- Anzeigen -

Sie sind hier: Entscheidungshilfen
Zurück zu: Fachartikel
Allgemein: Events / Veranstaltungen Datenschutzerklärung Newsletter Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

Compliance garantiert keine Sicherheit


Erst Sicherheit, dann Compliance: Ein statisches Security-Programm vermittelt ein falsches Gefühl der Sicherheit
Gemeinsamkeiten verschiedener Richtlinien als Grundlage für IT-Sicherheit nehmen und automatisch zur Compliance gelangen - HSMs können sensible Daten schützen

Von Paul Reymann (*)

(06.08.09) - Im Compliance-Wettrennen mit internationalen Gesetzgebungen und Richtlinien bleibt die IT-Sicherheit nur zu oft auf der Strecke. Der amerikanische Compliance-Experte Paul Reymann empfiehlt, die Gemeinsamkeiten verschiedener Richtlinien als Grundlage für IT-Sicherheit zu nehmen, um Kopfschmerzen zu vermeiden und automatisch zur Compliance zu gelangen.

Unternehmen erkennen, dass ein statisches Security-Programm ein falsches Gefühl der Sicherheit vermittelt. Alle Unternehmen sollten ihre Risiken ständig analysieren, um die Effektivität und die Kosten der bestehenden Kontrollmechanismen zu prüfen.
Sicherheit, nicht Compliance, ist das primäre Ziel
Obwohl Compliance als wichtiger Faktor Beachtung verdient, garantiert Compliance keine Sicherheit. So könnten Datenpannen trotzdem zu Rechtsklagen und Strafen führen.

Ein Beispiel ist die amerikanische Lebensmittelkette Hannaford Bros., deren zertifizierte Compliance mit dem Payment Card Industry Data Security Standard (PCI DSS) nicht vor einer Datenpanne mit 4,2 Millionen Kredit- und Debitkartennummern schützte. Gegen das Unternehmen wurden mehrere Klagen wegen Fahrlässigkeit und Vertragsbruch eingereicht. Hannaford gab danach bekannt, verschiedene neue Sicherheitsmaßnahmen einführen zu wollen.

Das Compliance-Jahrzehnt: Bewährte IT-Methoden werden zu Gesetzen
Mit dem gesteigerten Bewusstsein für Datenschutz und Sicherheit bei Kunden, Unternehmen und gewählten Volksvertretern wurden traditionelle bewährte Methoden, auch Best Practices genannt, zu neuen Gesetzen und Richtlinien, die höhere Standards für den Betrieb, die Sicherheit und das Risikomanagement definieren und von betroffenen Unternehmen erfüllt werden müssen. Dadurch wird sichergestellt, dass die Grundsätze der Unternehmensführung, die internen Kontrollen, die Netzwerkinfrastruktur, Geschäftsprozesse und der tägliche Betrieb fehlerfrei und sicher sind. Neue Gesetze und Regeln diktieren den Unternehmen nun, wie sie innerhalb der eigenen Strukturen sowie mit Partnern und Kunden sicher zu arbeiten, zu kommunizieren und zu kooperieren haben.

Unternehmensweite Compliance und betriebliches Risikomanagement sind keine freiwilligen, weisen Entscheidungen mehr – sie sind der erwartete Standard. Organisationen werden dazu angehalten, Sicherheitsmaßnahmen und interne Kontrollverfahren einzuführen, um Gesetzen zu entsprechen

Mit strategischer Sicherheit zur Compliance
Eine Gemeinsamkeit dieser Regeln und Gesetzen ist der Anspruch, bei der strategischen Planung Geschäftsentscheidungen zu IT-Prozessen, Anwendungen, Informationen, Technologien, Einrichtungen und Sicherheit vorausdenkend zu sein. Die Fähigkeit, diese Anforderungen zu erfüllen, ist von signifikanter Bedeutung für den kurz- und langfristigen Erfolg eines Unternehmens.
Das Compliance-Jahrzehnt bedeutet für Unternehmen in allen Branchen große Anstrengungen, um höhere Transparenz sowie bessere Betriebsführung, Korrektheit und Verantwortlichkeit zu erreichen. Jedes Unternehmen und jede Behörde muss alle Geschäftsprozesse identifizieren, verfolgen und prüfen und gleichzeitig ein starkes und wirksames Programm für Datenschutz betreiben, um Compliance im Geschäftsbetrieb zu gewähren.

