Direkt zum Inhalt

IT-Compliance ist mehr als Cyber Security

Header

Warum Unternehmen sich auf  Cyber Security und IT-Sicherheit konzentrieren müssen und wie IT-Compliance zum Vorteil wird

IT-Compliance als strategischer Vorteil

Erfahren Sie, wie Kund:innen in Zeit en von EU-Richtlinien und Compliance-Anforderungen IT-Betriebe bewerten, die ein  Compliance-Management-System für die IT anbieten. Denn Non-Compliance umfasst mehr als die die Nichteinhaltung von Cyber Security in der IT. Wie können Sie IT-Compliance als strategischen Vorteil nutzen, um das Vertrauen unserer Kund:innen zu gewinnen und sich von anderen Unternehmen abzuheben?

Datenschutz als Selbstverständlichkeit

Kund:innen fordern Cyber Security und IT-Compliance von den IT-Dienstleister:innen. Datenschutz und IT-Sicherheit sind dabei eine Selbstverständlichkeit. Die Kund:innen wissen über IT-Sicherheit und Datenschutz sowie Digital Compliance Bescheid. Sie vermeiden Geschäfte mit Dienstleister:innen, die unklare oder keine IT-Compliance Richtlinien haben. 3 von 4 Personen tätigen keinen Kauf, wenn sie annehmen, dass ihre Daten nicht geschützt sind. Die Datenlage ist überzeugend, aber für Betriebe ist es schwierig, bei den Compliance-Vorgaben auf dem Laufenden zu bleiben. Mit den steigenden Compliance-Anforderungen wachsen die Kosten für das Compliance-Management und das Management von Audit Maßnahmen. Seit 2011 gab es einen Anstieg von 45 % bei den Compliance-bezogenen Betriebskosten. Unternehmen brauchen Expertise (Team und Tools), um die Anforderungen zu verstehen und einzuhalten. Dabei wird die Einhaltung von IT-Compliance und Informationssicherheit als teuer empfunden.

Fehlende IT-Compliance als Risiko

Seit 2008 wurden US-Banken mit Schwachstellen in der Security insgesamt mit Strafen in Höhe von 243 Milliarden Dollar belegt. In Europa sind die Vorschriften durch die Datenschutz-Grundverordnung (DSGVO) zur Cyber Security noch strenger. Die Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes betragen (je nachdem, welcher Betrag höher ist).Es gibt Strafen für die Nichteinhaltung der Richtlinien: Amazon wurde 2021 wegen Schwachstellen im Datenmanagement im Zusammenhang mit der Cookie-Einwilligungserklärung zu einer Rekordstrafe von 746 Millionen Euro verurteilt. In den letzten zwei bis drei Jahren haben andere Giganten wie Google, Facebook und WhatsApp hohe Strafen für Verstöße gegen die DSGVO erhalten. Die Liste ist lang und zeigt, dass die Gesetze zur Digital Compliance in der Praxis umgesetzt werden.

IT-Compliance günstiger als Non-Compliance

Wie teuer sind Investitionen in IT-Compliance im Vergleich zu Bußgeldern auf Grund von Verstößen?

Die Statistiken sprechen für sich und zeigen, dass es günstiger ist, in IT-Compliance zu investieren, als Verluste durch Schwachstellen zu erleiden. Aber es gibt auch andere Herausforderungen wie:

  • Vorschriften auf lokaler und globaler Ebene
  • viele Systeme und Plattformen, durch die die IT-Landschaft komplex wird
  • durchgängige Prüfung von Prozessen und Systemen

Durchschnittlich muss ein Unternehmen 13 IT-Sicherheits- oder Datenschutzvorschriften erfüllen, dazu kommen weitere Vorschriften durch eine steigende Cloud-Nutzung und digitale Technologien. Ein spezialisiertes Team mit den richtigen Automatisierungs-Tools vermeidet „Audit Fatigue“ und manuelle Kontrollen.

Cybersicherheit und Compliance-Management

Cybersicherheit und Compliance sind miteinander verbunden. Sicherheit bedeutet, passende Tools (Soft- und Hardware) zu haben, um vor Cyberangriffen zu schützen. Firewalls, Tools für das Identity Access Management (IAM), Endpunkt-Erkennung und -Reaktion, E-Mail-Schutz und Netzwerksicherheit müssen vorhanden sein. Compliance-Management betrifft die Einhaltung regionaler Vorschriften, wie die DSGVO im europäischen Raum, der California Consumer Privacy Act (CCPA) in den Vereinigten Staaten oder der Data Protection Act im Vereinigten Königreich. Branchenspezifische Vorschriften, wie der Health Insurance Portability and Accountability Act (HIPAA) gehören zum Compliance-Management. Für Anbieter:innen von Cloud Services gilt die ISO/IEC 27017:2015 und die ISO 27001.Vorschriften, wie der Payment Card Industry Data Security Standard (PCI DSS) für den Umgang mit Finanzdaten, wie zum Beispiel, Kreditkartendaten und Bankinformationen von Kunden.

Sicherheit unterstützt Compliance

Ein rechtskonformes Unternehmen kann Systeme besser schützen als eines, dass die Vorschriften nicht einhält. Es ist möglich, dass alle einschlägigen Vorschriften eingehalten werden und dennoch Bereiche ungeschützt sind – dort sind stärkere Maßnahmen zur Cybersicherheit nötig. Daher muss ein Unternehmen Security und Compliance als Eins betrachten - und nicht getrennt voneinander - um Systeme besser vor Störungen schützen zu können.

Blog

IT-Compliance für mehr Vertrauen bei Kund:innen

Ein Unternehmen ohne IT-Compliance muss Bußgelder zahlen, vor allem verliert es aber das Vertrauen der Kunden. In einer Umfrage von Führungskräften im Sicherheitsbereich sagten 21 %  von ihnen aus, dass der Verlust des Kundenvertrauens die weitreichendste Folge einer Datenschutzverletzung ist. Weitere Konsequenzen sind Rufschädigung, Datenverlust, behördliche Strafen und Umsatzeinbußen. Eine klare Datenschutzrichtlinie zieht neue Kund:innen an, da ihr mehr Vertrauen entgegengebracht wird. Aus den gleichen Gründen können rechtskonforme Service-Anbieter:innen für Geldgeber:innen attraktiv sein, da diese eher geneigt sind, in Unternehmen zu investieren, die den Datenschutz einhalten. Und es ist ein weiterer Aspekt zu bedenken: zu Beginn der Compliance-Reise stoßen Unternehmen oft auf ungenutzte Daten, welche ein riesiges Potenzial bieten – beispielsweise in Bezug auf Kund:innen, Innovationen, Marktinformationen und sogar betriebliche Effizienz.

Mit Compliance Risiken bekämpfen

Das Reputationsrisiko wird zunehmend zu einem Thema, mit dem sich die Führungsebene und der Vorstand befassen müssen. Laut Gartner werden ab 2024 die CEOs für Datenschutzverletzungen verantwortlich sein, die auf unzureichende Sicherheitsmaßnahmen zurückzuführen sind. Eine vom Weltwirtschaftsforum veröffentlichte Umfrage unter Führungskräften ergab, dass etwa 25 % des Umsatzes auf den Ruf eines Unternehmens zurückzuführen sind. Wenn das stimmt, sind Sicherheit und Konformität mit Richtlinien sogar noch wichtiger. Ein ungünstiges Ereignis könnte eskalieren und so den Ruf und die Einnahmen gefährden. Es ist schon vorgekommen, dass Unternehmensaktien aufgrund negativer Presseberichte über die Nichteinhaltung von Vorschriften über Nacht eingebrochen sind. Die gute Nachricht ist, dass Rechtskonformität weitgehend vom Unternehmen kontrolliert wird. Eine der einfachsten Möglichkeiten, das Risiko des Reputationsverlustes zu verringern, ist eine geregelte Umsetzung der Richtlinien.

Wie geht man Compliance an?

Zunächst muss eine Bestandsaufnahme der Ressourcen erfolgen, d.h. Anwendungen, Server, Geräte und Mitarbeiter. Anschließend müssen sensible Daten identifiziert und deren Schutz mit Datensicherheitstools entsprechend priorisiert werden. Gibt es Tools zum Schutz der Daten? Sind Sicherheitskontrollen implementiert? Die Firmen müssen eine wirksame Strategie zur Einhaltung gesetzlicher Vorschriften verfolgen. Bei Daten, die eine Zustimmung erfordern, müssen sie identifizieren, wie und was sie den Nutzer:innen mitteilen wollen, wo die Zustimmung gespeichert wird und wie einfach es für die Nutzer:innen ist, die Zustimmung zu widerrufen. Wenn Daten von einem Ort zu einem anderen übermittelt werden, muss es eine Lösung geben, den Prozess zu überwachen. Im Falle eines Verstoßes muss die Kommunikation mit der Aufsichtsbehörde und den Kund:innen bedacht werden. Und natürlich muss überprüft werden, welche Gesetze in der jeweiligen Region und Branche gelten.

Wie T-Systems Ihnen helfen kann

Unsere Fachleute können Ihnen helfen, die Risiken zu mindern. Wir können Sie dabei unterstützen, eine Sicherheitsstrategie festzulegen, die auf Ihre Geschäftspläne abgestimmt ist.

So unterstützen wir Sie:

  • Beurteilung und Verwaltung Ihres Sicherheitsniveaus
  • Verwaltung von Sicherheitsrichtlinien für Multi-Cloud-Umgebungen und -Anwendungen
  • Beurteilung von Datenschutz und Anforderungen hinsichtlich der Rechtskonformität
  • Bewertung von Bedrohungsmanagement sowie von Identitäts- und Zugangsmanagement
  • Identifizierung von Geschäftsveränderungen und damit verbundene Drittpartei-Risiken
  • Identifizierung der richtigen Tools für die Automatisierung

T-Systems unterstützt ihre Kund:innen dabei Risiken und Rechtskonformität besser zu verwalten. Mit einem Pool von Expert:innen und Erfahrung bei der Beurteilung und Implementierung sind wir in der Lage, Sie mit unseren Beratungs- und Managed Services zu unterstützen.

 

Expertenkontakt: Martin Krumböck (martin.krumboeck@t-systems.com)

Mehr Informationen zum Thema Compliance: https://www.info.t-systems.at/compliance-2023