:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitszertifzierung als wesentliche Compliance-Grundlage Fit in der IT dank täglicher Audits
Der Nachweis der Einhaltung wesentlicher rechtlicher bzw. regulatorischer Vorgaben wird mehr und mehr zu einer Hauptaufgabe der IT-Chefs. Dabei geht es vor allem um drei Hauptaufgaben: Die Wahrung der Privatsphäre durch einen angemessenen Datenschutz, die Garantie der notwendigen IT-Sicherheit durch den Schutz der kritischen Infrastruktur-Komponenten sowie finanzielle Transparenz und Verbindlichkeit der Geschäftsprozesse durch eine sorgsame „IT-Governance“.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Informatik ist ein Service für alle Abteilungen und Mitarbeiter eines Unternehmens. Das macht sie zu einer typischen Querschnittsaufgabe, die unterschiedlichsten Anforderungen aus den diversen Fachbereichen gleichzeitig gerecht werden muss. Das gilt insbesondere für die nachweisliche Einhaltung von Regularien, die im Zuge von Terrorgefahr, Finanzskandalen, verschärften Kreditbestimmungen oder dem Produkthaftungsgesetz national wie international aus dem Boden sprießen.
Datenschutzrichtlinie der EU
Die Rede ist von der Datenschutzrichtlinie der EU, Basel II und Sarbanes-Oxley oder branchenspezifischen Regelungen wie beispielsweise zur Rückverfolgbarkeit der Zusammensetzung von Lebensmitteln oder Arzneien. All diesen Bestimmungen müssen alle Unternehmen, ob groß oder klein, genüge tun – und damit auch ihre IT-Systeme.
Das hört sich auf Anhieb sehr komplex und aufwändig an, zumal es für die Umsetzung vieler Vorschriften bereits internationale Standards oder zumindest „Best Practices“ gibt, deren Verwendung z. B. von Großkunden oder Wirtschaftsprüfern eingefordert wird. Als typische Beispiele genannt seien hier nur das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI), internationale IT-Sicherheitsstandards wie BS7799/ISO 27001 oder ISO 17779, die Systemmanagement-Philosophie ITIL oder IT Governance Frameworks wie die „Control objectives for information and related Technology“ (CobiT).
Um sich also beim Aufbau einer Compliance-Lösung für das Unternehmen nicht zu verzetteln, gilt es zunächst einmal nach der Pareto-Regel (mit 20% Einsatz, 80% des Zieles erreichen), anfangs die wesentlichen Aspekte zu fokussieren und dann die Lösung sukzessive auszubauen und zu verfeinern. Außerdem sollte die IT proaktiv agieren und nicht – wie früher auch bei den Finzanz-Audits üblich – nur passiv reagieren, indem der Compliance-Nachweis im Jahresrhythmus nachträglich durch manuelle Audits erfolgt. Denn wenn die Compliance täglich und nicht jährlich sichergestellt wird, haben sowohl der Unternehmer als auch der IT-Chef viel bessere Möglichkeiten zur Steuerung und Risikokontrolle.
Controlling
Auf der kaufmännischen Seite im Unternehmen sind die Controller schon längst dort angekommen. Tägliche Trendanalysen und Alarmsignale bei drohenden Planweichungen sind hier die Regel und nicht die Ausnahme. Möglich wird diese Vorgehensweise, indem die Audits auf Basis der ohnehin vorliegenden Betriebsdaten (z. B. aus der Finanzbuchhaltung) automatisiert erfolgen.
Davon können die IT-Chefs nur lernen. Zumal mit Hilfe der reichlich vorhandenen Betriebsdaten aus den IT-Systemen (Log-Dateien, Traces, Events, etc.) auch im Bereich der IT-Compliance wirkungsvolle Automatismen zu einem Frühwarnsystem kombiniert werden können. Das weist dann auf drohende Compliance-Verletzungen rechtzeitig hin und gestattet somit eine überlegte Reaktion auf diese Risiken.
Dies ist gar nicht so schwierig, wie es auf Anhieb klingt, denn es gibt durchaus einen gemeinsamen Nenner aller Regularien. Das ist der grundsätzliche Aufbau und Betrieb eines definierten Regelwerks für das interne Kontrollsystem, mit dem die Compliance zu den unterschiedlichsten Vorschriften überprüft werden kann. Dieses Kontrollsystem besteht aus Prozessen, Rollen und Regeln, die den sicheren, nachvollziehbaren und verbindlichen Betrieb eines Geschäftsvorgangs regeln. Auch die Kontrollelemente selbst haben drei gemeinsame Ziele:
Verantwortlichkeit: Wer hat wann was getan, wer hat es genehmigt, und was war das Resultat?