Doch das Jahrzehnt der Compliance geht nicht etwa zu Ende. Die Gesetzgeber sind weiter dabei, neue Kriterien zum Schutz von Kundendaten zu diskutieren und zu verabschieden. Diese Richtlinien zu ignorieren und nichts zu tun ist keine Option. Kluge Manager setzen neue Richtlinien zügig um und profitieren so von den Erfahrungen anderer.

Fokus auf die Gemeinsamkeiten
Führende Unternehmen haben als erste die Initiativen für Informationssicherheit und Risk Management erkannt, die sich aus den allgemein anerkannten Best Practices entwickelt haben. Die Best Practices von gestern, die nur von wenigen umgesetzt wurden, sind mittlerweile zu bindenden Richtlinien geworden. Die ersten Anwender dieser Best Practices erkannten, dass sie mit einem einfachen, aber umfassenden Ansatz eines automatisierten Risikomanagements mehrere Probleme auf einmal lösen.

Mit einer Unternehmenskultur der ständigen Risikoanalyse, die auf automatisierte Lösungen und die Verantwortlichkeit und Aufmerksamkeit der Angestellten setzt, erreichten sie implizit Compliance – ohne ein spezielles Projekt für jede Richtlinie einführen zu müssen. Mit dieser Strategie der ständigen Compliance konnten sie Kapital aus der Gemeinsamkeit der meisten Regelungen schlagen – der Best Practice im Sicherheitsbereich. Beispielsweise wird ein Unternehmen, das die Sicherheitsmaßnahmen aus der untenstehenden Tabelle implementiert, viele der zuvor genannten Datenschutzrichtlinien erfüllen und dabei stets das finanzielle Risken minimieren.

Die Implementierung von anerkannten Sicherheitstechnologien und Best Practices im Bereich der Personalsicherheit und der Compliance versetzt Unternehmen in eine gute Position für die nächste Welle mit Prüfungen und Angriffen und senkt gleichzeitig die Betriebskosten.

Abbildung: Hardware Security Modules lösen Sicherheitsproblem - HSMs helfen, die Integrität von Daten zu wahren, Bild: Thales


Hardware Security Modules lösen Betriebs- und Sicherheitsprobleme
"Hardware Security Modules", kurz HSMs, sind Geräte, die helfen können sensible Daten zu schützen. Sie sind ebenfalls geeignet, die Durchsetzung von bestimmten Sicherheitsrichtlinien technisch umzusetzen.

Durch den Einsatz von Sicherheitskontrollen mit Hilfe eines HSMs können Sie zudem die Stetigkeit Ihres Geschäftsbetriebs sicher stellen. Diese konsistente Beständigkeit stellt sicher, dass die Angestellten und Kunden Zugriff auf die notwendigen Informationen und Ressourcen hat, wenn sie benötigt werden. Das hilft Ihnen, ihre Verdienstmöglichkeiten und die Profitabilität ihres Unternehmens zu steigern. Außerdem werden dadurch Kosten verringert, die durch Ausfälle und ungeplante Unterbrechungen auftreten.

HSMs helfen außerdem, die Integrität von Daten zu wahren und geben dem Management die Sicherheit, dass kritische Entscheidungen auf der Grundlage präziser und verlässlicher Informationen getroffen werden.

Anwendungsbereiche von HSMs
HSMs werden normalerweise für zwei Arten von Geschäftsanwendungen eingesetzt – elektronischer Zahlungsverkehr wie bei Geldautomaten und Kassenterminals sowie für allgemeine Zwecke wie Zertifizierungsstellen, Datenbankverschlüsselung und sichere Webservices.

