An der zweiten Computerworld-Breakfast-Session vom 6. Juni ging es um das Thema IT-Compliance. Der Referent Marc Roggli von der Firma flexera brainwaregroup, welche die Breakfast Session ermöglichte, hielt einen Vortrag zum Thema. Er lebe Compliance schon seit 20 Jahren. Zuerst einige Jahre als Kunde und später dann auf der "anderen" Seite als Berater. Wichtig für ihn ist: «Compliance muss umgesetzt werden. Die Grundlagen dafür müssen vorher geschafft werden.»

Sein Referat startet Roggli mit diesem Zitat von Molière: Wir sind nicht nur verantwortlich für das, was wir tun, sondern auch für das, was wir nicht tun.

Danach präsentierte er verschiedene Definitionen von Compliance, was die Komplexität des Themas weiter verdeutlichte. Anhand von Beispielen zeigt er dann, wo einem im Unternehmen überall Compliance begegnen kann. Zu finden ist sie in den Bereichen Geschäftsleitung, Richtlinien, Governance, Standards, Regeln, Prozesse, Transparenz und Gesetz. Zu alle diesen Bereichen machte Roggli konkrete Beispiele. So sollte in den Richtlinien unter anderem bestimmt werden, was die Mitarbeitenden mit dem Firmengerät machen dürfen. Soll es ihnen erlaubt sein, selber Software zu installieren? Als sehr wichtig erachtet der Referent die Transparenz. Sie zeigt auf, welche Assets ein Unternehmen besitzt. An zwei Beispielen zeigte Roggli später, was die Kenntnis der Assets für Auswirkungen – positive aber auch negative - haben kann.

Es kommt in Firmen immer wieder zu Compliance-Verstössen. Eine Studie aus Deutschland zeigt erschreckende Zahlen. Bei den Verstössen handelt es sich zu 89 Prozent um Korruption, zu 69 Prozent um Wettbewerbsdelikte, zu 70 Prozent um Veruntreuung und Diebstahl und zu 66 Prozent um Datenschutzverstösse. Roggli nannte das Beispiel einer grossen Schweizer Firma, welche das Problem hatte, dass sehr viel vertrauliche Information auf den verschiedensten Wegen das Unternehmen verliess.

Am zwei Praxisbeispielen zeigte Roggli, was gute und auch schlechte Compliance für Auswirkungen haben kann.

Im Negativbeispiel ging es um eine grosse Firma, die neue Hardware beschaffen wollte. Die IT-Abteilung gab die Anforderungen an die Hardware vor und schätze, wieviel Hardware ersetzt werden muss. Die Compliance offenbarte dann eine Unsicherheit über die vorhandene Hardware sowie auch Unklarheit über den Status und die Lifecycles der Hardware. Eine Nachforschung durch Flexera-Brainware zeigte, dass aufgrund der mangelnden Asset-Kenntnis 600 Systeme nicht in der Planung berücksichtigt waren. Das hätte nicht geplante Mehrkosten mit sich gebracht und hat schlussendlich dazu geführt, dass die Firma das Vorhaben abbrechen musste.

Im positiven Beispiel ging es um die Neuaushandlung eines Software-Lizenzvertrags. Eine Firma hatte 3000 Lizenzen für eine Mindmapsoftware. Es sollte nun herausgefunden, ob man überhaupt so viele Lizenzen benötigt. Die Compliance durch die Firma hat dann gezeigt, dass nur 1800 Exemplare der Software überhaupt installiert worden sind. Weiter wurde ermittelt, dass in den letzten 90 Tagen 1400 Benutzer die Software nicht ausgeführt hatten. Der Compliance Manager der Firma kam schlussendlich zur Erkenntnis, dass bloss 320 Lizenzen wirklich gebraucht werden. Die nicht gebrauchten Lizenzen wurden deinstalliert und die Neuverhandlungen des Lizenzvertrags war erfolgreich. Es wurden jährliche Einsparungen im mittelhohen sechsstelligen Bereich erzielt. Dies weil die Firma durch ihre genauen Assetdaten zeigen konnte, wie viele Lizenzen denn wirklich gebraucht werden.

Marc Roggli hat dann aus dem positivem und negativem Praxisbeispiel das folgende Fazit abgeleitet:

Die neue EU-Datenschutzverordnung (DSGVO) hat natürlich auch Auswirkungen auf die IT-Compliance. Deshalb ist Roggli aus aktuellen Anlass in seinem Referat auch darauf eingegangen. Seine Firma Flexera-Brainware hat darauf reagiert und unterstützt die DSGVO mittels verschiedener Massnahmen in ihren Produkten. So wird die Sicherheit von personenbezogenen Daten über Berichtigungskonzepte und der Trennung personenbezogener Daten von sonstigen Prozessdaten sichergestellt. Weiter können Änderungen an personenbezogenen Daten über Änderungsprotokolle eingesehen werden, für die separate Berichtigungen erteilt werden können. Ausserdem sind laut Roogli zusätzliche, geeignete technische und organisatorische Massnahmen auch kundenseitig zu treffen. Sein Fazit lautet: Compliance ist Datenschutz! Er empfiehlt Firmen bei Fragen zum Datenschutz im Unternehmen auf spezialisierte Firmen in diesem Bereich zuzugehen.

Am Ende seiner Ausführungen präsentiert Roggli die Findings: «Durch Compliance können Kosten gesenkt werden und die Transparenz erhöht werden.» Danach stellte er sich den diversen Fragen der Teilnehmer an der Computerworld Breakfast Session. Da ging es dann um Themen wie Cloud-Dienste, Bring your own Device sowie Infrastruktur-Provider.