Mehr Durchblick bei IT-Richtlinien Werkzeuge zur Prüfung der IT-Compliance

Autor / Redakteur: Oliver Schonschek / Stephan Augsten

PCI DSS, HIPAA, SOX und Co: Die IT muss diverse Compliance-Vorgaben erfüllen. Um bei der Vielzahl der Regularien noch den Durchblick zu behalten, bieten sich spezielle Compliance-Suites an.

Bei der Vielzahl an Compliance-Standards ist es nicht einfach, den Überblick zu behalten.
Bei der Vielzahl an Compliance-Standards ist es nicht einfach, den Überblick zu behalten.

Die IT-Compliance ist zunehmend im Fokus der Geschäftsleitung, wie eine Untersuchung von Forrester Consulting (PDF, 630 KB) ergab. Die Frage der Geschäftsleitung, ob denn die IT-Organisation auch „compliant“ ist, lässt sich aber nicht einfach mit einem Ja oder Nein beantworten.

Selbst die Klärung der Rückfrage, welcher der vielen Standards denn gemeint sei, hilft meist wenig. Helfen können dagegen sogenannte Compliance-Suites, die je nach Anbieter verschiedene Werkzeuge zur Planung und Kontrolle der IT-Compliance und zur Berichterstattung an die Geschäftsleitung vorhalten. Drängende Fragen der IT-Compliance lassen sich so beantworten.

Bildergalerie
Bildergalerie mit 6 Bildern

1. Sind die Policies vollständig?

Nur 55 Prozent der Unternehmen verfügen über Richtlinien zur Nutzung mobiler Endgeräte, obwohl die Zahl der Smartphones und Tablets in den Unternehmen deutlich ansteigt. Noch dazu gefährdet die private Nutzung der Geräte die IT-Sicherheit im Unternehmen gefährdet.

Dieses Ergebnis der „Global Study on Mobility Risks“ des US-amerikanischen Ponemon-Instituts zeigt beispielhaft, dass selbst bei aktuellen Sicherheits- und Compliance-Themen von einer Vollständigkeit der Richtlinien nicht die Rede sein kann. Ohne vollständige Richtlinien kann jedoch keine Compliance erreicht werden.

Die Fülle der zu beachtenden Compliance-Standards macht die Prüfung, ob Richtlinien fehlen, nicht gerade einfach. Compliance-Lösungen wie die von LogLogic, Symantec oder Qualys verfügen über umfangreiche Policy-Kataloge, um zum Beispiel die Compliance nach PCI DSS prüfen zu können. Statt die Vollständigkeit der Richtlinien zu prüfen, kann man sich auf die Kontrolle der Einhaltung konzentrieren.

2. Werden die Policies überhaupt eingehalten?

Ein Drittel der Mitarbeiter missachtet IT-Richtlinien, so das Ergebnis einer Studie von Xerox und McAfee. Ob die IT-Compliance nur auf dem Papier besteht oder tatsächlich umgesetzt ist, zeigt nur eine regelmäßige Kontrolle.

Abweichungen von den definierten Policies zeigen Compliance Suites wie zum Beispiel die NetIQ Access Governance Suite für den Zugangs- und Zugriffsschutz oder die QualysGuard IT Security + Compliance Suite auf Knopfdruck.

Bildergalerie
Bildergalerie mit 6 Bildern

Dazu sammeln solche Compliance-Suites Protokolldaten aus zahlreichen IT-Systemen, werten diese einheitlich aus und gleichen sie mit den definierten Vorgaben ab. Berücksichtigt zum Beispiel ein Nutzer eine der Passwortvorgaben nicht, taucht dies unter den Abweichungen (Policy Violations) auf.

3. Kennen die Mitarbeiter die Policies wirklich?

Wenn sich die Mitarbeiter nicht an die Vorgaben halten, steckt nicht immer böser Wille, sondern oftmals Unkenntnis dahinter. Laut der genannten Studie von Xerox und McAfee kennen 21 Prozent der Mitarbeiter die IT-Richtlinien gar nicht.

Wie bekannt die Richtlinien tatsächlich sind, lässt sich mit einer Suite wie der NETconsent Compliance Suite (Modul Examiner) oder der Symantec Control Compliance Suite 11 (Modul Symantec Control Compliance Suite Assessment Manager) überprüfen.

Zusätzlich kann z.B. über die NETconsent Compliance Suite auch sichergestellt werden, dass die Mitarbeiter Kenntnis von den Policies genommen haben, bevor bestimmte Zugänge ermöglicht werden. Mit der PEP-Technik (Policy Enforcement Point) kann die Zustimmung zu einer Policy zum Beispiel vor der Netzwerkanmeldung (LANconsent), vor der Internetnutzung (WEBconsent), vor der E-Mail-Verwendung (MAILconsent) oder vor einem SSL-verschlüsselten Fernzugriff (SSLconsent) eingeholt und protokolliert werden.

4. Kann die IT-Infrastruktur noch die Vorgaben erfüllen?

Mehr als 70 Prozent der europäischen Finanz- und Versicherungsdienstleister bezweifeln die Compliance ihrer IT-Infrastrukturen, so eine Studie des Analystenhauses JWG. Auch in anderen Branchen stellt sich die Frage, ob die IT-Infrastruktur den hohen Sicherheitsanforderungen noch gerecht wird. Compliance-Suites wie die von Symantec oder Qualys erlauben einen Abgleich zwischen den vorhandenen IT-Systemen und den Compliance-Vorgaben.

Die QualysGuard-Suite z.B. enthält ein Modul zur Schwachstellenanalyse, zeigt Abweichungen vom jeweils geforderten Sicherheitsstatus und sucht nach Schadprogrammen und Sicherheitslücken bei Webanwendungen. Der Symantec Control Compliance Suite Risk Manager ermöglicht die Verknüpfung von IT-Assets, möglichen Risiken und erforderlichen Kontrollen, um die Compliance-Prüfung ganz gezielt durchführen zu können.

Bildergalerie
Bildergalerie mit 6 Bildern

5. Welche Priorität haben bestimmte Risiken?

Die Vielzahl an Compliance-Vorgaben erschwert die Priorisierung von Kontrollen und erforderlichen Schwachstellenbehebungen. Dies gilt insbesondere für Unternehmen, die die vorhandenen Risiken ohne weitergehende Unterstützung bewerten. So nutzen laut der PwC-Studie „Risk-Management-Benchmarking 2011/2012“ mehr als die Hälfte der befragten Unternehmen eine einfache Tabellenkalkulation wie Excel für ihre Risikobewertung.

Eine umfangreiche Unterstützung bei der Bewertung von Risiken liefert dagegen z.B. die Symantec Control Compliance Suite 11. Dabei werden die möglichen Auswirkungen der Risiken auf die Geschäftsentwicklung betrachtet.

Nicht die technische Sicht auf die IT-Risiken entscheidet dann über die Priorität bei Kontrolle und erforderlicher Schwachstellenbehebung, sondern die mögliche Bedeutung für das Business, zum Beispiel die Geschäftsrisiken für den Online-Shop des Unternehmens durch bestimmte Sicherheitslücken.

6. Wie sage ich es meiner Geschäftsleitung?

Mehr als 40 Prozent der Unternehmensentscheider wünschten sich eine schnellere und detailliertere Verfügbarkeit von Informationen über IT-Risiken beziehungsweise ein regelmäßigeres Reporting, so die bereits erwähnte Forrester-Studie.

Das Reporting an die Geschäftsleitung kann durch eine Compliance-Suite beschleunigt und vereinfacht werden. IT-Risiken werden für die verschiedenen Zielgruppen der Berichte visualisiert und bewertet. So bietet zum Beispiel die Symantec Control Compliance Suite 11 sogenannte Executive-Level Dashboards mit übergreifenden Analysen, Security Operations Dashboards für Sicherheitsverantwortliche und Dashboards für IT-Operations mit Plänen zur Behebung der entdeckten Schwachstellen.

Bildergalerie
Bildergalerie mit 6 Bildern

Tipp: Harte Anforderungen, flexible Lösungen

Änderungen in den Standards und neu hinzu kommende Vorgaben machen flexible Compliance-Werkzeuge erforderlich. Es gilt also eine Suite zu finden, die durch den Anbieter ständig weiterentwickelt wird, eine Definition von Ausnahmen zu den Richtlinien erlaubt und individuelle Richtlinien als Ergänzung des Policy-Katalogs akzeptiert.

Nur solche Lösungen können auch in Zukunft die Frage nach der IT-Compliance zuverlässig beantworten. Das sollte bei der Suche nach der für das Unternehmen geeigneten Compliance-Suite unbedingt beachtet werden.

(ID:33904500)