- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Erfüllung der hohen Compliance-Anforderungen


So lassen sich Compliance-Herausforderungen erfolgreich meistern
Durch eine regelmäßige Überprüfung der IT-Sicherheitsrichtlinien lassen sich vorhandene Lücken zwischen Geschäftsanforderungen, IT-Systemen und dem Anwenderverhalten aufspüren

Autor André Lutermann
Autor André Lutermann Verantwortlichkeiten bezüglich der IT-Compliance und IT-Sicherheit etablieren, Bild: Dell

Von André Lutermann, Technical Strategist bei Dell Software

(03.07.15) - Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema – seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

• 1. Bewerten. Durch eine regelmäßige Überprüfung der IT-Sicherheitsrichtlinien lassen sich vorhandene Lücken zwischen Geschäftsanforderungen, IT-Systemen und dem Anwenderverhalten aufspüren. Die drei Bereiche müssen immer wieder von neuem optimal aufeinander abgestimmt werden. Wichtig ist aber auch eine Überprüfung, ob die IT-Sicherheitsrichtlinien auch tatsächlich die externen und internen Compliance-Anforderungen erfüllen beziehungsweise welche Diskrepanzen sich im Alltag zeigen. Ein weiteres Element der Bestandsaufnahme ist eine Auflistung der Zugriffsberechtigungen. Sie ist allein schon deshalb hilfreich, weil sie spätestens beim nächsten Audit benötigt wird.

• 2. Überwachen und Benachrichtigen. Unternehmen sollten für ihr Umfeld Sicherheitskennzahlen – beispielsweise die Zahl der Sicherheitsvorfälle, Hacker- oder Trojaner-Angriffe – definieren und fortlaufend messen. Dazu gehört auch, die Aktivitäten der Benutzer einschließlich der Privileged User aufzuzeichnen. Bei auffälligen Aktivitäten und Ereignissen muss sofort ein Alarm ausgelöst werden können, um rechtzeitig Gegenmaßnahmen einzuleiten. Darüber hinaus steht eine Überprüfung der Dokumentation solcher Vorkommnisse bei Audits regelmäßig auf der Checkliste. Auch Richtlinien zur Problembehandlung sind eine wesentliche Komponente von Audits.

• 3. Schwachpunkte beseitigen. Eine regelmäßige Überwachung und Benachrichtigung ist die Voraussetzung dafür, dass Schwachpunkte erkannt und beseitigt werden können. Erforderlich ist in diesem Zusammenhang aber auch, dass unerwünschte Änderungen der Konfigurationseinstellungen zeitnah erkannt und rückgängig gemacht werden. Geschieht dies nicht, entstehen Sicherheitslücken, die von Hackern sehr schnell aufgespürt und ausgenutzt werden könnten. Sollte es trotz aller IT-Sicherheitsvorkehrungen dennoch zu einem gravierenden Sicherheitsvorfall kommen, muss ein Unternehmen darauf vorbereitet sein. Dazu gehört auch ein Disaster-Recovery-Plan, der periodisch getestet und auf seine Wirksamkeit überprüft wird. Im schlimmsten Fall ist mit diesem Plan die baldige Wiederherstellung einer funktionierenden Arbeitsumgebung möglich.

Implementierung von IT-Compliance-Vorgaben

IT-Sicherheits- und Compliance-Maßnahmen
IT-Sicherheits- und Compliance-Maßnahmen Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema, Bild: Dell


• 4. Verwalten.
Bei allen Verwaltungsaktivitäten vereinfachen automatisch arbeitende Tools die Arbeit der Administratoren deutlich. Solche Werkzeuge verwalten und kontrollieren beispielsweise die Passwortvergabe und widerrufen bei Bedarf automatisch die zuvor zugeteilten Benutzerrechte. Wichtig ist in diesem Falle auch der Nachweis, dass die Datenschutzbestimmungen eingehalten werden. Oft-mals ist es für Administratoren schwierig, aus vorhandenen Aufzeichnungen die von einem Auditor benötigten Informationen zu ermitteln. In vielen Fällen müssen dazu unzählige Eventlog-Dateien mit nativen Betriebssystem-Tools einzeln durchsucht werden – eine zeitaufwändige Tätigkeit, die ein automatisch arbeitendes Tool schneller und effizienter erledigen kann.

• 5. Governance sicherstellen. Unternehmen sollten einen hierarchisch strukturierten Plan auf Basis von Verantwortlichkeiten bezüglich der IT-Compliance und IT-Sicherheit etablieren (IT-Governance). Jede Ebene trägt dabei ihren Anteil zur Einhaltung der externen Vorschriften und Standards bei. Ein derartiger Plan umfasst Aspekte wie die grundlegenden Regeln bei der Zuweisung von Benutzerrechten und der damit verbundenen Pflichten, die Überwachung der Vorschriften, Standards und Prozesse, das gesamte Dokumentations- und Berichtswesen sowie das interne Auditing. Mit einem solchen Compliance-Plan kann sich ein Unternehmen auch effizient auf anstehende externe Audits vorbereiten.

Organisationen sind heute auf die Implementierung und kontinuierliche Überwachung unternehmensweit gültiger IT-Sicherheits- und Compliance-Maßnahmen angewiesen. Die skizzierten fünf Best Practices unter-stützen Unternehmen bei der Umsetzung externer sowie interner Vorgaben und führen letztlich zu einer höheren Effizienz und Sicherheit. (Dell Software: ra)

Lesen Sie auch den Schwerpunkt:
"IT-Sicherheit im Kontext von Compliance"

Dell: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • KI: Kein Ersatz für IT-Sicherheitsteams

    Ob Spear-Phishing, Ransomware oder Zero-Day-Exploits, Netzwerke sind ständig in Gefahr gehackt zu werden. Die wachsende Bedrohung geht einher mit immer komplexeren IT-Landschaften, mehr Daten und weniger IT-Personal. Um ihre Netzwerke unter diesen schwierigen Umständen effektiver zu schützen, setzen viele Unternehmen inzwischen auf Technologien wie KI-basierte Verhaltensüberwachung. Sie nutzt die Möglichkeiten von Datenanalyse und maschinellem Lernen um einen der größten Risikofaktoren im Netzwerk zu minimieren: den Benutzer. Nutzer sind die Einfallstore, die sensible Unternehmensdaten gefährden, sei es ein kompromittiertes Nutzerkonto im Netzwerk, ein Insider-Angriff oder unbedachtes Verhalten eines Mitarbeiters.

  • Cyber-Erpressung auf Bestellung

    CryptoLocker, GoldenEye, Locky, WannaCry - Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware-as-a-Service (RaaS) rasch ein lukratives Geschäftsmodell für sich entdeckt, das in kürzester Zeit enormes Wachstum erlebt hat. Das Prinzip ist denkbar einfach - wie in der legalen Wirtschaft sind die Dienstleistungen ganz auf die Bedürfnisse einer möglichst breiten Kundschaft zugeschnitten: Auf Ransomware-as-a-Service-Plattformen können nun auch technisch wenig versierte Kriminelle ins Cyber-Erpressergeschäft einsteigen und sich von Schadware-Entwicklern die entsprechende Service-Leistung gegen Abgabe einer festen Gebühr oder einer Provision basierend auf den Lösegeldeinnahmen besorgen.

  • Investitionen in IT-Sicherheit legitimieren

    Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert.

  • Tor-Browser, um IP-Adressen zu verschleiern

    Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservice-Hosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten. Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen "Cumulus" den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.