Transparenz: Alle Geschäftsprozesse und Kontrollelemente müssen vollständig bekannt und dokumentiert sein. Intransparente Prozesse sind per Definition nicht „compliant“.
?Messbarkeit: Alle internen Prozesse müssen anhand vordefinierter qualitativer und quantitativer Kriterien bewertet werden können. Die Messbarkeit ergibt sich durch Auditierung, Protokollierung (Logging), Korrelation und Visualisierung/Auswertung der Ergebnisse.
Compliance-Audits
Noch eine wichtige Erkenntnis erleichtert den einheitlichen Aufbau einer Infrastruktur für die unterschiedlichen Compliance-Audits: 70 Prozent der größten Schwächen von IT-Infrastrukturen beruhen auf einem unvollkommenen Management von Identitäten und Zugriffrechten (siehe Kasten) und können folglich durch ein konsequentes IT-Security-Management erheblich vereint und vereinfacht werden. Mit einer Security-Zertifizierung kann somit die Basis für eine Compliance-Lösung geschaffen werden, die mit einem vertretbaren Aufwand implementiert und betrieben werden kann.
Im Kern geht es immer darum, Abweichungen zumindest in den vitalen Prozessen zu erkennen. Dazu müssen zunächst diese Prozesse einmal identifiziert werden, etwa durch Wirtschaftsprüfer oder Unternehmensberater. Im zweiten Schritt werden ihre Risiken beurteilt und Kontrollziele definiert, die einen ordnungsgemäßen Prozess kennzeichnen. Das Erreichen dieser Ziele wiederum wird anhand von Kontrollinformationen nach kritischen Prozessschritten validiert, die automatisch aus den Betriebsdaten von Anwendungen, Middleware, Systemplattformen und Netzwerken generiert bzw. gezielt erzeugt werden.
Prozessablauf
Der korrekte Ablauf der Prozesse wird automatisch an definierten Kontrollstellen überprüft, um die Ist-Werte der wichtigen Messgrößen mit idealen Sollwerten zu vergleichen. Eine Störung liegt dann vor, wenn die gemessen Werte von Kontrollzielen über ein als kritisch definiertes Maß hinaus abweichen. Zur Festlegung der Kontrollziele existieren bereits standardisierte Verfahren wie CobiT, das von der Wirtschaftsprüfervereinigung ISACA empfohlen wird.
Die darin festgelegten Kontrollziele sind in 34 Prozesse gegliedert, die eine verlässliche und dem Unternehmensbedarf angemessene Informationsfunktion sicherstellen sollen. Die Werkzeuge könnten auch andere Methoden und Standards wie BS7799 abdecken. Das Elegante an dem Verfahren ist: Die Einhaltung der Compliance lässt sich voll und ganz mit Hilfe der Kontrollinformationen an den definierten Prozessschritten nachweisen.
Wesentlich für eine wirtschaftliche Compliance-Lösung ist das Vermeiden von Identitätsbrüchen in den IT-Systemen, wie es heute dank des Einsatzes eines unternehmensweiten Identity- and Access Managements möglich ist. Damit ist auch ein zentraler Kontroll- und Überwachungspunkt gegeben, an dem – etwa mit ausgefeilten Methoden der Forensik – die Nutzung der richtigen Betriebsdaten für die Entscheidungsvorbereitung wesentlich erleichtert wird. Herangezogen werden hierzu Funktionen zur Definition von Kennzahlen, Schwellwerten und Entscheidungsregeln. Außerdem können damit auch mittelständische Firmen eine aussagekräftige Entscheidungsbasis für alle Compliance-Fragen aufbauen – bis hin zu „compliance dashboards“ als Expertensystem.
(ID:2000917)
:quality(80)/p7i.vogel.de/wcms/e2/fa/e2fa3fb6dfcce8649ea43d1b85663d75/0113555225.jpeg "Zur erfolgreichen ISO 27001-Zertifizierung gelangt man in sechs Schritten. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/41/2941da66b975d2e974dc0afd28f9652b/0110819420.jpeg "Reifegradmodelle tragen dazu bei, IT-Security-Programme zu optimieren und schließlich Risiken in einem digitalen Ökosystem zu mindern. (Bild: Andrii Yalanskyi - stock.adobe.com)")