Nov 13, 2019

8 Schmerzpunkte eines Security Compliance Officer

Die Stelle eines Security Compliance Officer erscheint in den Organisationsplänen seit noch nicht allzu langer Zeit. Angesichts der Herausforderungen im Internetzeitalter und des wachsenden regulatorischen Drucks stehen Compliance-Themen jetzt aber auf jeder Tagesordnung. Dieses Mal haben wir beschlossen, auf die Compliance-Herausforderungen aus der Sicht des Security Compliance Officer einzugehen.

Das Compliance-Verfahren weist in der Praxis viele Tücken auf. Welche es sind und wie sie mit Automatisierungslösungen erfolgreich umgangen werden können, können Sie in unserem Artikel „Dealing with the Best Compliance Management Solutions” nachlesen.

Diesmal wollen wir uns auf die Compliance-Challenges aus der Perspektive des Security Compliance Officer konzentrieren. Wir haben acht Schmerzpunkte ausgewählt, die uns am schmerzhaftesten erscheinen. Dabei werden wir nicht darüber schreiben, was ein Sicherheits-Beauftragter ist, was ein Compliance-Beauftragter tut und welche Ausbildung und Zertifizierung er durchlaufen haben muss.

Erster Schmerzpunkt eines Security Compliance Officer: Durchsetzung der Implementierungsphase

Aller Anfang ist schwer. Ohne die volle Unterstützung der Unternehmensführung kommt man nicht weit. Bei der Implementierung des Standards geht es nicht nur um das Bündeln von Dokumentation. Es geht darum, neue, nicht da gewesene Prozesse aufzubauen.

Die Führung muss Compliance-Themen priorisieren und an die Führungskräfte der mittleren Ebene weiterleiten. Die Manager dort leiten sie weiter nach unten. Mit jedem Level wird es schwieriger. Unterwegs geht vieles verloren. Compliance ist keine zwingende Voraussetzung, die sich von oben bis unten durchsetzen lässt.

Schmerzpunkt #2. Individuelle Risiken des Compliance-Beauftragten

Diese unterscheiden sich sehr von Land zu Land. Im Allgemeinen gehen die Aufsichtsbehörden davon aus, dass Mitarbeiter für Vergehen oder Fehlverhalten des Unternehmens haftbar gemacht werden können. Wegen der hohen Verantwortung in ihrer Position haben die Compliance-Beauftragten das Gefühl, auf glühenden Kohlen zu sitzen.

Dieser Wetewandel ist ein wichtiger Meilenstein. Es gab Präzedenzfälle, in denen Compliance-Beauftragte schwer bestraft wurden, weil sie die Einstellung des Unternehmens zur Compliance nicht kontrolliert hatten.

Es geht nicht nur darum, eine Organisation zu schützen. Die bestehende Governance-Struktur und die vorherrschenden Einstellungen können eines der Haupthindernisse für die ordnungsgemäße Sicherheit sein. Der Ruf der Compliance-Beauftragten steht auf dem Spiel. Das drohende Risiko, zum Sündenbock erklärt und gefeuert zu werden, verleiht ihren Sessel wenig Komfort.

Schmerzpunkt #3. Steigende Arbeitsbelastung und eingeschränkte Ressourcen

Man sagt scherzhaft, dass wir immer mehr Leute brauchen, um noch weniger Arbeit zu erledigen. Die Kehrseite dieses Trends spiegelt sich in der Budgetierung wider. Anstatt Mitarbeiter einzustellen, um die Compliance-Anforderungen zu erfüllen, fordern einige Unternehmen von den Compliance-Beauftragten, mit weniger Arbeitskräften „Berge zu versetzen“.

Diese Organisationen erkennen das Gleichgewicht zwischen Compliance-Kosten und Nicht-Compliance-Konsequenzen nicht ganz. Es wird zum täglichen Problem, Gelder für die Aufrechterhaltung der Compliance-Abteilung zu beschaffen. Compliance scheint die geringste Priorität zu haben, wenn alles glatt läuft. Wenn eine schwere Störung eintritt, ist der Security Compliance Officer schuld. Es interessiert niemanden, wie sehr er bemüht war, auf die brennenden Probleme in diversen Gesprächen und Sitzungen hinzuweisen.

Schmerzpunkt #4. Höhere Strafen und Geldbußen

Im Zeitalter der massiven Digitalisierung und der weiteren Expansion vernetzter Geräte wächst die Gefährdung der gesamten Gesellschaft durch Cyber-Bedrohungen gravierend. Dies ist einer der Gründe, warum die Regulierungsbehörden ihre Sicherheitsanforderungen verschärfen.

Hohe Strafen und Geldbußen für Verstöße verändern die Landschaft der IT-Branche. Vor einiger Zeit waren Strafen ein erschwinglicher Preis für die Geschäftstätigkeit. Jetzt sind die Bußgelder und Reputationsrisiken um Einiges höher als die Kosten für die Implementierung gut ausgebauter Compliance-Systeme.

Die Optimierung der Compliance ist sehr aufwändig und erfordert mehr Ausgaben. Compliance-Beauftragte müssen sich mit den widersprüchlichen Meinungen in den Meetings herumschlagen, um die Führung von der Notwendigkeit solcher Investitionen zu überzeugen. Häufig erfolglos. Wenn eine Strafe kommt, sind sie als Erste dran.

Schmerzpunkt #5. Fehlende Compliance-Kultur

Security Compliance Officer haben Schwierigkeiten, dem Vorstand schlechte Nachrichten zu übermitteln. Wenn Sie zweimal im Jahr 15 Minuten Zeit für einen Bericht haben, braucht es viel Mut, unangenehme Themen anzusprechen. Jedermann will glänzen. Wenn der schmerzhafte Teil erspart bliebe, würden die leitenden Angestellten einerseits alles für gut halten und keinen Handlungsbedarf sehen.

Andererseits erhalten Compliance-Warnungen und -Initiativen in Unternehmensabteilungen oft keine Resonanz. Ohne Kenntnis der richtigen Verortung der Compliance im Unternehmen neigen die Mitarbeiter dazu, sie zu ignorieren. Sie können es ihnen nicht eintrichtern.

Compliance-Grundsätze sollten mit dem Verhaltenskodex und der ethischen Geschäftspraxis übereinstimmen. Die Einführung der Compliance-Kultur im gesamten Unternehmen ist ein langfristiger Prozess. Doch ohne sie stehen Compliance-Beauftragte zusätzlich unter dem Druck, unterschätzt zu werden und mangelnde Unterstützung zu erfahren.

Schmerzpunkt #6. Massive Migration in die sozialen Medien und Messenger

Wir leben im Zeitalter der vereinheitlichten Kommunikation. Fast täglich entstehen neue Mittel und Tools, die die Menschen miteinander verbinden. Man gewöhnt sich schnell an das Instant Messaging und die Social-Media-Netzwerke. Die traditionellen Telefonate und E-Mails gehören schon fast der Vergangenheit an.

Die neuen Datenschutz-Bestimmungen sehen vor, dass alle ausgetauschten elektronischen Kommunikationen aufgezeichnet werden sollen. Technisch ist es kein Problem. Wenn Mitarbeiter allerdings ihre eigenen Geräte für die Verarbeitung der vertraulichen Informationen im Unternehmen verwenden, wird es zu einer ernsthaften Herausforderung für die Security Compliance Officer. Beispielsweise praktizieren viele Softwareentwicklungsunternehmen den BYOD-Ansatz (Bring-Your-Own-Device). Die Sicherheit von schützenswerten Informationen, die auf persönlichen Geräten gespeichert sind, gerät so außer Kontrolle. Die Situation verschlimmert sich umso mehr, wenn Mitarbeiter personenbezogene Daten über ihre eigenen Geräte verarbeiten. Dies stellt ein ernstes Datenschutzrisiko dar. Das Verfassen von Verbotsrichtlinien bringt nichts. Mitarbeiter ignorieren sie oft oder protestieren offen dagegen. Die Überwachung der Kommunikation bei der Arbeit ist kostspielig und würde sich auch äußerst ungünstig auf das Betriebsklima auswirken.

