Gesetzliche Vorgaben gehen oft zu Lasten der IT-Sicherheit

Balanceakt Compliance – IT-Security oder ein zufriedener Prüfer?

12.03.2008 | Autor / Redakteur: George V. Hulme / Stephan Augsten

Beim Umsetzen gesetzlicher Vorgaben müssen Unternehmen zwischen Compliance und IT-Sicherheit abwägen.
Beim Umsetzen gesetzlicher Vorgaben müssen Unternehmen zwischen Compliance und IT-Sicherheit abwägen.

Es besteht wohl kein Zweifel daran, dass gesetzliche Auflagen die Rolle der IT-Sicherheit grundlegend verändert haben. Das Risiko finanzieller Sanktionen, öffentlicher Blamagen und eventuell sogar von Haftstrafen hat die Sicherheit auch in den Führungsetagen zum Thema gemacht. Doch mit dem zunehmenden Fokus auf Compliance-Erfüllung gerät die eigentliche IT-Security ins Hintertreffen.

„Stellen Sie sich die Situation von Sicherheitsexperten vor ein paar Jahren vor“, sagt Eric Litt, Direktor für Informationssicherheit bei General Motors. „Sie unterstanden dem mittleren Management. In keinem Fall fanden sie Unterstützung oder Interesse bei der Unternehmensleitung. Und wenn sie etwas für die Sicherheit in Bewegung setzen wollten, dann war das ziemlich aussichtslos.“

Aber weniger klar ist, ob diese zusätzliche Aufmerksamkeit gegenüber gesetzlichen Auflagen den gewünschten Effekt hat und wirklich die allgemeine IT-Sicherheit erhöht. Viele Sicherheitsexperten denken nämlich, dass die Compliance in gewisser Art und Weise ihre Bedeutung unterhöhlt: Das Ziel ist nicht länger ein Zustand allgemeiner Sicherheit, sondern eine adäquate Einhaltung der Richtlinien, sodass die Checklisten der Unternehmensprüfer reibungslos abgehakt werden können.

„Viele Sicherheitsinitiativen werden aufgegeben. Überall sind die Budgets begrenzt, und deswegen werden Sicherheitsprojekte verschoben“, meint Lloyd Hession, CSO bei BT Radianz, einem Finanznetzwerk-Dienstleister in New York. Er führt an, dass Technologien – wie Intrusion Prevention, Digital Rights Management auf Unternehmensebene und sogar Zugangskontrolle – in vielen Firmen vernachlässigt wurden, um Geld freizumachen, das man für das Erreichen der Compliance ausgibt. „All diese Dinge würden die Sicherheit wirklich verbessern, aber leider helfen sie in Sachen Sarbanes-Oxley (SOX) [d.h. Compliance] gar nicht“, fügt Hession hinzu.

Compliance auf dem Vormarsch

In der heutigen Welt nach dem 11. September kann das höhere Management in Sachen Sicherheit nicht länger eine Vogel-Strauß-Position einnehmen. „Um die Sicherheit musste man sich kümmern. In dieser Hinsicht sahen Sicherheitsexperten die Compliance als positiven Faktor“, sagt Jerry Freese, Direktor für IT-Sicherheit bei American Electric Power, einem Energie-Erzeuger in Columbus, Ohio. Bei hochgradig regulierten Branchen wie Telekommunikation, Einzelhandel und Finanzdienstleistern gaben 60% der Befragten bei einer CSI/FBI-Umfrage an, dass SOX das Interesse an Informationssicherheit gesteigert hat.

Der Fokus auf Compliance bedeutete eine große Umstellung für die Sicherheitsexperten. Noch vor wenigen Jahren ging es bei IT-Sicherheit um technische Schutzmaßnahmen: Zugriffskontrolle und Netzwerksegmentierung, Anti-Malware und Updates für IDS.

Viele Sicherheitsexperten konnten gleich gut mit einer Unix-Kommandozeile wie mit einem Webbrowser umgehen und verbrachten täglich mehrere Stunden damit, kryptische Firewall-Regeln in einer umständlichen Kommandozeilen-Schnittstelle zu überarbeiten. Es ging darum, Lücken bei der Netzwerk- und Applikationssicherheit zu schließen, die sonst Kriminelle nutzen würden.

„In vielerlei Hinsicht erscheint uns diese Vergangenheit als Goldenes Zeitalter“, meint Hession. „Compliance hat alles verändert.“ Große Unternehmensskandale mit viel schlechter Presse haben die Situation radikal verändert. Es gab immer mehr Datenschutz-Blamagen, und so gab es auch immer mehr staatliche Auflagen.

Regelwerke bewirken nicht zwingend mehr Sicherheit

SOX veränderte die Art und Weise, wie Finanzinformationen von Unternehmen verwaltet werden. Der Patriot Act vom Oktober 2001 beinhaltete nie zuvor dagewesene Pflichten hinsichtlich Datenweitergabe und Kundenüberwachung, und der Federal Information Security Management Act von 2002 unterstellt die Computersicherheit bestimmten Bundesagenturen. Zudem folgten mehr als 30 amerikanische Bundesstaaten dem Vorreiter Kalifornien und erließen Gesetze, die SB 1386 stark ähnelten.

Nimmt man noch die branchenspezifischen Regeln wie HIPAA für das Gesundheitswesen und den Data Security Standard der Zahlkartenindustrie hinzu, dann versteht man, dass Sicherheitsexperten heute Kompromisse zwischen Sicherheit und Compliance treffen müssen. Deren schwierige Entscheidungen führen nicht immer zu mehr Sicherheit. „Die Compliance ist heute eine zusätzliche Bedrohung“, wie es Pete Lindstrom, Analyst bei Burton Group, drastisch formuliert.

Als registrierter User auf Security-Insider.de können Sie mehr darüber erfahren, wie Compliance die IT-Sicherheit aus dem Fokus verdrängt und gesetzliche Regelungen die Risikoeinschätzung von Firmen verändern. Laden Sie sich hierzu einfach das Security-Insider-Whitepaper „Balanceakt Compliance“ herunter.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2011427 / Compliance und Datenschutz )