Das Problem

Für die in einem Firmennetzwerk gespeicherten Daten gelten in Deutschland etliche gesetzliche Vorschriften und Verhaltensregeln (Compliances).

In Deutschland sind neben HGB, KomTraG, Bundesdatenschutzgesetz, EU-Datenschutzrichtlinien, Betriebsverfassungsgesetz und weiteren Vorschriften auch branchenspezifische Compliances oft zwingend zu beachten

Zu den bekannten Vorschriften gehören sicherlich

  1. MDStVMDStV ist der Staatsvertrag über Mediendienste (Mediendienste-Staatsvertrag). Zweck des Staatsvertrages ist, in allen Ländern einheitliche Rahmenbedingungen für die verschiedenen Nutzungsmöglichkeiten der im folgenden geregelten elektronischen Informations- und Kommunikationsdienste zu schaffen.
  2. MiFIDDie MiFID (Markets in Financial Instruments Directive) ist eine Richtlinie der Europäischen Union (EU) zur Harmonisierung der Finanzmärkte im europäischen Binnenmarkt. Ziele sind ein verbesserter Anlegerschutz, ein verstärkter Wettbewerb und die Harmonisierung des europäischen Finanzmarktes.
  3. TDDSGDas Teledienstedatenschutzgesetz (TDDSG) regelte den Datenschutz der Nutzer von Telediensten. Betroffen vom Teledienstedatenschutzgesetz waren unter anderem das Impressum einer Seite, die Erhebung von Serverstatistiken, alle Arten von Prozessabwicklungen, wie z. B. Kontaktformulare, in die der Nutzer persönliche Daten eingibt.
  4. IFRSDie International Financial Reporting Standards (IFRS) sind internationale Rechnungslegungsvorschriften für Unternehmen,die vom International Accounting Standards Board (IASB) herausgegeben werden. Sie sollen losgelöst von nationalen Rechtsvorschriften die Aufstellung international vergleichbarer Jahres- und Konzernabschlüsse regeln.
  5. TKGDas Telekommunikationsgesetz (TKG) ist ein deutsches Bundesgesetz, das den Wettbewerb im Bereich der Telekommunikation reguliert und auch die angebotenen Dienstleistungen fortlaufend gewährleistet.
  6. SOXDas Sarbanes-Oxley Act of 2002 (SOX) ist ein US-Bundesgesetz, das als Reaktion auf Bilanzskandale von Unternehmen die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessern soll. Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen.
  7. KWGKreditwesengesetz – Die Regelungen des KWG beziehen sich auf Institute und Institutsgruppen. Institute im Sinne des KWG sind Kreditinstitute und Finanzdienstleistungsinstitute. Das KWG wird als „das Gesetz über das Kreditwesen“ bezeichnet.
  8. PCI-DSSDer Payment Card Industry Data Security Standard ist ein Regelwerk im Zahlungsverkehr, das sich auf die Abwicklung von Kreditkartentransaktionen bezieht und von allen wichtigen Kreditkartenorganisationen unterstützt wird.
  9. BaFinDie Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist eine rechtsfähige Bundesanstalt. Sie untersteht der Rechts- und Fachaufsicht des Bundesministeriums der Finanzen. Die BaFin beaufsichtigt und kontrolliert als Finanzmarktaufsichtsbehörde im Rahmen einer Altfinanzaufsicht alle Bereiche des Finanzwesens in Deutschland. -Verordnungen
  10. FINRADie Financial Industry Regulatory Authority (FINRA) ist als Genehmigungsbehörde in den USA hauptsächlich verantwortlich für die Beaufsichtigung von Personen, die in der Wertpapierbranche involviert sind. Die FINRA ist eine sich selbst regulierende Organisation und ist damit keine direkte Behörde der Regierung.
  11. Basel IIDie Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht zur Sicherung einer angemessenen Eigenkapitalausstattung von Instituten und zur Schaffung einheitlicher Wettbewerbsbedingungen sowohl für die Kreditvergabe als auch für den Kredithandel vorgeschlagen wurden. / Basel IIIDas Reformpaket der Bank für Internationalen Zahlungsausgleich (BIZ) für die bereits bestehende Bankenregulierung Basel II. Es stellt die ab 2013 gültige Reaktion auf die von der weltweiten Finanz- bzw. Wirtschaftskrise ab 2007 offengelegten Schwächen der bisherigen Bankenregulierung dar.
  12. HIPAAHealth Insurance Portability and Accountability Act“ schreibt vor, dass alle Organisationen im Gesundheitswesen strenge Regeln zum Schutz der Vertraulichkeit und Integrität von Patientendaten einhalten.

Inhaber, Geschäftsführer und Vorstände, die nach einem „Vorfall“ nicht lückenlos nachweisen können, dass alle relevanten Vorschriften und Bestimmungen beachtet -und in der IT-Sicherheit ihres Unternehmens auch umgesetzt- wurden, können persönlich haftbar gemacht werden.

Gerade der zunehmende Einsatz mobiler, und oft privater, Endgeräte (BYODBYOD (Bring Your Own Device ) beschreibt den Trend, dass Mitarbeiter heute immer öfter ihre eigenen Geräte in das Unternehmen mitbringen und damit auch auf Server zugreifen. Diese Entwicklung ist an modernen Arbeitsplätzen immer mehr die Regel statt die Ausnahme.) stellt die Unternehmen vor neue Herausforderungen in Fragen der IT-Sicherheit. Passende Sicherheitslösungen müssen gefunden und in die bestehende Infrastruktur implementiert werden.

Zur adäquaten Absicherung des Unternehmens muss ein geeignetes IT-Sicherheitskonzept etabliert und aufrecht erhalten werden. Dazu gehört selbstverständlich nicht nur die lückenlose Pflege der Hard- und Software, sondern auch und vor allem die Sicherstellung des ununterbrochenen Betriebs – und das „24x7x365“.