IT-Compliance: Spagat zwischen zu viel und zu wenig Kontrolle

Bespitzelung bei der Telekom, Datenskandal bei der Bahn, Überwachung der Mitarbeiter bei Lidl oder die Korruptionsaffäre bei Siemens – die Skandale in deutschen Unternehmen machten weltweit Schlagzeilen. In letzter Zeit häufen sich auch die Berichte von verlorenen oder gestohlenen Daten. Prominentes Beispiel sind die Angebote mit CDs von Steuersündern.

Alle diese Fälle haben eines gemeinsam: den Verstoß gegen Compliance. Ganz allgemein gefasst bedeutet Compliance, dass Unternehmen die Einhaltung von gesetzlichen Vorgaben sicherstellen und überwachen sowie sich selbst dazu verpflichten, eigene Richtlinien zu befolgen. Diese Regeln sollen den Missbrauch von vertraulichen Daten, daraus folgende mögliche Schadenersatzklagen und einen Imageschaden des Unternehmens abwehren. Was in der Theorie gut klingt, ist in der Praxis schwer umzusetzen – wird aber für immer mehr Unternehmen unumgänglich.

Michael H. Brauer, Leiter der Abteilung Corporate Automation der Zentralstelle Corporate Information Technology bei Siemens, erinnert sich nicht gerne an die Zeit, in der die Staatsanwälte bei dem Konzern ein- und ausgingen. „Die öffentliche Aufmerksamkeit war sehr hoch, deutsche und US-amerikanische Behörden ermittelten parallel.“ Daher entwickelte die IT-Abteilung unter seiner Federführung ein internes Kontrollsystem, für das sich mittlerweile auch andere Unternehmen interessieren.

„Maschineller Kamm“ gegen Regelverstöße

Das von Siemens entwickelte System führt große Datenmengen aus Hunderten von ERP-Systemen (SAP und viele andere) in einer zentralen Sammelstelle zusammen, ordnet sie der entsprechenden Businessfunktion zu und analysiert sie automatisiert. „Wir untersuchen mit Hilfe der IT jeden Tag rund zehn Millionen Transaktionen darauf, ob sie den gesetzlichen Vorgaben sowie den internen Richtlinien entsprechen“, so Brauer. „Es handelt sich dabei um eine Art maschinellen Kamm, der Auffälligkeiten herausfiltert. Das gilt natürlich nicht für personenbezogene Daten.“

Im System sind die Regelwerke definiert (zum Beispiel darf ein Besteller keine Rechnung freigeben) und automatisch dem entsprechenden Verantwortlichen oder Geschäftsbereich zugeordnet. Die Informationen laufen in verschiedenen Dashboards zusammen, zum Beispiel im CIO-Dash für IT-Fragen, im CFO-Dash für Finanzfragen. Auffälligkeiten werden gemeldet, klassifiziert, etwa nach Höhe des Risikos oder der Reaktionszeit, und dann an die Verantwortlichen weitergeleitet. Diese sind ihrer Rolle entsprechend mit Kontrollrechten ausgestattet.

Reagiert der zuständige Mitarbeiter nicht innerhalb einer bestimmten Frist, wird der Vorgang automatisch an den nächst höheren Vorgesetzten weitergeleitet – theoretisch bis zum Vorstand. Auch die interne und externe Revision nutzen die Kontrollergebnisse des Systems bei der Prüfung, ob alle Vorgänge regelkonform ablaufen. „Die IT macht die Auffälligkeiten transparent und schafft einen Mehrwert, da sie die Umsetzung von Compliance massiv unterstützt“, sagt Brauer.

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

17 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

2 Tagen ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

2 Tagen ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago