- Anzeigen -

Sie sind hier: Home » Fachartikel » Management

Compliance Guide - eine praktische Anleitung

Finanzdienstleister müssen Sicherheitstechnologien für das Content-Management einsetzen, um die Einhaltung gesetzlicher Regelungen sicherzustellen
Vorschriften erklären nicht ausdrücklich, was getan werden muss, um sich konform zu verhalten

(11.12.06) - Heute müssen Finanzdienstleister Sicherheitstechnologien und Produkte für das sichere Content-Management einsetzen, um die Einhaltung geltender Regelungen erreichen und sicherstellen zu können. Hierzu zählen in den USA etwa das Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley und das Gramm-Leach-Bliley Act (GLBA), in Deutschland die Datenschutzgesetze oder die Vorschriften der Finanzdienstleistungsaufsicht (BaFin). Finanzdiensleister wie Investment-Firmen, Privatkunden- und Geschäftsbanken oder Versicherungen – auch Firmen, die der Finanzwelt Dienstleistungen wie Hosting liefern – müssen diese Regelungen erfüllen.

Jede Regelung betrifft einen anderen Bereich und stellt eigene grundlegende Anforderungen an ihre Erfüllung. Allerdings erklären die Vorschriften den Finanzdienstleistern nicht ausdrücklich, was sie genau tun müssen, um sich konform zu verhalten.

Das CIA-Dreieck
Die geltenden Vorschriften zielen jeweils auf unterschiedliche Bereiche des "CIA-Dreiecks" ab – Confidentiality (Vertraulichkeit), Integrity (Integrität), Availability (Verfügbarkeit). So macht beispielsweise das Sarbanes-Oxley-Gesetz, das 2002 im US-Kongress verabschiedet wurde, Vorsitzende und Finanzvorstände von Unternehmen persönlich für die Richtigkeit ihrer Finanzberichte verantwortlich.

"Bei Sarbanes-Oxley geht es um Integrität. Es stellt sicher, dass Finanzberichte vollständig und richtig sind, oder wenigstens, dass entsprechende Kontrollinstanzen korrrekt arbeiten", erklärt Peter Schawacker, Sprecher von McAfee Security.

Andererseits legt das 1999 unterzeichnete Gramm-Leach-Bliley-Gesetz fest, was Finanzdienstleister mit den vertraulichen persönlichen Informationen tun dürfen, die sie im Verlauf ihrer Finanzberatungen sammeln. "Hier geht es um Vertraulichkeit. So wird von den Unternehmen erwartet, dass sie für eine Trennwand zwischen den Bereichen Fusionen & Übernahmen und Wertpapierhandel sorgen", erläutert Schawacker.

Das 1996 erlassene HIPAA befasst sich mit dem Schutz von Patientendaten und deckt damit alle drei Ecken des VIV-Dreiecks ab. Das Gesetz betrifft speziell Versicherungen und andere Firmen, die Krankenakten von Patienten verarbeiten. "Über das Thema Datenschutz redet jeder gern. Es gilt aber auch Aspekte der Integrität und Verfügbarkeit zu beachten", bemerkt Schawacker. "Zum Beispiel ist es unerlässlich, bei der Medikation Verwechslungen zu vermeiden. Ebenso wichtig ist es, dass bei einer Notoperation alle Daten des Patienten bereitstehen.”

Vom HIPAA sind jedoch nicht nur Krankenhausbetreiber und Versicherungen betroffen. Vielmehr verlangen die gesetzlichen Bestimmungen, dass jede Firma, die mit Informationen über Patienten umgeht, sich an die Vertraulichkeitsregeln des HIPAA hält. Dazu zählen Arbeitgeber, die ihren Arbeitnehmern Gesundheitsfürsorge bieten, ebenso wie Finanzinstitute, die beispielsweise als Transaktionszentren Geldtransfers zur Abrechnung von Behandlungskosten durchführen.

Zuerst gute Sicherheit aufbauen, dann Verträglichkeit prüfen
Viele Finanzdienstleister haben schon lange Zeit vor dem Inkrafttreten der Gesetze Schritte unternommen, um die Einhaltung der Richtlinien sicherzustellen. Die ausgereifteren Organisationen seien dabei so vorgegangen, dass sie zuerst ein gutes Sicherheitsprogramm aufbauten und danach die Regelungstreue überprüften, erklärt Schawacker. "Die Vorschriften fordern die Leute einfach auf, das zu tun, was sie schon seit Jahren hätten tun sollen. Darum fällt es den Finanzdienstleistern ziemlich leicht, die Vorschriften einzuhalten."

Was die Unternehmen konkret tun sollen, um die Regeln zu befolgen, sagen die Gesetze nur ungenau. "Der Grund dafür, dass manche Regelungen so ungenau sind, liegt darin, dass sie sich auf so viele Organisationsarten anwenden lassen müssen", erklärt Schawacker. "HIPAA und GLBA sind spezifischer, da sie beide einen vertikalen Markt ansprechen. Je spezifischer die Branche ist, desto spezifischer sind zwangsläufig die Anforderungen. Meistenteils müssen Organisationen lediglich gebührende Sorgfalt bei ihren Bemühungen zeigen und sich an den Geist des Gesetzes halten."

