- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Fachartikel » Administration

Schritthalten mit der Compliance


Aktuelle Veröffentlichung der Cybersicherheits-Richtlinie der Europäischen Kommission sorgt für zunehmendes Sicherheits- und Compliance-Problem bei Unternehmen
Systeme müssen auch überwacht oder regelmäßig überprüft werden, um sicherzustellen, dass sie den Compliance-Anforderungen entsprechen


Von Dietmar Schnabel, Regional Director Central Europe bei Check Point

(14.0613) - Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

All diese Firmen verfügten über mehrfache Sicherheitstechnologien - Firewalls, Antivirus usw. - und wurden trotzdem infiziert, vielleicht, weil ihre Sicherheitslösungen nicht regelmäßig aktualisiert wurden oder eine Netzwerkänderung erfolgte, die eine ungepatchte Schwachstelle eingeschleust hat. In vielen Fällen wurden diese Infektionen durch Spear-Phishing per E-Mail oder infizierte Anhänge verursacht, die an Angestellte gerichtet waren.

Sie haben Post? Die Post hat Sie
Außerdem wurden Sicherheitsthemen nicht einfach auf Netzwerke beschränkt. 54 Prozent der Organisationen hatten Datenverlustereignisse durch E-Mails erlebt, die fälschlicherweise an einen externen Empfänger gesendet wurden oder durch Informationen, die online falsch gepostet wurden.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

So ist es keine Überraschung, dass die European Network and Information Security Agency (ENISA) im März dringliches Handeln forderte, um die aufkommenden Cyber-Attacken, einschließlich Spear-Pishing, zu bekämpfen. Aber die ENISA ging noch weiter und empfahl, dass Regierungen und Unternehmen Alternativen zur E-Mail untersuchen sollten, die Nutzer besser vor Spoofing oder Phishing schützen - eine eindeutige Bestätigung, dass die Aufgabe, Unternehmens-Mails sicher und regelkonform zu machen, für viele Organisationen unüberwindlich werden würde.

Berücksichtigt man die aktuelle Veröffentlichung der Cybersicherheits-Richtlinie der Europäischen Kommission, die die Verpflichtung zur Meldung von Datenverletzungen erheblich ausweitet, stehen Organisationen einem zunehmenden Sicherheits- und Compliance-Problem gegenüber.

Alles ändert sich
Eine Compliance-Herausforderung ist in zweifacher Hinsicht gegeben. Wie zuvor angesprochen, führt das laufende Netzwerk-Management tägliche Änderungen an Geräten und Topologien durch, und jede erfolgte, auch noch so kleine Änderung, kann die Compliance der Organisation beeinträchtigen. Insbesondere in Organisationen mit vielen Standorten, wo es für IT-Teams schwierig sein kann, die Übersicht über das zu behalten, was an jedem Standort geschieht.

Bei Compliance geht es nicht nur um IT, sondern auch um das Handeln und Verhalten der Menschen - was ebenso vielen Änderungen unterworfen ist, wie das Netzwerk, auch wenn Angestellte regelmäßige Schulung in Hinblick auf die richtige Nutzung von Ressourcen erhalten. Da Unternehmen in zunehmendem Maß mit vielfältigen Regulierungssystemen zurechtkommen müssen (Studien zeigen, dass Fortune 1000-Unternehmen über 30 verschiedenen Regulierungsaufgaben unterliegen), hat sich die Einführung von Sicherheitskontrollen und -richtlinien, um diese Anforderungen zu erfüllen, zu einer ernsthaften Herausforderung entwickelt.

Doch dies ist nur der erste Schritt hin zu Compliance. Systeme müssen auch überwacht oder regelmäßig überprüft werden, um sicherzustellen, dass sie den Compliance-Anforderungen entsprechen, und um die Compliance-Analyse für Berichtswesen und Auditing zu liefern. Also, wie erfüllen IT-Teams von Organisationen diese komplexen, sich ändernden Anforderungen, wenn sie nicht die Ressourcen oder die Manpower haben, um Systemereignisprotokolle endlos zu sichten?

