Security Management

Compliance im Rechenzentrum

| Autor / Redakteur: Mav Turner* / Peter Schmitz

Das Einhalten der Compliance-Bestimmungen im Rechenzentrum ist erst einmal kein Garant für die Sicherheit von Unternehmensdaten.
Das Einhalten der Compliance-Bestimmungen im Rechenzentrum ist erst einmal kein Garant für die Sicherheit von Unternehmensdaten. (Bild: i3d_vr - Fotolia.com)

Compliance, also die Einhaltung aufsichtsrechtlicher Vorschriften, ist nicht gerade das spannendste Thema. Wenn Sie jedoch in irgendeiner Art und Weise für die Sicherheit Ihres Rechenzentrums zuständig sind, ist dies eines der wichtigsten Themen überhaupt. Schließlich kann ein Verstoß gegen Compliance-Vorschriften harte Strafen nach sich ziehen, u.a. Geldbußen..

Durch Compliance-Standards wie PCI DSS und HIPAA soll die Sicherheit eines Rechenzentrums sowie der möglicherweise dort gespeicherten vertraulichen Informationen gewährleistet werden. Vor diesem Hintergrund gilt es drei Dinge zu bedenken, um die Einhaltung aufsichtsrechtlicher Vorschriften sicherzustellen:

1. Compliance heißt nicht zwangsläufig Sicherheit

Die Einhaltung sämtlicher Vorschriften ist eine Sache, doch Sicherheit ist etwas völlig anderes. Denken Sie an all die aufsehenerregenden Fälle von Datenmissbrauch in den letzten Jahren. Wie viele dieser Unternehmen hatten gegen keine Vorschrift verstoßen? Offen gesagt, mussten sich alle an die Vorschriften halten, und viele haben dies auch getan. Dennoch gerieten sie wegen Datenschutzverletzungen in die Schlagzeilen.

Es wäre also ein fataler Denkfehler, davon auszugehen, dass durch die Einhaltung der Compliance-Bestimmungen auch die Sicherheit gewährleistet wird. Tatsächlich klären viele Aufsichtsbehörden Unternehmen gezielt darüber auf, dass die Compliance-Standards, für die sie verantwortlich sind, kein Garant für die Sicherheit ihrer Unternehmensdaten sind. Sie sollten die Einhaltung der Vorschriften daher als Ausgangspunkt auffassen.

2. Mehr Verständnis aufbringen anstatt die Unternehmen anzuprangern

Aufgrund der derzeit landesweit geltenden Gesetze zur Offenlegung von Datenschutzverstößen hört man in den Nachrichten ständig von neuen (und bisweilen auch älteren) Verstößen. In der Berichterstattung wird das Thema Compliance häufig kommentiert und die Frage gestellt, ob die betroffenen Unternehmen sich tatsächlich gesetzeskonform verhielten und welche Compliance-Probleme sie früher schon einmal hatten.

In diesen Berichten wird die Kompetenz der betroffenen Firmen in der Regel in Frage gestellt, wodurch sie im Grunde genommen offen angeprangert werden. Gemeinsam sollten wir uns jedoch dahingehend entwickeln, dass wir mehr Verständnis für Verstöße haben, nach dem Motto: „Wenn es Firma XYZ passieren kann, die alle Vorschriften eingehalten hat, kann es ebenso gut uns passieren“.

Dann sind Sie kontinuierlich auf der Hut und versuchen, Ihre eigene Sicherheitssituation zu verbessern. Außerdem wird dadurch eine engere Zusammenarbeit in der Branche gefördert. IT-Experten sind seit jeher hervorragend im Austausch von Informationen und Know-how auf persönlicher Ebene. Wir müssen jedoch auch auf Unternehmensebene mit dem Informationsaustausch beginnen, um uns kollektiv gegen gemeinsame Bedrohungen zu wappnen. Hoffentlich ziehen auch die Aufsichtsbehörden mit und beteiligen sich intensiver an diesem freien Austausch, der sowohl die Anforderungen für Compliance als auch die Bedeutung von Compliance beeinflusst.

3. Kontinuierliche Compliance führt zu mehr Komplexität, doch das kann sich auszahlen

Damit die Lücke zwischen Compliance und tatsächlicher Sicherheit geschlossen werden kann, gehen viele Unternehmen zu einem Modell der kontinuierlichen Compliance über, um Compliance- und Sicherheitsrisiken einzuschränken und zu begrenzen.

Kontinuierliche Compliance bedeutet, dass Prozesse fortlaufend überprüft und bei Abweichungen vom vorgesehenen Ergebnis eventuell nötige Aktualisierungen schnell vorgenommen werden. Zwar lässt sich die Kluft zwischen Compliance und Sicherheit durch kontinuierliche Compliance effektiv überbrücken. Doch die Komplexität beim Compliance-Management nimmt dadurch stark zu. Tools wie SIEM-Software (Sicherheitsinformations- und Ereignisverwaltung) sowie Prozesse für den Umgang mit Compliance-Komplexität sind derzeit wichtiger denn je.

Zudem gibt es einige bewährte Verfahren, die Ihnen den Weg zu Compliance erleichtern:

Prozesse, Richtlinien und Verfahren sorgfältig dokumentieren: Dokumentation ist eine entscheidende Komponente von Compliance, wird jedoch am meisten vernachlässigt. Eine umfassende, ausführliche Dokumentation ist auch außerhalb von Audits sinnvoll. Compliance ist ein kontinuierlicher Prozess. Daher müssen Dokumente und Informationen immer auf dem neuesten Stand sein. Planen Sie also im Jahresverlauf Zeit zur Überprüfung und Überarbeitung der Dokumentation ein.

Genaue Kenntnis der Compliance-Anforderungen in Ihrer Branche: Jede regulierte Branche ist anders. Unabhängig davon, welcher Compliance-Richtung Ihre Firma folgt, ob PCI DSS, HIPAA oder eigenen Unternehmensrichtlinien, muss allen klar sein, wie die Anforderungen genau lauten. Bedenken Sie auch, dass einige Compliance-Anforderungen klar abgegrenzt sind, während andere lediglich eine vage Richtschnur darstellen.

Geräte und Systeme auf Compliance überwachen: Sobald eine ordnungsgemäße Dokumentation vorliegt und die Anforderungen für Ihre Branche klar sind, ist als Nächstes festzustellen, welche Geräte, Systeme, Anwendungen und Daten auf Compliance geprüft werden müssen.

Richtlinien und Verfahren kontinuierlich überprüfen: Wenn Richtlinien und Verfahren kontinuierlich überprüft und mit den aktuellen Anforderungen verglichen werden, gibt es keinen Grund mehr für die üblichen Befürchtungen und den Stress, den Audits auslösen können.

Mav Turner
Mav Turner (Bild: Solarwinds)

Prozesse nach Möglichkeit automatisieren: Bei enormen Datenmengen kann das Prüfen von Audit-Trails eine langwierige und komplizierte Aufgabe sein. Wenn Sie so viel wie möglich automatisieren, wird die Arbeitsbelastung verringert, und die Prozesse werden vereinfacht. SIEM und andere Protokollierungslösungen können die Automatisierung vieler Compliance-bezogener Aufgaben und Prozesse erleichtern. Zudem verfügen sie über wichtige Warnfunktionen.

Wenn Sie diese drei Empfehlungen beherzigen und sich an die genannten Vorgehensweisen halten, wird die Compliance-Belastung wesentlich geringer. Doch vor allen Dingen können Sie dadurch gewährleisten, dass Ihr Rechenzentrum und die darin gespeicherten, potenziell vertraulichen Daten sicher sind.

* Mav Turner ist Director, Product Strategy, Security bei SolarWinds.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44244568 / Head Geeks Speech)