Mit welchen Herausforderungen sind Unternehmen heute am meisten konfrontiert? Handelt es sich um die Anfälligkeit der Lieferkette? Um intensive Konkurrenz? Enge Liquidität? Oder ist es der anhaltende und sogar stetig wachsende Sturm von Cyberangriffen?
Vieles deutet darauf hin, dass letzteres oft der Fall ist. Die Bedrohungen im digitalen Raum steigen permanent und zwingen Organisationen jeglicher Größe ausnahmslos dazu, ihre Cybersicherheit zu verstärken.
Auch Regierungen und Aufsichtsbehörden haben ihre Bedeutung erkannt, insbesondere bei Unternehmen in Sektoren, die entscheidend für die nationale Infrastruktur eines Landes sind. Das Ergebnis? Ein wachsendes Bündel von Compliance-Anforderungen, die komplex wirken, aber unerlässlich für die nationale Sicherheit und den reibungslosen Ablauf im Land sind.
Formen der Compliance
Zunächst müssen wir zwischen zwei Arten von Compliance unterscheiden – verpflichtend und freiwillig. Jede dieser Formen bringt spezifische Anforderungen mit sich.
Verpflichtende Compliance umfasst Regelungen, die von staatlichen oder staatlich nahestehenden Institutionen durchgesetzt werden. Sie zielen auf Unternehmen und Verwaltungen ab, die in kritischen Infrastrukturbereichen wie Gesundheitswesen, Transport und Energie tätig sind. Beispiel: Ein Unternehmen, das in Deutschland mit Patientendaten arbeitet, muss sich an die Datenschutz-Grundverordnung (DSGVO) sowie an zusätzliche nationale Vorgaben wie das Bundesdatenschutzgesetz (BDSG) halten.
Freiwillige Compliance hingegen bedeutet, dass sich Unternehmen für bestimmte Zertifizierungen und Standards bewerben können, die ihre Expertise in einem speziellen Bereich ausweisen oder ihre Produkte als entsprechend konform kennzeichnen. Ein Unternehmen, das Umweltverantwortung demonstrieren möchte, kann beispielsweise die ISO-14001-Zertifizierung anstreben, die sein Engagement für umweltfreundliche Praktiken belegt.
Allerdings sollte jede Organisation erkennen, dass Compliance kein einmaliger Aufwand ist. Jeder Standard oder jedes weitere „Compliance-Element“ erfordert zusätzliche Ressourcen, da diese Prozesse ständige Überwachung und Budgetzuweisungen benötigen (selbst ISO-Zertifizierungen müssen regelmäßig erneuert werden).
Cybersecurity-Compliance - nicht nur für Sicherheitsanbieter
Ein Unternehmen, das die verpflichtende Compliance ignoriert, läuft Gefahr, hohe Geldstrafen zahlen zu müssen. Vorfälle wie Datenlecks oder Ransomware-Angriffe verursachen von sich aus meist hohe Kosten. Versäumnisse bei vorgeschriebenen Sicherheitsmaßnahmen können die Rechnung buchstäblich durch die Decke gehen lassen.
Welche Cybersicherheitsanforderungen ein Unternehmen erfüllen muss, hängt von der jeweiligen Branche ab. Und auch davon, wie kritisch die Sicherheit der internen Daten in Bezug auf den Datenschutz, die Datensicherheit oder Gesetze zur kritischen Infrastruktur ist. Zudem sind viele regulatorische Anforderungen und Zertifizierungen regional unterschiedlich.
Auch die Art der Kunden, Klienten oder Partner, die ein Unternehmen anziehen möchte, kann spezifische Zertifizierungen erforderlich machen. Ein Beispiel: Ein Unternehmen, das mit öffentlichen Stellen oder kritischen Infrastrukturen zusammenarbeitet, muss möglicherweise den BSI IT-Grundschutz nachweisen, um die Erfüllung der deutschen Sicherheitsanforderungen zu belegen und das Vertrauen in die Sicherheitsvorkehrungen zu stärken.
Compliance sollte grundsätzlich in die strategische Ausrichtung jedes Unternehmens integriert sein. Da die regulatorischen Anforderungen in Zukunft weiter steigen werden, fällt es gut vorbereiteten Unternehmen leichter, sich diesen anzupassen. Die kontinuierliche Messung der Compliance kann außerdem dazu beitragen, Ressourcen zu sparen und das langfristige Wachstum des Unternehmens zu unterstützen.
Wichtige Gesetze und Rahmenwerke zur Cybersicherheit
Betrachten wir nun einige der wichtigsten regulatorischen Rahmenwerke und Standards im Bereich Cybersicherheit:
- Health Insurance Portability and Accountability Act (HIPAA)
Dieses Gesetz regelt den Umgang mit Patientendaten in Krankenhäusern und anderen Gesundheitseinrichtungen. Es beinhaltet Standards zum Schutz vertraulicher Gesundheitsdaten und verlangt von den Einrichtungen, physische und elektronische Schutzmaßnahmen umzusetzen.
- Rahmenwerk des Nationalen Instituts für Standards und Technologie (NIST)
Das NIST, eine Behörde des US-Handelsministeriums, entwickelt Standards und Richtlinien für zahlreiche Sektoren, einschließlich der Cybersecurity. Es definiert Richtlinien, die als Grundlage für die organisatorische Sicherheit dienen, und ermöglicht Unternehmen, ihre Cybersicherheit besser zu managen. Ein Beispiel ist das NIST Cybersecurity Framework 2.0, das umfassende Anleitungen für Unternehmen aller Größen und Sicherheitsstufen enthält.
- Payment Card Industry Data Security Standard (PCI DSS)
PCI DSS ist ein Sicherheitsstandard für die Handhabung von Kreditkartendaten und zielt darauf ab, das Betrugsrisiko im Zahlungsverkehr zu minimieren. Er gilt für alle Unternehmen, die Kartendaten verarbeiten, seien es Geschäfte, Banken oder Dienstleister.
- Richtlinie zur Netz- und Informationssicherheit (NIS2)
Diese Richtlinie stärkt die Cyber-Resilienz kritischer Einrichtungen in der Europäischen Union, indem sie strengere Sicherheitsanforderungen und Risikomanagement-Praktiken vorschreibt. Die NIS2-Richtlinie führt neue Meldepflichten bei Vorfällen und Strafen für die Nichteinhaltung ein.
- Datenschutzgrundverordnung (DSGVO)
Die DSGVO ist eine der strengsten Datenschutzvorschriften weltweit und konzentriert sich auf den Schutz der Privatsphäre von EU-Bürgern. Sie gibt ihnen Kontrolle über ihre Daten und verpflichtet Unternehmen zur sicheren Speicherung sowie zur Meldung von Datenschutzverletzungen.
Es existieren weitere sowohl branchenspezifische als auch allgemeine regulatorische Rahmenwerke, und jedes bringt seine eigenen Anforderungen mit. Die Einhaltung eines Standards garantiert nicht, dass ein Unternehmen nicht gegen andere Vorschriften verstößt. Daher sollten Unternehmen im eigenen Interesse die für ihren Betrieb geltenden Vorschriften genau kennen und einhalten.
Kostspielige Nichteinhaltung
Was geschieht, wenn Unternehmen die Einhaltung von Compliance-Vorgaben vernachlässigen? Wie bereits erwähnt, führen bestimmte Vorschriften zu erheblichen Strafen.
Ein Verstoß gegen die DSGVO kann beispielsweise mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes eines Unternehmens geahndet werden, wenn eine Verletzung weder den Aufsichtsbehörden noch den betroffenen Personen gemeldet wird. Aufsichtsbehörden können zudem zusätzliche Strafen für unzureichende Sicherheitsmaßnahmen verhängen, was die Kosten weiter erhöht.
In den USA kann die Nichteinhaltung von FISMA zu einer Kürzung staatlicher Fördermittel, Kongressanhörungen, Tadel und dem Verlust zukünftiger Verträge führen. Ähnlich verhält es sich mit Verstößen gegen die HIPAA-Bestimmungen, die jährliche Geldstrafen von bis zu 1,5 Millionen USD und sogar Haftstrafen von bis zu zehn Jahren nach sich ziehen können. Es steht also nicht nur das finanzielle Wohl auf dem Spiel.
Insgesamt ist es besser, auf Nummer sicher zu gehen und die für die eigene Branche spezifischen Cybersicherheitsvorschriften stets im Blick zu behalten. Compliance sollte nicht als zusätzliche, vermeidbare Ausgabe betrachtet werden, sondern als regelmäßige und essenzielle Investition. Gerade bei verpflichtenden Standards kann eine Vernachlässigung das Unternehmen schnell in existenzielle Gefahr bringen und letztlich auch den Geschäftsbetrieb vollständig gefährden.