2012-04: Compliance bringt keine Sicherheit
Meiner Meinung nach völlig zu unrecht. Es ist ist zu kurz gedacht. Compliance bedeutet erst einmal lediglich, Regeln zu erfüllen, die von der Industrie, von Verbänden, Banken, Versicherungen oder dem Gesetzgeber aufgestellt wurden – etwa der Sarbanes Oxley Act von der US-Regierung, PCI-DSS vom der Kreditkartenindustrie, Basel III von der Bank für Internationalen Zahlungsausgleich und so weiter. Ein Unternehmen, das „compliant“ ist, hat bisher genau ein einziges Risiko ausgeschlossen: Den Verstoß gegen diese Regeln.
Keine Frage, bestimmte Geschäftsmodelle sind zwangsläufig darauf angewiesen, Compliance-Anforderungen zu befolgen: Wenn etwa daran eine Zulassung hängt wie an PCI-DSS für Anbieter von Kreditkarten oder die Erfüllung von Basel III-Kriterien die Kreditwürdigkeit beeinflusst. Ich empfehle jedoch, genau zu prüfen, ob und in welchem Maße Ihr Unternehmen Compliance-Vorschriften nachkommen muss – oder aber, ob der Compliance-Vorwand nicht nur als Geschäftsführerschreck und Honorarmaschinerie für Unternehmensberater und Security-Anbieter angeführt wird.
Compliant sein, heißt noch lange nicht, sicher sein
Die meisten Unternehmen sind aber mit anderen Risiken konfrontiert, als „non-compliant“ zu sein: Sie haben Geschäftsgeheimnisse zu verlieren, sie müssen innovativ sein und sie müssen vor allem schnell auf Marktgegebenheiten reagieren können, um mitbewerbsfähig zu bleiben.
Eine regelgerechte Compliance hilft dabei aber nicht. Im Gegenteil, sie kann sogar Sicherheitsstrukturen im Wege stehen, die flexibel neue Situationen berücksichtigen sollen. Compliant sein, bedeutet nämlich auch Schwerfälligkeit und Langsamkeit, denn jeder Prozess und jede Veränderung muss daraufhin geprüft werden, ob alle Regeln einhalten werden. Und der Hype um Compliance führt dazu, dass komplette Security-Budgets in teure Compliance-Maßnahmen gesteckt werden, die der Sicherheit des Unternehmens wenig dienlich sind. Hauptsache ist, der Wirtschaftsprüfer bescheinigt beim Jahresabschluss, dass Ihr Unternehmen compliant ist. Haken dahinter. Ob alle Sicherheitsrisiken damit berücksichtigt sind, ist leider häufig egal.
Wer klug ist, der achtet weniger auf seine Compliance, sondern darauf, dass er ein Sicherheitskonzept erhält, das wirklich passgenau auf seine Ansprüche zugeschnitten ist. Nicht mehr und nicht weniger.