Corporate Compliance und Unternehmenssicherheit: Den Schein zu wahren reicht nicht

ThemaIT-Forum

GastbeitragCorporate Compliance und Unternehmenssicherheit: Den Schein zu wahren reicht nicht

Bild vergrößern

Unsere digitale Sorglosigkeit ist ein Problem für die IT-Sicherheit.

Ob Abgasskandal oder Flughafenneubau – wenn ein Unternehmen aus Gier und Selbstüberschätzung auf die schiefe Bahn gerät, sind die Millionen für Berater und Rechtsanwälte falsch angelegt. Ein Gastbeitrag.

Betrachtet man die Meldungen, die Unternehmen zur Bedeutung der Compliance in ihren Firmen abgeben, dann sieht man eine wachsende Zahl von Compliance-Abteilungen mit Spezialisten als Compliance-Beauftragte, teilweise mit beachtlichem Stab ausgewählter Experten zur Beratung und Zertifizierung und letztlich immer wieder das Bekenntnis:  

„Wir geben für unsere gute Compliance gerne auch Millionen aus!“

Anzeige

Liest man diese Verlautbarungen und die damit einhergehenden Fachstudien, überwiegend verfasst von den beratenden Experten, dann glaubt man an eine rechtschaffende und ehrliche Unternehmenslandschaft in ganz Deutschland. 

Zur Person

  • Hans-Peter Huber

    Hans-Peter Huber ist ehemaliger Staatsanwalt und Richter und jetzt Spezialist für Wirtschafts- und Korruptionsstrafrecht bei der Kanzlei Danckert Huber Bärlein in Berlin.

Allein wie kommt es dann zu störenden Misstönen? 

Nach wohl zutreffenden Presseberichten betrügt ein bekanntes Compliance-Muster-Unternehmen aus Süddeutschland am Flughafenneubau in Berlin im Millionenumfang und ohne im Ergebnis der Aufarbeitung eines sogenannten Abgasskandals vorgreifen zu wollen: Trotz Millionen Ausgaben für Compliance und Berater verstößt man über Jahre aus Gewinnsucht gegen geltende Umweltgesetze und verkauft die fehlerhaften Produkte mit Hilfe glänzender Broschüren an Millionen von Kunden.

Dies nur als zwei aktuelle und herausragende Beispiele aus der Wirklichkeit.

Die selbstkritische Frage nach den Fehlern von Beratern und Anwälten las ich bisher nirgends deutlich, außer in den USA (Paul Lippe in Legal Rebels vom 13.10.2015 „Where were the lawyers?“). Läuft da nicht vielleicht doch etwas schief und wenn ja, warum?

Forum IT-Sicherheit

  • Sicherheitschefs diskutieren über Cyberrisiken

    Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.

    Alle Beiträge finden Sie auf www.wiwo.de/it-forum

Lassen Sie mich kurz auf die andere Seite der Medaille, die Unternehmenssicherheit schauen:

Gerade in dem heute sensibelsten Bereich, der IT-Sicherheit, erkennen wir, das ständig weitere Ansteigen der Schäden auf Milliardenbeträge durch sogenannte Cyberkriminalität. Wie reagiert man? Der übliche Ruf nach schärferen Gesetzen und die auch nicht ganz neue Forderung nach einer besseren Ausstattung der Behörden wird wohlfeil an die Öffentlichkeit gegeben. Beides wird nicht viel nutzen, denn längst reichen die Gesetze in Deutschland aus, Cyberkriminalität im Grundsatz wirksam zu bekämpfen. Alles, was bisher bekannt ist, wäre in Deutschland strafbar und durch die verbesserte Ausstattung erkennen unsere Behörden auch immer mehr und rascher, dass dieser Angriff aus Angola, jener aus Kolumbien und ein dritter aus Indonesien kam. Ja, und dann muss man irgendwann resignierend anerkennen:

Man kann diese aus praktisch jedem Teil der vernetzten Welt begehbaren Delikte mit den bestehenden nationalstaatlichen Repressionsinstrumenten nicht bekämpfen. Die Grenzüberschreitung des Täters dauert Sekundenbruchteile, seine Verfolgung, falls sie überhaupt vertraglich möglich ist und startet, würde Monate dauern. Auch hier gehen Dinge offenbar schief. Aber vielleicht ist es (auch) hier einfach eine unvermeidbare Entwicklung?

