Digitalisierung mit Compliance Erfordert eGovernment auch eCompliance?

Autor / Redakteur: Prof. Dr. Beatrix Weber und Heinrich/Buschermöhle / Manfred Klein

Die digitale Transformation bringt ein viel diskutiertes Thema zurück auf die Agenda: IT-Compliance. Wie die Öffentliche Verwaltung davon betroffen ist, untersuchen das Institut für Informationssysteme (iisys) der Hochschule Hof und die Blue Eye Solutions GmbH. Erste Ergebnisse des laufenden Forschungsprojekts liegen nun vor.

Firmen zum Thema

eGovernment zwischen Recht und Compliance
eGovernment zwischen Recht und Compliance
(Bild: psdesign1_Fotolia.com)

„Staat 4.0 – digital, souverän, innovativ!“ – so titelt ein Positionspapier des IT-Gipfels 2015, das an die Öffentliche Verwaltung appelliert, bei der Entwicklung neuer Konzepte, Organisationen und Prozesse mehr IT zu nutzen. Mit dem Ziel der Digitalisierung wird gleichzeitig der Wunsch nach dynamischeren und flexibleren Abläufen verbunden. Während sich herkömmliche Verwaltungsverfahren nach den Abläufen und Zuständigkeiten der Behörden richteten, sollen mit digitalen Verwaltungsservices – Government as a Service, GaaS – nutzerorientierte übergreifende Dienstleistungen auf einer gemeinsamen Oberfläche angeboten werden.

Mit dem eGovernment-Gesetz des Bundes (EGovG) und den Gesetzen beziehungsweise Entwürfen einiger Länder hat die Digitalisierung teilweise schon Einzug in die Verwaltung gehalten. Konzeptionell sehen die Gesetze unter anderem einen (zusätzlichen) Zugang für die Übermittlung elektronischer Dokumente vor und verpflichten die Behörden, unabhängig von einem konkreten Antragsverfahren Informationen über ihre Aufgaben, die nach außen wirkende öffentlich-rechtliche Tätigkeit einschließlich Gebühren, über Erreichbarkeit und sonstige Daten in allgemein verständlicher Sprache einschließlich erforderlicher Formulare über öffentlich zugängliche Netze zur Verfügung zu stellen.

Bildergalerie

Soweit aufgrund einer Rechtsvorschrift eine Publikationspflicht in einem amtlichen Mitteilungs- oder Verkündungsblatt besteht, kann diese durch eine elektronische Ausgabe erfüllt werden, wenn diese über öffentlich zugängliche Netze angeboten und angemessener Zugang gesichert wird.

Digitalisierung mit Compliance?

Die Umsetzung der Digitalisierung in Organisation und Prozesse sollte von vornherein mit Blick auf ein Compliance Management System durchgeführt werden. Während für privatrechtliche Organisationen IT-Compliance als Bestandteil von Compliance mit unzähligen Best-Practice-Regelungen weitgehend anerkannt ist, wurde die Notwendigkeit von Compliance überhaupt in der Verwaltung lange nicht geklärt. Unter Compliance wird die Einhaltung, Befolgung und Übereinstimmung von Recht und Gesetz, organisationsinternen Normen und gegebenenfalls ethischen Richtlinien und Werten verstanden.

Aufgaben von Compliance sind die Identifizierung und Bewertung des relevanten Rechtsrahmens sowie möglicher Änderungen und die Bewertung der Risiken bei Nichteinhaltung der rechtlichen Vorgaben. Compliance ist damit kein Rechtsgebiet, sondern als Prozess- und Organisationsvorgabe Teil des Risikomanagements.

Für die Anwendung von Compliance in der Verwaltung bestehen zwei Kernfragen: Geht der gesetzmäßig zugewiesene Vollzug der Gesetze über die Einhaltung von Recht und Gesetz und damit über Compliance hinaus? Ist Verwaltungshandeln auf Basis einer nennenswerten Risikoentscheidung nicht für am Markt handelnde oder Mischunternehmen denkbar?

Soweit sich der Staat wirtschaftlich betätigt, unterliegt er mindestens den gleichen, gegebenenfalls sogar mit Blick auf die Amtsträger, verschärften Haftungsregelungen und weiteren öffentlich-rechtliche Anforderungen, unter anderem aus dem Haushaltsrecht und den Kommunalgesetzen der Länder.

Soweit Behörden hoheitlich handeln, vollziehen sie Gesetze, dies jedoch unter Beachtung von Recht und Gesetz, Art. 20 Abs. 3 GG. Hoheitliches Handeln und Compliance schließen sich damit nicht notwendigerweise aus. Zwar wird auf die gesetzmäßig bestimmten Verfahrensabläufe und auf die möglichst systematische und vorbestimmte Gestaltung einer Aufbau- und Ablauforganisation, insbesondere den reduzierten Handlungsspielraum von Kommunen hingewiesen, was gegen das Eingehen von Risiken spricht.

Andererseits wird für Großprojekte der öffentlichen Hand eine Risikoanalyse auf Basis eines systematischen Compliance Management Systems (CMS) über die Korruptionsprävention und die internen Kontrollsysteme (IKS) hinaus gefordert. Damit rückt IT-Compliance als Bestandteil des Verwaltungshandelns, insbesondere für den Aufbau von eGovernment-Strukturen, in das Blickfeld. Das Normscreening, die Schaffung eines übergreifenden Prozessmanagements, die Einführung von Kontrollmechanismen, die Ebenen übergreifende Anwendung von Beschreibungsstandards und der Einsatz moderner IT-gestützter Plattformen werden so immer wichtiger.

Die Bereitstellung von Informationen über Aufgaben und Zuständigkeiten der Behörden, Publikationspflichten und die Möglichkeit der Kontaktaufnahme über das Internet sind Angriffen ausgesetzt. Das Erkennen von Veränderungen ohne zeitliche Verzögerung wird hier immer wichtiger. „Digitale Verwundbarkeit“ sollte hier nicht auf „digitale Sorglosigkeit“ treffen. Regierungen und Behörden sind bereits Ziele von Angriffen auf deren IT Systeme.

Attacken auf die öffentlich verfügbaren Websites zum Zwecke der plakativen Verunstaltung werden zumeist an den Sicherheitsmaßnahmen beim Betrieb der Websites abgefangen. Systeme, die in Umgebungen nach ISO 27001 oder BSI Grundschutz betrieben werden, widerstehen Web Defacement-Versuchen in der Regel. Problematischer sind Fehlbedienungen eines Content Management Systems durch Hilfskräfte und Gelegenheitsredakteure. Als kritisch einzustufen sind interne Zugänge, die über Social Hacking oder vorsätzlich durch Mitarbeiter missbraucht werden können, um verdeckt Inhalte auf Websites zu verändern. Handelt es sich um umfangreiche Webpräsenzen, kann ein längerer Zeitraum verstreichen, bis fehlerhafte Informationen bemerkt werden.

Website-Überwachungssysteme, die auf der Basis intelligenter Lernalgorithmen und semantischer Technologien automatisiert unerwünschte Veränderungen von Webinhalten oder das Ausbleiben fristgebundener Informationen erkennen, sind am Markt verfügbar und können eingesetzt werden. Die Anwendungen ermöglichen eine Modellierung der zu überwachenden kritischen Webinhalte, indem spezifische Bereiche selektiert und ihnen eine Kombination geeigneter Überwachungssensoren zugewiesen werden können.

Diese Sensoren können je nach den für die Inhalte relevanten Anforderungen und Regelungen der Veröffentlichung konfiguriert werden. Als Software as a Service (SaaS) sind sie räumlich getrennten Organisationseinheiten zugänglich und geben den für IT-Compliance und für die Inhalte zuständigen Personen in einer Organisation eine belastbare Informationsbasis von erkannten Verdachtsfällen. Ein umfassendes Reporting aufgetretener Anomalien kann zur Sachverhaltsklärung bei Haftungsfragen oder Audits herangezogen werden.

Bei der Auswahl einer Monitoring-Lösung ist darauf zu achten, dass die Reportdaten nicht verändert werden können, etwa durch Datensafe-Technologien. Während die Anwendungen einerseits bei Vorfällen alarmieren, dienen sie des Weiteren dem Nachweis von IT-Compliance insgesamt, da durch Ihren Einsatz Verfügbarkeit und Integrität von Webinhalten nachvollziehbar überwacht und verlässlich dokumentiert werden. Eine Lösung wie der Web Defacement Detector der Blue Eye Solutions GmbH unterstützt mit seinen Funktionen verantwortliche Personen bei der Einhaltung und dem Nachweis von IT-Compliance.

Mit einer Zertifizierung des die Anwendung betreibenden Rechenzentrums durch das BSI kann darüber hinaus sichergestellt werden, dass die Daten und erstellten Reporte den geltenden Anforderungen entsprechend verarbeitet und vorgehalten werden.

Fazit

Die Digitalisierung der Verwaltung und damit eGovernment erfordert die Änderung des Regulierungsrahmens, die bereits begonnen wurde. Gleichzeitig sind aber die Strukturen von IT-Sicherheit, IT-Compliance und Datenschutz im Sinne eines umfassenden Compliance Management Prozesses zu sichten und mit technischen Lösungen mindestens nach dem Stand der Technik oder gegebenenfalls sogar im Sinne von Best Practice oder der Schaffung von Standards zu unterlegen (eCompliance). Nur dann kann die Verwaltung das Handeln nach und den Vollzug von Recht und Gesetz für die Nutzer sicherstellen und Vorreiter für die Digitalisierung sein.

(ID:43827981)