:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit vs. Compliance Sicherheit und Compliance darf man nicht gleichsetzen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Oft wird IT-Sicherheit gedanklich mit Compliance gleichgesetzt. Eine scheinbar logische Schlussfolgerung, aber ganz so einfach ist es leider nicht. Die Art und Weise, wie Entwickler, Sicherheitsanalysten und Prüfer an ihre Arbeit herangehen, führt tatsächlich dazu, dass in der praktischen Umsetzung zwischen Compliance und Sicherheit Lücken entstehen. Die wiederum bringen unnötige Risiken mit sich.
Wenn ein Unternehmen Sicherheits- und Compliance-Positionen falsch versteht (unabhängig davon, ob sie in einem konkreten Fall doch übereinstimmen oder nicht), sollte man sich mit der Rolle von Nachweisen beschäftigen. Nachweise, mit denen Sicherheitsteams üblicherweise Compliance belegen. Compliance-Nachweise sind das wesentliche Verbindungsglied zwischen Sicherheit und Compliance und bilden letztendlich die gemeinsame Grundlage für intelligente und effiziente Workflows.
Ein Beispiel aus der Praxis. Ein Auditor arbeitet mit einem IT-Unternehmen zusammen, um ein SaaS-Produkt zu entwickeln. Er spricht im Rahmen seiner Tätigkeit mit einer der Entwicklerinnen und stellt fest, dass ihre Entwicklung mit dem bestehenden Rahmenwerk nicht konform ist. Für die Entwicklerin frustrierend, denn das Produkt als solches ist hoch sicher. Der Auditor bestätigt sogar, dass es gut konzipiert und implementiert sei. Nur ist sicher nicht gleich konform. Es kann natürlich auch genau umgekehrt sein. Eine Lösung entspricht der Konformitätserklärung und verfehlt gleichzeitig die Sicherheitsgüte, die diese Kriterien liefern sollten. Wir sind alle ausreichend damit vertraut in den relevanten Kontrollkästchen einen Haken zu setzen. Aber es gelingt vergleichsweise selten, den prognostizierten Nutzen aus einer bestimmten Sicherheitskontrolle zu ziehen.
:quality(80)/images.vogel.de/vogelonline/bdb/1533300/1533368/original.jpg "Die sechs grundlegenden CIS-Controls sind ein idealer Ausgangspunkt für IT-Teams, um mit den Best Practices des IT-Sicherheitsmanagements Schritt zu halten. (gemeinfrei)")
Security Best Practices
Mehr Sicherheit durch Critical Security Controls
"Schützen, verhindern, erkennen" versus "Prüfen, befragen, berichten"
Wie können Sicherheits- und Compliance-Teams eine erfolgreiche Allianz bilden? Geht es darum, die gemeinsamen Ziele Sicherheit und Compliance zu erreichen, lässt sich alles auf einen Begriff reduzieren: Risiko.
Risikomanagement ist der Grund, warum beide Teams überhaupt existieren. Beide entwerfen und etablieren Kontrollen zum Schutz einer Organisation und setzen diese Kontrollen praktisch um. Bei so vielen Gemeinsamkeiten scheinen beide Gruppen natürliche Verbündete zu sein, und oft sind sie das auch.
Warum kommt es dann überhaupt zu praktischen Differenzen wie in unserem Beispiel zwischen Prüfer und Entwicklerin? Das liegt an der Betrachtungsweise aus zwei völlig unterschiedlichen Perspektiven:
- 1. Sicherheit: Sichern, verhindern, schützen, erkennen - das sind die Aufgaben im Rahmen der Cybersicherheit. Die Mittel, dieses Ziel zu erreichen, sind überwiegend technischer Natur. Compliance ist hier nicht das Hauptanliegen und im Übrigen auch nicht der primäre Auftrag eines Sicherheitsteams. Trotzdem kann Compliance unternehmerisch erforderlich sein.
- 2. Compliance: Compliance-Teams beschäftigen sich mit denselben Risiken, obwohl ihr Mandat oft umfassender ist und über den Schutz von Information Assets hinausgeht. Richtlinien, Vorschriften und Gesetze sind weitreichender als das sogenannte Information Risk Management und decken physische, finanzielle, rechtliche und weitere Risiken ab. Vor diesem Hintergrund prüfen, bewerten, befragen und berichten Compliance-Teams.
Es handelt sich um unterschiedliche Begrifflichkeiten. Sie dienen allerdings demselben Zweck: das Unternehmen zu schützen. Vereinfacht dargestellt heißt das, wenn das Sicherheitsteam in einer Technikwelt lebt, agieren die Compliance-Verantwortlichen in einer Textwelt.
Drei Wege Sicherheit und Compliance miteinander zu verknüpfen
Kehren wir zu unserem Praxisbeispiel zurück. Die Entwicklerin hat aus technischer Sicht alles richtig gemacht - der Code ist gut geschrieben, die Architektur entsprechend aufgebaut und der Bereitstellungsprozess überzeugt. Aber vielleicht fehlt eine kritische Dokumentation, um nachzuweisen, dass dies tatsächlich und hundertprozentig der Fall ist. Ein Prüfer kann ein Ereignis zu einem bestimmten Zeitpunkt beobachten. Ohne lückenlose Dokumentation kann er aber nicht garantieren, dass Prozesse und Richtlinien immer befolgt werden.
