- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Compliance ist nur Teilaspekt der IT-Security


Compliance-Regularien geben zwar einen positiven Anstoß zur Erhöhung der Sicherheit, vielfach bleiben sie aber zu unbestimmt und zielen vor allem auf Dokumentationspflichten ab
Anbieter von Security-Lösungen erkennen die notwendige Verbindung von Compliance- und Sicherheitsgesichtspunkten zunehmend


- Anzeigen -





IT-Sicherheit ist primär Compliance-getrieben, vor allem im Finanzbereich, in dem Aufsichtsbehörden kontinuierlich neue Regelungen in Kraft setzen, Ende 2017 etwa die BAIT. Die Erfüllung gesetzlicher Richtlinien ist aber keine Garantie für die Abwehr von IT-Sicherheitsgefahren, warnt CyberArk.

In der IT-Sicherheit steht für viele Branchen die Erfüllung von Compliance-Anforderungen im Vordergrund. Unternehmen erbringen dafür Nachweise, dass Gesetze und Richtlinien erfüllt sind. Aber damit werden weder Schwachstellen beseitigt noch Sicherheitsvorfälle verhindert. Dominant ist die Compliance etwa im strikt regulierten Finanzbereich, in dem schon seit Langem IT-spezifische Vorgaben existieren, die zudem kontinuierlich erweitert und präzisiert werden, vor Kurzem etwa mit den Bankaufsichtlichen Anforderungen an die IT (BAIT).

"Compliance-Regularien geben zwar einen positiven Anstoß zur Erhöhung der Sicherheit, vielfach bleiben sie aber zu unbestimmt und zielen vor allem auf Dokumentationspflichten ab. Natürlich sind Präzisierungen, wie sie die BAIT bieten, zu begrüßen, aber entscheidend ist, dass das Thema Compliance weiter gefasst und um eigentliche IT-Sicherheitsaspekte ergänzt wird", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf.

Anbieter von Security-Lösungen erkennen die notwendige Verbindung von Compliance- und Sicherheitsgesichtspunkten zunehmend. Diese Entwicklung zeichnet sich gerade im Umfeld einer zentralen IT-Schwachstelle ab, den privilegierten Benutzerkonten, wie sie etwa Administratoren besitzen. Nahezu alle Anbieter im Umfeld von Privileged Account Security haben bei der Sicherung und Überwachung von privilegierten Konten in der Vergangenheit entweder Compliance mit Recording-Lösungen oder den Sicherheitsaspekt mit der Zugriffskontrolle adressiert. Das ist aber nicht ausreichend, denn nur eine vollständig integrierte Lösung bietet sowohl Rechts- als auch IT-Sicherheit. "CyberArk hat bereits von Anfang an umfangreiche Compliance- und Sicherheitsfunktionen zum festen Bestandteil seiner Lösungen gemacht", konstatiert Kleist. "Nur mit einer solchen Verschmelzung ist ein Compliance-konformes hohes Sicherheitsniveau erreichbar."

"Dass Sicherheit das Maß aller Dinge in der IT sein muss, gerät bei Compliance-Projekten vieler Unternehmen noch allzu oft in den Hintergrund. Ein Umdenken ist hier dringend erforderlich", betont Kleist, "ansonsten werden privilegierte Benutzerkonten weiterhin das zentrale Einfallstor für Insider- und Cyber-Attacken bleiben." (CyberArk: ra)

eingetragen: 08.07.18
Newsletterlauf: 06.08.18

Cyber-Ark: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Gesetzliche Anforderungen an Auskunftsersuchen

    mailbox.org veröffentlicht en Transparenzbericht zu Auskunftsersuchen und Telekommunikationsüberwachung (TKÜ). Im Jahr 2018 erhielt der Dienst der Heinlein Support GmbH insgesamt 72 Anfragen von Strafverfolgungsbehörden, vier davon aus dem Ausland. 48 der Anfragen enthielten offensichtliche Fehler und mussten aufgrund ihrer Rechtswidrigkeit zurückgewiesen werden, darunter sogar zwei TKÜ-Anfragen. In 35 Fällen wurde die Anfrage daraufhin formfehlerfrei erneut gestellt und bearbeitet, insgesamt 13 mussten weiterhin abgelehnt werden. Die meisten Ermittlungsbehörden verschickten ihre Anfragen nach wie vor rechtswidrig unverschlüsselt per E-Mail und erwarteten auch auf diesem Wege Antwort. Zum Teil wurde sogar telefonisch die Herausgabe von Informationen verlangt, die nicht zu den Bestandsdaten gehören. Lediglich eine einzige Polizeibehörde hat Anfragen per E-Mail auf Anhieb korrekt und verschlüsselt gestellt.

