:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
GRC steht nicht für Sicherheit, sondern den Umgang mit schützenswerten Informationen
Governance, Risk and Compliance meint, anders als der Begriff „Security“, nicht den Schutz von Informationen, sondern den Umgang mit schützenswerten Informationen.
Die generelle Zielsetzung beim GRC beinhaltet somit drei Punkte.
1. Das Erkennen von Risiken und Maßnahmen zur Steuerung.
2. Das Sicherstellen der aus Schritt eins resultierenden Normen und Gesetze.
3. Das Vergleichen der Prozesse auf der Basis von Best-Practise-Ansätzen.
Sich stetig ändernde Rechts-, Branchen oder Behördenvorschriften erschweren jedoch derzeit diese Zielsetzung und sorgen dafür, dass Compliance-Prozesse und das Risk-Management im Unternehmen immer wieder verändert und angepasst werden müssen. Bis diese im Unternehmen durchgesetzt und kontrollierbar sind, kann einige Zeit vergehen und manchmal sieht es nach einer beinahe unlösbaren Aufgabe aus. Dabei kann die Arbeit mit Hilfe von Information Security Management Systemen einfach und strukturiert umgesetzt und durch GRC-Tools unterstützt werden. Diese so genannten GRC-Tools verbreiten die beschlossenen Sicherheitsinformationen unmittelbar in jede Ebene des Unternehmens und unterstützen die verantwortlichen Compliance- und Risk-Manager bei deren Umsetzung.
Entscheidungen, die im Bereich GRC getroffen werden, betreffen nahezu alle Unternehmensbereiche: ob Führungskräfte nach besseren Möglichkeiten des Risikomanagements suchen, Finanzchefs auf die Einhaltung aller geltender Vorgaben zu achten haben, ob Marketingverantwortliche den Schutz der Marke und den Ruf des Unternehmens im Blick haben, ob Mitarbeiter der Rechtsabteilung sich um Discovery und Datenarchivierung kümmern oder ob IT-Verantwortliche diverse GRC-Projekte leiten, die Ergebnisse müssen verständlich aufbereitet sein und die Verantwortlichen müssen daraus Handlungsanweisungen ableiten können.
Risiken visualisieren mit GRC-Tools
GRC-Tools ermöglichen es in erster Linie, mögliche Risiken sichtbar zu machen, Maßnahmen zu managen, Policies und Informationen zu kommunizieren und am Ende entsprechende Auswertungen für Compliance-Anforderungen bereitzustellen.
GRC-Tools sollten zudem in der Lage sein, das komplette Unternehmen in den drei Bereichen (Risk-Management, Compliance-Management und Maturity-Management) und unter den vorgeschriebenen Strukturen abzubilden. Die Informationen aus jedem abgebildeten Tool fließen dann in eine zentrale Datenbank und können am Ende detailliert ausgewertet werden.
Der Vorteil zu den bisher bekannten Excel-Tabellen ist vor allem, dass Änderungen nicht kommuniziert werden und auf die Umsetzung gehofft werden muss, sondern dass neue Normen und Entscheidungen sofort „durchgesetzt“ werden, weil die Änderungen unmittelbar als verbindliche Vorlagen (Masken) weitergegeben werden. Die Modellierung wird so stark vereinfacht und flexibilisiert. Es können zudem große Nutzerkreise eingebunden oder Assessments workflowgesteuert durchgeführt und überwacht werden. Der Aufwand wie Formelpflege, Fehlersuche, Datenzusammenführung oder eine hohe Anzahl an Dateien, die beispielsweise bei der Tabellenkalkulation mit Excel auftreten, entfällt hingegen.
Die GRC-Tools bereiten am Ende schließlich alles automatisiert und gut verständlich in einen Report auf, der nachvollziehbar aufweist, wo Schwachstellen sind und was verbessert werden muss.
Diese Reporte können dann so individuell eingestellt werden, dass am Ende Entscheidern mit unterschiedlichem IT-Kenntnisstand bewusst wird, wie es derzeit um die tatsächliche GRC im Unternehmen steht und welche Handlungsansätze für Unternehmen sich daraus ergeben.
Über den Autor
Ralf Nemeyer ist Strategic Consulting Manager der Integralis AG. Integralis präsentiert auf der Integralis Security World am 22.-23. Juni 2010 in Stuttgart aktuelle Lösungen und Produkte der 35 wichtigsten Anbieter aus dem IT-Sicherheitsbereich. Außerdem gibt es einen informativen Mix aus rund 50 Fachvorträgen in 7 verschiedenen Themenpanels und Gesprächsmöglichkeiten mit renommierten Fachleuten auf der benachbarten Ausstellung.
(ID:2045385)
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")