Sie sind hier: Home » Fachartikel » Entscheidungshilfen

Compliance garantiert keine Sicherheit


Erst Sicherheit, dann Compliance: Ein statisches Security-Programm vermittelt ein falsches Gefühl der Sicherheit
Gemeinsamkeiten verschiedener Richtlinien als Grundlage für IT-Sicherheit nehmen und automatisch zur Compliance gelangen - HSMs können sensible Daten schützen


Von Paul Reymann (*)

(06.08.09) - Im Compliance-Wettrennen mit internationalen Gesetzgebungen und Richtlinien bleibt die IT-Sicherheit nur zu oft auf der Strecke. Der amerikanische Compliance-Experte Paul Reymann empfiehlt, die Gemeinsamkeiten verschiedener Richtlinien als Grundlage für IT-Sicherheit zu nehmen, um Kopfschmerzen zu vermeiden und automatisch zur Compliance zu gelangen.

Unternehmen erkennen, dass ein statisches Security-Programm ein falsches Gefühl der Sicherheit vermittelt. Alle Unternehmen sollten ihre Risiken ständig analysieren, um die Effektivität und die Kosten der bestehenden Kontrollmechanismen zu prüfen.
Sicherheit, nicht Compliance, ist das primäre Ziel
Obwohl Compliance als wichtiger Faktor Beachtung verdient, garantiert Compliance keine Sicherheit. So könnten Datenpannen trotzdem zu Rechtsklagen und Strafen führen.

Ein Beispiel ist die amerikanische Lebensmittelkette Hannaford Bros., deren zertifizierte Compliance mit dem Payment Card Industry Data Security Standard (PCI DSS) nicht vor einer Datenpanne mit 4,2 Millionen Kredit- und Debitkartennummern schützte. Gegen das Unternehmen wurden mehrere Klagen wegen Fahrlässigkeit und Vertragsbruch eingereicht. Hannaford gab danach bekannt, verschiedene neue Sicherheitsmaßnahmen einführen zu wollen.

Das Compliance-Jahrzehnt: Bewährte IT-Methoden werden zu Gesetzen
Mit dem gesteigerten Bewusstsein für Datenschutz und Sicherheit bei Kunden, Unternehmen und gewählten Volksvertretern wurden traditionelle bewährte Methoden, auch Best Practices genannt, zu neuen Gesetzen und Richtlinien, die höhere Standards für den Betrieb, die Sicherheit und das Risikomanagement definieren und von betroffenen Unternehmen erfüllt werden müssen. Dadurch wird sichergestellt, dass die Grundsätze der Unternehmensführung, die internen Kontrollen, die Netzwerkinfrastruktur, Geschäftsprozesse und der tägliche Betrieb fehlerfrei und sicher sind. Neue Gesetze und Regeln diktieren den Unternehmen nun, wie sie innerhalb der eigenen Strukturen sowie mit Partnern und Kunden sicher zu arbeiten, zu kommunizieren und zu kooperieren haben.

Unternehmensweite Compliance und betriebliches Risikomanagement sind keine freiwilligen, weisen Entscheidungen mehr – sie sind der erwartete Standard. Organisationen werden dazu angehalten, Sicherheitsmaßnahmen und interne Kontrollverfahren einzuführen, um Gesetzen zu entsprechen

Mit strategischer Sicherheit zur Compliance
Eine Gemeinsamkeit dieser Regeln und Gesetzen ist der Anspruch, bei der strategischen Planung Geschäftsentscheidungen zu IT-Prozessen, Anwendungen, Informationen, Technologien, Einrichtungen und Sicherheit vorausdenkend zu sein. Die Fähigkeit, diese Anforderungen zu erfüllen, ist von signifikanter Bedeutung für den kurz- und langfristigen Erfolg eines Unternehmens.
Das Compliance-Jahrzehnt bedeutet für Unternehmen in allen Branchen große Anstrengungen, um höhere Transparenz sowie bessere Betriebsführung, Korrektheit und Verantwortlichkeit zu erreichen. Jedes Unternehmen und jede Behörde muss alle Geschäftsprozesse identifizieren, verfolgen und prüfen und gleichzeitig ein starkes und wirksames Programm für Datenschutz betreiben, um Compliance im Geschäftsbetrieb zu gewähren.

Doch das Jahrzehnt der Compliance geht nicht etwa zu Ende. Die Gesetzgeber sind weiter dabei, neue Kriterien zum Schutz von Kundendaten zu diskutieren und zu verabschieden. Diese Richtlinien zu ignorieren und nichts zu tun ist keine Option. Kluge Manager setzen neue Richtlinien zügig um und profitieren so von den Erfahrungen anderer.