Automatik für Menschen
Mit diesen Anforderungen mitzuhalten, bedeutet, eine automatisierte Echtzeitüberwachung des Netzwerks und der Konfigurationen sowie der Richtlinien für Sicherheitsprodukte und der Auswirkung von Änderungen auf die Sicherheit und Compliance der Organisation zu unterhalten. Eine einfache Dashboard-Ansicht des Netzwerks hilft IT-Teams, potentielle Traffic- und Konnektivitäts-Probleme zu ermitteln und zu identifizieren und sicherheitsgefährdete Bereiche aufzuzeigen - wie zum Beispiel, wie verschiedene Firewalls im Netzwerk konfiguriert sind und welche Sicherheitsrichtlinien und -regeln auf solchen Geräten aktiv sind.

Automatisierung kann IT-Teams Sichtbarkeit und Reaktionsfähigkeit verleihen, um Netzwerkprobleme schnell zu behandeln, bevor sie zu ernsten Risiken führen können. Aber wie sollte das IT-Team genau wissen, inwieweit sie den Vorschriften, die ihre Branche betreffen, gerade entsprechen? An dieser Stelle kann das richtige Compliance-Tool wirklich weiterhelfen.

Ein wirksames Compliance-Tool sollte ein hochentwickeltes Netzwerk- und Sicherheitsmanagement bieten und auch in der Lage sein, den Status der Gateways und Sicherheitsvorkehrungen für eine umfangreiche Bibliothek an aktuellen besten Sicherheitsverfahren, regulatorischen Anforderungen und Richtlinien zu bewerten. Die Lösung sollte dann Änderungen an Richtlinien und Konfigurationen automatisch überwachen, das IT-Team vor den möglichen Auswirkungen dieser Änderungen warnen und Korrekturen vorschlagen, durch die Sicherheit und Compliance erhalten bleibt. Fast ebenso wichtig wie die Fähigkeit, Probleme auszumachen und zu lösen, ist die Fähigkeit, den Sicherheitsstatus der Organisation zu dokumentieren - und so dem Vorstand und den externen Prüfern die Compliance nachzuweisen.

Automatisierung hilft Organisationen, von der Verfolgung der Compliance wegzukommen und Kontrolle zu erlangen. Die richtige Lösung kann IT-Teams helfen, potentielle Probleme aufzuspüren und Gefahrenbereiche sowie den aktuellen Compliance-Status durch Vergleiche mit den maßgeblichen, aktuellen Richtlinien und besten Verfahren aufzuzeigen. Darüber hinaus ermöglicht zeigt sie die geeigneten Sicherheits- und Richtlinienempfehlungen auf, die den Schutz und die Sicherheit erhalten. Veränderungen sind zwar unvermeidlich, ihre Auswirkungen auf Compliance und Sicherheit können aber minimiert werden.

Der Autor

Dietmar Schnabel, Regional Director Central Europe, ist verantwortlich für die Bereiche Sales und Marketing bei Check Point. Schnabel besetzt die Position seit Januar 2013. Er blickt auf mehr als 25 Jahre Berufserfahrung im Sales und Marketing in führenden Positionen bei renommierten Unternehmen zurück.

Schnabel wechselte von BlueCoat Systems, einem Markt- und Technologieführer bei Lösungen für Websicherheit und WAN-Optimierung, zu Check Point. Bei BlueCoat Systems war er als Regional Manager DACH & EE verantwortlich für Sales, Marketing sowie die Neukunden- und Partnerakquise. Weitere Stationen seiner Karriere waren unter anderem Packeteer, Hitachi Data Systems und Gupta Technologies. Seine berufliche Laufbahn begann Schnabel 1985 bei Metrologie.

Dietmar Schnabel hat einen Abschluss als Software Engineer (Organisations-Programmierer) am Control Data Institut München. Er ist verheiratet und hat zwei Kinder.
(Check Point Software Technologies: ra)

Check Point Software Technologies: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.