Textversion
Wer bietet was Recht Markt Produkte Services Whitepapers Fachartikel Compliance-Kiosk Schwerpunkte Branchen Videothek Schulungen Literatur Governance Webinare Compliance-Lexikon Success Stories Specials Security-Telegramm SaaS / Cloud-Telegramm Compliance-Archiv
Home Fachartikel Hintergrund

Fachartikel


Administration Entscheidungshilfen Hintergrund Kosten Management Recht

Events / Veranstaltungen Datenschutzerklärung Newsletter Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

Leitlinien für ITIL-Strategien


An Compliance-Anforderungen denken: SOX, Basel II oder Risikomanagement lassen sich in einer Prozess-organisierten IT transparenter darstellen und besser steuern
Herausforderungen für die Praxis liegen insbesondere in der Business-Orientierung, Standardisierung der IT-Prozesse sowie im Benchmarking

Anzeige

(16.01.08) - Etwas abseits der öffentlichen Diskussion hat im letzten Jahr das Thema ITIL einen deutlichen Aufschwung erfahren. Nach einer Erhebung von exagon consulting richteten drei von fünf Unternehmen ein großes bis sehr großes Augenmerk auf die Verbesserung ihres IT Service Managements (ITSM).

"Lange Zeit waren die IT-Services ein Stiefkind, weil sie nicht den Glanz innovativer Technologien hatten", urteilt exagon-Geschäftsführer Joachim Fremmer. "Allerdings können Unternehmen dabei vielfach nicht auf etablierte methodische Vorgehensweisen zurückgreifen, weil sie sich erst in letzter Zeit verstärkt diesem Thema widmen", weiß er aus seiner Beratungserfahrung. Fremmer hat deshalb die wesentlichen Leitlinien für ITIL-Strategien definiert:

Der Nucleus ist die Ausrichtung auf den Mehrwert für das Business und kann nicht aus der Service-Strategie selbst abgeleitet werden:
Es gilt, in den ITIL-Konzepten eine sehr enge Verzahnung mit den marktnahen und wettbewerbsrelevanten Business-Prozessen konsequent abzubilden. Diese Ausrichtung ist zwar auch ein Kernelement der neuen Version des Regelwerks, wurde aber in ITIL 3 nicht konsistent vollzogen. Deshalb können sich die Unternehmen nicht allein darauf stützen und müssen das Modell eigenständig nach den individuellen Bedürfnissen fortentwickeln.

Die Nachhaltigkeit der strategischen Ziele durch den Blick auf die Zukunft sicherstellen:
Es gilt heute bereits zu berücksichtigen, was morgen an Anforderungen auf das Unternehmen zukommt. Dafür müssen die Projektverantwortlichen nicht in die Glaskugel schauen, sondern ein Auge auf die fachliche Diskussion zu den zukünftigen Entwicklungen werfen. Hierbei spielt insbesondere die Industrialisierung der IT eine wesentliche Rolle, weil sie zu einer noch stärkeren Fokussierung auf die IT-Prozesse führt.

Auf eine Standardisierung der IT-Prozesse ausrichten:
Nach der Etablierung der Standardsysteme wird es zur Standardisierung der IT-Prozesse kommen, deshalb müssen die ITSM-Strategien so angelegt sein, dass die IT-Prozesse von ihrem zumeist individuellen Charakter befreit werden. Sowohl die dadurch gewonnenen Effizienz- als auch die Kostenersparnispotenziale sind enorm, weil beispielsweise die personellen Ressourcen rationeller eingesetzt, die Fehlerquote verringert und die Verfügbarkeit der IT-Systeme am Arbeitsplatz der Mitarbeiter gesteigert werden können.

So viel Aufwand wie nötig, so schlank wie möglich:
Mit Zugriff auf Referenzmodelle für die IT-Prozesse lässt sich das IT Service Management prinzipiell schlanker und wirtschaftlicher gestalten. Sie können über entsprechende Tools wie etwa den SelfCheck von Exagon abgebildet werden. Für die Transformation gilt es standardisierte Vorgehensweisen zu nutzen, die mittels eines Best Practice-Ansatzes den direktesten Weg zum Ziel wählen.

Eine kontinuierliche Leistungsbewertung der IT-Prozesse konzeptionell einplanen:
Das Benchmarking mit einer Beurteilung des Reifegrades der IT-Prozesse wird immer wichtiger für die erfolgreiche Gestaltung des IT Service Managements, weil es die Optimierungspotenziale und die konkreten Handlungserfordernisse offen legt. Allerdings erfolgt eine solche Bewertung in der Praxis erst relativ selten, was einerseits an einem geringen Angebot entsprechender Tools und andererseits an unzureichend ausgebildeten Qualitätsstrategien liegt.

Durch Beraterunterstützung keine fachlichen Abhängigkeiten entstehen lassen:
Es sind für das ITIL-basierte IT Service Management nicht nur intelligente Lösungskonzepte zu entwickeln, sondern es müssen auch gleichzeitig breite Methodenkompetenzen aufgebaut und in den internen Ressourcen verankert werden. Dieser Transfer nach dem Prinzip Hilfe zur Selbsthilfe ist besonders bei externer Beratungsunterstützung wichtig, da ansonsten keine fachliche Selbständigkeit und Weiterentwicklung der eigenen Mitarbeiter ermöglicht wird.

An die Compliance-Anforderungen denken:
Die in diesem Zusammenhang stehenden Themen wie SOX, Basel II oder das Risikomanagement lassen sich in einer nach Prozessgedanken organisierten IT wesentlich transparenter darstellen und besser steuern. Daraus ist abzuleiten, dass auch seitens der Compliance-Strategien der Unternehmen zwangsläufig wachsende Ansprüche an das IT Service Management gestellt werden.

Zertifizierung der IT-Prozesse vorteilhaft:
Angesichts der heute sehr vernetzten Wirtschaft hat eine Zertifizierung nach Standard ISO 20000 eine erhebliche Bedeutung für die Lieferanten- und Kundenbeziehungen, weil sie wesentliche Qualitätsmerkmale deutlich macht. Dieses Testat erzeugt ein höheres Vertrauen in die Leistungsfähigkeit und steigert dadurch die Wettbewerbsfähigkeit, insbesondere wenn die Geschäftsbeziehungen kritische Prozesse wie beispielsweise die hohe Verfügbarkeit von Produkten oder Diensten als Anforderung enthalten.
(exagon: ra)



Meldungen: Hintergrund

Fälschungen: Eine zunehmende Online-Bedrohung "If you can make it, they can fake it." Leider ist dieses Sprichwort nur allzu wahr. Der Handel mit gefälschten Waren betrifft heute fast alle Branchen und Produkte, von Luxusgütern und Technologieprodukten mit entsprechend hoher Marge bis hin zu eher margenschwachen Verbrauchsartikeln wie Batterien, Shampoo, Kraftstoff und Nahrungsmitteln. Und das Problem breitet sich aus. Nicht zuletzt, weil immer mehr gefälschte Waren hergestellt werden, und zwar vor allem in Ländern wie China, wo die Produktionskapazitäten förmlich explodieren (89 Prozent aller beschlagnahmten Fälschungen stammen von dort).

Gefahren beim Online-Banking Millionen Europäer nutzen heute Online-Banking – obwohl Umfragen zeigen, dass 85 Prozent der europäischen Verbraucher Sicherheitsbedenken bei der Nutzung von Finanzdienstleistungen im Internet haben. Dass die Bedenken begründet sind, lässt sich fast im Wochenrhythmus in den Zeitungen nachlesen: Ständig kann man Nachrichten über gestohlene Identitäten, verlorengegangene persönliche Daten und neue Betrugsversuche lesen. Dennoch bleiben die Methoden, die Cyber-Kriminelle für den Betrug im Online-Banking nutzen, für die meisten Menschen ein Buch mit sieben Siegeln.

Datendiebstahl und Informationssicherheit Weshalb ist es möglich, dass ein "Army Intelligence Analyst" mit über 250.000 Diplomatischen Datensätzen – gebrannt auf eine ganz normale CD-RW und gelabelt mit Lady Gagas Song "Telephone" – den Irakischen Stützpunkt in der Nähe von Bagdad verlassen konnte? Ein 22-jähriger Mann hat damit den wahrscheinlich größten Datendiebstahl in der amerikanischen Geschichte geschafft.

Die gravierenden Risiken der Non-Compliance 84 Prozent der deutschen Unternehmensführer betrachten Compliance, also die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien inzwischen als wichtigen Faktor für den Unternehmenserfolg. Die nicht endende Flut an "Skandalen", zuletzt in Folge der Wirtschafts- und Finanzkrise, macht die Compliance-Schadensfälle für Unternehmen zur Chefsache. Das sind Ergebnisse der Potenzialanalyse Compliance von Steria Mummert Consulting.

Datenschutzprinzipien zur besseren Compliance Die Zeitschrift Forbes nannte das Jahr 2009 das "Year of the Mega Data Breach". Mit 220 Millionen gestohlenen Datensätzen wird der 2008 aufgestellte Rekord von 35 Millionen um mehr als das sechsfache übertroffen. Einen großen Anteil an dieser Entwicklung tragen unsicher entwickelte Softwareapplikationen, die Datensysteme zum Selbstbedienungsladen für Kriminelle machen.

Compliance durch sicheren Umgang mit Log-Daten Zahlreiche Compliance-Vorschriften wie Health Insurance Portability and Accountability Act (HIPPA) oder Payment Card Industry Data Security Standard (PCI-DSS) fordern von Unternehmen die Sammlung und Speicherung ihrer Log-Daten. Doch den Betroffenen entstehen dadurch auch neue Möglichkeiten um beispielsweise Angriffe zu erkennen oder Fehlerursachen schneller zu finden.

Informationsaustausch in Steuersachen Im Fall des Ex-Vorstandes der Deutschen Post AG, Klaus Zumwinkel, stand bereits vor Beginn der Razzia und bei seiner Abfahrt in Polizeibegleitung das Kamerateam bereit. In der Folge hätte rechtlich geklärt werden können, ob man Steuersünder aufgrund "erst gestohlener und später gleichsam als Hehlerware weiterverkaufter Daten" überhaupt verurteilen darf. Ab dem 01.01.2010 hat sich diese Fragestellung endgültig erledigt, denn dann tritt ein Abkommen zwischen Deutschland und Liechtenstein in Kraft, welches nahezu jeden Informationsaustausch in Steuersachen sicherstellt.

E-Mail und die digitale Steuerprüfung Kaufmännische Briefe und Rechnungen werden seit über 500 Jahren auf dem Postweg verschickt. Anschließend wurden sie in Kellern oder Lagern aufbewahrt, damit sie für notwendige Zugriffe schnell verfügbar waren. Inzwischen läuft der Versand kaufmännischer Dokumente fast ausschließlich digital per E-Mail. Dies erfordert jedoch neue Strukturen für die Archivierung und Strukturierung der Daten sowie zum Nachweis, dass die Daten und Inhalte nicht verändert wurden. Denn das ist eine Grundvoraussetzung dafür, dass die Prüfbarkeit auch der digitalen Daten und Dokumente gegeben ist.

Erfassung interner und externer Mails Nach einem Urteil des Oberlandesgerichts Karlsruhe von 2005 erfüllt schon das Löschen und Ausfiltern von E-Mails den Tatbestand des Unterdrückens gemäß §206 StGB. Daher müssen Unternehmen zur Gewährleistung der Compliance sämtliche elektronischen Nachrichten im Originalformat archivieren, selbst Spam- und vireninfizierte E-Mails. Entsprechend bieten manche herkömmliche E-Mail-Archivierungssysteme nur eine unzureichende juristische Absicherung. Denn sie erfassen und speichern eingehende Mails erst, nachdem sie von Antiviren- oder Spam-Filtern aussortiert wurden. Zusätzlich können bei Systemabstürzen einzelne Mails verloren gehen, wenn sie nicht zuvor vom Archivsystem gesichert wurden.

Compliance und ECM ergänzen sich gegenseitig Die Komplexität der heutigen Compliance-Vorschriften macht es für Mitarbeiter fast unmöglich, selbst den Überblick darüber zu behalten, welche Nachrichten gespeichert werden müssen und welche nicht. Daher können Unternehmen heutzutage nicht mehr darauf verzichten, E-Mails automatisch zu sichern. Eine softwareseitige Unterstützung erleichtert nicht nur den Mitarbeitern die Arbeit, sondern gibt der Geschäftsführung Sicherheit, dass wichtige E-Mails auch wirklich aufbewahrt werden.

Druckbare Version

Compliance Management in der Praxis MiFID, SEPA und Compliance-Richtlinien