Schmerzpunkt #7. Verfolgung der aktuellen Technologietrends

Für den Umgang mit enormen Datenmengen braucht man eine fortschrittliche Technologie. Das Tückische daran ist, dass die fortschrittlichsten Tools auf dem Markt schnell zum erwarteten Standard werden. Mit Altsystemen können Sie die wachsenden Anforderungen nicht erfüllen.

Compliance-Technologien ändern sich schnell. Einige arbeiten mit künstlicher Intelligenz und anderen aufkommenden Technologien. Compliance-Beauftragte müssen allerdings nicht zu Technologieexperten mutieren. Die Integration neuer Systeme ist ein großes Anliegen. Die Aufgabe, sicherzustellen, dass alle Cyber-Risiken bei jeder Innovation richtig angegangen werden, wird schwer genug sein.

Schmerzpunkt #8. Sich ständig wandelnde regulatorische Landschaft

Diesen Punkt haben wir bewusst ans Ende der Liste gesetzt. Gesetzesänderungen sind wohl das bekannteste Compliance-Problem. Mit der Einhaltung der lokalen Vorschriften ist man gut beschäftigt. Doch Geschäftsabläufe überschreiten oft die Grenzen der einzelnen Länder. Die Pflicht, die Bestimmungen in den anderen Rechtssystemen zu überwachen, zu kennen und zu befolgen, lastet somit zusätzlich auf den Schultern des Compliance-Beauftragten. Dieser Punkt steht in engem Zusammenhang mit der Ausbildung eines Compliance-Beauftragten und seinen Aufgaben.

Schlussbemerkungen

Womit soll man also anfangen, wenn eines Tages die Entscheidung über die Implementierung eines Standards bei einer Vorstandssitzung fällt?

Es ist wichtig, den genauen Bereich und den Umfang der Standardanwendung zu umreißen. Ein transnationales Unternehmen mit Niederlassungen auf der ganzen Welt muss die Compliance bei vielen Jurisdiktionen sicherstellen. Für ein kleines Unternehmen auf einem regionalen Markt reicht es dagegen aus, einige seiner wichtigsten Prozesse abzudecken.

Zusätzlich zur Compliance gemäß den Sicherheits- und Datenschutzbestimmungen müssen Organisationen branchenspezifische Standards einhalten. Der Wechsel in eine andere Branche kann für den Compliance Officer zu einer Herausforderung werden.

Einige der oben genannten Schmerzpunkte sind organisationsspezifisch, wie zum Beispiel Unterfinanzierung oder mangelnde Compliance-Kultur. Unabhängig von der Spezialisierung als Safety Compliance Officer, Security Compliance Officer oder Corporate Compliance Officer erfordert die Bewältigung dieser Probleme von den Beauftragten viel Mut, Zeit und Mühe.

Wenden Sie sich an unsere Sicherheitsexperten, wenn Sie Unterstützung oder Hinweise brauchen. Erfahren Sie, wie innovative integrierte Plattformen wie Infopulse SCM Ihr Compliance-System revolutionieren können.

Demo anfordern

Sprich mit einem SCM Experten

Fordern Sie eine individuelle Live-Demo an, um herauszufinden, wie Infopulse Standards Compliance Manager – ein integriertes Tool für das Informationssicherheitsmanagement – Ihre geschäftskritischen Betriebsprozesse in puncto Sicherheitsgovernance, Compliance und Risikomanagement speziell in Ihrer Branche optimieren und rationalisieren kann.

Planen Sie Ihre persönliche Demo mit unserem Experten für das Datum und die Uhrzeit ein, die Ihnen am besten passen.

Kontaktformular