Die Fähigkeit eines HSM, die Sicherheit und Integrität von Daten sicher zu stellen, macht es zu einem effektiven Teil der Architektur, die jedes Unternehmen zum Schutz seiner Daten benötigt.

HSM Best Practices bringen Compliance
Mit HSMs können Unternehmen:
>> Eine sichere Plattform zur Verarbeitung von Geschäfts- und Kundendaten bieten
>> Daten nur bei begründetem Bedarf zur Verfügung stellen
>> Die Aufgaben der System- und Sicherheitsadministration trennen
>> Ein Mehr-Augen-Prinzip für bestimmte Aufgaben einrichten

Die Aufgaben eines HSMs sind die sichere Verschlüsselung sensibler Daten bei deren Erzeugung, Speicherung, Übertragung und Nutzung. HSMs bieten logischen, physischen und virtuellen Schutz sensibler Informationen vor unbefugter Nutzung und betrügerischen Absichten. (Thales Information Systems Security: ra)

Autorenhinweis:
(*) Der Beitrag stammt aus dem Whitepaper über "Compliance und Sicherheit in Unternehmen". Paul Reymann ist ein führender Experte für Compliance und ein Mitautor des Gramm-Leach-Bliley Acts zum Datenschutz in U.S. Finanzinstituten.

