Buchbesprechung

Die wachsende Bedeutung von Anforderungen, Regeln und unterschiedlichen Erwartungen von Stakeholdern machen auch vor der IT nicht halt. In den letzten Jahren hat sich daher neben Informationssicherheit und Risikomanagement IT-Compliance als weiteres Managementsystem zur Steuerung der IT etabliert. Michael Rath und Rainer Sponholz legen mit der 3. Auflage des Buches "IT-Compliance - Erfolgreiches Management regulatorischer Anforderungen" ein aktualisiertes Grundlagenwerk vor, das die verschiedenen Aspekte der IT-Compliance von der Motivation über die Regulatorik bis zur Organisation von IT-Compliance und die verschiedenen Werkzeuge zu deren Unterstützung behandelt. Die verschiedenen Aspekte der IT-Compliance werden in 13 Kapiteln dargestellt, die das Themenspektrum von IT- Compliance breit abdecken.

Eine Besonderheit des Buches ist die enge Verknüpfung des Begriffs IT-Compliance mit der Informationssicherheit. In einem so bezeichneten GRC-Wirkungsmodell binden die Autoren IT-Compliance-Anforderungen als Risikofaktor in den Kontext von Bedrohungen und Schwachstellen ein, denen durch Maßnahmen zur Gewährleistung der Ziele der Informationssicherheit (Vertraulichkeit, Verfügbarkeit, Integrität) begegnet werden muss. Regulatorische Anforderungen werden in diesem Zusammenhang durch "Pflichtschutzmaßnahmen" adressiert. Dieser Ansatz verkennt aber, dass IT-Compliance nicht nur Anforderungen an die IT-Systeme eines Unternehmens im engeren Sinne (IT-Infra struktur, Netzwerke, IT-Anwendungen) bzw. technische und organisatorische Maßnahmen der Unternehmens-IT umfasst, sondern auch Anforderungen außerhalb der Informationssicherheit wie handels- und steuerrechtliche Buchführungsvorschriften, Anforderungen an ethische Werte der Unternehmensführung oder eine z. B. den aufsichtlichen Vorgaben genügende Compliance-Organisation. Allerdings greifen die Autoren die genannten Aspekte in anderen Kapiteln auf; somit relativiert sich der enge Bezug zwischen IT-Compliance und Informationssicherheit im Verlauf der weiteren Darstellung.

Im Unterschied zu anderen Definitionen ist IT-Compliance in der Definition von Rath/Sponholz nicht nur auf die Kenntnisnahme und Befolgung regulatorischer und sonstiger Anforderungen beschränkt, sondern bezieht die prozessuale Abbildung von IT-Compliance, die Schaffung von Awareness und die Dokumentation und Prüfung des Compliance-Systems ausdrücklich mit ein. Dies ist zu begrüßen, erweitert es doch die Sicht auf IT-Compliance als wesentlichen Bestandteil der betrieblichen Steuerungsinstrumente. Allerdings werden die maßgebenden Rahmenwerke und Standards, die zur Gestaltung eines Compliance-Management-Systems herangezogen werden können (z. B. ISO 19600, IDW PS 980), nur genannt und nicht erläutert. Hier lassen die DIN ISO 37301 (als Nachfolger der ISO 19600) und der überarbeitete PS 980 Raum für eine Berücksichtigung in einer kommenden Auflage.

Ausgehend von der oben genannten Begrifflichkeit erklärt sich auch die Schwerpunktsetzung des Buches auf IT-Compliance-Organisation anstelle einer um fassenden Darstellung der für IT-Compliance relevanten Regulatorik, Standards und Rahmenwerke. Dieser Zielsetzung steht nicht entgegen, dass die Autoren den Aspekten von IT- Compliance in der ISO 217001 und COBIT ein besonderes Kapitel gewidmet haben. Auch der Betrachtung der Kosten von IT-Compliance widmen die Autoren ein eigenes Kapitel. Zutreffend wird darauf hingewiesen, dass alle Rentabilitätskennziffern unter dem Vorbehalt stehen, dass der monetäre Nutzen von Compliance-Maßnahmen in der Praxis zumeist nur geschätzt werden kann.

Das Buch ist nicht nur geeignet, einen Überblick über die verschiedenen Facetten von IT-Compliance zu geben, sondern zeichnet sich auch durch eine Vielzahl von praktischen Beispielen aus. Dem Praktiker kann das Buch daher ebenfalls wertvolle Hinweise bei der Verankerung der Compliance-Funktion im Unternehmen und der Implementierung eines Compliance-Prozesses geben.

Die Beispiele werden ergänzt durch einen umfangreichen Anhang, bestehend aus einer Liste von Internet-Links zu Compliance-Themen, einer Wiedergabe von internationalen IT-Compliance-Anforderungen gemäß Unified Compliance Framework (UCF), einem beispielhaften Mapping von ISO 27001 auf die BAIT und dem Quellenverzeichnis.

Die umfassende Erläuterung der Facetten von IT-Compliance und deren Ergänzung um praktische Beispiele empfehlen das Buch von Rath/Sponholz nicht nur für Studierende, sondern auch dem Praktiker bei der Suche nach Handreichungen und Vorschlägen bei der Implementierung von IT-Compliance in der Unternehmens-IT.

Dr. Martin Fröhlich

IT-Compliance Solutions
info [at] martin-froehlich [dot] de

Zum Inhaltsverzeichnis