Zwar unterscheiden sich die geltenden Bestimmungen in ihrem Zweck und in ihren Anforderungen. Sie haben jedoch eines gemeinsam: Unternehmen, die sich bemühen, die Vorschriften zu erfüllen, haben unbestreitbar einen Bedarf an sicheren Systemen.

Ein Unternehmen – ganz gleich in welcher Branche – sollte sich zunächst darauf konzentrieren sicherzustellen, dass ein gutes System von Sicherheitskontrollen vorhanden ist. Dann muss die Firma bei Regelungen wie Sarbanes-Oxley und GLBA, die Nachweise verlangen, lediglich diese Kontrollen dokumentieren. Bei HIPAA sind die Verhältnisse anders. Hier geht es nicht darum, die Einhaltung von Bestimmungen nachzuweisen. Es verlangt, dass Unternehmen die Sicherheit in ihren Prozessen umsetzen.

Was immer Unternehmen zu tun beschließen, um die Vorschriften nachhaltig zu erfüllen: Sie müssen ihre Bemühungen durch Dokumentation, zuverlässiges Reporting und ein gutes Inhaltsprotokoll nachweisen. "Dokumentation ist wirklich alles", erklärt Schawacker. "Sie kann die Form von Nachrichtenarchivierung oder Verwendungsberichten annehmen oder die Fähigkeit bedeutem, auf Zuruf eine Dokumentation irgendeiner Art über den Status der Kontrollkonfiguration zu liefern."

Auch sollten Unternehmen Strategien zum Risiko-Management entwickeln, um ihre Ressourcen jeweils vorrangig auf die größten Bedrohungen für Ihren Betrieb zu konzentrieren. Sicherheitsteams können das Risiko bewerten, indem sie den Wert der Informationsgüter sowie ihre Gefährdung beurteilen und die Bedrohung für diese Aktiva einschätzen.

Letztlich gehe es darum zu zeigen, dass man sich bestmöglich um die Befolgung der Vorschriften bemüht habe, erläutert Mark Harris, Director of Engineering von McAfee. "Der 'McAfee ePolicy Orchestrator (ePO)' kann Reports zur Abdeckung anzeigen. So stellt man sicher, dass jeder auf dem aktuellen Stand ist. Der System Compliance Profiler (SCP), ein integraler Bestandteil von ePO, kann die aktuelle Version installierter Patches ermitteln", erklärt er. "Wiederum geht es darum, dass man beweisen kann, sich bestmöglich um die Erfüllung aller Vorschriften durch die Rechner und den Kontrollraum bemüht zu haben, und dass man entsprechende Daten als Beleg dafür beibringt."

Ein Teil der Vorschriftentreue sei die Nachvollziehbarkeit, ergänzt Harris. Man müsse verfolgen können, was kommuniziert werde und was nicht. "Wir haben die Produktlinie für sicheren Versand von Nachrichteninhalten. Alle Produkte bieten gemeinsam die Funktionalität, in E-Mail-Nachrichten, Anhänge, Word-Dokumente und Worksheets zu schauen, Text zu entnehmen und nach Schlüsselwörtern zu suchen", so Harris.

"Man kann entweder Regeln einrichten, welche die Information daran hindern, die Organisation zu verlassen", erläutert Harris. "Oder man kann jede E-Mail protokollieren, die mit bestimmten Schlüsselwörtern oder -wendungen im Nachrichtentext oder im Anhang versandt wird. Das lässt sich für eine gesamte Organisation oder für bestimmte Personen innerhalb der Firma durchführen."

Mit jeder Technologie, die umfassende Konfigurations-Reports erzeugen könne, seien Finanzdienstleister in der Lage, ein höheres Maß an Zuverlässigkeit, Transparenz und Messbarkeit zu erreichen. All dies sei wichtig für die Einhaltung von Vorschriften, fügt Schawacker hinzu. "Für jede Regelung muss man irgendeine Art von Matrix für den Gerätebestand zusammenstellen. Dafür eignet sich die Schutzfunktion gegen unberechtigte Rechner – die ePO bietet – sehr gut", erklärt er.

Ein weiteres Angebot von McAfee ist ebenfalls für die Bestrebungen der Finanzdienstleister nach Regelungstreue von Wert: die McAfee Foundstone Enterprise Vulnerability Management-Lösung. Diese für Großunternehmen bestimmte Sicherheitslösung dient dazu, mit Datenschwachstellen verbundene betriebliche Risiken in den Griff zu bekommen und zu mindern. Sie schützt Netzwerkinfrastrukturen durch Bestandserfassung, Inventarisierung mit Prioritätenbildung, Analyse und Zuordnung von Bedrohungen sowie Verfolgung von Gegenmaßnahmen und Reporting. Das "Foundstone Enterprise Threat Correlation"-Module erlaubt es Kunden, den Fortschritt der Sicherung gegen spezifische Bedrohungen über die Zeit zu verfolgen. So lässt sich sicherstellen, dass interne und gesetzliche Richtlinien zur Einhaltung von Vorschriften eingehalten werden.
Weitere Details siehe "McAfee erweitert ihr Portfolio für Risikomanagement"
(McAfee: ra)