- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Erfüllung der hohen Compliance-Anforderungen


So lassen sich Compliance-Herausforderungen erfolgreich meistern
Durch eine regelmäßige Überprüfung der IT-Sicherheitsrichtlinien lassen sich vorhandene Lücken zwischen Geschäftsanforderungen, IT-Systemen und dem Anwenderverhalten aufspüren

Autor André Lutermann
Autor André Lutermann Verantwortlichkeiten bezüglich der IT-Compliance und IT-Sicherheit etablieren, Bild: Dell

Von André Lutermann, Technical Strategist bei Dell Software

(03.07.15) - Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema – seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

• 1. Bewerten. Durch eine regelmäßige Überprüfung der IT-Sicherheitsrichtlinien lassen sich vorhandene Lücken zwischen Geschäftsanforderungen, IT-Systemen und dem Anwenderverhalten aufspüren. Die drei Bereiche müssen immer wieder von neuem optimal aufeinander abgestimmt werden. Wichtig ist aber auch eine Überprüfung, ob die IT-Sicherheitsrichtlinien auch tatsächlich die externen und internen Compliance-Anforderungen erfüllen beziehungsweise welche Diskrepanzen sich im Alltag zeigen. Ein weiteres Element der Bestandsaufnahme ist eine Auflistung der Zugriffsberechtigungen. Sie ist allein schon deshalb hilfreich, weil sie spätestens beim nächsten Audit benötigt wird.

• 2. Überwachen und Benachrichtigen. Unternehmen sollten für ihr Umfeld Sicherheitskennzahlen – beispielsweise die Zahl der Sicherheitsvorfälle, Hacker- oder Trojaner-Angriffe – definieren und fortlaufend messen. Dazu gehört auch, die Aktivitäten der Benutzer einschließlich der Privileged User aufzuzeichnen. Bei auffälligen Aktivitäten und Ereignissen muss sofort ein Alarm ausgelöst werden können, um rechtzeitig Gegenmaßnahmen einzuleiten. Darüber hinaus steht eine Überprüfung der Dokumentation solcher Vorkommnisse bei Audits regelmäßig auf der Checkliste. Auch Richtlinien zur Problembehandlung sind eine wesentliche Komponente von Audits.

• 3. Schwachpunkte beseitigen. Eine regelmäßige Überwachung und Benachrichtigung ist die Voraussetzung dafür, dass Schwachpunkte erkannt und beseitigt werden können. Erforderlich ist in diesem Zusammenhang aber auch, dass unerwünschte Änderungen der Konfigurationseinstellungen zeitnah erkannt und rückgängig gemacht werden. Geschieht dies nicht, entstehen Sicherheitslücken, die von Hackern sehr schnell aufgespürt und ausgenutzt werden könnten. Sollte es trotz aller IT-Sicherheitsvorkehrungen dennoch zu einem gravierenden Sicherheitsvorfall kommen, muss ein Unternehmen darauf vorbereitet sein. Dazu gehört auch ein Disaster-Recovery-Plan, der periodisch getestet und auf seine Wirksamkeit überprüft wird. Im schlimmsten Fall ist mit diesem Plan die baldige Wiederherstellung einer funktionierenden Arbeitsumgebung möglich.

Implementierung von IT-Compliance-Vorgaben

IT-Sicherheits- und Compliance-Maßnahmen
IT-Sicherheits- und Compliance-Maßnahmen Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema, Bild: Dell


• 4. Verwalten.
Bei allen Verwaltungsaktivitäten vereinfachen automatisch arbeitende Tools die Arbeit der Administratoren deutlich. Solche Werkzeuge verwalten und kontrollieren beispielsweise die Passwortvergabe und widerrufen bei Bedarf automatisch die zuvor zugeteilten Benutzerrechte. Wichtig ist in diesem Falle auch der Nachweis, dass die Datenschutzbestimmungen eingehalten werden. Oft-mals ist es für Administratoren schwierig, aus vorhandenen Aufzeichnungen die von einem Auditor benötigten Informationen zu ermitteln. In vielen Fällen müssen dazu unzählige Eventlog-Dateien mit nativen Betriebssystem-Tools einzeln durchsucht werden – eine zeitaufwändige Tätigkeit, die ein automatisch arbeitendes Tool schneller und effizienter erledigen kann.

• 5. Governance sicherstellen. Unternehmen sollten einen hierarchisch strukturierten Plan auf Basis von Verantwortlichkeiten bezüglich der IT-Compliance und IT-Sicherheit etablieren (IT-Governance). Jede Ebene trägt dabei ihren Anteil zur Einhaltung der externen Vorschriften und Standards bei. Ein derartiger Plan umfasst Aspekte wie die grundlegenden Regeln bei der Zuweisung von Benutzerrechten und der damit verbundenen Pflichten, die Überwachung der Vorschriften, Standards und Prozesse, das gesamte Dokumentations- und Berichtswesen sowie das interne Auditing. Mit einem solchen Compliance-Plan kann sich ein Unternehmen auch effizient auf anstehende externe Audits vorbereiten.

Organisationen sind heute auf die Implementierung und kontinuierliche Überwachung unternehmensweit gültiger IT-Sicherheits- und Compliance-Maßnahmen angewiesen. Die skizzierten fünf Best Practices unter-stützen Unternehmen bei der Umsetzung externer sowie interner Vorgaben und führen letztlich zu einer höheren Effizienz und Sicherheit. (Dell Software: ra)

Lesen Sie auch den Schwerpunkt:
"IT-Sicherheit im Kontext von Compliance"

Dell: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Internet-Ausfall: Stationärer Handel in der Klemme

    In nur wenigen Bereichen hat sich in den letzten 30 Jahren so viel verändert wie im stationären Handel. Während manche Einzelhändler das Internet immer noch als Bedrohung empfinden, profitiert das Gros von vielen Vorteilen, die das World Wide Web mit sich bringt. Beispiel Kartenzahlungen: Sie wären ohne Internetanbindung gar nicht möglich. Somit ist für Einzelhändler eine kontinuierliche Internetverbindung essenziell, ja gerade überlebenswichtig. Umso schlimmer, wenn das Netz ausfällt. Doch für den unangenehmen Fall der Fälle gibt es gute Lösungen. Ohne Internet sind moderne Verkaufserlebnisse undenkbar: Zu den neueren Entwicklungen im Einzelhandel zählt das so genannte Omni-Channel-Retailing. Dabei nutzen Shops oder Filialen mehrere, vor allem onlinebasierte Kanäle, um dem Kunden ein optimales Verkaufserlebnis zu bieten. So beispielsweise der Reifenwechsel am Auto: Bei größeren Werkstätten und Werkstattketten ist es heute State-of-the-Art, dass der Kunde seine Wunschreifen und Felgen online bestellt, eventuell unterstützt durch eine telefonische Beratung. Nach dem Kauf vereinbart er dann über eine Webseitenschnittstelle gleich den Montagetermin. Die Werkstatt erhält die Terminanfrage in ihrem CRM und bestätigt per E-Mail. Zum Termin liegen die bestellten Reifen in der Werkstatt bereit und werden montiert.

  • Cyber Intelligence - Mehr als ein Trend?

    Cyber Intelligence, auch Cyber Threat Intelligence oder nur Threat Intelligence, ist keine neue Disziplin innerhalb der Informationssicherheit. Die US-amerikanische National Security Alliance hat gemeinsam mit dem Beratungsunternehmen Deloitte bereits 2011 (!) verlautbaren lassen, dass Cyber Intelligence tatsächlich so etwas wie die intelligentere Art und Weise ist, mit Datenschutzverletzungen und Bedrohungsszenarien umzugehen. Zitat: "The consultancy Deloitte deems cyber intelligence as a vastly more sophisticated and full set of threat management tactics (than IT security itself), providing tools to move to a more proactive, over-the-horizon threat awareness posture."

  • Vorschriften im Gesundheitswesen

    Personenbezogene Daten geheim und sicher zu halten, ist im Gesundheitssektor immens wichtig. Mittlerweile ist es bereits 21 Jahre her seit Titel I des Health Insurance Portability and Accountability Act (HIPAA) in den Vereinigten Staaten verabschiedet wurde, um den Krankenversicherungsschutz für Arbeitnehmer und Familien zu gewährleisten. 2003 wurde Titel II als nationaler Standard für elektronische Transaktionen im Gesundheitswesen und nationale Kennzeichnungsvorschriften für Versorger, Krankenversicherungen und Mitarbeiter eingerichtet. Zu diesem Zeitpunkt wurden etliche Datenschutz- und Sicherheitsregeln zum Schutz elektronischer Gesundheitsdaten (e-PHI) definiert. Vor einigen Jahren haben der US-Kongress und das Department of Health and Human Services (Gesundheitsministerium HHS) im Cybersecurity Act von 2015 die Health Care Industry Cybersecurity (HCIC) Task Force eingerichtet. Grund war die wachsende Sorge um Risiken und Bedrohungen der Cybersicherheit für das Gesundheitswesen. Erst vor kurzem hat die Task Force ihre Ergebnisse in einem sehr detaillierten Report on Improving Cybersecurity in the Health Care Industry veröffentlicht. Der Report betont die Dringlichkeit der empfohlenen Maßnahmen angesichts der wachsenden Zahl komplexer Cyberbedrohungen. Das Gesundheitswesen müsse eben diese Maßnahmen zeitnah zum Schutz von Systeme und Patienten umsetzen.

  • Datensicherheit und Datenschutz

    Im Mai 2018 wird das EU-Regelwerk zum Datenschutz scharf gestellt. Unternehmen bleibt nicht viel Zeit, ihre IT für einen gesetzeskonformen Umgang mit personenbezogenen Daten umzubauen. Dabei ist mehr als Datenklassifizierung, Risikoanalyse und Dokumentation gefragt. Die gute Nachricht: Es ist noch nicht zu spät. Der Datenschutz in Europa wird vereinheitlicht. Darauf zielt die EU-Datenschutz-Grundverordnung (DSGVO) ab. Das Regelwerk, die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, wurde im April 2016 im EU-Parlament verabschiedet und am 4. Mai 2016 im EU-Amtsblatt veröffentlicht. Die 28 EU-Mitgliedstaaten haben bis zum 25. Mai 2018 Zeit, alle Vorgaben umzusetzen. In Europa gibt es Richtlinien, die von den EU-Staaten in nationales Recht umgesetzt werden müssen und Verordnungen, die unmittelbar geltendes Recht sind.

  • Googeln für Hacker

    Google ist die Suchmaschine schlechthin, auch wenn die Datensammelwut des Weltkonzerns aus Mountainview immer wieder kontrovers diskutiert wird. Fast 80 Prozent der Suchanfragen weltweit gehen an Google, während andere Suchmaschinen noch nicht einmal die 10-Prozent-Hürde schaffen. Bei Mobilgeräten liegt der Anteil von Google sogar bei mehr als 96 Prozent. Das ist selbst für Laien keine Überraschung. Weniger verbreitet ist das Wissen, dass Google sich auch bei Hackern großer Beliebtheit erfreut. Verschiedene versteckte Funktionen ermöglichen es Eingeweihten, sehr schnell an umfangreiche Listen potenzieller Opfer zu kommen. Versehentlich freigegebene Dokumente ausspähen, verwundbare Log-in-Seiten finden oder sich in schlecht geschützte Webcams einloggen - Google liefert bequem die einfachsten Ziele. Das ist nicht alles: durch verschiedene Tricks kann sich ein Angreifer quasi hinter der "harmlosen" Suchmaschine verstecken und so gezielt seine Spuren verwischen.