Web. 2.0 und Corporate Compliance

Web 2.0 im Unternehmenseinsatz: Standards einhalten, um die gefährliche Compliance-Lücke zu schließen
Gerade Ansprüche, die bezüglich Governance und Compliance an die IT gestellt werden, können von Anwendungen des Web 2.0 oftmals nur sehr eingeschränkt erfüllt werden

Von Peer Stemmler (*)

(03.06.09) - Auch Unternehmen können die Möglichkeiten des Web 2.0 für die Kommunikation und Zusammenarbeit in ihren virtuellen Communities nutzen. Vorhandene Lösungen entsprechen allerdings nicht professionellen Anforderungen. Web 2.0 für Unternehmen muss die Flexibilität des Web 2.0 mit der Sicherheit und Stabilität von Enterprise-Applikationen verbinden.

In der privaten Welt hat sich das Web 2.0 etabliert. Die Benutzerzahlen von Angeboten wie Youtoube, Flickr, Twitter, MySpace, Facebook, studiVZ oder auch Wikipedia liegen im zweistelligen Millionenbereich und erreichen immer neue Rekorde: Weltweit gibt es beispielsweise 100 Millionen Facebook-Nutzer: bei Flickr werden pro Minute zwischen 2000 und 3000 Bilder und auf YouTube werden jeden Tag Hunderttausende von Videos hochgeladen.

Für die herkömmliche IT ist gewöhnungsbedürftig, dass diese Welt nicht technologisch orientiert ist. Der zentrale Begriff des Web 2.0 ist die Community. Die Hauptrolle spielen hier nicht die Betreiber der Websites und ihre Technik, sondern die Benutzer, die die Inhalte des Web 2.0 weitgehend selbst erstellen und bearbeiten – die Betreiber der Websites stellen dafür lediglich eine Infrastruktur bereit. Wichtigste technische Voraussetzung für das Web 2.0 ist die durchgängige und weltweite Verfügbarkeit breitbandiger Internetzugänge. Das Web 2.0 verwendet außerdem Technologien wie RSS (Really Simple Syndication), REST (Representational State Transfer) oder AJAX (asynchrone Java und XML), also Technologien, die nicht dezidiert für die Nutzung durch das Web 2.0 entwickelt wurden.
Business-Communities

Der immense Drive, den das Web 2.0 entwickelt, hat mittlerweile auch die Unternehmen auf den Geschmack gebracht. Sie sehen Parallelen zwischen einigen Aspekten des Web 2.0 und ihren eigenen Zielen und Aufgaben. So gibt es Bereiche der Unternehmens-Kommunikation, die stark dem informellen Chatten und Bloggen ähneln – beispielsweise bei der Abstimmung von Projekten oder bei der Diskussion von Lösungsvorschlägen für Serviceanfragen.

Tatsächlich ist der Begriff der virtuellen Communitiy nicht auf private Web-Nutzer beschränkt, sondern auch für Unternehmen und Organisationen aller Art relevant. Die Mitarbeiter eines Unternehmens, seine Kunden und Geschäftspartner bilden spezifische Communities und auch diese können – über die bisherigen Formen wir E-Mail oder Web-Konferenz hinaus – mit spezifischen Methoden des Web 2.0 kommunizieren. Die Vorteile für Unternehmen liegen auf der Hand, denn die Kommunikation lässt sich so schnell, flexibel und effizient organisieren und durchführen.

Da die Software im Web 2.0 immer On-Demand zur Verfügung gestellt wird, benötigt man keine aufwändigen Applikationen und auch keinen eigenen Support; Änderungen in der Software lassen sich so ohne Roll-Out-Prozedur in kürzester Zeit umsetzen. Insbesondere aber ist das Web 2.0 überall verfügbar, jeder kann sich problemlos, von jedem Web-fähigen Endgerät, an jedem Ort der Welt einloggen und findet dort die gewünschte Plattform mit seinen jeweiligen privaten Inhalten vor.

Außerdem sind einige wichtige Bedingungen für den Einsatz des Web 2.0 im Unternehmen gegeben:

>> Da Geschäftsprozesse weitgehend durch die IT definiert werden, sind Unternehmens-Communities – beispielsweise Mitarbeiter, Kunden und Geschäftspartner – heute oft virtuell definiert. Viele Mitglieder von Arbeits- oder Projektgruppen kennen sich nur übers Web oder arbeiten per Web zusammen.

>> Unternehmensspezifische Inhalte, Arbeitsmittel und Produkte sind meist in digitaler Form verfügbar, beispielsweise Dokumente, Projektberichte oder Reports; dergleichen lässt sich leicht via Web 2.0 kommunizieren.

>> Durch die Globalisierung sind die Unternehmens-Communities weit verstreut – traditionelle Kommunikationsformen wie Kundenbesuche oder Mitarbeiterversammlungen lassen sich vor diesem Hintergrund oft nicht mehr oder nur mit sehr hohem Aufwand organisieren.

>> Mitarbeiter, Kunden und Geschäftspartner sind mit der Struktur, den Arbeitsweisen und Gepflogenheiten von Web 2.0 bereits aus ihrem privaten Umfeld vertraut. Wie die Mitarbeiter vor 20 Jahren die Einführung der von zu Hause bekannten Software – wie Wordstar und dBase – am Arbeitsplatz gefordert hatten, so wollen sie heute mit Kunden und Kollegen so einfach kommunizieren wie mit den Mitgliedern ihrer privaten Communities.

Auf dieser Grundlage haben sich auf etlichen Web 2.0-Plattformen bereits spezifische Business-Ableger gebildet: Mitarbeiter führen in eigener Regie informelle Unternehmens-Blogs und bei Facebook gibt es bereits über 20.000 "Company-Networks".
Business-Anforderungen an das Web 2.0

Web 2.0	Klassische Unternehmens-IT
Flexibilität	Compliance
Skalierbarkeit	Sicherheit
Plattformunabhängigkeit	Datenintegrität
Universelle Verfügbarkeit	Quality-of-Service
	Directory-Struktur
Entwicklungszeit für Applikationen 3 bis 6 Monate	Entwicklungszeit für Applikationen 3 bis 6 Jahre
zum Beispiel Facebook, Flickr, Youtube	zum Beispiel SAP, Oracle

Die Unternehmens-IT steht dieser Entwicklung jedoch meist mit gemischten Gefühlen gegenüber: Zum einen sieht sie durchaus die Möglichkeiten der Web-2.0-Kommunikation, deren Schnelligkeit, Flexibilität, Skalierbarkeit und Effizienz, und will diese für das Unternehmen nutzen. Zum anderen passen die Strukturen und Arbeitsweisen des an privaten Bedürfnissen ausgerichteten Web 2.0 nicht zu den Anforderungen eines Unternehmens hinsichtlich Sicherheit, Zuverlässigkeit Datenintegrität und Infrastruktur. Gerade die wachsenden Ansprüche, die bezüglich Governance und Compliance an die IT gestellt werden, können von Anwendungen des Web 2.0 wenn überhaupt, dann nur sehr eingeschränkt erfüllt werden.

>> Quality-of-Service: Auch die bei großem Benutzerandrang entstehenden Zugriffsprobleme der auf private Nutzer ausgerichteten Websites, die naturgemäß keine Quality-of-Service-Garantie geben können, sind für Unternehmen nicht hinnehmbar.

>> Sicherheit: Die von privaten Nutzern des Web 2.0 für Sicherheit und Privacy verwendeten Tools reichen für die Anforderungen und Standards von Unternehmen bei weitem nicht aus. So wurden wiederholt Sicherheitsprobleme und auch Datenverluste von Web-2.0-Plattformen bekannt. Unter privaten Web-Nutzer ist ein großzügiger und oft auch sorgloser Umgang mit ihren eigenen Daten verbreitet – bei Unternehmen aber geht es nicht nur um die eigenen Daten, sondern immer auch um die von Kunden, Mitarbeitern und Geschäftspartnern. Hier beträfe ein derartiger Umgang mit Daten immer andere und könnte daher schnell zu strafrechtliche Konsequenzen führen.

>> Compliance: Vor diesem Hintergrund stellen besonders die spontan entstandenen, "wilden" Web-2.0-Anwendungen in den Unternehmen ein Problem dar. Sie entziehen sich – bewusst, wenn auch meist mit besten Absichten – den von den Unternehmen vorgeschriebenen Regelungen und Prozessen, beispielsweise wenn Mitarbeiter privat Unternehmens-Blogs führen und dabei die entsprechenden Compliance-Richtlinien nicht einhalten – sofern sie diese überhaupt kennen.

>> Infrastrukturen: Unternehmen müssen auch Anwendungen für Kommunikation und Zusammenarbeit bestehende Infrastrukturen einbinden, sie also mit anderen Applikationen oder mit Datenbanken verbinden und sie auch in die vorhandenen Directory-Strukturen integrieren können.

Das bisherige Web 2.0 kannte derartige Sorgen nicht – es wurde schließlich für private Communities konzipiert und schließlich müssen beim Austausch von Urlaubsfotos auch nicht die Anforderungen des Sarbanes-Oxley Act (SOX) eingehalten werden; wenn die Website zum Beispiel mal eine halbe Stunde nicht erreichbar ist, ist es auch keine Katastrophe. Dass man auf solche Anforderungen keine Rücksicht nehmen musste, begründete nicht zuletzt den Erfolg von Web 2.0.

Im Unternehmenseinsatz muss Web 2.0 solche Standards natürlich einhalten können, sonst entstünde eine nicht ungefährliche Compliance-Lücke. Dabei können moderne Lösungen virtuelle Business-Communities sowohl innerhalb, als auch außerhalb der Firewall unterstützen, sie können also auch die Geschäftspartner einbeziehen. Am besten eigenen sich dafür On-Demand-Lösungen, bei den sich die Geschäftspartner, anstatt Software zu installieren, direkt in die für sie offenen Bereiche einklinken können.

Lesen Sie zum Thema "On-Demand" auch: Saas-Magazin.de (www.saasmagazin.de)
http://www.saasmagazin.de/saasondemandservices/index.html

Die Nutzung von Logik, Methoden und Technologien des Web 2.0 für die Unternehmens-Kommunikation ist natürlich ein Spagat zwischen zwei grundverschiedenen Dingen: Man will so flexibel und offen sein wie das Web 2.0 und gleichzeitig so sicher und zuverlässig wie herkömmliche Unternehmens-Applikationen. Die aktuelle Herausforderung besteht darin, dass dafür offenbar ein enormer Bedarf besteht. Und die ersten konkreten Lösungen zeigten, dass ein professionelles Web 2.0 tatsächlich eine hohe Produktivtät entwickeln kann. (Cisco WebEx: ra)

(*) Peer Stemmler ist Country Manager Germany bei Cisco WebEx in Düsseldorf.

Meldungen: Hintergrund

Compliance durch sicheren Umgang mit Log-Daten Zahlreiche Compliance-Vorschriften wie Health Insurance Portability and Accountability Act (HIPPA) oder Payment Card Industry Data Security Standard (PCI-DSS) fordern von Unternehmen die Sammlung und Speicherung ihrer Log-Daten. Doch den Betroffenen entstehen dadurch auch neue Möglichkeiten um beispielsweise Angriffe zu erkennen oder Fehlerursachen schneller zu finden.
Informationsaustausch in Steuersachen Im Fall des Ex-Vorstandes der Deutschen Post AG, Klaus Zumwinkel, stand bereits vor Beginn der Razzia und bei seiner Abfahrt in Polizeibegleitung das Kamerateam bereit. In der Folge hätte rechtlich geklärt werden können, ob man Steuersünder aufgrund "erst gestohlener und später gleichsam als Hehlerware weiterverkaufter Daten" überhaupt verurteilen darf. Ab dem 01.01.2010 hat sich diese Fragestellung endgültig erledigt, denn dann tritt ein Abkommen zwischen Deutschland und Liechtenstein in Kraft, welches nahezu jeden Informationsaustausch in Steuersachen sicherstellt.
E-Mail und die digitale Steuerprüfung Kaufmännische Briefe und Rechnungen werden seit über 500 Jahren auf dem Postweg verschickt. Anschließend wurden sie in Kellern oder Lagern aufbewahrt, damit sie für notwendige Zugriffe schnell verfügbar waren. Inzwischen läuft der Versand kaufmännischer Dokumente fast ausschließlich digital per E-Mail. Dies erfordert jedoch neue Strukturen für die Archivierung und Strukturierung der Daten sowie zum Nachweis, dass die Daten und Inhalte nicht verändert wurden. Denn das ist eine Grundvoraussetzung dafür, dass die Prüfbarkeit auch der digitalen Daten und Dokumente gegeben ist.
Erfassung interner und externer Mails Nach einem Urteil des Oberlandesgerichts Karlsruhe von 2005 erfüllt schon das Löschen und Ausfiltern von E-Mails den Tatbestand des Unterdrückens gemäß §206 StGB. Daher müssen Unternehmen zur Gewährleistung der Compliance sämtliche elektronischen Nachrichten im Originalformat archivieren, selbst Spam- und vireninfizierte E-Mails. Entsprechend bieten manche herkömmliche E-Mail-Archivierungssysteme nur eine unzureichende juristische Absicherung. Denn sie erfassen und speichern eingehende Mails erst, nachdem sie von Antiviren- oder Spam-Filtern aussortiert wurden. Zusätzlich können bei Systemabstürzen einzelne Mails verloren gehen, wenn sie nicht zuvor vom Archivsystem gesichert wurden.
Compliance und ECM ergänzen sich gegenseitig Die Komplexität der heutigen Compliance-Vorschriften macht es für Mitarbeiter fast unmöglich, selbst den Überblick darüber zu behalten, welche Nachrichten gespeichert werden müssen und welche nicht. Daher können Unternehmen heutzutage nicht mehr darauf verzichten, E-Mails automatisch zu sichern. Eine softwareseitige Unterstützung erleichtert nicht nur den Mitarbeitern die Arbeit, sondern gibt der Geschäftsführung Sicherheit, dass wichtige E-Mails auch wirklich aufbewahrt werden.
Private Nutzung dienstlicher E-Mail-Systeme Gestattet ein Unternehmen seinen Mitarbeitern grundsätzlich die private Nutzung der dienstlichen E-Mail-Systeme, dann wird es vor dem Gesetz zum Telekommunikationsanbieter. In diesem Fall kommen das Bundesdatenschutzgesetz (BDSG) sowie das Telekommunikationsgesetz (TKG) zum Tragen und das Unternehmen muss das Fernmeldegeheimnis wahren. Es darf daher nicht mehr alle E-Mails seiner Mitarbeiter aufbewahren, da die Erhebung von personenbezogenen Daten auf ein Minimum beschränkt werden muss.
Compliance und Wertschöpfung eines Unternehmens Werte bilden praktisch immer die Basis jeder Compliance-Maßnahme. Wertebasierte Unternehmensführung hat also nicht nur unmittelbare wirtschaftliche Vorteile, sondern schafft auch den ethisch-kulturellen Unterbau von Corporate Compliance.
Im Wust neuer Compliance-Anforderungen gefangen? Für Banken und Finanzunternehmen hat die Einhaltung von Compliance-Richtlinen Top-Priorität. In keiner anderen Branche werden so hohe Anforderungen gestellt. Zu den aktuellen Bestimmungen zählen beispielsweise die MiFID, die das Kreditwesengesetzes (KWG) verschärft, die Euro-SOX und Basel II. Die strikte Ausrichtung an Compliance-Bestimmungen und ein sauberes IT-Risiko-Management sind dabei keine IT-, sondern eine Chefsache. Denn verantwortlich für die Einhaltung ist das Management der Finanzunternehmen.
Compliance in der Medizin Der Begriff "Compliance" steht in der Wirtschaft heute als Hilfeversuch bei Korruption, Affären und Skandalen. Meist sind es große Firmen, die nach Medienträchtigen schlechten und rufschädigenden Schlagzeilen einen Stamm von internen und externen Beratern in der Compliance-Abteilung beschäftigen, um den guten Ruf wieder herzustellen und zu verhindern, dass derartige Vorkommnisse und Schlagzeilen wieder auftauchen.
Web. 2.0 und Corporate Compliance Auch Unternehmen können die Möglichkeiten des Web 2.0 für die Kommunikation und Zusammenarbeit in ihren virtuellen Communities nutzen. Vorhandene Lösungen entsprechen allerdings nicht professionellen Anforderungen. Web 2.0 für Unternehmen muss die Flexibilität des Web 2.0 mit der Sicherheit und Stabilität von Enterprise-Applikationen verbinden.

Diese Seite drucken