  • EU-weite Preisobergrenzen für Telefongespräche

    Im kommenden Jahr gibt es auch in der Digitalwelt neue Vorschriften und Rechte für Verbraucher. Der Digitalverband Bitkom hat die wichtigsten Neuerungen zusammengetragen. Seit 2017 gelten in der EU bereits einheitliche Tarife für den mobilen Datenverbrauch im Internet und für Telefongespräche und SMS im EU-Ausland, das sogenannte Roaming. Im kommenden Jahr sollen auch Telefongespräche und SMS aus dem Heimatland in ein anderes Land der EU gleiche Preisobergrenzen bekommen. Wer per Handy oder Festnetz aus dem Heimatnetz ins EU-Ausland telefoniert, soll pro Gesprächsminute maximal 19 Cent zahlen. Für eine SMS sollen nur noch 6 Cent abgerechnet werden dürfen. Die neuen Obergrenzen sollen ab 15. Mai 2019 gültig sein, zuvor muss der Rat der EU noch formal zustimmen.

  • Anlageprodukte mit scheinbar hohen Gewinnchancen

    Digitalisierung liegt im Trend: online einkaufen, online daten, online in die Arztsprechstunde - nichts liegt näher, als sein Geld bequem mit ein paar Klicks im Internet zu vermehren. Potentielle Anleger stoßen im Netz immer wieder auf Anbieter von scheinbar besonders lukrativen Investitionsmöglichkeiten, die das schnelle Geld und außerordentlich hohe Gewinne versprechen. Häufig aber stecken hinter solchen Angeboten Straftäter, deren einziges Zieles ist, die Anleger um ihr Geld zu betrügen. Das Bundeskriminalamt und die Landeskriminalämter aus Bayern, Baden-Württemberg, Berlin, Sachsen-Anhalt, dem Saarland und Nordrhein-Westfalen warnen aktuell gemeinsam mit der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vor einer neuen Masche von Betrügern, die auf Online-Handelsplattformen Anlageprodukte mit scheinbar hohen Gewinnchancen bei einfachster Handhabung anbieten.

  • Falsche Rentenbesteuerung

    Das Finanzgericht Münster (FG, Urteil vom 30.01.2018, Az. 5 K 3324/16 E) entschied kürzlich, dass eine vor Altersrentenbeginn endende Berufsunfähigkeitsrente nicht entsprechend einer Basisrente zum größten Teil, sondern mit weit weniger als der Hälfte zu versteuern ist. Denn sie ist wie bei sonstigen (Renten-)Einkünften nur mit dem geringen Ertragsanteils steuerlich als Einkommen zu erfassen. Das Finanzamt hingegen hatte sich wiederholt auf die inhaltliche unzutreffende elektronische Übermittlung des Lebensversicherers berufen.

  • CEO-Fraud: Angriffsvektor "E-Mail"

    Die Mittelständler in Deutschland stehen für Kontinuität und Bodenständigkeit. Entsprechend unaufgeregt reagieren die Chefetagen auf Schlagzeilen über neue Arten von Cyberangriffen. Seit einigen Jahren warnen IT-Sicherheitsexperten vor CEO-Fraud, bei der ein Mitglied der Geschäftsführung Mitarbeiter zu einer eiligen Überweisung eines hohen Betrages drängt. Häufig geschieht dies über perfekt gefälschte E-Mails, die neben den richtigen Namen und Titeln auch den individuellen Schreibstil der Entscheider und vorhergehenden Mailaustausch imitieren. Gerade mittelgroße Unternehmen wägen sich aber in Sicherheit, da sie sich zu als klein für solche Angriffe empfinden - "so was gibt es ja nur bei Großunternehmen" hört man da oft. Die Chefetage ist das Vertrauen in die Mitarbeiter wichtig und kann sich nicht vorstellen, dass nachgemachte E-Mails aus der Führungsebene erfolgreich für falsche Überweisungen eingesetzt werden können.