Governance und Compliance haben Hochkonjunktur. Allerdings haben viele Verantwortliche keine genaue Vorstellung, was tatsächlich hinter den Begriffen steckt. Das Ziel einer adäquaten und gelebten Compliance-Organisation beinhaltet neben der Einhaltung gesetzlicher Normen – was nicht besonders neu ist – jedoch auch unternehmensdefinierte Vorgaben (etwa einen "Code of Conduct"), um dadurch Haftungsansprüche oder andere Rechtsnachteile für das Unternehmen, seine Organe und Mitarbeiter zu reduzieren bzw. zu vermeiden. Compliance verlangt daher auch die Einrichtung eines adäquaten Risikomanagements. Ein effizientes Risiko- und Compliancemanagement dient primär der Prävention von Schadensfällen bzw. der Schadensbegrenzung.
Bei Kapitalgesellschaften nach deutschem Recht (Gesellschaft mit beschränkter Haftung, Aktiengesellschaft, Kommanditgesellschaft auf Aktien) ist diese Verpflichtung bereits Ausfluss der allgemeinen Sorgfaltspflicht der jeweils für die Geschäftsführung verantwortlichen Manager, wonach diese alles zu tun bzw. zu unterlassen haben, um Schaden von der Gesellschaft abzuwenden.
Insbesondere im Bereich der Informationstechnologie wurden in den vergangen Jahrzehnten eine Reihe von Sicherheits- und Risikomanagement-Methoden und -Prozesse eingeführt, um die Risiken im Bereich der Informations- und Kommunikationstechnologie zu managen. Die Autoren weisen darauf hin, dass die Haltung und Mobilität von Daten erfordert, dass der Schutz dieser Daten und ihrer Kommunikationswege über die vergangenen Jahre eine immer höhere Bedeutung erlangt hat. Aus verschiedenen Rechtsvorschriften lassen sich Handlungsverpflichtungen für Unternehmenslenker ableiten, wenn sie der Sicherheit ihrer Informations- und Kommunikationstechnologie nicht die notwendige Aufmerksamkeit und Fürsorge widmen.
Das Buch ist in insgesamt 11 Kapitel gegliedert. Nach zwei einführenden Kapiteln in die Welt der IT-Sicherheit in Unternehmen skizzieren die Autoren im dritten Kapitel die Grundlagen von CobiT (Control Objectives for Information and Related Technology) und BSI als Leitschnur für die IT-Sicherheit. CobiT ist ein international anerkanntes Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives. Das Rahmenwerk ist in starker Anlehnung an COSO erstellt worden, um die Integration der IT-Governance in die Corporate Governance zu ermöglichen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hingegen ist die zentrale Zertifizierungsstelle für die Sicherheit von IT-Systemen in Deutschland (Computer- und Datensicherheit, Datenschutz) und Herausgeber diverser Regelwerke und Standards im Bereich IT-Sicherheit. Im anschließenden vierten Kapitel skizzieren die Autoren den Aufbau einer IT-Sicherheits-Policy. Den Regelungszielen von CobiT zum Schutz von Daten sowie der Struktur einer Datenschutz-Richtlinie widmet sich Kapitel 5. Das Sicherheitsmanagement basierend auf CobiT und die Inhalte einer Richtlinie zum Sicherheitsmanagement steht im Zentrum des sechsten Kapitels. Das achte und neunte Kapitel konzentrieren sich auf einen Vorschlag für eine Richtlinie zum sicheren IT-Betrieb sowie eine Richtlinie zu IT-Systemen. Mit der Verankerung der IT-Sicherheit in der Organisation setzt sich das anschließende neunte Kapitel auseinander. Die Umsetzung einer Service-Management-Richtlinie sowie einer IT-Continuity-Richtlinie steht im Fokus der abschließenden beiden Kapitel.
Insgesamt schrecken die Textwüsten im Buch den Leser ab. Bei einer Neuauflage sollten die Autoren darüber nachdenken, dass sie das Buch mit Hilfe von Abbildungen und Tabellen leserfreundlicher gestalten. Auch der Index ist in der praktischen Arbeit keine Hilfe. Was nützt es dem Leser, wenn er unter dem Begriff "Dokumentation" insgesamt 26 Fundstellen entdeckt? Leser, die einige Themenausschnitte vertiefen möchten, werden Literaturhinweise vermissen. Dies ist erstaunlich, da die Literatur in den Bereichen IT-Sicherheit, IT-Recht, CobiT und IT-Compliance umfangreich und entwickelt ist. Für die Leser, die ein IT-Sicherheitskonzept basierend auf CobiT umsetzen möchten, kann das Buch als Begleitlektüre zum CobiT- Framework eine Unterstützung darstellen. Leser, die tiefer in die Methodenwelt des IT-Risikomanagement und der IT-Compliance einsteigen möchten, sollten auf Veröffentlichungen zurückgreifen, die das Thema nicht nur der Perspektive von Richtlinien und Standards betrachten. Wichtiger als das Schreiben von Richtlinien ist schließlich, dass IT-Sicherheit und IT-Compliance im Unternehmen gelebt wird.
Rezension von Frank Romeike