KI, die Kreative Intelligenz jetzt in der neuesten Folge SMART&nerdy! Podcastfolge #23.

Zwischen Wahrheit und Wirklichkeit

Glühbirnen mit Emblem

[vc_row][vc_column][vc_custom_heading text=“Zwischen Wahrheit und Wirklichkeit“ font_container=“tag:h1|font_size:48|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1638516790894{margin-top: -25px !important;}“][vc_custom_heading text=“Compliance als Herausforderung für Mittelständler“ font_container=“tag:h2|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638516804504{padding-bottom: 10px !important;}“][vc_column_text]Christian Löhl, W+ST CoB-IT GmbH[/vc_column_text][ultimate_spacer height=“15″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][/vc_column][/vc_row][vc_row][vc_column][vc_custom_heading text=“Kurz & Bündig“ font_container=“tag:h2|font_size:34|text_align:left“ use_theme_fonts=“yes“ css=“.vc_custom_1631091070753{margin-top: -25px !important;}“ el_class=“box-headline“][vc_row_inner el_class=“box-content-wrapper“][vc_column_inner][vc_column_text]Bei Cyberangriffen werden Unternehmen Daten entwendet und verschlüsselt. Es geht nicht allein um IT-Fragen, sondern auch um wirtschaftliche und rechtliche Themenstellungen. Leitungs- und Aufsichtsorgane müssen sich dabei ihrer Eigenverantwortung und Sorgfaltspflicht bewusst werden. Dieses Beispiel zeigt, wie wichtig integrierte Managementsysteme als Resultat digitaler, gesellschaftlicher und auch regulatorischen Anforderungen an Unternehmen sind. Sie ermöglichen gerade KMU die Bewältigung komplexer bereichsübergreifender Führungsaufgaben über einen ganzheitlichen integrativen systemgestützten Ansatz.[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row css=“.vc_custom_1519752670572{margin-top: -10px !important;}“][vc_column][ultimate_spacer height=“30″ height_on_tabs=“15″ height_on_tabs_portrait=“15″ height_on_mob_landscape=“15″ height_on_mob=“15″][vc_column_text]Digitale Souveränität ist die Summe aller Fähigkeiten und Möglichkeiten die Individuen und Institutionen benötigen, um ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können. Die Digitalisierung betrifft alle Lebensbereiche. Dabei lassen sich potentielle Gefahren, z.B. aus der massenhaften Sammlung und Speicherung digitaler Daten und der immer stärkeren Vernetzung informationstechnischer Systeme, nicht nur auf den beruflichen und privaten Alltag, sondern auch auf das Firmen-Know-how und die unternehmerischen Prozesse projizieren. Bereits heute sehen sich Unternehmen durch den rasanten technologischen Fortschritt und die wachsende globale Vernetzung der Gefahr einer Informationsüberflutung und Komplexitätsüberlastung bis hin zu einer “digitalen Demenz“ ausgesetzt.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]Mit der Digitalisierung und im Zusammenhang mit der rasanten technologischen Entwicklung entstehen immer schneller neue Geschäftsmodelle, die einen hohen Anspruch an Sicherheit und an die Zuverlässigkeit im Hinblick auf die Datensouveränität als Teil der digitalen Souveränität mit sich bringen. Dabei nimmt der Umfang der verarbeiteten Informationen stetig zu. Änderungen am Kunden- bzw. Geschäftsportfolio und damit einhergehend Risiko-Entwicklung und -Gestaltung haben hohe Ansprüche an die Informationsqualität und deren Erhebungszeiten zur Folge.

Dieser stetige Wandel und damit die Komplexität der individuellen Geschäftsvorfälle haben tiefgreifende Auswirkungen auf Unternehmen, da sie eine kontinuierliche Anpassung der internen Compliance-Strukturen erfordern. Daneben kann durch die Verknappung und/oder eine unausgewogene Lastverteilung von Ressourcen eine weitere Zielkonkurrenz entstehen. Die ständige Anpassung der Systeme an geänderte Anforderungen führt zu Zielkonflikten zwischen Verlässlichkeit und Veränderung. Denn während Verlässlichkeit Beständigkeit verlangt, fordern Veränderungen Flexibilität.[/vc_column_text][vc_custom_heading text=“Welche Compliance-Anforderungen gilt es zu beachten?“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638516928102{padding-bottom: 10px !important;}“][vc_column_text]Gesetze, Normen und Grundsätze beeinflussen dabei zunehmend die Unternehmenstätigkeiten. Gerade in jüngster Vergangenheit geraten verstärkt Compliance-Skandale ans Licht der Öffentlichkeit (z.B. Wirecard und Deutsche Bank). Durch den steigenden öffentlichen Druck und Forderungen an die Nachhaltigkeit (z.B. Umwelt) und Transparenz (z.B. Ethik) sowie durch die damit einhergehenden neuen Regularien (wie z.B. das Lieferkettengesetz, die EU-Hinweisgeberrichtlinie und das Geldwäschegesetz) sehen sich aber auch mittelständische Unternehmen gestiegenen Anforderungen ausgesetzt.
Insbesondere in den Bereichen Korruption und Kartellverstöße kann es zu hohen, die Existenz bedrohenden Bußgeldern und Gewinnabschöpfungen kommen. Zusätzlich droht den handelnden Mitarbeitern und der Geschäftsleitung persönliche Strafbarkeit. Mit der zunehmenden Anwendung des Legalitätsprinzips – in Abkehr vom Opportunitätsprinzip – müssen die Verfolgungsbehörden beim Vorliegen eines Anfangsverdachts über die Begehung einer Straftat zwingend ein Ermittlungsverfahren einleiten.

Neben der verschärften rechtlichen Sanktionierung und etwaiger branchenspezifischer Regularien sehen sich Unternehmen auch dem Druck seitens ihrer Kunden und Lieferanten, von Kreditinstituten und Versicherungen ausgesetzt.[/vc_column_text][vc_custom_heading text=“Welche Gefahren birgt die Digitalisierung?“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638516962755{padding-bottom: 10px !important;}“][vc_column_text]Der digitale Wandel, als Integration von Information, Daten und Systemen verstanden, rückt die Bedeutung von IT-Sicherheit weiter in den Vordergrund. Diese ist essentiell um Personen, Unternehmen und Prozesse zu schützen und beispielsweise Sabotage und Systemmanipulationen zu verhindern. Ebenso sind Bedrohungen durch Angriffe auf IT-Systeme keine Seltenheit, sondern tägliche Realität.

Bei Cyberangriffen werden Unternehmen vielfach Daten entwendet und verschlüsselt. Häufig versuchen die Straftäter auf diese Weise „Lösegeld“ – oft in Form von Kryptowährungen – zu erpressen. Nach einer solchen Attacke sind zahlreiche Aspekte wie beispielsweise die interne und externe Kommunikation, Strafverfolgung, Datenschutzmeldungen und weitere rechtliche Implikationen des Vorfalls zu beachten. Es geht nicht mehr ausschließlich um IT-Fragen, sondern auch um wirtschaftliche und rechtliche Themenstellungen, die es zu eruieren und beurteilen gilt. Letzten Endes müssen sich Leitungs- und Aufsichtsorgane ihrer Eigenverantwortung insb. im Hinblick auf die Einhaltung ihrer Sorgfaltspflicht bzw. der Unterlassung von Aufsichtsmaßnahmen und somit der grundsätzlichen Frage “Opfer oder doch eigentlich Täter“ bewusstwerden.

Die neuen Regularien etablieren faktisch eine Beweislastumkehr. Für die Enthaftung bzw. Exkulpation (z.B. “Selbstreinigung“ nach § 125 GWB) braucht es gemäß der Business Judgement Rule zur Wahrung der Sorgfaltspflicht bei der Ausübung von Geschäftstätigkeiten, insb. ein Handeln auf der Grundlage angemessener Informationen eine sorgfältige Ermittlung aller verfügbaren Entscheidungsgrundlagen, die eine umfassende Abwägung von Chancen und Risiken der jeweils anstehenden Handlungsoptionen möglich macht.

Um hier gewappnet zu sein und gegebenenfalls reagieren zu können (etwa durch Selbstanzeige), ist es dringend erforderlich, dass sich ein Unternehmen so schnell wie möglich einen detaillierten Überblick darüber verschafft, welche “sensiblen“ Daten betroffen sind, da ein solches Leakage schlimmstenfalls existenzbedrohend werden kann. In der Praxis ist häufig problematisch, dass nicht oder zumindest nicht unmittelbar nach einem Datenvorfall zu ermitteln ist, welche Daten entwendet worden sind. Selbst wenn Einfallstore schnell identifiziert werden können, bereitet es mitunter große Schwierigkeiten, den Umfang der entwendeten Daten festzustellen.