Thales: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -

Meldungen: Entscheidungshilfen

  • Soziale Netzwerke im Web 2.0-Zeitalter - Das Privat- und Berufsleben auf Web 2.0-Kommunikationsplattformen wie Facebook, Xing & Co wächst rasant zusammen. Unternehmen müssen jetzt ihre Hausaufgaben in Sachen Nutzungsrichtlinien machen, damit der Umgang mit den Online-Kontaktnetzwerken geregelt ist.
  • Compliance-Projekte in Finanzinstituten - Obwohl Compliance in den letzten Jahren ein zentrales Thema deutscher Banken geworden ist, funktioniert die Umsetzung häufig nicht reibungslos. Viele Kreditinstitute betrachten die Erfüllung der Anforderungen immer noch als notwendiges Übel – die Umsetzung wird daher teilweise kurzfristig und nicht umfassend genug aufgesetzt. Unliebsame Nebenwirkungen, die derzeit bei vielen Banken auf keinem Beipackzettel der Umsetzungsplanung stehen, sind oftmals die Folge. Anstatt die Sicherheit für Bankkunden und Geldhäuser zu erhöhen, lähmen sie die reibungslosen Abläufe im Unternehmen. Umso wichtiger ist es für die Institute, die möglichen Begleiterscheinungen von Compliance und ihre Ursachen zu kennen – nur dann können sie ihnen von Beginn an mit einem umfassenden Projekt systematisch entgegensteuern.
  • Kostengünstige Umsetzung der BilMoG-Anforderungen - Mit dem 29. Mai 2009 ist das BilMoG (Bilanzrechtsmodernisierungsgesetz) in Kraft getreten. Demnach müssen kapitalmarktorientierte Kapitalgesellschaften erstmals die wesentlichen Merkmale ihres internen Kontroll- und Risikomanagementsystems in Hinblick auf den Rechnungslegungsprozess beschreiben. Gerade in Zeiten, in denen die Budgets ohnehin knapp sind, kommen so noch weitere Kosten auf die Unternehmen zu. Dr. Anne-Katrin Straesser, Autorin des Buches "7 Secrets of Highly Profitable Internal Control Systems" gibt dazu vier Tipps, wie Unternehmen Kosten sparen können, wenn diese Anforderung umgesetzt wird.
  • Compliance garantiert keine Sicherheit - Im Compliance-Wettrennen mit internationalen Gesetzgebungen und Richtlinien bleibt die IT-Sicherheit nur zu oft auf der Strecke. Der amerikanische Compliance-Experte Paul Reymann empfiehlt, die Gemeinsamkeiten verschiedener Richtlinien als Grundlage für IT-Sicherheit zu nehmen, um Kopfschmerzen zu vermeiden und automatisch zur Compliance zu gelangen.
  • Whistleblowing und Hinweisgebersysteme - Im Zuge einer verstärkten Compliance-Diskussion in Deutschland gewinnt auch das Thema Whistleblowing hierzulande immer mehr an Bedeutung. Hinweise, die über Whistleblower die relevanten Stellen im Unternehmen erreichen sollen, werden über sogenannte Hinweisgebersysteme aufgenommen. Obwohl diese Systeme zumeist die gleichen Ziele verfolgen, unterscheiden sich die in den Unternehmen eingesetzten Hinweisgebersysteme in ihrer Anwendung stark voneinander.
  • Checkliste für sicheren Umgang mit Dokumenten - Die Anzahl wichtiger Unternehmensdokumente, die in gedruckter Form auf Papier vorliegen, nimmt im digitalen Zeitalter zwar immer weiter ab. Dennoch müssen Unternehmen auch heute noch mit einer großen Zahl physischer Dokumente umgehen, die es zu indexieren und archivieren gilt - sei es aufgrund rechtlicher Vorschriften oder interner Vorgaben. Iron Mountain hat deshalb eine Checkliste für den sicheren Umgang mit Unternehmensdokumenten zusammengestellt.
  • Immer häufiger: Die Umsatzsteuer-Nachschau - Aus Angst vor Steuerausfällen erschwert das Bundesfinanzministerium (BMF) deutschen Unternehmen das Prozedere bei innergemeinschaftlichen Lieferungen. Mit einem aktuellen Schreiben (BMF-Schreiben vom 06.01.09) stemmt es sich gegen Erleichterungen, die der Europäische Gerichtshof im Hinblick auf die Steuerbefreiung solcher Lieferungen geschaffen hat.
  • Outsourcing und Compliance - In vielen IT-Abteilungen regiert derzeit der Rotstift, da die Auswirkungen der aktuellen Krise an den Finanzmärkten auf die reale Wirtschaft nicht ausbleiben. Das Thema Outsourcing bekommt dadurch erneut Rückenwind: In Boomzeiten gilt es als gute Möglichkeit, um Zugang zu neuen Technologien und Ressourcen zu erhalten und in Krisenzeiten gilt Outsourcing als Kostensenker. Dabei ist kaum ein Thema gleichzeitig so umstritten. Gernot Keckeis, Director Identity & Security bei Novell, und Michael Junk, IT-Security & Compliance Manager bei Novell, untersuchen, welche Vorteile die Auslagerung von einzelnen Geschäftsprozessen mit sich bringen kann und welche Hürden gemeistert werden müssen.
  • Regelbasiertes Rechtemanagement und Compliance - Compliance ist derzeit in aller Munde. Kein Wunder: In den Medien häufen sich Berichte über Schäden aufgrund mutwilliger Manipulationen oder unbeabsichtigter Verletzungen von Sicherheitsrichtlinien. Neue Vorgaben wie EuroSOX schlagen Wellen. Die Einhaltung der Vorschriften ist Chefsache, doch die IT trägt einen entscheidenden Teil zur Einhaltung bei. econet, der Münchner Experte für serviceorientiertes Identitätsmanagement, rät Unternehmen, rasch die generischen Voraussetzungen für möglichst viele Compliance-relevante Faktoren zu schaffen.
  • Regeln für die Healthcare Compliance - Eine gute und transparente Zusammenarbeit braucht klare Regeln. Gemeinsam mit den Partnern in den Krankenhäusern und der Ärzteschaft engagieren sich der BVMed und seine Mitgliedsunternehmen seit vielen Jahren intensiv dafür, der Kooperation im Gesundheitsmarkt eine sichere und transparente Grundlage zu geben. Gemeinsam wurden der "Kodex Medizinprodukte", der "Gemeinsame Standpunkt" und Mustervertragselemente zur Zusammenarbeit entwickelt.

Gehe zu: Kostengünstige Umsetzung der BilMoG-Anforderungen Whistleblowing und Hinweisgebersysteme