Das richtige Modell wählen Compliance Screening: In der Cloud, on premises oder doch hybrid?

Da Unternehmen jederzeit sicherstellen müssen, dass ihre Geschäftspartner und Mitarbeiter nicht auf Listen stehen, benötigen sie eine Software für automatische Echtzeitprüfungen mit den stets aktuellen Daten – welche Lösung die Beste ist, entscheidet sich individuell von Fall zu Fall.

Bild: iStock, MicroStockHub
10.02.2023

Unternehmen jeder Größe müssen ihre Geschäftspartner und Mitarbeiter gegen Sanktionslisten screenen, um die Compliance mit gesetzlichen Vorschriften sicherzustellen. Das gelingt am einfachsten mit einer Software. In verschiedenen Anwendungsfällen sind nun unterschiedliche Hostingansätze sinnvoll – entweder lokal on premises, in der Cloud oder als hybride Mischform. Unternehmen sollten hier ein Modell wählen, das genau zu ihren Abläufen passt.

Die Sanktionslistenprüfung ist allen Unternehmen egal welcher Größe gesetzlich vorgeschrieben. Sie wurde als Reaktion auf die Terroranschläge vom 11. September 2001 eingeführt und von den EU-Verordnungen (2580/2001 – 881/2002) geregelt, die in nationale Gesetzgebung überführt wurden. Diese verbietet es Unternehmen, terroristischen Organisationen und Einzelpersonen im In- und Ausland wirtschaftliche Ressourcen wie Vermögenswerte, Dienstleistungen oder Güter zur Verfügung zu stellen. Die Prüfung richtet sich gegen Firmen, Firmengeflechte und Einzelpersonen. Sanktionslisten werden weltweit unter anderem von den USA, der EU, Kanada oder Japan herausgegeben. Ihre Zahl und Updates steigen und der Ukraine-Krieg hat die Notwendigkeit der Prüfung weiter verschärft.

Da Unternehmen jederzeit sicherstellen müssen, dass ihre Geschäftspartner und Mitarbeiter nicht auf Listen stehen, benötigen sie eine Software für automatische Echtzeitprüfungen mit den stets aktuellen Daten. Hier müssen sie technisch und organisatorisch die individuell beste Lösung finden: Ein Tool kann in der Cloud gehostet werden, on premises oder als Hybrid. Die Praxis zeigt, dass es kein „entweder oder“ sein muss. Viele Unternehmen wählen einen Mix.

On premises – für wen?

Wie die Entscheidung ausfällt, hängt von zahlreichen Faktoren, etwa der Unternehmensphilosophie und dem Umgang mit Daten ab: Manche Unternehmen führen vorhandene on-premises-Strukturen aus der Vergangenheit weiter. Die Entscheidung kann auch eine Generationenfrage sein und davon beeinflusst werden, ob die IT eine dominante Rolle spielt oder eher als Dienstleister auftritt.

Der Hauptgrund für eine on-premises-Lösung liegt aber in der Datensicherheit: Betriebe wollen verhindern, dass Daten das Haus verlassen. Gerade der Mittelstand verfolgt diese Philosophie, alles im Haus zu behalten und damit die maximale Datensicherheit und volle Kontrolle zu besitzen. Das erreichen sie durch das selbständige Hosten und Verwalten der Daten und des IT-Netzes. Die Sanktionslistenprüfung des Tools von Marktführer Sapper erfolgt dann im Unternehmensnetzwerk über einen Validation Gateway Server: Stammdaten bleiben im Unternehmen; Updates holt sich der Server automatisch.

Die Voraussetzung für eine on-premises-Lösung ist die entsprechende Infrastruktur und personelle Ressourcen. Denn zunächst muss das Team die Umgebung aufsetzen, Hard- und Software installieren und die Datenbanklizenzen erwerben. Das selbständige Hosting kann mittelfristig mit geringeren laufenden Kosten verbunden sein und sich deswegen auszahlen.

Cloudbasierte Sanktionslistenprüfung

Bei der Entscheidung zwischen einem Hosting in der Cloud oder lokal spielen auch die erwünschten Funktionalitäten der Software eine Rolle – sie können an eine Cloud- oder on-premises-Lösung gebunden sein: Wer zum Beispiel Geschäftskontakte direkt auf einer Messe vom Tablett oder Smartphone aus überprüfen will, benötigt eine Cloudlösung, auf die über das mobile Endgerät zugegriffen werden kann.

Auch für die Prüfung im Laden bietet sich eine solche an – bei Verkäufen von Ware mit höherem Betrag muss der Geschäftskunde unter Angabe des Namens und der Adresse validiert werden, bevor die Kasse betätigt wird. Die Sanktionslistenprüfung kann dann elegant mit einem mobilen Gerät erfolgen, ohne dass der Kunde davon Kenntnis nimmt. Eine solche Lösung bietet sich auch für den Außendienst oder technischen Kundendienst an, um von unterwegs vor Vertragsabschlüssen, Servicearbeiten oder Verkäufen adhoc-Prüfungen anzustoßen.

Flexibilität und damit eine Cloud-Lösung ist auch notwendig, wenn Treffer einer Sanktionslistenprüfung validiert werden müssen. Hängt daran zum Beispiel die Entscheidung, ob Ware geliefert werden darf oder nicht, muss der CEO die Freigabe erteilen. Eine Cloudlösung ermöglicht dann von überall und jederzeit einen Zugriff und die Freigabe kann in der Anwendung über das mobile Endgerät erfolgen.

Manche Unternehmen wünschen sich auch eine Mitarbeiterprüfung über die Cloud, damit diese außerhalb der eigenen IT stattfinden kann und Prüfberichte sowie Nachweise nicht mit anderen operativen Daten auf den Servern vermischt werden. Die Prüfung von Lieferanten und Kunden erfolgt dagegen lokal. Einzelprüfungen lassen sich sowohl über die Cloud als auch on premises umsetzen. Sie erfolgen dann über den Browser oder im Intranet. Viele Unternehmen nutzen eine Mischlösung, aber das Interesse an der Cloud wächst.

Gerade kleine Unternehmen ohne eigene IT haben in der Regel nicht das Knowhow für eine on-premises-Variante – hier ist es sinnvoller, eine Cloud-Lösung einzusetzen, die Software damit outzusourcen und von Experten hosten zu lassen. Die Cloud ist damit eine gute Möglichkeit, den gesetzlichen Vorgaben zu entsprechen und sie kostengünstig umzusetzen, ohne große Projekte aufsetzen zu müssen. Gerade für kleine Unternehmen lohnt sich eine Inhouse-Lösung meist nicht.

Die Sicherheit gewährleisten

Eine Herausforderung bei der Sanktionslistenprüfung besteht in der Gewährleistung der Sicherheit: Cyberattacken nehmen zu, die Techniken der Angreifer werden immer ausgefeilter. Die Kundendaten müssen geschützt werden, ebenso Prüfberichte und Dokumentationen, die nicht verloren gehen dürfen: Im Fall einer Außenwirtschaftsprüfung müssen Unternehmen darüber nachweisen, dass Sanktionslistenprüfungen wie vorgeschrieben stattgefunden haben, wie bei Treffern reagiert beziehungsweise wie diese validiert wurden. Auch Backups sind notwendig. All die Nachweise müssen wasserdicht sein.

Im Falle einer Cloud-Lösung liegt all diese Verantwortung beim Softwareanbieter, der als Profi den Schutz oft besser gewährleisten kann. Bereitschaft und Support werden über das Service Level Agreement festgelegt – so muss der Service der Sanktionslistenprüfung stets verfügbar sein, Prüfungen dürfen nichts ins Leere laufen und im Fall von Problemen muss prompt reagiert werden. Auch die Instandhaltung und Updates von Betriebssystemen und Servern sowie die Kenntnis über potenzielle Sicherheitslücken erfordern Zeit und binden Ressourcen. Ein Cloudanbieter verfügt über zertifizierte Rechenzentren und kann die Sicherheitsanforderungen wie Feuerschutz, Kühlung und Fallback nachweislich erfüllen. Mehrere Serverstandorte halten Redundanz vor und sichern die Daten auch im Falle von Naturkatastrophen wie Fluten oder Erdbeben.

Bei einer on-premises-Lösung muss das Unternehmen all diese Anforderungen selbst abdecken können: Das Netzwerk vor dem Zugriff von außen schützen, aber auch Kenntnisse über das Netzwerk verwalten und das IT-umgebungsspezifische Fachwissen dokumentieren und pflegen, so dass bei Personalwechsel das Knowhow nicht verloren geht.

Unterm Strich benötigen Unternehmen für die Sanktionslistenprüfung einen Softwarepartner, der über ein großes Portfolio an technischen Methoden verfügt: Damit kann er Abläufe und Prozesse genau abbilden und flexibel auf die Bedürfnisse eingehen – auch, wenn sich über die Zeit die Anforderungen wandeln. Die Lösung sollte eine breite Kompatibilität mit ERP-Systemen mitbringen und hybride Mischformen, also eine Kombination von Cloud und on-premises-Prüfungen erlauben.

Fazit

Unternehmen müssen der Sanktionslistenprüfungspflicht nachkommen. Damit das möglichst unaufwändig und reibungslos passieren kann, benötigen sie eine Softwarelösung, die sich ganz auf ihre Bedürfnisse und Abläufe anpassen lässt. Das bedeutet, dass verschiedene Hostingformen – on premises, in der Cloud oder hybrid – realisiert werden können.

Firmen zu diesem Artikel
Verwandte Artikel