- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Compliance ist nur Teilaspekt der IT-Security


Compliance-Regularien geben zwar einen positiven Anstoß zur Erhöhung der Sicherheit, vielfach bleiben sie aber zu unbestimmt und zielen vor allem auf Dokumentationspflichten ab
Anbieter von Security-Lösungen erkennen die notwendige Verbindung von Compliance- und Sicherheitsgesichtspunkten zunehmend


- Anzeigen -





IT-Sicherheit ist primär Compliance-getrieben, vor allem im Finanzbereich, in dem Aufsichtsbehörden kontinuierlich neue Regelungen in Kraft setzen, Ende 2017 etwa die BAIT. Die Erfüllung gesetzlicher Richtlinien ist aber keine Garantie für die Abwehr von IT-Sicherheitsgefahren, warnt CyberArk.

In der IT-Sicherheit steht für viele Branchen die Erfüllung von Compliance-Anforderungen im Vordergrund. Unternehmen erbringen dafür Nachweise, dass Gesetze und Richtlinien erfüllt sind. Aber damit werden weder Schwachstellen beseitigt noch Sicherheitsvorfälle verhindert. Dominant ist die Compliance etwa im strikt regulierten Finanzbereich, in dem schon seit Langem IT-spezifische Vorgaben existieren, die zudem kontinuierlich erweitert und präzisiert werden, vor Kurzem etwa mit den Bankaufsichtlichen Anforderungen an die IT (BAIT).

"Compliance-Regularien geben zwar einen positiven Anstoß zur Erhöhung der Sicherheit, vielfach bleiben sie aber zu unbestimmt und zielen vor allem auf Dokumentationspflichten ab. Natürlich sind Präzisierungen, wie sie die BAIT bieten, zu begrüßen, aber entscheidend ist, dass das Thema Compliance weiter gefasst und um eigentliche IT-Sicherheitsaspekte ergänzt wird", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf.

Anbieter von Security-Lösungen erkennen die notwendige Verbindung von Compliance- und Sicherheitsgesichtspunkten zunehmend. Diese Entwicklung zeichnet sich gerade im Umfeld einer zentralen IT-Schwachstelle ab, den privilegierten Benutzerkonten, wie sie etwa Administratoren besitzen. Nahezu alle Anbieter im Umfeld von Privileged Account Security haben bei der Sicherung und Überwachung von privilegierten Konten in der Vergangenheit entweder Compliance mit Recording-Lösungen oder den Sicherheitsaspekt mit der Zugriffskontrolle adressiert. Das ist aber nicht ausreichend, denn nur eine vollständig integrierte Lösung bietet sowohl Rechts- als auch IT-Sicherheit. "CyberArk hat bereits von Anfang an umfangreiche Compliance- und Sicherheitsfunktionen zum festen Bestandteil seiner Lösungen gemacht", konstatiert Kleist. "Nur mit einer solchen Verschmelzung ist ein Compliance-konformes hohes Sicherheitsniveau erreichbar."

"Dass Sicherheit das Maß aller Dinge in der IT sein muss, gerät bei Compliance-Projekten vieler Unternehmen noch allzu oft in den Hintergrund. Ein Umdenken ist hier dringend erforderlich", betont Kleist, "ansonsten werden privilegierte Benutzerkonten weiterhin das zentrale Einfallstor für Insider- und Cyber-Attacken bleiben." (CyberArk: ra)

eingetragen: 08.07.18
Newsletterlauf: 06.08.18

Cyber-Ark: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Preis- und Leistungsverzeichnisse der Banken

    Wer ein Konto eröffnen will, hat die Qual der Wahl: Konditionen und Entgelte etwa für Kontoführung, Zahlungsaufträge oder Bargeldabhebungen sind oft unterschiedlich. Man kann schnell den Überblick verlieren. Bereits heute können Verbraucher anhand der Preis- und Leistungsverzeichnisse der Banken oder mittels im Internet angebotener Vergleiche die Kontenmodelle miteinander vergleichen. Künftig muss in jedem EU-Mitgliedstaat mindestens eine unabhängig betriebene Vergleichswebsite zur Verfügung stehen, die einen Vergleich nach vorgegebenen, klaren und objektiven Kriterien ermöglicht.

  • Vorgesehenes Verfahren unnötig aufwändig

    Der Bundestag diskutierte einen Gesetzentwurfs zur Vermeidung von Umsatzsteuerausfällen beim Handeln mit Waren im Internet. Damit sollen neue Nachweispflichten für Online-Warenhändler und eine Umsatzsteuerhaftung für Betreiber von Plattformen für elektronischen Warenhandel eingeführt werden. Der Digitalverband Bitkom kritisiert den Gesetzentwurf in der derzeitigen Fassung. "Die geplante Haftung für Plattformbetreiber ist unverhältnismäßig und das vorgesehene Verfahren unnötig aufwändig", sagt Bitkom-Steuerexperte Thomas Kriesel. Der Gesetzesentwurf erlegt allen in Deutschland tätigen Online-Händlern unabhängig von ihrer Größe eine zusätzliche Registrierungspflicht für umsatzsteuerliche Zwecke auf. Wer auf Online-Marktplätzen Waren verkaufen will, muss demnach künftig einen Nachweis über seine umsatzsteuerliche Registrierung bei einem deutschen Finanzamt vorweisen. Gleichzeitig sollen Betreiber elektronischer Marktplätze für Umsatzsteuer haften, die von Online-Händlern auf ihrer Plattform nicht abgeführt werden.

  • Lange Dauer des Musterverfahrens

    Nun ist es also soweit. Der Verbraucherzentrale Bundesverband e.V. (vzbv) wird in Kooperation mit dem ADAC, vertreten durch eine eigens gegründete "anwaltliche Spezialgesellschaft", am 01.11.2018 eine Musterfeststellungsklage gegen die Volkswagen AG aufgrund des Abgasskandals einreichen. "Während die neue Klagemöglichkeit meist als großer Fortschritt für den Verbraucherschutz gefeiert wird, erweist sich die Musterfeststellungsklage für Geschädigte des Dieselskandals im Ergebnis leider als Mogelpackung", konstatieren Dr. Marcus Hoffmann und Mirko Göpfert, Partner der im Verbraucherschutzrecht tätigen Kanzlei Dr. Hoffmann & Partner Rechtsanwälte aus Nürnberg.

  • Die Macht der persönlichen Markenbildung

    Viel ist momentan zu lesen über die Auswirkungen der Digitalisierung auf die Anforderungen an unseren Arbeitsalltag - aber auch bei der Mitarbeitersuche und beim Bewerbungsprozess bleibt die Zeit nicht stehen. Talent Management-Spezialist SumTotal hat fünf wichtige Aspekte zusammengefasst, bei denen deutlich wird, wie die digitale Evolution die moderne Arbeitswelt beeinflusst. Sowohl Unternehmen als auch Mitarbeiter beziehungsweise Bewerber sollten diese Gesichtspunkte beachten, um nicht den Anschluss zu verlieren. Der Einfluss von Sozialen Netzwerken: Soziale Netzwerke haben die Art und Weise, wie Unternehmen Mitarbeiter anwerben und wie Menschen nach Jobs suchen, verändert. Soziale Netzwerke wie Facebook, Instagram und LinkedIn oder Xing bilden inzwischen wichtige Eckpfeiler bei der Job- und Mitarbeitersuche. Hinzu kommen weitere neue soziale Netzwerke wie Amino Apps, Raftr oder Hype, die jeweils Millionen von Nutzern haben und alternative Plattformen anbieten, auf denen Menschen alle möglichen Arten von Informationen teilen können. In der neuesten CareerBuilder-Umfrage unter Personalchefs und HR-Mitarbeitern gaben über 70 Prozent der Arbeitgeber an, dass sie inzwischen soziale Netzwerke nutzen, um Bewerber vor der Einstellung zu überprüfen.

  • Anstieg des CEO-Frauds

    KnowBe4 beobachtet eine ernst zu nehmende Zunahme des CEO-Frauds (auch bekannt als Business E-Mail Compromise / E-Mail Account Compromise). Das Volumen im vergangenen Monat hat sich nahezu verdreifacht. Diese Eskalation wird durch Phishing-Versuche erkannt, die weltweit über den Phish Alert Button (PAB) von KnowBe4 gemeldet werden. Mit dem PAB können Benutzer verdächtige Phishing-E-Mails mit einem einfachen Klick identifizieren und an die IT-Abteilung oder ihr Incident Response-Team melden, damit diese die Nachrichten näher untersuchen können. Immer mehr Spear-Phishing-E-Mails, die scheinbar vom CEO an einen Mitarbeiter in Unternehmen gerichtet sind, werden erkannt und KnowBe4 hat erst im vergangenen Monat einen deutlichen Anstieg festgestellt. Kriminelle erstellen E-Mails, in denen sie nach mehr persönlichen Informationen fragen, einschließlich Straßenadressen und persönlichen Telefonnummern von Mitarbeitern.