Cyber-Attacken richten sich sowohl gegen Privatpersonen und Unternehmen und verursachen den Ausfall von Informations- und Produktionssystemen oder die Störung von Betriebsabläufen, oftmals durch den Einsatz von Ransomware. Im Fokus solcher Angriffe stehen insbesondere Organisationen mit Kritischer Infrastruktur (KRITIS), denn hier drohen neben Versorgungsengpässen in der Folge eines Angriffs erhebliche Störungen der öffentlichen Sicherheit und Versorgung.

Im Juli 2021 sorgte ein Hacker-Angriff für die Infizierung und Verschlüsselung aller Daten der Kreisverwaltung Anhalt-Bitterfeld in Sachsen-Anhalt. Bei dem Cyberangriff setzten die Hacker Ransomware ein. Betroffen waren mehrere Server des Landkreises, die gesamte Kommunikation sowie sämtliche Dienstleistungen wurden lahmgelegt. Der Lösegeldforderung kam der Landkreis nicht nach, daraufhin wurden personenbezogene Daten mehrerer Betroffenen im Darknet veröffentlicht. Die Bundeswehr unterstützt noch immer beim Wiederaufbau der IT. Bei einer Cyber-Attacke auf Technische Werke Ludwigshafen wurden über 500 Gigabyte an Kundendaten gestohlen und teilweise im Darknet veröffentlicht. Durch eine schadhafte E-Mail-Anlage gelang es den Tätern wochenlang unbemerkt Daten aus dem Netzwerk abzuführen. Die Ermittlungen des LKAs dauern an, ein externer Dienstleister zur Erhöhung der IT-Sicherheitsniveaus wurde beauftragt.

Für Experten zeichnet sich der Trend schon lange ab: der Druck zur Umsetzung von Compliance-Anforderungen steigt. Durch eine veränderte Arbeitswelt, ausgelöst durch die Pandemie, aber auch durch ordnungspolitische Eingriffe und gesellschaftliche Forderungen. Beispielhaft für diese Entwicklung sind die Verabschiedung des Geschäftsgeheimnisschutzgesetzes, das Verbandssanktionsgesetz oder das Hinweisgeberschutzgesetz. Auch die Entwicklungen hinsichtlich des Klimaschutzes werden neue Compliance-Regulierungen zur Folge haben. Nicht zuletzt das Inkrafttreten der DSGVO im Jahr 2018 bestätigt die zunehmende Bedeutung von Compliance im unternehmerischen Kontext.

Ebenso wird das geplante Verbandssanktionsgesetz Anforderungen an das Compliance-Management-System von Unternehmen stellen. Das Gesetz soll Straftaten im Unternehmen stärker sanktionieren und fordert in der Konsequenz die Implementierung eines wirksamen Compliance-Management-Systems. Neben verantwortlichen Beschäftigten sollen auch die Unternehmen selbst zur Verantwortung gezogen werden. Eine frühzeitige Investition in Maßnahmen in Folge einer Compliance-Risikoanalyse ist hier ratsam.

Bereits seit 2017 verpflichtet das IT-Sicherheitsgesetz (§ 8 BSI-Gesetz) Betreiber “Kritischer Infrastrukturen” zu einer Absicherung eingesetzter IT-Systeme. Mit dem Patientendaten-Schutz-Gesetz wurde diese Forderung 2020 im Sozialgesetzbuch (§ 75c SGB V) konkretisiert. So müssen jetzt auch Krankenhäuser ab dem 01. Januar 2022 verpflichtend angemessene Schutzmaßnahmen zur IT-Sicherheit in einem Informationssicherheits-Management-System umsetzen und nachweisen.

Als Anforderung steht ebenfalls die Umsetzung der EUWhistleblower-Richtlinie. Das deutsche Hinweisgeberschutzgesetz ist als die deutsche Umsetzung der EUWhistleblowing-Richtlinie zu werten. Das Gesetz schützt natürliche Personen, die beruflich bedingt Informationen über Verstöße an interne oder externe Meldestellen weitergeben. Unternehmen und Behörden sollten bereits heute beginnen, die wesentlichen Anforderungen umzusetzen.

Der mangelnde Überblick über die diversen rechtlichen Regularien, Compliance-Anforderungen und deren Umsetzungsnachweise reduziert die Rechtssicherheit vieler Unternehmen und Organisationen. Nahezu alle Prozesse sind relevant für die Erreichung von Compliance und das integrale Risikomanagement. Risiken werden unzureichend erfasst und behandelt, es entstehen persönliche Haftungsrisiken.

Die Verantwortlichen haben in den seltensten Fällen Kontrolle über den Aufgabenstatus der aus den Compliance-Anforderungen resultierender Regeln. Bis zu hunderte Risikomanager und Aufgabenbeteiligte müssen in größeren Organisationen aktiv am Compliance-Management mitwirken, dadurch sind hohe Abstimmungsaufwände aller Beteiligten eine zusätzliche Hürde.

Die Auswirkungen rechtlicher oder normativer Anpassungen auf Prozesse, Regeln, Maßnahmen oder Nachweise können schwer oder nicht erkannt und so nicht behandelt werden. Es fehlt eine integrative Betrachtung aller Compliance-Felder. Zudem wird das vorhandene Compliance-Management-System aufwendig und weitgehend manuell aufgebaut und besteht oft aus voneinander entkoppelten Dokumenten und Tools. Verantwortliche haben kaum eine Chance, den Überblick zu behalten.

Welche konkreten Maßnahmen lassen sich aus den genannten Herausforderungen ableiten?

Datenschutz- und Informationssicherheits-Audits auf Basis ISO 27001 oder BSI-Grundschutz sorgen für Übersicht über alle Compliance-Risiken in der Informationssicherheit und sind die Grundlage für erforderliche Tätigkeiten. Audits sind auch im Datenschutz und anderen Compliance-Feldern sinnvoll.

Sorgen Sie für den Aufbau der Informationssicherheitsorganisation und bestellen Sie einen Informationssicherheitsbeauftragten, der Aufgaben und Verantwortlichkeiten nachhaltig koordiniert.

Der bestellte Informationssicherheitsbeauftragte ist verantwortlich für die Projektierung und Kontrolle der Aufgabenumsetzung, insbesondere für die folgenden Bereiche:

• Risiko-Management-System

• Asset-Management-System auf Basis von Schutzbedarfen

• Umsetzung eines Notfall-Konzeptes und Business-Continuity-Managements

• Umsetzung von notwendigen Richtlinien und Schulungen.

Compliance ist ein Wettbewerbsvorteil und zunehmend gesetzlich gefordert. Der Einsatz eines ComplianceManagement-Systems in KRITIS-Unternehmen ist eine strategische Entscheidung in allen Wirtschaftsbereichen. Die Investition in eine digitale und integrierte Compliance-Lösung fördert die Rechtssicherheit und senkt Haftungsrisiken für das Management, ermöglicht kollaborative Zusammenarbeit mit Beauftragten in Compliance-Feldern wie Datenschutz oder Informationssicherheit und unterstützt Mitarbeiter bei der transparenten Einhaltung von Compliance-Richtlinien.

www.robin-data.io