Datenschutz in Unternehmen Die 10 Prinzipien der Informationssicherheit

Wie Söldner greifen professionelle Hacker gegen Bezahlung Unternehmen an. Die müssen sich dagegen verteidigen. Die Frage lautet daher: Welchen Werten folgen wir in der Informationssicherheit?

IT-Sicherheit Quelle: dpa

Man kommt einem Lösungsansatz vielleicht näher, wenn man sich den Fall gehakter Mails des CIA-Chefs John Brennan ansieht. Der Sicherheitschef nutze ein AOL-Mailkonto. Und dann ist es auch schon klar: Durch unsere eigene Sorglosigkeit und Bequemlichkeit öffnen wir Tür und Tor für Angriffe auf unsere Daten. Auf unsere privaten, wie auf die unserer Arbeitgeber oder aber auch unserer eigenen Firmen. Ja, nur zu gerne hätte man den Schutz einfach dadurch, dass man neben dem Computer noch das Computer-Schutz-Gerät stellt und das dann alle bösen Attacken abfängt, ohne uns mehr Aufmerksamkeit oder Sorge abzuverlangen und sei es nur ein komplexes Passwort, das man zudem alle drei Monate ändern muss.

Gerade die Leitungsebene in Unternehmen verbietet sich gern solchen störenden Unfug und fordert endlich wirksame, technische Lösungen. Damit belässt man die Sache bei der technischen IT-Abteilung (die womöglich sogar ausgelagert ist) anstatt für den zentralen Wertbestand des Unternehmens, nämlich seine Daten, eine eigenständige Sicherung durch eine unabhängige Compliance zu installieren ( die dann in Kenntnis der Nöte  verstärkt praktische Lösungen wir Iris-Kontrolle oder Fingerprint Sperren durchsetzen könnte).

Diese Branchen sind am häufigsten von Computerkriminalität betroffen

  • Gesamt

    Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.

    Quelle: Bitkom/Statista

    Stand: 2015

  • Platz 5

    Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.

  • Platz 4

    58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.

  • Platz 3

    Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.

  • Platz 2

    Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.

  • Platz 1

    Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.

Und damit schließt sich für mich der Kreis von Compliance und Unternehmenssicherheit:

Niemand will oder traut sich offen zu sagen, dass die Abgaswerte falsch sind und die Messungen manipuliert werden und niemand wagt es, dem CEO zu sagen, dass sein sorgloser Umgang mit Telekommunikation nicht beispielhaft ist, sondern ein extremes und nicht abzusicherndes Risiko darstellt. Man ignoriert, dass Compliance nicht durch den Chief Compliance Officer garantiert werden kann, sondern nur dann gelingen kann, wenn das redliche Denken Teil der von oben gelebten Unternehmenskultur ist, wenn man Compliance nicht nur formal zur Verteidigung bei Ermittlungen „halt so haben muss“, sondern eigenverantwortlich lebt.

Weitere Artikel

Und Unternehmenssicherheit, zumal im IT-Cyberbereich gelingt nicht (allein) durch eine von der Gefahr der Verlagerung nach Indien bedrohte IT-Technik-Abteilung und den Kauf von Computerschutzgeräten und –Programmen, sondern nur durch ein Bewusstsein und Verhalten, das wiederum „at the top“  an der Spitze beginnen muss. Es gibt Pflichten zum Schutz des Unternehmens, denen muss sich jeder selbst in eigener, persönlicher Verantwortung stellen. Eine Unternehmenskultur, die darauf hinwirkt, wird schon kurzfristig Verbesserungen erzielen, muss sich aber in beiden Bereichen von liebgewonnenen Bequemlichkeiten und Scheinsicherheiten verabschieden.

 

Anzeige
Unternehmer stellen sich vor
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%