Menü
IT Sicherheit ist ein Weg, kein Ziel!
17.03.2018

Compliance und IT Sicherheit

Böse Zungen behaupten, Compliance wurde erdacht, um die IT Sicherheit endgültig als nutzloses Ressourcengrab zu brandmarken.
Natürlich ist das falsch! Denn weder IT Sicherheit noch Compliance ist eine nutzlose Sache! Allerdings muss man beides richtig machen.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Was man unter IT Compliance zu verstehen hat, gibt sehr informativ ein kurzer Beitrag via Image: Compliance und IT SicherheitWikipedia  wieder. Kernaufgabe der Compliance, ist es ein Regelwerk an Grundsicherheit in Unternehmen rechtlich zu verankern und mit Leben zu füllen und überprüfbar zu machen. Dies ist eine Aufgabe die bei AGs und GmbHs durchaus sinnvoll ist, unterstützt sie doch das führende Management bei der Erfüllung der gesetzlichen Anforderungen.

Allerdings wird Compliance oft mit IT Sicherheit gleichgesetzt. Die Erfüllung von rechtlichen Anforderungen wird dabei als der Mindeststandard verstanden, um „sicher“ zu sein. Das dem nicht so ist, sollte eigentlich klar sein.
Formal könnte man argumentieren, dass eine Risikoanalyse ergab, man muss ein Firewall-System einsetzten, um Hacker abzuwehren. So weit so gut.
Das dieses System auch gepatcht, gepflegt und aktualisiert werden muss und aktiv den Datenstrom analysieren muss wobei eine identische Fail-Over-Komponente, im Hintergrund einsatzbereit ist (oder bereits im Parallel-Betrieb läuft), sollte klar sein. Doch Annahmen und Vermutungen haben im Security-Betrieb nichts verloren. 

Wenn man drei Leute mit der Umsetzung der Compliance-Vorgaben bzgl. IT Security beauftragt, erhält man mitunter drei verschiedenen Interpretationen.  Oder um es in ein Bild zu packen bzgl. Anforderungsmanagement  ...da gibt es bei www.tqm.com ein sehr schönes Beispiel ;-)

Anscheinend ist es ein weit verbreitetes Problem, das man innerhalb der IT nicht ausreichend kommuniziert und so jeder seine eigene Sicht des Problems und der Lösung hat!
Im Zusammenspiel von Compliance und IT Sicherheit kann dies aber katastrophale Folgen haben. Denn ein Aufweichen des etablierten Security-Frameworks, zugunsten einer Compliance-Forderung (bzw. Interpretation) öffnet unter Umständen Cyberkriminellen und Ihren Tools bisher verschlossene Türen.

Von daher ist eine der wesentlichen Grundvoraussetzungen für eine erfolgreiche Compliance, der Dialog mit den Experten für IT Sicherheit. Erst wenn diese die rechtlichen Anforderungen verifizieren und in Ihrem System abbilden ergibt sich der angestrebte Mehrwert. Denn dann wird IT Sicherheit überprüfbar, dynamisch und reduziert Kosten, bei gleichzeitiger Stärkung der Security.

Eigentlich ist die Compliance also gar keine so schlechte Sache, woran es aber oft hapert und dann zu einem unguten Zustand führt, ist die isolierte Betrachtung und Umsetzung zweier Themen, die besser zusammen betrachtet werden sollten. Denn nur dann ergeben sich Synergien und ein Mehrwert für das Unternehmen und ein besserer Schutz vor Cyberkriminellen und der zunehmenden Anzahl von IT-Risiken.

Aber ist es nicht oft so, dass man gemeinsam einfach mehr erreichen kann?