Eine weitere Gefahr besteht aufgrund der stetig zunehmenden Menge an Daten und der Kommunikationskanäle, die immer mehr Möglichkeiten bieten praktisch jede Meinung fokussiert als “Wahrheit“ zu generieren. Auf der einen Seite ist der dazu passende Ausschnitt der “Wirklichkeit“ in der Fülle der Daten schnell zu generieren, aber umgekehrt bedarf es zur späteren Verifizierung bzw. zum transparenten Nachvollzug einer hohen Ambiguitätstoleranz.[/vc_column_text][vc_custom_heading text=“Worin liegen die Besonderheiten bei kleinen und mittleren Unternehmen“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638517016238{padding-bottom: 10px !important;}“][vc_column_text]Gerade kleine und mittlere Unternehmen verfügen in der Regel über stark heterogene Organisationsstrukturen und IT-Landschaften sowie ein für sie typischerweise wenig ausgeprägtes internes Kontrollsystem (“IKS“). Zusätzlich führen insbesondere die in der Regel unzureichenden oder fehlenden Prozess- und IKS-Dokumentationen oftmals zu einer unklaren und nicht nachvollziehbaren Datenaggregation. Der zugang zu wichtigen Informationen, Erfahrungswissen und Spezialkenntnissen ist zumeist nur auf eine geringe Anzahl von Mitarbeitern begrenzt und wird nicht durchgängig dokumentiert.

Zur Sicherstellung des Wissenserhalts und des Wissenstransfers fehlen entsprechende organisatorische Rahmenbedingungen und unterstützende Softwarelösungen im Unternehmen. Mängel in der Stammdatenpflege, resultierend aus einer fehlenden Definition von Informations- oder Dateneigentümern (i.S.v. Zuständigkeit) sowie damit einhergehend wenig ausgeprägten und zumeist organisatorischen Kontrollen (i.S.v. Verantwortlichkeit), werden oftmals erst im Zuge von notwendigen (Stamm-)Datenmigrationen, z.B. bei Versionswechseln der ERP-Software, ersichtlich.

Im Hinblick auf die Umsetzung der Compliance Anforderungen bei KMU scheuen gerade mittelständische Unternehmen oftmals die in diesem Zusammenhang erforderlichen monetären Aufwendungen und die notwendige personelle Ressourcenbindung oder sonstigen Maßnahmen zur Sicherstellung der IT-Sicherheit und der Unternehmens-Compliance. Umgekehrt sehen sich gerade international und innovative mittelständische Unternehmen einem höheren Risiko aus Cyberangriffen und einem höheren Bedarf an Compliance (insb. aus sinkenden Schwellenwerten analog der Umsetzung der EU-DSGVO im deutschen BDSG-neu) ausgesetzt.

Bei der Umsetzung bzw. Implementierung notwendiger Kontrollen und Maßnahmen bedarf es einer strikten risikoorientierten Vorgehensweise zur Vermeidung einer Überregulierung insb. bei Unternehmensrichtlinien, Organisationsanweisungen und Verfahrensbeschreibungen, auch wenn dies bedeutet, dass ein Verstoß in einem Bereich mit niedrigem Risiko nicht verhindert wird, da in der Regel mehr Aufmerksamkeit und Ressourcen auf Bereiche mit höherem Risiko gelenkt werden.[/vc_column_text][vc_custom_heading text=“Was ist zu tun?“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638517076259{padding-bottom: 10px !important;}“][vc_column_text]Zur Wahrung der digitalen Souveränität und zur Sicherstellung der Datensouveränität bedarf es grundsätzlich einer Weiterentwicklung des klassischen IT-Sicherheitsmanagements zum Informations- und Kommunikationssicherheitsmanagement. Daneben erfordert der zunehmende Wettbewerbsdruck die digitale Weiterentwicklung, insb. die Schaffung einheitlicher und klarer Strukturen (“Transparenz“) sowie die Verbesserung der internen und externen Kommunikation (“Informationserhebung und -bereitstellung“). So bezieht sich der Begriff der “Cyberresilienz“ auf die Fähigkeit eines Umgangs mit den Daten in einer Kombination aus organisatorischer Resilienz und IT-Sicherheit, um sich gleichzeitig vor Angriffen schützen und in Krisenfällen schnell und effektiv reagieren zu können.

Dabei genügt es nicht, ein rein risikobasiertes System und entsprechende Wirksamkeitskontrollen vorzuhalten bzw. einzurichten. Vielmehr liegt die Herausforderung in der Implementierung eines “gelebten Systems“ bzw. einer “gelebten Unternehmenskultur“ unter Einbezug sämtlicher Komponenten des Informationsverbundes mit dem Ziel des Schutzes von relevanten Informationen, die im Zusammenhang mit Informationsverarbeitung stehen – gleichwohl in welcher Form dies geschieht. Zur risikoorientierten Umsetzung bedarf es im Vorfeld einer sorgfältigen Risikoanalyse vor der Einrichtung und Dokumentation zusätzlicher oder notwendiger Kontrollen. Außerdem benötigt man Maßnahmen zur Sicherstellung des Regelbetriebs und der kritischen Geschäftsprozesse (i.S.e. Risiko- und Informationssicherheitsmanagements), der Aufrechterhaltung des laufenden Geschäftsbetriebs, zum Wiederanlauf (i.S.e. Notfallmanagements) sowie zur Identifizierung beim Umgang mit auftretenden und aufgetretenen Störungen und Fehlern (i.S.e. Problem- and Incident-Managements).

Dabei gilt es die Kontrollen und Maßnahmen sinnvoll in die Geschäfts- und Unternehmensprozesse zu intergieren, ohne dass sich diese störend oder hemmend auf den Geschäftsbetrieb auswirken. Denn nachhaltige Durchsetzung von Compliance bedarf bewusster Orientierung an den Geschäftsmodellen statt der Implementierung nachgelagerter Kontrollmaßnahmen, Genehmigungsstufen und Anweisungen. Ebenso lässt sich ein mögliches Risikopotential über prozessimmanente Kontrollen von der nachgelagerten Stufe der Risikofeststellung (z.B. durch Identifizierung von Ergebnisauswirkungen im Controlling) auf die Ebene der Risikoprävention vorverlagern, d.h. Risiken können ggf. bei der Entstehung identifiziert werden.

Insgesamt gewinnt damit das Risikomanagement an Wirkungskraft. Darüber hinaus bietet die Vorgehensweise auch immer wieder Anhaltspunkte für die Weiterentwicklung der Sicherheit aber auch der Effizienz der betrachteten Unternehmensprozesse im Sinne eines aktiven Geschäftsprozessmanagements (“PDCA-Prozess“) und somit letzten Endes zur Gewährleistung der Datensouveränität.

Ebenso sind entsprechende Regelungen und Maßnahmen zur fortlaufenden Risikoanpassung/-analyse (“Forecast“) im Hinblick auf neue Projekte, Produkte, Prozesse und Prozeduren inkl. der Anpassung der Überwachungspläne zu notwendigen Kontrollhandlungen und Maßnahmen (i.S.e. “Veränderungsmanagements“), ggf. unter Einbezug vorhandener Funktionsbeauftragter und zur Vermeidung von überbordenden Dokumenten und Berichten sowie inhaltliche Redundanzen, zu definieren und einzurichten.

Die Wahrung eines “gelebten“ Ansatzes lässt sich im Hinblick auf die faktische Beweislastumkehr über die Definition und Implementierung “fortlaufender Überwachungsmaßnahmen“ als zentraler Aspekt zur Exkulpation (i.S.e. “kontinuierlichen Verbesserungsprozesses“) sowie in der Form von regelmäßigen Schulungen und Sensibilisierungsmaßnahmen von Mitarbeitern sowie regelmäßige Tests und Übungen (“Walk-the-Talk“) sicherstellen.

Ein weiterer zentraler Aspekt bei der Gestaltung eines gelebten Ansatzes liegt in der Schaffung offener Kommunikationskanäle (insb. “Whistleblowing“) angesichts von Verstößen, laufenden Verfahren sowie internern und externern Risiken auf horizontaler Ebene bzw. zwischen den Mitgliedern eines Leitungsorgans (i.S.e. Informationsrisikomanagements). Zur Sicherstellung der Kommunikation auf vertikaler Ebene gilt es neben der Sorgfaltspflicht und der nicht vollumfassend delegierbaren Pflicht zur Überwachung zumindest ein konkludentes Bekenntnis im Sinne des Vorlebens von regelkonformem Verhalten (nicht nur mit Blick auf Aussagen, sondern auch auf die Handlungen und Entscheidungen bzw. Sanktionen) zur Stärkung des Ordnungsrahmens und der Glaubwürdigkeit konsequent (“Ton-at-the-Top“ oder “Conduct-at-the-Top“) umzusetzen.[/vc_column_text][vc_custom_heading text=“Fazit“ font_container=“tag:h3|font_size:28|text_align:left|color:%23676b6d“ use_theme_fonts=“yes“ css=“.vc_custom_1638517145482{padding-bottom: 10px !important;}“][vc_column_text]Grundsätzlich empfiehlt sich – in Analogie zu den zumeist bekannten Anforderungen an Qualitätsmanagementsysteme (ISO 9001) – eine Orientierung an der Entwicklung der Anforderungen an Compliance-Systeme. Der neue Standard ISO 37301 als Typ A Standard lässt somit auch eine Zertifizierung eines übergeordneten Compliance-Managements zu. Aufbauend auf diesem lassen sich weitere Managementsysteme in der Folge sinnvoll und effizient umsetzen bzw. intergieren. Integrierte Managementsysteme als Resultat digitaler, gesellschaftlicher und auch regulatorischer Anforderungen an Unternehmen ermöglichen gerade KMU die Bewältigung komplexer bereichsübergreifender Führungsaufgaben über einen ganzheitlichen integrativen systemgestützten Ansatz. Die Vorteile der Effizienzsteigerung resultieren aus der Vermeidung von Redundanzen bzw. der Nutzung von Synergieeffekten und somit aus der Reduzierung des Dokumentationsaufwands. Dabei führt die aktive Einbindung der operativen Geschäftseinheiten zu einer hohen Akzeptanz bei Mitarbeitern und zur Vermeidung von Reibungsverlusten im Führungszirkel.

Allerdings bedarf es zur Umsetzung dem regelmäßigen Einsatz eines interdisziplinären Teams, das sich neben den Mitarbeitern aus den involvierten Fachabteilungen, insb. aus Mitarbeitern der IT, dem Controlling, aus Anwälten und Funktionsbeauftragten zusammensetzt Die größten Herausforderungen bestehen in der strikt risikoorientierten Herangehensweise zur Reduzierung Komplexität sowie der Schaffung eines einheitlichen Wordings zwischen den Projektbeteiligten. Es ist oftmals ratsam – neben externen Experten – auch neue Mitarbeiter mit noch wenigen Unternehmenskenntnissen in das Projekt einzubeziehen, um einer gewissen Voreingenommenheit bzw. Betriebsblindheit zu begegnen.

 

(Bildquelle: Adobe Stock | 233336097 | EtiAmmos)[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][ult_dualbutton btn_hover_style=“Style 2″ btn_border_style=“solid“ btn_color_border=“#ffffff“ btn_border_size=“2″ btn_alignment=“left“ dual_resp=“off“ button1_text=“Einzelheft kaufen“ icon_link=“url:https%3A%2F%2Fwww.im-io.de%2Fproduct%2Flerngroesse-eins%2F|title:Lerngr%C3%B6sse%20Eins“ btn1_background_color=“#f3f3f3″ btn1_bghovercolor=“#f07d00″ icon=“Defaults-book“ icon_size=“22″ icon_color=“#f07d00″ icon_hover_color=“#ffffff“ button2_text=“Jetzt abonnieren“ btn_icon_link=“url:https%3A%2F%2Fwww.aws-institut.de%2Fim-io%2Fabo%2F|title:Abo||“ btn2_background_color=“#f3f3f3″ btn2_bghovercolor=“#f07d00″ btn_icon=“Defaults-chevron-right“ btn_icon_size=“22″ btn_icon_color=“#f07d00″ btn_iconhover_color=“#ffffff“ divider_text=“oder“ divider_text_color=“#f07d00″ divider_bg_color=“#ffffff“ btn1_text_color=“#f07d00″ btn1_text_hovercolor=“#ffffff“ btn2_text_color=“#f07d00″ btn2_text_hovercolor=“#ffffff“ title_font_size=“desktop:20px;“ btn_border_radius=“30″ title_line_ht=“desktop:22px;“ btn_width=“280″][/vc_column][/vc_row]

LinkedIn
WhatsApp
Telegram
Facebook

Related Posts

The Moral Compass of the Mind

Gemeinsame globale Standards: Die UNESCO-Empfehlung als ethischer Kompass für KI

Image 2: Co-founders in front of W7-X2. (Proxima Fusion)

Fusion: The Final Frontier. These are the voyages of the next-generation stellarator reactors

Eintritt Campus Schwarzwald gGmbH

Vom Köhlerhandwerk zur KI-Forschung: Die neue Innovationslandschaft im Schwarzwald

Green city

Mit Moos mehr los: Wie Biofilter und Daten die Städte entlasten

Data Raining Wald

It’s Raining Data: Wasserprognosen gewinnen an Präzision

Labyrinth und Hand. Lösungen.

Repair Culture für Bauwerke: Diagnostik, die tief unter die Oberfläche reicht

  • 15. Dezember 2021

August-Wilhelm Scheer Institut