Gartner

Das Team der deutschen Gartner Analysten bloggt für Sie über alles was die IT-Welt bewegt. Mit dabei sind Christian Hestermann, Frank Ridder, Bettina Tratz-Ryan, Christian Titze, Annette Zimmermann, Jörg Fritsch, Hanns Köhler-Krüner und Meike Escherich.

EnterpriseRegulierungSicherheitSoftware-Hersteller

Alles nicht so einfach

Was ist nur über die Welt gekommen, fragt sich silicon.de-Blogger Carsten Casper. In einer Welt, in der Hertha BSC vom Abstieg bedroht ist, sind seiner Meinung nach nicht alle US-Hersteller reif für den europäischen IT-Markt.

Die Piraten sind im Umfragehoch, Hertha ist vom Abstieg bedroht und Schädlinge machen sich nun auch auf dem wohlbehüteten Mac breit. Was ist nur über die Welt gekommen? Wo sind die einfachen Lösungen? Schwarz und weiß, Freund und Feind, das gibt es wohl nicht mehr.

Beruflich wird mir das immer wieder vor Augen geführt, wenn mich Kunden nach “Compliance” fragen, insbesondere welche Regeln denn im Bereich “Security” zu befolgen seien, vor allem in “Europa”. Diese Kombination der Worte “Compliance”, “Security” und “Europa” lässt mich reflexartig vermuten, dass es sich beim Fragenden um einen US-Hersteller handelt, der mit seinen Produkten auf dem europäischen Markt landen will. Bislang war diese Vermutung in 100% der Fälle richtig.

Aber so einfach ist das leider nicht. Nicht so schwarz, und auch nicht so weiß. Fangen wir mit “Europa” an. Meinen wir jetzt die Euro-Zone? Oder Kontinental-Europa? Oder die Europäische Union? Oder die Europäische Wirtschaftszone (d.h. plus Schweiz, Norwegen)? Oder das geographische Europa (einschließlich Türkei, Russland)? Je nach Geschmackslage reden wir hier über bis zu 50 unabhängige Nationalstaaten (nicht einfach nur Bundesstaaten). Und nicht alle werden von der EU harmonisiert.

Auch gibt es nicht “die” Sicherheitsrichtlinien, wie es in den USA NIST 800-53 und FISMA gibt. Die EU hält sich aus der Frage weitgehend raus. Deutschland, Großbritannien, Frankreich und Spanien haben ihre eigenen Standards kredenzt. Das IT-Grundschutzhandbuch ist ein komplexes Machwerk, mit dem man nur sehr schwer “compliant” sein kann. Allenfalls der britische BS7799 hat es als ISO27001 zu einigem Ruhm und Ansehen gebracht, allerdings auch über Europa hinaus.

Und dann ist da noch die Frage von “Compliance” selbst. Angesichts der europäischen Komplexität fällt es multinationalen Unternehmen schwer, mit allem und jedem “compliant” zu sein. Die Vielfalt und Schwerfälligkeit europäischer und nationaler Behörden tut ein übriges. Sorgen macht zum Beispiel die sogenannte “Cookie-Richtlinie”, basierend auf einer EU-Direktive, also EU-weit gültig. Während in England alle in betriebsame Hektik verfallen und an ihren Webseiten rumbasteln, kümmert man sich in Deutschland um andere Dinge. Googles Datenschutz, zum Beispiel, oder den von Facebook. Ähnliche rechtliche Grundlage, andere regulatorische Baustelle. Ein europäisches Unternehmen, was haarklein mit allen rechtlichen Regelungen in allen Ländern konform gehen will, wird mehr Geld für Compliance ausgeben müssen als für den eigenen Geschäftszweck.

Also orientiert man sich an Prinzipien. Man führt Risikoanalysen durch, und investiert dann dort, wo die größten Risiken bestehen. Man beobachtet die Tätigkeit der wichtigsten Regulierungsbehörden, und wird aktiv, wenn diese zu strengeren Maßstäben greifen. Und wenn die Maßnahmen nicht den Wünschen der Behörden entsprechen, dann hat man alle Unterlagen parat, um die Abweichungen zu erklären. “Comply or explain” nennt man das.

Manchem US-Hersteller ist das alles zu mühsam. Er will sein Produkt verkaufen, weil es Unternehmen “compliant” macht, so wie man in den USA mit SOX, HIPAA und GLBA “compliant” sein kann. Also fragt er, wie denn SOX, HIPAA und GLBA bei uns heißen. Einem solchen Anbieter ist schwer zu helfen, er ist schlicht weg noch nicht reif für den europäischen Markt.

“Reife” ist überhaupt ein wichtiger Begriff bei der Beurteilung von Komplexität und der Fähigkeit, vermeintlich einfachen Lösungen zu widerstehen. Für den Mac ist die Schonzeit vorbei. Für die Piraten ist sie es schon eine Weile. Für Hertha … nun ja, wir werden sehen.