diff --git a/document.tex b/document.tex index 4d4864b..162c9ed 100644 --- a/document.tex +++ b/document.tex @@ -94,15 +94,12 @@ Website: \texttt{http://www.hs-hannover.de} \section{Compliance und IT-Compliance} -\paragraph{Begriff: Compliance} Bei \emph{Compliance} handelt es sich um einen Begriff aus der betriebswirtschaftlichen Fachsprache. Das englische Wort \enquote{Compliance} bedeutet übersetzt soviel wie Einhaltung, Befolgung, Regelkonformität. Das dazugehörige Verb \enquote{to comply} steht für einwilligen, nachgeben, den Auflagen entsprechen. Der Begriff Compliance bedeutet also die Einhaltung von Gesetzen und Vorschriften im Unternehmen\cite{wiki:bwlcompl}. Beispiele hierfür sind Gesetze wie die Abgabenordnung (AO), das Jugendarbeitsschutzgesetz (JArbSchG) oder das Bundesdatenschutzgesetz (BDSG). Neben Gesetzen müssen Unternehmen sich in der Regel noch an weitere Regeln und Richtlinien halten, wie zum Beispiel EU-Richtlinien, internationale Konventionen oder Normen. -\paragraph{Einstieg in Compliance} Die Menge der zu berücksichtigenden Regeln ist von dem konkreten Unternehmen abhängig, welches Compliance erreichen möchte. Ab einem gewissen Umfang ist hierfür juristische Unterstützung (beispielsweise durch Beratung) notwendig. Je nach Größe des Unternehmens reichen mögliche Optionen hierfür von dem Einkauf juristischer Beratung über das Einstellen eines Mitarbeites für juristische Fragen bis zum Aufbau einer eigenen Rechtsabteilung. Hierbei ist direkt ersichtlich, dass in jedem Fall erste Kosten entstehen, die direkt mit durch das Anstreben von Compliance verursacht werden. -\paragraph{Compliance sicherstellen} Nachdem ein erster Einstieg in die Welt der Compliance erfolgt ist, kommt nun schnell die Frage auf, wie man durchgehend sicherstellen kann, dass man Regelkonform mit dem Unternehmen unterwegs ist. Hier stellt das \emph{Compliance Management System} (CMS) ein betriebswirtschaftliches Werkzeug dar, welches genau diesen Zweck verfolgt\cite{wiki:cms}. Es beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität im Unternehmen und integriert sich hierfür unter anderem in Unternehmensprozessen. Ziel des CMS ist es, Risiken für Regelverstöße rechtzeitig zu erkennen, diese zu analysieren und Maßnahmen zu ergreifen, um die Risiken zu vermeiden. Sollte es nicht möglich sein, einen Regelverstoß zu vermeiden, so bietet das CMS an dieser Stelle die Möglichkeit, angemessen auf den Umstand zu reagieren und somit angebracht Schadensbegrenzung zu betreiben. Durch die Integration eines CMS im Unternehmen entsteht natürlich ein erhöhter Aufwand für alle Mitarbeiter, welches wiederrum zu erhöhten Kosten führt. Allerdings ist an dieser Stelle nicht zu vernachlässigen, dass durch die Risikoanalyse und aktive Minimierung von Risiken langfristig Kosten --- ähnlich wie bei einer Versicherung --- vermieden werden. @@ -128,15 +125,12 @@ Nach außen hin schafft IT-Compliance Vertrauen bei Vertragspartnern und Kunden \section{Cloud-Angebote} -\paragraph{Begriff: Cloud-Angebote} Der Begriff \emph{Cloud-Angebote} ist ein von Kontext und Betrachtung abhängiger Begriff. Im Kontext dieses Dokuments beschreibt er Dienstleistungen eines Anbieters, welcher virtuelle Maschinen, Speicher, Anwendungen und Plattformen einem Kunden \enquote{on demand} zur Verfügung stellt. Charakteristisch für diese Art von Dienstleistung ist die dynamische Anpassbarkeit des Leistungsumfangs, sowie die dynamischen Tarife, nach denen die Leistung dem Kunden berechnet