• EN
  • Hauptmenü

Komplexe IT-Sicherheitschafft Vertrauen

Compliance

Compliance umfasst sämtliche Maßnahmen zur Einhaltung von Gesetzen und Richtlinien im Unternehmen. Sie dient der verantwortungsvollen Unternehmenssteuerung durch die Geschäftsführung. Einen wesentlichen Beitrag zur Compliance kann IT-Sicherheit leisten. Externe Regelungen wie zum Beispiel das Bundesdatenschutzgesetz, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und Richtlinien wie Sarbanes-Oxley oder Basel II fordern von Unternehmen die Ergreifung von geeigneten Maßnahmen, damit Daten sicher sind und Risiken, auch im Hinblick auf die IT, rechtzeitig erkannt werden. Neben den externen Regelungen können auch interne Regelungen wie zum Beispiel unternehmensinterne Richtlinien und Arbeitsanweisungen für die Einhaltung von Compliance relevant sein. 

Bei der Einhaltung der Gesetze und Regelungen greifen sowohl technische als auch organisatorische Maßnahmen, denn nicht immer ist die Technik die Ursache für Datenverlust oder Datenabfluss, sondern auch der Faktor Mensch spielt eine entscheidende Rolle. 

Unwissenheit, mangelndes Verständnis und ungenügendes Verantwortungsbewusstsein bei Mitarbeiterinnen und Mitarbeitern können daher zu erheblichen Problemen führen. IT Security Awareness-Maßnahmen schulen und unterstützen Mitarbeiter wie auch Führungskräfte, damit sie ihre Verantwortung erkennen und dieser Herausforderung gerecht werden. Schulungen sind auch ein geeignetes Mittel, um Mitarbeiter für das so genannte Social Engineering zu sensibilisieren. Dabei versuchen Angreifer über soziale Kontakte in den Besitz von vertraulichen Informationen zu kommen, Passwörter zu erfragen oder sich Zugang zu Räumlichkeiten und Netzwerken zu verschaffen. 

Um einen Basisschutz in der IT-Sicherheit herzustellen, in dem auch Bezug zu Gesetzen und best practices enthalten sind, können Unternehmen sich am IT-Grundschutz orientieren. Dabei handelt es sich um einen Katalog, der IT-Maßnahmen zusammenfasst, die für einen Basisschutz im Unternehmen empfohlen werden. Eine weitere Möglichkeit ist der Aufbau eines Sicherheitsmanagementsystems auf Basis der international gültigen Norm ISO 27001.

Technische Maßnahmen zur Einhaltung der Compliance

Die Anzahl der Schnittstellen im Unternehmen durch die potenziellen Informationen abfließen können ist sehr groß und eine vollständige Überwachung aufwendig. Data Loss Prevention Systeme verfolgen einen anderen Ansatz: Dabei werden nicht Systeme sondern Informationen bzw. Daten in den Mittelpunkt der Betrachtung gestellt und diese während ihrer Lebenszeit im Unternehmensworkflow überwacht. Unzulässige Aktivitäten mit diesen Daten werden erkannt und über eine unterschiedliche Kaskadierung von Mechanismen so behandelt, dass nur noch zugelassene Operationen möglich sind.

Bereits in kleinen Organisationen kann es durch eine komplexe Anwenderhierarchie, wie sie zum Beispiel das Einbeziehen von Kunden, Partnern und Lieferanten entsteht, im Netzwerk schnell unübersichtlich werden. Ein Identity und Access Management verschafft einen Überblick über sämtliche Zugriffsberechtigungen in Unternehmen und Behörden und ermöglicht ihrer Steuerung. Die erreichte Transparenz hilft bei der Umsetzung des Need-to-know-Prinzips und schützt auf diese Weise vor Datenmissbrauch Auf Veränderungen wird schnell reagiert, Compliance-Vorschriften werden eingehalten; Die Maßnahmen können revisionssicher protokolliert werden.

Der Schutz von personenbezogenen Daten gehört zu den klassischen Compliance-Themen. Dazu gehören nicht nur Mitarbeiterdaten, sondern beispielsweise auch Konto- oder Kreditkarten-Daten von Kunden. Sie sind daher zunehmend als unternehmenskritisch anzusehen. secunet berät Kunden im Umgang mit diesen Daten und stellt sicher, dass Prozesse im Unternehmen konform zu einem modernen Datenschutz sind.