Corporate Compliance und Unternehmenssicherheit Den Schein zu wahren reicht nicht

Ob Abgasskandal oder Flughafenneubau – wenn ein Unternehmen aus Gier und Selbstüberschätzung auf die schiefe Bahn gerät, sind die Millionen für Berater und Rechtsanwälte falsch angelegt. Ein Gastbeitrag.

Unsere digitale Sorglosigkeit ist ein Problem für die IT-Sicherheit. Quelle: dpa

Betrachtet man die Meldungen, die Unternehmen zur Bedeutung der Compliance in ihren Firmen abgeben, dann sieht man eine wachsende Zahl von Compliance-Abteilungen mit Spezialisten als Compliance-Beauftragte, teilweise mit beachtlichem Stab ausgewählter Experten zur Beratung und Zertifizierung und letztlich immer wieder das Bekenntnis:  

„Wir geben für unsere gute Compliance gerne auch Millionen aus!“

Liest man diese Verlautbarungen und die damit einhergehenden Fachstudien, überwiegend verfasst von den beratenden Experten, dann glaubt man an eine rechtschaffende und ehrliche Unternehmenslandschaft in ganz Deutschland. 

Zur Person

Allein wie kommt es dann zu störenden Misstönen? 

Nach wohl zutreffenden Presseberichten betrügt ein bekanntes Compliance-Muster-Unternehmen aus Süddeutschland am Flughafenneubau in Berlin im Millionenumfang und ohne im Ergebnis der Aufarbeitung eines sogenannten Abgasskandals vorgreifen zu wollen: Trotz Millionen Ausgaben für Compliance und Berater verstößt man über Jahre aus Gewinnsucht gegen geltende Umweltgesetze und verkauft die fehlerhaften Produkte mit Hilfe glänzender Broschüren an Millionen von Kunden.

Dies nur als zwei aktuelle und herausragende Beispiele aus der Wirklichkeit.

Die selbstkritische Frage nach den Fehlern von Beratern und Anwälten las ich bisher nirgends deutlich, außer in den USA (Paul Lippe in Legal Rebels vom 13.10.2015 „Where were the lawyers?“). Läuft da nicht vielleicht doch etwas schief und wenn ja, warum?

Forum IT-Sicherheit

Lassen Sie mich kurz auf die andere Seite der Medaille, die Unternehmenssicherheit schauen:

Gerade in dem heute sensibelsten Bereich, der IT-Sicherheit, erkennen wir, das ständig weitere Ansteigen der Schäden auf Milliardenbeträge durch sogenannte Cyberkriminalität. Wie reagiert man? Der übliche Ruf nach schärferen Gesetzen und die auch nicht ganz neue Forderung nach einer besseren Ausstattung der Behörden wird wohlfeil an die Öffentlichkeit gegeben. Beides wird nicht viel nutzen, denn längst reichen die Gesetze in Deutschland aus, Cyberkriminalität im Grundsatz wirksam zu bekämpfen. Alles, was bisher bekannt ist, wäre in Deutschland strafbar und durch die verbesserte Ausstattung erkennen unsere Behörden auch immer mehr und rascher, dass dieser Angriff aus Angola, jener aus Kolumbien und ein dritter aus Indonesien kam. Ja, und dann muss man irgendwann resignierend anerkennen:

Man kann diese aus praktisch jedem Teil der vernetzten Welt begehbaren Delikte mit den bestehenden nationalstaatlichen Repressionsinstrumenten nicht bekämpfen. Die Grenzüberschreitung des Täters dauert Sekundenbruchteile, seine Verfolgung, falls sie überhaupt vertraglich möglich ist und startet, würde Monate dauern. Auch hier gehen Dinge offenbar schief. Aber vielleicht ist es (auch) hier einfach eine unvermeidbare Entwicklung?

Man kommt einem Lösungsansatz vielleicht näher, wenn man sich den Fall gehakter Mails des CIA-Chefs John Brennan ansieht. Der Sicherheitschef nutze ein AOL-Mailkonto. Und dann ist es auch schon klar: Durch unsere eigene Sorglosigkeit und Bequemlichkeit öffnen wir Tür und Tor für Angriffe auf unsere Daten. Auf unsere privaten, wie auf die unserer Arbeitgeber oder aber auch unserer eigenen Firmen. Ja, nur zu gerne hätte man den Schutz einfach dadurch, dass man neben dem Computer noch das Computer-Schutz-Gerät stellt und das dann alle bösen Attacken abfängt, ohne uns mehr Aufmerksamkeit oder Sorge abzuverlangen und sei es nur ein komplexes Passwort, das man zudem alle drei Monate ändern muss.

Gerade die Leitungsebene in Unternehmen verbietet sich gern solchen störenden Unfug und fordert endlich wirksame, technische Lösungen. Damit belässt man die Sache bei der technischen IT-Abteilung (die womöglich sogar ausgelagert ist) anstatt für den zentralen Wertbestand des Unternehmens, nämlich seine Daten, eine eigenständige Sicherung durch eine unabhängige Compliance zu installieren ( die dann in Kenntnis der Nöte  verstärkt praktische Lösungen wir Iris-Kontrolle oder Fingerprint Sperren durchsetzen könnte).

Diese Branchen sind am häufigsten von Computerkriminalität betroffen

Und damit schließt sich für mich der Kreis von Compliance und Unternehmenssicherheit:

Niemand will oder traut sich offen zu sagen, dass die Abgaswerte falsch sind und die Messungen manipuliert werden und niemand wagt es, dem CEO zu sagen, dass sein sorgloser Umgang mit Telekommunikation nicht beispielhaft ist, sondern ein extremes und nicht abzusicherndes Risiko darstellt. Man ignoriert, dass Compliance nicht durch den Chief Compliance Officer garantiert werden kann, sondern nur dann gelingen kann, wenn das redliche Denken Teil der von oben gelebten Unternehmenskultur ist, wenn man Compliance nicht nur formal zur Verteidigung bei Ermittlungen „halt so haben muss“, sondern eigenverantwortlich lebt.

In Arbeit
Bitte entschuldigen Sie. Hier steht ein Element, an dem derzeit noch gearbeitet wird. Wir kümmern uns darum, alle Elemente der WirtschaftsWoche zeitnah für Sie einzubauen.

Und Unternehmenssicherheit, zumal im IT-Cyberbereich gelingt nicht (allein) durch eine von der Gefahr der Verlagerung nach Indien bedrohte IT-Technik-Abteilung und den Kauf von Computerschutzgeräten und –Programmen, sondern nur durch ein Bewusstsein und Verhalten, das wiederum „at the top“  an der Spitze beginnen muss. Es gibt Pflichten zum Schutz des Unternehmens, denen muss sich jeder selbst in eigener, persönlicher Verantwortung stellen. Eine Unternehmenskultur, die darauf hinwirkt, wird schon kurzfristig Verbesserungen erzielen, muss sich aber in beiden Bereichen von liebgewonnenen Bequemlichkeiten und Scheinsicherheiten verabschieden.

 

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%