wird. Bietet ein Anbieter Cloud-Angebote an, so verfügt er über eine technische Infrastruktur, die auf Rechenzentren in mehreren verschiedenen Ländern weltweit verteil ist, welche global vernetzt sind. Somit werden Daten, welche im Rahmen einer solchen Dienstleistung vom Kunden abgelegt werden weltweit verteilt gespeichert. Da je nach Standort der einzelnen Rechenzentren unterschiedliche Gesetze und Vorschriften gelten, ergeben sich hierfür gleich mehrere Problemstellen. -\paragraph{Cloud-Angebote aus Sicht der Kunden} Aus Perspektive eines Kunden von Cloud-Angeboten ergibt sich die Nutzung dieser Angebote oft aus dem Willen, Kosten einzusparen. Kostet die eigene IT-Infrastruktur in Verbindung mit der dafür nötigen IT-Compliance zu viel, so kann es sich lohnen, die benötigten Dienste durch ein Cloud-Angebot zu ersetzen. Hierbei ist jedoch kritisch, dass die benötigten Anforderungen an die Datensicherheit eingehalten werden. Möchte beispielsweise eine deutsche Versicherung ihre Kundendaten in die Cloud verschieben, so muss weiterhin darauf geachtet werden, dass das Bundesdatenschutzgesetz eingehalten wird. Des weiteren müssen die Kundendaten vertraulich bleiben, jederzeit verfügbar sein und nicht außerhalb von Deutschland gespeichert werden. Sucht ein Kunde nun international einen Anbieter mit diesen Kriterien, so ist es notwendig, dass der Anbieter diese Anforderungen belegbar erfüllen kann. -\paragraph{Cloud-Angebote aus Sicht der Anbieter} Aus Perspektive des Anbieters ergibt sich aus der Verpflichtung, alle Gesetze und Vorschriften der verschiedenen Län\-der\-stand\-or\-te zu erfüllen, eine sehr große Herausforderung. Je mehr Standorte sich in unterschiedlichen Ländern befinden, desto mehr Gesetze finden Anwendungen und die Komplexität steigt. IT-Compliance sichert an dieser Stelle die eigene Existenz des Unternehmens des Anbieters, da mit einer solchen Menge an Gesetzen viel mehr Risiken verbunden sind, dass diese nicht eingehalten werden können. Hinzu kommt, dass Kunden aus unterschiedlichen Ländern gegebenenfalls unterschiedliche Rechte genießen, mit denen die Angebote des Anbieters entsprechend übereinstimmen müssen. Da die Kunden oft auch Anforderungen an die Datensicherheit haben, muss der Anbieter die Einhaltungen dieser belegen können. Um Kunden zu gewinnen und zu überzeugen, möchte der Anbieter dementsprechend in der Lage sein, weltweit nachweisen zu können, dass sein Unternehmen einen bestimmten Grad an Datensicherheit gewährleisten kann. @@ -164,7 +158,6 @@ Im Gegensatz zu \enquote{regulärer} IT-Compliance ist es mit der ISO 27001 jedo \paragraph{Nutzen der ISO 27001} Hat man die ISO 27001 in seinem Unternehmen umgesetzt, so ergibt sich eine langfristige Kostensenkung durch strukturierte Prozesse und die Risikominimierung. Diese führt zu geringeren Haftungs- und Geschäftsrisiken, geringeren Versicherungsbeiträgen und verbesserter Kreditwürdigkeit bei Banken und Investoren. Auch ergibt sich eine höhere Wettbewerbsfähigkeit und Imageverbesserung durch die belegbare Datensicherheit. -\paragraph{Relevanz der ISO 27001 für Cloud-Angebote} Als international anerkannter Standard kann ein Cloud-Anbieter nun weltweit seine Konformität belegen. Die Zertifizierung erhöht das Vertrauen der Kunden, außerdem kann nun belegt werden, dass die Anforderungen der Kunden erfüllt werden. Regelmäßige Audits stellen die Konformität sicher und erhöhen die Transparenz, somit können Kunden ohne Sorgen die Dienstleistungen des Anbieters nutzen.