Sicherheitszertifzierung als wesentliche Compliance-Grundlage

Fit in der IT dank täglicher Audits

17.11.2006 | Autor / Redakteur: Armin Stephan Security-Spezialist bei CA in Darmstadt / Achim Karpf

Die Security Console liefert einen kompletten Überblick über den aktuellen Compliance-Status des Unternehmens

Der Nachweis der Einhaltung wesentlicher rechtlicher bzw. regulatorischer Vorgaben wird mehr und mehr zu einer Hauptaufgabe der IT-Chefs. Dabei geht es vor allem um drei Hauptaufgaben: Die Wahrung der Privatsphäre durch einen angemessenen Datenschutz, die Garantie der notwendigen IT-Sicherheit durch den Schutz der kritischen Infrastruktur-Komponenten sowie finanzielle Transparenz und Verbindlichkeit der Geschäftsprozesse durch eine sorgsame „IT-Governance“.

Informatik ist ein Service für alle Abteilungen und Mitarbeiter eines Unternehmens. Das macht sie zu einer typischen Querschnittsaufgabe, die unterschiedlichsten Anforderungen aus den diversen Fachbereichen gleichzeitig gerecht werden muss. Das gilt insbesondere für die nachweisliche Einhaltung von Regularien, die im Zuge von Terrorgefahr, Finanzskandalen, verschärften Kreditbestimmungen oder dem Produkthaftungsgesetz national wie international aus dem Boden sprießen.

Datenschutzrichtlinie der EU

Die Rede ist von der Datenschutzrichtlinie der EU, Basel II und Sarbanes-Oxley oder branchenspezifischen Regelungen wie beispielsweise zur Rückverfolgbarkeit der Zusammensetzung von Lebensmitteln oder Arzneien. All diesen Bestimmungen müssen alle Unternehmen, ob groß oder klein, genüge tun – und damit auch ihre IT-Systeme.

Das hört sich auf Anhieb sehr komplex und aufwändig an, zumal es für die Umsetzung vieler Vorschriften bereits internationale Standards oder zumindest „Best Practices“ gibt, deren Verwendung z. B. von Großkunden oder Wirtschaftsprüfern eingefordert wird. Als typische Beispiele genannt seien hier nur das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI), internationale IT-Sicherheitsstandards wie BS7799/ISO 27001 oder ISO 17779, die Systemmanagement-Philosophie ITIL oder IT Governance Frameworks wie die „Control objectives for information and related Technology“ (CobiT).

Um sich also beim Aufbau einer Compliance-Lösung für das Unternehmen nicht zu verzetteln, gilt es zunächst einmal nach der Pareto-Regel (mit 20% Einsatz, 80% des Zieles erreichen), anfangs die wesentlichen Aspekte zu fokussieren und dann die Lösung sukzessive auszubauen und zu verfeinern. Außerdem sollte die IT proaktiv agieren und nicht – wie früher auch bei den Finzanz-Audits üblich – nur passiv reagieren, indem der Compliance-Nachweis im Jahresrhythmus nachträglich durch manuelle Audits erfolgt. Denn wenn die Compliance täglich und nicht jährlich sichergestellt wird, haben sowohl der Unternehmer als auch der IT-Chef viel bessere Möglichkeiten zur Steuerung und Risikokontrolle.

Controlling

Auf der kaufmännischen Seite im Unternehmen sind die Controller schon längst dort angekommen. Tägliche Trendanalysen und Alarmsignale bei drohenden Planweichungen sind hier die Regel und nicht die Ausnahme. Möglich wird diese Vorgehensweise, indem die Audits auf Basis der ohnehin vorliegenden Betriebsdaten (z. B. aus der Finanzbuchhaltung) automatisiert erfolgen.

Davon können die IT-Chefs nur lernen. Zumal mit Hilfe der reichlich vorhandenen Betriebsdaten aus den IT-Systemen (Log-Dateien, Traces, Events, etc.) auch im Bereich der IT-Compliance wirkungsvolle Automatismen zu einem Frühwarnsystem kombiniert werden können. Das weist dann auf drohende Compliance-Verletzungen rechtzeitig hin und gestattet somit eine überlegte Reaktion auf diese Risiken.

Dies ist gar nicht so schwierig, wie es auf Anhieb klingt, denn es gibt durchaus einen gemeinsamen Nenner aller Regularien. Das ist der grundsätzliche Aufbau und Betrieb eines definierten Regelwerks für das interne Kontrollsystem, mit dem die Compliance zu den unterschiedlichsten Vorschriften überprüft werden kann. Dieses Kontrollsystem besteht aus Prozessen, Rollen und Regeln, die den sicheren, nachvollziehbaren und verbindlichen Betrieb eines Geschäftsvorgangs regeln. Auch die Kontrollelemente selbst haben drei gemeinsame Ziele:

Verantwortlichkeit: Wer hat wann was getan, wer hat es genehmigt, und was war das Resultat?

Transparenz: Alle Geschäftsprozesse und Kontrollelemente müssen vollständig bekannt und dokumentiert sein. Intransparente Prozesse sind per Definition nicht „compliant“.

?Messbarkeit: Alle internen Prozesse müssen anhand vordefinierter qualitativer und quantitativer Kriterien bewertet werden können. Die Messbarkeit ergibt sich durch Auditierung, Protokollierung (Logging), Korrelation und Visualisierung/Auswertung der Ergebnisse.

Compliance-Audits

Noch eine wichtige Erkenntnis erleichtert den einheitlichen Aufbau einer Infrastruktur für die unterschiedlichen Compliance-Audits: 70 Prozent der größten Schwächen von IT-Infrastrukturen beruhen auf einem unvollkommenen Management von Identitäten und Zugriffrechten (siehe Kasten) und können folglich durch ein konsequentes IT-Security-Management erheblich vereint und vereinfacht werden. Mit einer Security-Zertifizierung kann somit die Basis für eine Compliance-Lösung geschaffen werden, die mit einem vertretbaren Aufwand implementiert und betrieben werden kann.

Im Kern geht es immer darum, Abweichungen zumindest in den vitalen Prozessen zu erkennen. Dazu müssen zunächst diese Prozesse einmal identifiziert werden, etwa durch Wirtschaftsprüfer oder Unternehmensberater. Im zweiten Schritt werden ihre Risiken beurteilt und Kontrollziele definiert, die einen ordnungsgemäßen Prozess kennzeichnen. Das Erreichen dieser Ziele wiederum wird anhand von Kontrollinformationen nach kritischen Prozessschritten validiert, die automatisch aus den Betriebsdaten von Anwendungen, Middleware, Systemplattformen und Netzwerken generiert bzw. gezielt erzeugt werden.

Prozessablauf

Der korrekte Ablauf der Prozesse wird automatisch an definierten Kontrollstellen überprüft, um die Ist-Werte der wichtigen Messgrößen mit idealen Sollwerten zu vergleichen. Eine Störung liegt dann vor, wenn die gemessen Werte von Kontrollzielen über ein als kritisch definiertes Maß hinaus abweichen. Zur Festlegung der Kontrollziele existieren bereits standardisierte Verfahren wie CobiT, das von der Wirtschaftsprüfervereinigung ISACA empfohlen wird.

Die darin festgelegten Kontrollziele sind in 34 Prozesse gegliedert, die eine verlässliche und dem Unternehmensbedarf angemessene Informationsfunktion sicherstellen sollen. Die Werkzeuge könnten auch andere Methoden und Standards wie BS7799 abdecken. Das Elegante an dem Verfahren ist: Die Einhaltung der Compliance lässt sich voll und ganz mit Hilfe der Kontrollinformationen an den definierten Prozessschritten nachweisen.

Wesentlich für eine wirtschaftliche Compliance-Lösung ist das Vermeiden von Identitätsbrüchen in den IT-Systemen, wie es heute dank des Einsatzes eines unternehmensweiten Identity- and Access Managements möglich ist. Damit ist auch ein zentraler Kontroll- und Überwachungspunkt gegeben, an dem – etwa mit ausgefeilten Methoden der Forensik – die Nutzung der richtigen Betriebsdaten für die Entscheidungsvorbereitung wesentlich erleichtert wird. Herangezogen werden hierzu Funktionen zur Definition von Kennzahlen, Schwellwerten und Entscheidungsregeln. Außerdem können damit auch mittelständische Firmen eine aussagekräftige Entscheidungsbasis für alle Compliance-Fragen aufbauen – bis hin zu „compliance dashboards“ als Expertensystem.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2000917 / Compliance)