Darin liegt eine nicht zu unterschätzende Herausforderung. Prozesse zu dokumentieren ist aufwendig und mühsam. Viele Anforderungen scheinen einer schnellen Entwicklung und Bereitstellung ständig neue Hindernisse in den Weg zu legen. Es entsteht ein Spannungsfeld zwischen den konkurrierenden Interessen von Sicherheit, Entwicklung und Compliance. Das führt zu Kompromissen hinsichtlich Geschwindigkeit, Einfachheit und Dokumentation.
Muss es dieses Spannungsfeld zwischen Sicherheit und Compliance tatsächlich geben? Oder kann man die Interessen im Sinne von Sicherheit und Compliance so zusammenführen, dass das Ganze mehr ist als die Summe seiner Teile?
1. Kommunizieren
Ein Compliance-Team sollte vor allem eines tun, um sich besser auszurichten und erfolgreicher zu arbeiten: kommunizieren. Das betrifft vier grundlegende Aspekte:
- Die Anforderungen: In unserem praktischen Beispiel hatte die Entwicklungsabteilung keine Kenntnis der Anforderungen. Je früher Sicherheits- und Entwicklungsteams wissen, was sie im Sinne der Konformität berücksichtigen sollten, desto frühzeitiger finden sie Wege diese Anforderungen zu erfüllen.
- Die Details: Die Verantwortlichen müssen verstehen, wonach ein Prüfer genau sucht. „Wir haben eine Firewall“ ist eine wenig hilfreiche Aussage. Heißt das, Layer-3 ist ausreichend oder braucht das Unternehmen doch eine Layer-7-Firewall?
- Der Nachweis: Abteilungen, welche die geforderten Nachweise erbringen sollen, müssen wissen, was einen Prüfer zufriedenstellt. Sucht er nach Berichten, Screenshots oder Richtliniendokumentationen?
- Die Häufigkeit: Kontrollen und Anforderungen müssen zumeist regelmäßig überwacht werden. Muss das jährlich oder monatlich passieren? Wenn Sie das wissen, kann die Sicherheitsabteilung im Voraus planen und die nötigen Aufgaben zuweisen.
2. Dokumentieren
Die Dokumentation ist nicht selten langwierig und zeitaufwendig, für ein erfolgreich abgeschlossenes Audit allerdings unumgänglich.
Die Dokumentation ist gleichzeitig eine interne Referenz und der von einem Prüfer verlangte Nachweis. Die wichtigsten Dokumente für eine erfolgreiche Allianz zwischen Security und Compliance sind:
- Kontrollen: Eine Liste aller Kontrollen, denen das Unternehmen zugestimmt hat.
- Nachweise: Besprechungsnotizen, Zugriffs- und Regelüberprüfungen, Berichte und sogar E-Mails können als Nachweise dienen. Entwickeln Sie einen Plan, um Nachweise für die geleistete Arbeit zu erstellen, zu sammeln und zentral für alle Beteiligten zugänglich abzuspeichern.
- Kalender: Wenn klar ist, mit welcher Häufigkeit und Regelmäßigkeit Audits anstehen, ist es hilfreich, einen gemeinsamen Kalender zu erstellen, in dem sowohl die regelmäßigen Ereignisse als auch der Zeitplan für die Audits festgeschrieben sind.
3. Automatisieren
Bei Compliance geht es in erster Linie darum, die notwendigen Nachweise zu erbringen und die Arbeit des Sicherheitsteams zu dokumentieren.
Sicherheit profitiert davon, manuelle Prozesse und Kontrollen weitestgehend zu automatisieren. Die drei Bereiche, in denen Automatisierung die größten Synergien erzielt, sind:
- Workflows: Es mag offensichtlich erscheinen, dass Workflows am ehesten von Automatisierung profitieren. In der Praxis sieht das anders aus. Kaum ein Prozess kommt ohne manuelle Eingriffe aus.
- Berichte: Wenn Sie Berichte manuell generieren, besteht immer ein gewisses Ausfallrisiko, gerade bei regelmäßigen Kontrollen. Das automatisierte Generieren und Verteilen von Berichten stellt sicher, dass diese pünktlich versendet werden, idealerweise an eine Gruppe von Personen, die für Analysen und Maßnahmen verantwortlich zeichnen.
- Dokumentation: Dokumentationen in Standard-Workflows zu integrieren ist eine gute Möglichkeit, Sicherheit und Compliance in die tägliche Arbeit zu integrieren. Ähnlich wie bei Berichten gibt es Möglichkeiten Dokumentationen ebenfalls zu automatisieren.
Die erfolgreiche Allianz zwischen Sicherheit und Compliance entsteht, wenn ein Sicherheitsteam wirksame Kontrollen zum Schutz von Informationsressourcen implementiert und ein Compliance-Team überprüft, ob diese tatsächlich vorhanden sind und wie erwartet funktionieren. Diese Allianz stellt sicher, dass die Kontrollen immer auf dem aktuellen Stand sind und die erforderlichen Dokumentationen zum Zeitpunkt des Audits zuverlässig vorliegen.
Über den Autor: Frank Augenstein ist Senior Sales Engineer bei Tripwire.
(ID:46383914)
:quality(80)/images.vogel.de/vogelonline/bdb/1951000/1951000/original.jpg "Ein Register wie „Cloud Gate“ soll für den revisionssicheren Betrieb sowie für Transparenz diverser Use-Cases sorgen und so das Onboarding von Cloud-Diensten einfacher gestalten. (gemeinfrei: Kanenori )")
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933872/original.jpg "Compliance als Rahmenwerk gesetzlicher- regulatorischer- und sonstigen externen Anforderungen. (Murrstock - stock.adobe.com)")