr hoch, deutsche und US-amerikanische Behörden ermittelten parallel.“ Daher entwickelte die IT-Abteilung unter seiner Federführung ein internes Kontrollsystem, für das sich mittlerweile auch andere Unternehmen interessieren.

„Maschineller Kamm“ gegen Regelverstöße

Das von Siemens entwickelte System führt große Datenmengen aus Hunderten von ERP-Systemen (SAP und viele andere) in einer zentralen Sammelstelle zusammen, ordnet sie der entsprechenden Businessfunktion zu und analysiert sie automatisiert. „Wir untersuchen mit Hilfe der IT jeden Tag rund zehn Millionen Transaktionen darauf, ob sie den gesetzlichen Vorgaben sowie den internen Richtlinien entsprechen“, so Brauer. „Es handelt sich dabei um eine Art maschinellen Kamm, der Auffälligkeiten herausfiltert. Das gilt natürlich nicht für personenbezogene Daten.“

Im System sind die Regelwerke definiert (zum Beispiel darf ein Besteller keine Rechnung freigeben) und automatisch dem entsprechenden Verantwortlichen oder Geschäftsbereich zugeordnet. Die Informationen laufen in verschiedenen Dashboards zusammen, zum Beispiel im CIO-Dash für IT-Fragen, im CFO-Dash für Finanzfragen. Auffälligkeiten werden gemeldet, klassifiziert, etwa nach Höhe des Risikos oder der Reaktionszeit, und dann an die Verantwortlichen weitergeleitet. Diese sind ihrer Rolle entsprechend mit Kontrollrechten ausgestattet.

Reagiert der zuständige Mitarbeiter nicht innerhalb einer bestimmten Frist, wird der Vorgang automatisch an den nächst höheren Vorgesetzten weitergeleitet – theoretisch bis zum Vorstand. Auch die interne und externe Revision nutzen die Kontrollergebnisse des Systems bei der Prüfung, ob alle Vorgänge regelkonform ablaufen. „Die IT macht die Auffälligkeiten transparent und schafft einen Mehrwert, da sie die Umsetzung von Compliance massiv unterstützt“, sagt Brauer.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

4 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

11 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago