IT-GRC-Management – Governance, Risk und Compliance

Das Zeitalter der Digitalisierung durchdringt immer mehr Lebens- und Arbeitsbereiche mit immer komplexeren IT-Lösungen. Es erfordert daher eine verstärkte interdisziplinäre Betrachtung und Diskussion der damit einhergehenden neuartigen Governance-, Risiko- und Compliance-Fragestellungen (GRC-Fragestellungen). Denn nur wer die Gesamtsituation und die einhergehenden Wechselwirkungen richtig einschätzt, kann die passenden Governance-, Risiko- und Compliance-Strategien entwickeln und umsetzen. Hierfür ist das Verständnis von Ursache-Wirkungsketten hinter Governance- und Compliance-Fragen sowie Risiken ein wichtiger Baustein. Gerade die unternehmenspolitische Ausrichtung, die Frage der strategischen Orientierung, eine Sensibilität für juristische Fragen und das Bewusstsein für technische und nicht-technische Schwachstellen sind vor dem Hintergrund neuer IT-Lösungen von zentraler Bedeutung.

Dieser Überblicksbeitrag führt in die begrifflichen und methodischen Grundlagen ein, zeigt aktuelle Themenfelder auf und formuliert Impulse für die weitere Diskussion.

Die Anforderungen an Governance und Compliance betrieblicher Prozesse wachsen beständig. Viele Unternehmen nutzen dafür entsprechende Referenzmodelle wie CMMI für Entwicklung (CMMI-DEV) sowie COBIT für die übergreifende IT-Governance, doch bleibt die Wirksamkeit der entsprechenden Maßnahmen häufig auf die Dokumentationsebene beschränkt, ohne echten Nutzen für das Unternehmen zu schaffen. Bei geeigneter Nutzung können diese Referenzmodelle aber wesentlich dazu beitragen, Transparenz in die betrieblichen Abläufe zu bringen und sie besser an den Unternehmenszielen auszurichten. Entscheidend dafür ist, dass klar definierte betriebliche Zielsetzungen den Einsatz lenken und nicht die wortgetreue und vollständige Umsetzung der generisch formulierten Modellinhalte angestrebt wird.

Die Digitale Transformation ist ein Prozess, der zurzeit im Zentrum der Diskussion sowohl in der Praxis als auch der Wissenschaft steht. Die Informatik als Organisationseinheit (im Beitrag mit IT bezeichnet) bzw. das IT-Management muss dabei eine zentrale Rolle einnehmen, um die Entwicklung der Digitalisierung in Organisationen umzusetzen. Eine Erkenntnis, die sich im Kontext der Diskussion zu verdichten scheint, ist die Forderung nach einem stärkeren Zusammenspiel der IT-Organisation mit den einzelnen Fachbereichen („business“) innerhalb von Organisationen.

Auf Ebene der Leistungssteuerung ist das IT-Controlling als Teil einer Rahmenbedingungen setzenden IT-Governance anzusehen, das an dieser Entwicklung nicht unbeteiligt bleiben kann. So sind Anforderungen an diese Controlling-Spezialisierung zu stellen, die sich durch eine zunehmende Business/IT-Integration begründen. Hier setzt dieser Beitrag an, der mittels einer Expertenbefragung untersucht, inwiefern sich die Rolle und Position des IT-Controllings verändern muss, damit es den Anforderungen einer Integration der IT in die Fachbereiche Rechnung tragen kann. Im Ergebnis wird eine Controlling-Konzeption vorgeschlagen, die diese Anforderungen durch eine interdisziplinäre Ausrichtung, entlang der gesamten Wertschöpfung einer Organisation, berücksichtigt.

Die vergangenen Jahre haben gezeigt, dass die Geschwindigkeit des konjunkturellen Wandels stetig zunahm. Kürzere Lebenszyklen, neue Technologien und die zunehmende Digitalisierung haben Auswirkungen auf bewährte Geschäftsmodelle. Dadurch bedingt ändern sich auch die Anforderungen an die IT-Organisation im Unternehmen. Trotz knapper Ressourcen muss die IT-Organisation in der Lage sein, auf dynamische Anforderungen der Fachbereiche flexibel reagieren zu können. Basierend auf einer Onlinebefragung von IT- Managern aus Deutschland wurden Maßnahmen bewertet, die die IT-Organisation unterstützen, ihre Flexibilität zu verbessern. Die Mehrzahl der befragten IT-Manager gab an, dass die Automatisierung bzw. die Reduktion von Routinearbeiten eine zielführende Maßnahme sei, die Flexibilität im Bereich Innovationen zu verbessern. Durch diese Entlastung ist es den Mitarbeitern möglich, den Schwerpunkt ihrer Arbeit auf die Identifizierung neuer Trends und Innovationen zu legen. Auch das Ausweiten der Entscheidungsfreiheit und der Modularität der IT-Infrastruktur dient der Flexibilitätsverbesserung. Diese Maßnahmen unterstützen die IT dabei, ihren Wertbeitrag deutlich zu erhöhen. Gerade bei dynamischen Rahmenbedingungen muss Flexibilität „business as usual“ sein.

Rahmenwerke für das Management von Governance, Risk und Compliance in der IT haben diverse Vorteile für Unternehmen. Durch die Zusammenarbeit von Experten bei ihrer Erstellung und Pflege werden praxisorientierte Vorgaben geschaffen, welche die Qualität und Transparenz von Geschäftsabläufen erhöhen können. Ihre Befolgung kann auch aus Marketingaspekten interessant sein. Durch die mit Rahmenwerken meist erleichterte Vereinheitlichung von Spezifikationen oder Prozessen können Unternehmen ihre Ressourcen effizienter und fokussierter einsetzen. Grundsätzlich ist ihr Einsatz also zu empfehlen, allerdings ist die Vielzahl der verfügbaren Rahmenwerke schwer überschaubar und auf den ersten Blick sind sie nur schwer differenzierbar. Es stellt sich also die Frage, welches Rahmenwerk tatsächlich zum Unternehmen passt. Am Beispiel des Bereichs IT-Risk wird aufgezeigt, wie unterschiedliche Rahmenwerke sinnvoll differenziert werden können. Passende Rahmenwerke können nicht nur die quasi obligatorische Auseinandersetzung mit Risiken erleichtern, sondern auch weitere Vorteile aus Sicht des Ressourceneinsatzes und der Qualität bieten. Durch die Nutzung von Rahmenwerken werden z. B. die Transparenz und Vergleichbarkeit der Aktivitäten und Ergebnisse erhöht.

IT-Risiken – Risiken aus Betrieb und Nutzung von Informationstechnik – haben in Unternehmen eine hohe Bedeutung erlangt, entsprechend wichtig ist IT-Risikomanagement in der Wissenschaft und Praxis der Wirtschaftsinformatik. Die Anzahl und die Vielfalt der Risiken wachsen ständig und sind schwer im Griff zu behalten. Aktuelle Ereignisse wie spektakuläre Ausfälle, Angriffe und Datenlecks geben keine Hoffnung auf eine einfachere Zukunft. Daher müssen IT-Risiken systematisch aufgegriffen und differenziert werden, um dann für die unterschiedlichen Risiken gezielt Maßnahmen aufsetzen zu können.

Dafür sind wirkungsbezogene Unterscheidungen sinnvoll, um verschiedene Schutzbereiche zu identifizieren, allerdings sind dabei kaum Hinweise auf konkrete Maßnahmen abzuleiten. Ein ursachenbezogener Ansatz ist sinnvoll zur Planung, Steuerung und Kontrolle konkreter Maßnahmen.

Damit ist insgesamt eine Kombination von ursachen- und wirkungsbezogenen Unterscheidungen sinnvoll, um Maßnahmen gegen IT-Risiken gezielt zu planen, zu steuern und zu kontrollieren.

Produktionsumgebungen sind heute in vielfältiger Weise durch Informationstechnik (IT) geprägt. Diese Entwicklung trägt in einem erheblichen Maße zur Flexibilisierung und Effizienzsteigerung in der industriellen Produktion bei. Damit erbt dieser Bereich aber auch die üblicherweise mit IT verknüpften Gefährdungen, etwa die Anfälligkeit gegen Schadsoftware oder Hackerangriffe. Die daraus resultierenden Risiken verschärfen sich, je stärker die IT-Lösungen miteinander vernetzt sind und umso mehr Schnittstellen sie über Unternehmens- oder Standortgrenzen hinweg aufweisen. Insbesondere die Zielvorstellung „Industrie 4.0“ stellt hohe Anforderungen an die Informationssicherheit. Im Bereich der Office-IT existieren weithin anerkannte Standards zur IT-Sicherheit, und es hat sich eine Fülle an Maßnahmen etabliert, mit denen IT-Risiken begegnet werden kann. Diese Best Practices können jedoch nicht ohne weiteres auf Produktionsumgebungen übertragen werden. Der Beitrag beschreibt die Gründe hierfür und die besondere Problemlage für das IT-Risikomanagement im Produktionsumfeld. Er gibt darüber hinaus eine Übersicht zu den vorhandenen Best-Practice-Dokumenten für das Produktionsumfeld und zeigt auf, wie sich etablierte Verfahren zum IT-Risikomanagement auch in diesem Bereich anwenden lassen. In einem abschließenden Beispiel werden die beschriebene Vorgehensweise und die Anwendung von Best Practices zur Risikominimierung am Beispiel der Fernwartung skizziert.

Die zunehmende Automatisierung und Digitalisierung von Produktionsabläufen durch Vernetzung eingebetteter Systeme und deren Anbindung an webbasierte Dienste verspricht flexible, individualisierbare und gleichzeitig wirtschaftlich effiziente Fertigungsmöglichkeiten. Sogenannte cyber-physische Produktionssysteme schaffen hierbei die Verbindung von physischer und virtueller Welt, wodurch zugleich komplexe Abhängigkeiten zwischen Produktion, Informationsnetzen und Menschen über die gesamte Wertschöpfung hinweg entstehen. Demnach können lokal auftretende Risiken eine Bedrohung für unternehmensübergreifende Produktionsprozesse darstellen. Die technischen Möglichkeiten der Industrie 4.0 erfordern daher eine Anpassung des Sicherheitsmanagements an die vernetzte und hochautomatisierte Fertigung unter Berücksichtigung des Schutzes der Informations- und Betriebssicherheit. Vor diesem Hintergrund wird im vorliegenden Beitrag ein Strukturierungsansatz vorgestellt, mit dem Bedrohungsszenarien der Smart Factory systematisch analysiert werden können. Hierbei erfolgt eine Strukturierung von sicherheitsrelevanten Bedrohungen, beeinträchtigten Schutzzielen, Ausbreitungseffekten und Sicherheitsmaßnahmen. Des Weiteren wird die Anwendbarkeit des Strukturierungsansatzes anhand von zwei realen Beispielen von Unternehmen der Fertigungsautomatisierung aufgezeigt. Abschließend werden allgemeine Handlungsempfehlungen für das Sicherheitsmanagement abgeleitet.

Basierend auf einer systematischen und umfangreichen Analyse von Praxisbeiträgen zum Thema Schatten-IT und einer Interviewstudie mit 16 IT-Führungskräften beschreibt der vorliegende Artikel Governance-Aspekte zu diesem Phänomen. Er ergänzt damit vorhergehende akademische Studien. Es zeigt sich, dass unter Praktikern der Eindruck vorherrscht, dass IT-Abteilungen unter zunehmendem Druck stehen, schneller auf sich ändernde Anforderungen aus den Fachbereichen reagieren zu müssen. Können IT-Abteilungen diesen Erwartungen nicht entsprechen, beschaffen sich Fachbereiche und Nutzer selbst Lösungen in Form von Schatten-IT. Als mögliche Antwort darauf kann sich die IT-Abteilung agiler organisieren und die IT-Architektur im Unternehmen modernisieren. Eine weitere Möglichkeit besteht darin, sich das innovative Potenzial von Schatten-IT zunutze zu machen und deren Umsetzung aktiv durch organisatorische und technische Maßnahmen zu unterstützen. IT-Sicherheitsmanagement und technische Schutzmechanismen können helfen, die so entstandenen Lösungen abzusichern und die Risiken zu minimieren. Die IT-Abteilung könnte sich als Konsequenz aus all diesen Maßnahmen zu einem nutzerorientierten, internen Service-Provider und strategischen Partner für die Fachbereiche entwickeln.

Ohne Steuerung des IT-Bereiches nach geschäftsorientierten Grundsätzen sind Projekte zur Digitalen Transformation überhaupt nicht möglich. Der vorliegende Beitrag beschäftigt sich mit den Anforderungen an das IT-Management von kleineren und mittleren Unternehmen (KMU) bei der Steuerung des IT-Bereiches. Anhand einer empirischen Erhebung wird die Situation im IT-Management von kleineren und mittleren Unternehmen analysiert. Anschließend wird auf Basis der ermittelten Bedarfe ein kompaktes Konzept entwickelt, mit dem das IT-Management zielgerichtet die IT-Governance in solchen Unternehmen ausüben kann.

Die datenschutzkonforme Handhabung von Daten ist für Unternehmen mit komplexen IT-Landschaften eine große Herausforderung. Datenschutzverstöße stellen rechtliche und finanzielle Risiken dar, insbesondere durch die umsatzabhängigen Bußgelder, die in der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) vorgesehen sind. Die Sicherstellung der Datenschutzkonformität in betrieblichen Anwendungssystemen ist bislang aufwändig und nur in geringem Umfang automatisiert. In diesem Beitrag wird ein Lösungsansatz vorgestellt, der die durchgängige Dokumentation, Durchsetzung und Kontrolle von Datenschutzanforderungen für betriebliche Anwendungssysteme gewährleisten soll, um eine nachhaltige Datenschutzkonformität zu erreichen. Dazu schlagen wir ein Rahmenwerk vor, das organisatorische Prozesse sowie technische Komponenten miteinander verbindet, um die Verwaltung von Datenschutzanforderungen stärker in das unternehmensweite IT-Management zu integrieren.

In einer Zeit, in der die Ressource „Information“ mehr und mehr an Bedeutung gewinnt und Daten einen wesentlichen Produktionsfaktor ausmachen, wird die Notwendigkeit eines qualifizierten Daten-Managements wichtiger. Entscheidungsprozesse basieren auf Daten und führen nur dann zu richtigen und erfolgversprechenden Entwicklungen, wenn die Datengrundlage richtig und aktuell ist. Dies verlangt eine qualifizierte Bewirtschaftung der Ressource-Daten. Damit verbunden ist ebenso ein Daten-Management, das die Rechtskonformität der Daten gewährleistet.

Mit der neuen EU-Datenschutzgrundverordnung (DSGVO) besteht weiterhin die Verpflichtung zur Löschung, wenn die Zweckerfüllung gegeben ist. Gegenüber dem BDSG sind deutlich höhere Sanktionen festgelegt worden. Insofern ist es notwendig, das Daten-Management so aufzusetzen, dass ein kontinuierlicher und systematischer Löschprozess aufgesetzt wird. Nachfolgend werden dieser Löschprozess und seine Umsetzung näher beschrieben. Insbesondere wird aufgezeigt, dass eine enge Zusammenarbeit zwischen dem IT-Entwicklungsbereich und dem IT-Operationsbereich geboten ist. Die IT-Operation muss sich darauf vorbereiten, dass sie auf Grund der systematischen Weiterentwicklung der betrieblichen Anwendungssysteme jährlich neue bzw. überarbeitete Löschroutinen einsetzen muss. Abschließend wird auf ein laufendes Innovationsprojekt Bezug genommen. In diesem wurden Lösungen entwickelt, um unmittelbar bei der Entwicklung betrieblicher Anwendungssysteme die planmäßige Löschung von Daten zu berücksichtigen sowie eine datensatzorientierte Zugriffsteuerung zur Umsetzung datenschutzrechtlicher Anforderungen zu ermöglichen.

Dieser Artikel gibt einen Überblick über Änderungen, die sich aus der EU Grundverordnung für den Betrieb von HR-Systemen ergeben können. Da eine Konkretisierung der teils allgemeinen Anforderungen in delegierten Rechtsakten erfolgen wird, ist das darstellbare Bild sicherlich nicht abschließend. An den technischen Anforderungen ändert sich – aus Sicht der Autoren – wenig, nur die Rechtsfolgenseite ändert sich erheblich und mit ihr das Risiko für Unternehmen. Bußgelder, die bis zu 4 % des weltweiten Jahresumsatzes betragen können, sind naturgemäß unternehmenskritische Risiken. Da viele der „neuen“ Anforderungen bereits durch das Bundesdatenschutzgesetz begründet werden, kann aus diesem und seiner Kommentierung und der Rechtsprechung viel für den zukünftigen Systembetrieb gefolgert werden. Dementsprechend bilden die Basis der Betrachtung einerseits die technisch-organisatorischen Maßnahmen des Datenschutzrechts, andererseits die klaren Maßgaben für das Sperren und Löschen personenbezogener Daten, das Recht auf Auskunft und Weitere. Die Autoren stellen zunächst abstrakt dar, welche Anforderungen technisch zu lösen sind, um dann nachfolgend diese Anforderungen konkret im Systembetrieb der SAP Business Suite/HCM darzustellen. Dabei werden ausdrücklich auch Beratungs- und Projekterfahrungen eingebracht.

Nach der neuen EU-DSGVO kann es einen oder mehrere Verantwortliche für die gesetzeskonforme Verarbeitung personenbezogener Daten geben. Ausschlaggebend ist, wer die Entscheidungsbefugnis hinsichtlich Zweck und Mittel der Verarbeitung innehat. Die Identifikation der faktischen Verantwortung und die Operationalisierung auf handelnde Menschen gestalten sich insbesondere dann schwierig, wenn in Konzernen oder Unternehmensgruppen zentrale Funktionen personenbezogene Daten verarbeiten, wie etwa eine zentrale IT- oder Personalabteilung. Welcher Konzernteil für die Umsetzung der über 30 bußgeldbewehrten Verpflichtungen der DSGVO verantwortlich ist, ergibt sich keinesfalls von selbst. Anhand einer beispielhaften Konzernstruktur entwickelt dieser Beitrag eine Methodik, um für eine zentralisierte Verarbeitung von Mitarbeiterdaten die faktische Verantwortung mehrerer Verantwortlicher für ein und dieselbe Verarbeitung zu identifizieren und anwendbar zu machen.