Fokus auf die Gemeinsamkeiten
Führende Unternehmen haben als erste die Initiativen für Informationssicherheit und Risk Management erkannt, die sich aus den allgemein anerkannten Best Practices entwickelt haben. Die Best Practices von gestern, die nur von wenigen umgesetzt wurden, sind mittlerweile zu bindenden Richtlinien geworden. Die ersten Anwender dieser Best Practices erkannten, dass sie mit einem einfachen, aber umfassenden Ansatz eines automatisierten Risikomanagements mehrere Probleme auf einmal lösen.

Mit einer Unternehmenskultur der ständigen Risikoanalyse, die auf automatisierte Lösungen und die Verantwortlichkeit und Aufmerksamkeit der Angestellten setzt, erreichten sie implizit Compliance – ohne ein spezielles Projekt für jede Richtlinie einführen zu müssen. Mit dieser Strategie der ständigen Compliance konnten sie Kapital aus der Gemeinsamkeit der meisten Regelungen schlagen – der Best Practice im Sicherheitsbereich. Beispielsweise wird ein Unternehmen, das die Sicherheitsmaßnahmen aus der untenstehenden Tabelle implementiert, viele der zuvor genannten Datenschutzrichtlinien erfüllen und dabei stets das finanzielle Risken minimieren.

Die Implementierung von anerkannten Sicherheitstechnologien und Best Practices im Bereich der Personalsicherheit und der Compliance versetzt Unternehmen in eine gute Position für die nächste Welle mit Prüfungen und Angriffen und senkt gleichzeitig die Betriebskosten.

Hardware Security Modules lösen Sicherheitsproblem
Hardware Security Modules lösen Sicherheitsproblem HSMs helfen, die Integrität von Daten zu wahren, Bild: Thales


Hardware Security Modules lösen Betriebs- und Sicherheitsprobleme
"Hardware Security Modules", kurz HSMs, sind Geräte, die helfen können sensible Daten zu schützen. Sie sind ebenfalls geeignet, die Durchsetzung von bestimmten Sicherheitsrichtlinien technisch umzusetzen.

Durch den Einsatz von Sicherheitskontrollen mit Hilfe eines HSMs können Sie zudem die Stetigkeit Ihres Geschäftsbetriebs sicher stellen. Diese konsistente Beständigkeit stellt sicher, dass die Angestellten und Kunden Zugriff auf die notwendigen Informationen und Ressourcen hat, wenn sie benötigt werden. Das hilft Ihnen, ihre Verdienstmöglichkeiten und die Profitabilität ihres Unternehmens zu steigern. Außerdem werden dadurch Kosten verringert, die durch Ausfälle und ungeplante Unterbrechungen auftreten.

HSMs helfen außerdem, die Integrität von Daten zu wahren und geben dem Management die Sicherheit, dass kritische Entscheidungen auf der Grundlage präziser und verlässlicher Informationen getroffen werden.

Anwendungsbereiche von HSMs
HSMs werden normalerweise für zwei Arten von Geschäftsanwendungen eingesetzt – elektronischer Zahlungsverkehr wie bei Geldautomaten und Kassenterminals sowie für allgemeine Zwecke wie Zertifizierungsstellen, Datenbankverschlüsselung und sichere Webservices.

Die Fähigkeit eines HSM, die Sicherheit und Integrität von Daten sicher zu stellen, macht es zu einem effektiven Teil der Architektur, die jedes Unternehmen zum Schutz seiner Daten benötigt.

HSM Best Practices bringen Compliance
Mit HSMs können Unternehmen:
>> Eine sichere Plattform zur Verarbeitung von Geschäfts- und Kundendaten bieten
>> Daten nur bei begründetem Bedarf zur Verfügung stellen
>> Die Aufgaben der System- und Sicherheitsadministration trennen
>> Ein Mehr-Augen-Prinzip für bestimmte Aufgaben einrichten

Die Aufgaben eines HSMs sind die sichere Verschlüsselung sensibler Daten bei deren Erzeugung, Speicherung, Übertragung und Nutzung. HSMs bieten logischen, physischen und virtuellen Schutz sensibler Informationen vor unbefugter Nutzung und betrügerischen Absichten. (Thales Information Systems Security: ra)

Autorenhinweis:
(*)
Der Beitrag stammt aus dem Whitepaper über "Compliance und Sicherheit in Unternehmen". Paul Reymann ist ein führender Experte für Compliance und ein Mitautor des Gramm-Leach-Bliley Acts zum Datenschutz in U.S. Finanzinstituten.

Thales: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Entscheidungshilfen

  • Daten in virtuellen Datenräumen

    Die Lage der IT-Sicherheit ist weiterhin angespannt und die Zahl der Cyberangriffe steigt stetig. Betroffen sind neben Privathaushalten vor allem Unternehmen, Organisationen und Behörden. Das bestätigt auch die aktuelle Studie des Branchenverbands Bitkom: Neun von zehn Unternehmen wurden im vergangen Jahr Opfer eines Cyberangriffs. Eines der größten Einfallstore für Cyberkriminelle ist dabei der ungesicherte Austausch sensibler Informationen. Rund 68 Prozent der befragten Unternehmen geben an, dass Cyberkriminelle Kommunikationsdaten entwendet haben.

