Compliance wird nur dann in hohem Maße erreicht, wenn in Unternehmen die vorhandenen Frameworks oder Kataloge vollständig implementiert oder umgesetzt werden. Hier zeigen sich häufig noch deutliche Lücken. Nach Einschätzung von IDC ergibt sich aber ein zweischneidiges Bild: Viele Unternehmen neigen dazu, mit Teilumsetzungen, beispielsweise bei IT-Grundschutz, IFS oder PCI-DSS zu starten. Sie beginnen in der Regel mit aus ihrer Sicht leicht zu erfüllenden Anforderungen. Dadurch wird aber nur ein Basis-Schutz erreicht, der jedoch hohen Schutzanforderungen nicht genügt.
Viele Unternehmen tun sich schwer, weitere Kriterien, die meistens anspruchsvoller sind, zu erfüllen; entweder weil sie einen Basis-Schutz als ausreichend erachten, ihnen die benötigten Fachkräfte fehlen oder sie schlichtweg kein Budget bereitstellen können.
Allerdings gibt es noch einen weiteren Aspekt, der aus unserer Sicht als kritisch anzusehen ist: Nationale Gesetzgeber setzen EU-Recht häufig zögerlich in nationales Recht um. Somit sind Unternehmen gezwungen, mit der Implementierung in ihre Lösungen zu warten. Mitunter hat dies knappe Projekt-Timelines oder offene Teilprojekte zur Folge.
Compliance ist grundsätzlich ein sich erneuernder und wiederholender Prozess, der in bestimmten zeitlichen Abständen Evaluationen, Upgrades von Policies oder die Einführung neuer bzw. aktualisierter Lösungskomponenten erfordert. Viele Anwender verzichten bewusst auf vollständige Implementierungen, insbesondere dann, wenn diese regelmäßig offizielle Audits und Prüfungen nach sich ziehen. Insbesondere kleinere Unternehmen beschreiten den Weg zu einer umfassenden Implementierung von Regularien und Richtlinien eher in kleinen Schritten.
Fazit
Aus Sicht von IDC müssen Unternehmen Compliance und IT Sicherheit zunehmend unter einem gesamtheitlichen Ansatz betrachten. Nur dann ist die IT-Abteilung in der Lage, die Businessanforderungen sicher zu unterstützen. Bei der Umsetzung von Regularien dürfen deutsche Unternehmen nicht auf halbem Wege stehen bleiben. Sie müssen zudem beachten, dass Compliance ein kontinuierlicher Prozess mit einer Vielzahl von organisatorischen, prozessualen und technologischen Aspekten ist.
Matthias Zacher ist Senior Consultant bei IDC in Frankfurt.
Der Beitrag erschien zuerst bei unserer Schwesterpublikation CIO.