Compliance (IT-Sicherheits-Compliance)

IT-Sicherheits-Compliance ist die Gesamtheit aller Aktivitäten, die sicherstellen, dass ein Unternehmen die für es geltenden Sicherheitsanforderungen erfüllt und dies nachweisen kann. Wichtig: Compliance ist der Mindeststandard - Sicherheit geht darüber hinaus.

Das Compliance-Universum für deutsche Unternehmen

Übersicht der relevanten Anforderungen (2026):

ALLE Unternehmen in der EU:
  DSGVO (seit Mai 2018):
    → Datenschutz personenbezogener Daten
    → Art. 32: Technische und organisatorische Maßnahmen (TOMs)
    → Bußgelder: bis 4% des weltweiten Jahresumsatzes
    → Meldepflicht: Datenpannen binnen 72h an Aufsichtsbehörde

BESTIMMTE Sektoren / Unternehmenstypen:
  NIS2 (seit Oktober 2024):
    → "Wichtige" und "wesentliche" Einrichtungen
    → Sektoren: Energie, Transport, Gesundheit, Wasser, IKT, Finanzen, etc.
    → Auch: mittelgroße Unternehmen ab 50 MA / 10 Mio. EUR Umsatz
    → Maßnahmen: Risikomanagement, Incident Response, Meldepflichten
    → Bußgelder: bis 10 Mio. EUR (wesentlich) / 7 Mio. EUR (wichtig)

  KRITIS (BSI-Gesetz):
    → Betreiber kritischer Infrastrukturen (Schwellenwerte je Sektor)
    → Alle 2 Jahre: Sicherheitsaudit beim BSI
    → Mindeststandards: ISMS, Meldepflichten, Redundanz

BRANCHENSPEZIFISCH:
  Finanzsektor:
    BAIT (Banken): IT-Anforderungen für Kreditinstitute
    VAIT (Versicherungen): Versicherungsaufsichtliche Anforderungen
    DORA (ab 2025): Digital Operational Resilience Act (EU, Finanzsektor)
    PCI DSS:  Kreditkarten-Verarbeitung (international)

  Gesundheitswesen:
    SGB V / KRITIS: Krankenhäuser ab 30.000 vollstationäre Fälle
    DiGAV / PDSG: Digitale Gesundheitsanwendungen

  Automotive:
    TISAX: Informationssicherheit in der Automobilzulieferkette
    UN R155/R156: Cybersecurity für Fahrzeuge

  US-Markt / International:
    SOC 2 Type II: US-Markt, SaaS-Anbieter
    ISO 27001:    International anerkannte Zertifizierung

Compliance vs. Sicherheit - der wichtige Unterschied

Compliance ist kein Sicherheitsgarant:

Compliance-Fallstrick:
  Unternehmen besteht ISO-27001-Zertifizierungsaudit ✓
  Unternehmen wird 3 Monate später gehackt          ← trotzdem!

Warum?
  → Compliance prüft Prozesse und Dokumentation
  → Audit: "Haben Sie eine Passwort-Policy?" → "Ja" → Haken
  → Audit prüft NICHT: sind die Passwörter tatsächlich stark?
  → Audit prüft NICHT: wird die Policy gelebt?
  → Audit prüft NICHT: gibt es unbekannte Sicherheitslücken?

Compliance ist also:
  ✓ Mindestanforderung
  ✓ Beweis für Grundhygiene
  ✓ Pflicht für regulierte Branchen
  ✓ Vertrauen gegenüber Kunden/Partnern
  ✗ Kein Schutz vor gezielten Angriffen
  ✗ Kein Ersatz für regelmäßige Sicherheitstests
  ✗ Kein Ersatz für aktives Monitoring

Empfehlung:
  Compliance als Basis → Penetrationstests als Realitätscheck
  Beide zusammen: dokumentierter Prozess + praktische Überprüfung

Control-Mapping - Eine Maßnahme für mehrere Anforderungen

Effizienz durch integriertes Compliance-Management:

Beispiel: Multi-Faktor-Authentifizierung (MFA)

ISO 27001:2022 A.8.5:  "Gesicherte Authentifizierung"    ✓
DSGVO Art. 32:          "Geeignete technische Maßnahmen"  ✓
NIS2 Art. 21(2)(i):     "Multi-Faktor-Authentifizierung"  ✓
KRITIS/BSI:             Empfohlen in IT-Grundschutz        ✓
PCI DSS v4 Req. 8.4:   MFA für alle Administratoren       ✓

→ Eine MFA-Implementierung erfüllt 5 verschiedene Anforderungen!
→ Kein doppelter Aufwand wenn Mapping dokumentiert

Weitere Beispiele:
  Patch-Management:
    → ISO 27001 A.8.8 + NIS2 + BSI + DSGVO Art. 32
  Backup und Recovery:
    → ISO 27001 A.8.13 + NIS2 + BSI CON.3 + DSGVO (Verfügbarkeit)
  Incident Response:
    → ISO 27001 A.5.26 + NIS2 Meldepflicht + DSGVO 72h-Frist
  Mitarbeiterschulung:
    → ISO 27001 A.6.3 + NIS2 + BSI ORP.3 + DSGVO Nachweispflicht

Tool-Unterstützung für Control-Mapping:
  → verinice (Open Source): BSI + ISO 27001
  → ServiceNow GRC: beliebige Frameworks mappbar
  → Excel/Confluence: manuell, aber kostenlos
  → AWARE7-Empfehlung: Anfang mit Excel, dann skalieren

Compliance-Audit vorbereiten

Audit-Vorbereitung Checkliste (ISO 27001):

6 Monate vorher:
  □ Gap-Analyse: was fehlt noch?
  □ Alle Policies aktuell und vom Management unterschrieben?
  □ Risikoanalyse aktualisiert?
  □ Letztes internes Audit durchgeführt?
  □ Management Review dokumentiert?

3 Monate vorher:
  □ Alle kritischen Findings aus internem Audit behoben?
  □ Schulungsnachweis für alle Mitarbeiter?
  □ Asset-Inventar aktuell?
  □ Supplier/Lieferantenbewertung abgeschlossen?

1 Monat vorher:
  □ Alle Dokumente in aktueller Version verfügbar?
  □ Testimonials von Mitarbeitern vorbereitet?
  □ Technische Kontrollen verifiziert (funktioniert Backup-Restore?)
  □ Alle offenen Sicherheitsvulnerabilitäten adressiert?

Audit-Woche:
  □ Ansprechpartner verfügbar halten
  □ Systemzugänge für Auditor vorbereitet
  □ Ruhiger Raum für Auditor
  □ Nicht Dokumente "schnell noch anpassen" - zu spät!

Häufige Audit-Findings:
  → Keine regelmäßigen Backuptests dokumentiert
  → Policy älter als 12 Monate ohne Review
  → Fehlende Asset-Klassifizierung
  → Penetrationstest nicht innerhalb letzter 12 Monate
  → Mitarbeiter-Schulung nicht für alle nachgewiesen