  • Moderne Banken-IT-Sicherheit

    Die Sicherheitsabläufe einer Bank zu verwalten, ist ein komplexes Unterfangen. Es bedarf hohem Aufwand, um mit den sich ständig ändernden Sicherheitsanforderungen Schritt zu halten. Entsprechend lang ist die Liste für Sicherheitsverantwortliche. Da ist die kontinuierliche Integration genannter Anforderungen in die bestehende Infrastruktur: IT-Abteilungen müssen mit den stetigen Veränderungen der Gesetzeslage mithalten.

  • Sich für das Lieferkettengesetz wappnen

    Das Lieferkettengesetz bereitet vielen Unternehmen Kopfzerbrechen - vor allem, weil sie nicht wissen, wie sie seine Anforderungen erfüllen sollen, ohne dass der bürokratische Aufwand und die Kosten aus dem Ruder laufen. Ab dem 1. Januar 2023 treten die Vorschriften des Lieferkettengesetzes stufenweise in Kraft. Danach müssen fast 3.000 Unternehmen in Deutschland mit mehr als 1.000 Beschäftigten sicherstellen, dass ihre nationalen und internationalen Lieferanten keine Menschenrechte verletzen, die Grundsätze der Arbeitssicherheit beachten und die Auflagen des Umweltschutzes erfüllen. Hierfür gilt es in den nächsten Monaten die Voraussetzungen zu schaffen.

  • Betriebsrente jenseits BetrAVG

    Wer als Arbeitgeber Betriebsrenten gestalten möchte, schaut in das Betriebsrentengesetz, genauer das Betriebliche Altersversorgungsgesetz (BetrAVG). Doch eine Betriebsrente nach dem BetrAVG zu gestalten passt meist weder zu den Arbeitgeberbedürfnissen noch für Arbeitnehmer. Gesetzesänderungen auch infolge EU-Recht und Rechtsprechung machen das BetrAVG zudem unberechenbar. Wirkliche Freiheit für eine Gestaltung nach eigenen Wünschen gewinnt, wer das BetrAVG als unnötige Belastung und Einschränkung über Bord wirft. Dazu bedarf es erstaunlich wenig - bewirkt indes viel. Das unnötige Korsett des Betriebsrentengesetzes hat bereits abgestreift, wer die Rente nicht als Arbeitgeber selbst zusagt. Denn der erste Satz besagten Gesetzes lautet "Werden einem Arbeitnehmer Leistungen der Alters-, Invaliditäts- oder Hinterbliebenenversorgung aus Anlass seines Arbeitsverhältnisses vom Arbeitgeber zugesagt (betriebliche Altersversorgung), gelten die Vorschriften dieses Gesetzes." Sobald also nicht der Arbeitgeber die Zusage erteilt, gilt schlicht das ganze Gesetz dafür nicht, nicht mal eine einzige Bestimmung daraus. Richtig gemacht ergibt sich so größte Freiheit für eine optimale und flexible Gestaltung von Betriebsrenten.

  • Mittels gezielter Analyse Geldwäsche erkennen

    Terroristen, organisierte Kriminelle, Menschenhändler, Drogenschmuggler, korrupte Politiker - sie alle nutzen den internationalen Finanzmarkt, um ihre inkriminierten Gelder zu waschen und daraus Profit zu schlagen. Geldwäsche. Überall. Ungehindert. Ungestraft. Die aktuellen Enthüllungen um die FinCEN-Files zeigen ein globales Problem schonungslos auf, dessen Dimension kaum zu fassen ist. Laut einstimmigen Berichten werden 5,5 Milliarden Dollar gewaschen - täglich. Die Vereinten Nationen sprechen von nur circa 0,2 und einem Prozent von Fällen, die tatsächlich erkannt werden. Für Deutschland gibt es verschiedene Schätzungen, wonach das Volumen des gewaschenen Geldes zwischen 50 und 110 Milliarden Euro jährlich liegt. Wie die FinCEN-Files laut einschlägigen Medienberichten darlegen, zeigen diese Nachforschungen insbesondere die systemischen Fehler in der Bekämpfung von Geldwäsche auf. Kriminelle können ohne große Hindernisse Geldwäsche betreiben, in mehreren Fällen ist es so, dass die notwendigen Meldungen über verdächtige Transaktionen im Schnitt ein halbes Jahr lang nicht an die entsprechenden Anti-Geldwäsche-Behörden weitergeleitet wurden.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen