Sie sind hier: Home » Fachartikel » Administration

Erfüllung der hohen Compliance-Anforderungen


So lassen sich Compliance-Herausforderungen erfolgreich meistern
Durch eine regelmäßige Überprüfung der IT-Sicherheitsrichtlinien lassen sich vorhandene Lücken zwischen Geschäftsanforderungen, IT-Systemen und dem Anwenderverhalten aufspüren

Autor André Lutermann
Autor André Lutermann Verantwortlichkeiten bezüglich der IT-Compliance und IT-Sicherheit etablieren, Bild: Dell

Von André Lutermann, Technical Strategist bei Dell Software

(03.07.15) - Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema – seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

• 1. Bewerten. Durch eine regelmäßige Überprüfung der IT-Sicherheitsrichtlinien lassen sich vorhandene Lücken zwischen Geschäftsanforderungen, IT-Systemen und dem Anwenderverhalten aufspüren. Die drei Bereiche müssen immer wieder von neuem optimal aufeinander abgestimmt werden. Wichtig ist aber auch eine Überprüfung, ob die IT-Sicherheitsrichtlinien auch tatsächlich die ex-ternen und internen Compliance-Anforderungen erfüllen beziehungsweise welche Diskrepanzen sich im Alltag zeigen. Ein weiteres Element der Bestandsaufnahme ist eine Auflistung der Zugriffsberechtigungen. Sie ist allein schon deshalb hilfreich, weil sie spätestens beim nächsten Audit benötigt wird.

Implementierung von IT-Compliance-Vorgaben

IT-Sicherheits- und Compliance-Maßnahmen
IT-Sicherheits- und Compliance-Maßnahmen Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema; Bild: Dell


• 2. Überwachen und Benachrichtigen. Unternehmen sollten für ihr Umfeld Sicherheitskennzahlen – beispielsweise die Zahl der Sicherheitsvorfälle, Hacker- oder Trojaner-Angriffe – definieren und fortlaufend messen. Dazu gehört auch, die Aktivitäten der Benutze-reinschließlich der Privileged User aufzuzeichnen. Bei auffälligen Aktivitäten und Ereignissen muss sofort ein Alarm ausgelöst werden können, um rechtzeitig Gegenmaßnahmen einzuleiten. Darüber hinaus steht eine Überprüfung der Dokumentation solcher Vorkommnisse bei Audits regelmäßig auf der Checkliste. Auch Richtlinien zur Problembehandlung sind eine wesentliche Komponente von Audits.

• 3. Schwachpunkte beseitigen. Eine regelmäßige Überwachung und Benachrichtigung ist die Voraussetzung dafür, dass Schwachpunkte erkannt und beseitigt werden können. Erforderlich ist in diesem Zusammenhang aber auch, dass unerwünschte Änderungen der Konfigurationseinstellungen zeitnah erkannt und rückgängig gemacht werden. Geschieht dies nicht, entstehen Sicherheitslücken, die von Hackern sehr schnell aufgespürt und ausgenutzt werden könnten. Sollte es trotz aller IT-Sicherheitsvorkehrungen dennoch zu einem gravierenden Sicherheitsvorfall kommen, muss ein Unternehmen darauf vorbereitet sein. Dazu gehört auch ein Disaster-Recovery-Plan, der periodisch getestet und auf seine Wirksamkeit überprüft wird. Im schlimmsten Fall ist mit diesem Plan die baldige Wiederherstellung einer funktionierenden Arbeitsumgebung möglich.

• 4. Verwalten. Bei allen Verwaltungsaktivitäten vereinfachen automatisch arbeitende Tools die Arbeit der Administratoren deutlich. Solche Werkzeuge verwalten und kontrollieren beispielsweise die Passwortvergabe und widerrufen bei Bedarf automatisch die zuvor zugeteilten Benutzerrechte. Wichtig ist in diesem Falle auch der Nachweis, dass die Datenschutzbestimmungen eingehalten werden. Oftmals ist es für Administratoren schwierig, aus vorhandenen Aufzeichnungen die von einem Auditor benötigten Informationen zu ermitteln. In vielen Fällen müssen dazu unzählige Eventlog-Dateien mit nativen Betriebssystem-Tools einzeln durchsucht werden – eine zeitaufwändige Tätigkeit, die ein automatisch arbeitendes Tool schneller und effizienter erledigen kann.

• 5. Governance sicherstellen. Unternehmen sollten einen hierarchisch strukturierten Plan auf Basis von Verantwortlichkeiten bezüglich der IT-Compliance und IT-Sicherheit etablieren (IT-Governance). Jede Ebene trägt dabei ihren Anteil zur Einhaltung der externen Vorschriften und Standards bei. Ein derartiger Plan umfasst Aspekte wie die grundlegenden Regeln bei der Zuweisung von Benutzerrechten und der damit verbundenen Pflichten, die Überwachung der Vorschriften, Standards und Prozesse, das gesamte Dokumentations- und Berichtswesen sowie das interne Auditing. Mit einem solchen Compliance-Plan kann sich ein Unternehmen auch effizient auf anstehende externe Audits vorbereiten.

Organisationen sind heute auf die Implementierung und kontinuierliche Überwachung unternehmensweit gültiger IT-Sicherheits- und Compliance-Maßnahmen angewiesen. Die skizzierten fünf Best Practices unterstützen Unternehmen bei der Umsetzung externer sowie interner Vorgaben und führen letztlich zu einer höheren Effizienz und Sicherheit. (Dell Software: ra)

Lesen Sie auch den Schwerpunkt:
"IT-Sicherheit im Kontext von Compliance"

Dell: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen