Compliance ist nicht nur für die Großen

Autor – Jörn Dierks, Chief Security Strategist EMEA bei NetIQ

Compliance, also die nachweisbare Einhaltung gesetzlicher Vorgaben sowie interner Richtlinien und Standards, wird häufig nur mit großen Aktienkonzernen oder der Sicherheit staatlicher Informationsflüsse in Verbindung gebracht. Dies liegt vor allem darin begründet, dass ein wesentliches Ziel der Compliance in der Unterbindung von Wirtschaftskriminalität besteht, welche vordergründig mit Industriespionage, Insiderhandel oder Unterschlagung im großen Stil assoziiert wird. Tatsächlich ist Compliance aber auch für kleinere und mittlere Unternehmen eine höchst relevante Erscheinung der heutigen und künftigen Wirtschaftswelt. Zum einen, weil sich Compliance auch auf die überall gegebenen Arbeitnehmerschutzkriterien, Umweltstandards und ethischen Leitlinien bezieht wie auf Datenschutz, Vertragsgestaltung und Steuerrecht. Zum anderen, weil auch in KMU zahlreiche Prozesse IT-gestützt über Computer und mobile Endgeräte ablaufen. Hinzu kommt die Forderung der Großunternehmen an ihre mittelständischen Zulieferer und Partner, die gleichen internen Vorgaben wie sie selbst einzuhalten.

Welches Potenzial steckt in Regeln und deren Einhaltung?

Ein ausgereiftes, funktionierendes Compliance-Management-System bewahrt kleine und mittelständische Unternehmen erstens vor bewussten Verstößen, indem beispielsweise Zugriffsrechte von Mitarbeitern entsprechend den Anforderungen ihrer Position im Unternehmen klar geregelt werden. Zweitens bewahrt es vor Verstößen aufgrund von Unkenntnis über die zahlreicheren und komplexeren Vorgaben in einer globalisierten Welt, indem durch die Nutzung von Security-Configuration-Management-Systemen zentrale Regelwerke automatisch abgefragt werden. So deckt zum Beispiel NetIQ in seinem Secure Configuration Manager PCI, SOX oder die ISO 2700x ab.

Eine Vermeidung von Verstößen gegen Gesetze oder ethische Leitlinien bietet jedem Unternehmen enorme Vorteile: Zuerst wird das Haftungsrisiko minimiert, bezogen vor allem auf Bußgelder und Schadensersatzforderungen; außerdem wird die nicht zu unterschätzende Gefahr eines Imageschadens gebannt, der etwa durch Verstöße gegen den Datenschutz oder gegen Umweltstandards schnell auftreten kann. Besonders für kleinere und mittlere Unternehmen kann ein solchermaßen ramponiertes Bild in der Öffentlichkeit existenzgefährdend werden, da diese im Gegensatz zu global aufgestellten Großunternehmen meist auf ein bestimmtes Land oder eine bestimmte Region fokussiert und vom lokalen Image abhängig sind. Darüber hinaus bedeutet Compliance für alle Unternehmen einen Mehrwert: Kann ein Unternehmen seine Compliance nachweisen, wird der Unternehmenswert höher eingeschätzt. Ebenso kann die Erfüllung bestimmter Standards – etwa Sicherheitszertifikate – die Voraussetzung für einen Markteintritt oder die Wettbewerbsfähigkeit an sich darstellen.

IT-Sicherheit durch Steuerungsfähigkeit und Überprüfbarkeit

Die Trends „Consumerization“ und „Bring your own Device“ werden in Zukunft auch in KMU eine immer größere Rolle spielen. Die Grenzen zwischen Privatleben und Berufsleben verwischen, das bereits erwähnte Zugriffsrechtemanagement sieht sich mit großen Herausforderungen konfrontiert. Zwar könnten Firmen über die Netzwerkverbindungen auf privat genutzte Geräte zugreifen, sehen sich aber auch einer neuen Hacking- und Spionagegefahr ausgesetzt. Folglich müssen sich Vorstände und IT-Abteilungen damit auseinandersetzen, wie sich eine Nutzeridentität zusammensetzt. Es ist zu klären, welche Position der Nutzer im Unternehmen bekleidet, welche Rolle er für wen spielt. Auf dieser Grundlage ist zu entscheiden, welche Zugriffsrechte dem jeweiligen Nutzer zugestanden werden sollen. Zuletzt ist festzulegen, wer innerhalb des Unternehmens über die Zuweisung von Zugriffsrechten entscheiden darf.

Maßnahmen zur Gewährleistung von Compliance begünstigen zudem das Erreichen der IT-Sicherheitsziele: Vertraulichkeit, Verfügbarkeit und Integrität. Des Weiteren kann parallel mit der Verwirklichung von Compliance eine höhere Transparenz der IT-gestützten Unternehmensprozesse einhergehen, sodass sich die Steuerungsfähigkeit und die Überprüfbarkeit der Informationstechnik verbessern. Compliance stellt also nicht nur das Mittel zum Zweck für einen erfolgreichen Ablauf von Audits dar, sondern bietet weitere Potenziale.

Übersicht und Flexibilität durch Access Governance

Um angesichts der komplexen IT-Welt den Überblick zu behalten, gilt es auch für kleine und mittelständische Unternehmen, ihr Access Management effizienter zu gestalten. Der Access-Governance-Ansatz verfolgt dieses Ziel, indem die Fachabteilungen verstärkt in die Berechtigungsvergabe eingebunden werden sollen. So stellt eine gut ausgestattete Governance Suite einen vollständig automatisierten, wiederholbaren Zertifizierungsprozess bereit und verfolgt den Zertifizierungsstatus für einzelne Mitarbeiter, Anwendungen und Geschäftseinheiten in Form von Reports.

Bild 1: Zugang einrichten

Im Idealfall besteht ein intelligentes Access Governance immer aus den Kernelementen Access Fulfillment, Access Authorization und Access Monitoring. Access Fulfillment umfasst hierbei die Verwaltung der Identitäten, also die Festlegung der Rollen, die Rezertifizierung der Berechtigungen und die Administration der Zugangsrechte sowie deren Übertragung. Access Authorization bezeichnet die technische Umsetzung des Zugangs zu den verschiedenen Systemen, beispielsweise über Single-Sign-on-Lösungen, die Nutzerauthentifizierung und deren Umsetzung oder die Verwaltung von privilegierten Nutzern. Access Monitoring endlich steht für die anschließende Beobachtung der Aktivitäten, die mit den gewährten Rechten unternommen werden. Hierfür eigenen sich intelligente Security-Information- & Event-Management-Lösungen, die einen Überblick über Risiken und Trends geben, ein Log Management Reporting bieten und das Netzwerk dynamisch überwachen. Damit lassen sich ungewöhnliche Verhaltensmuster vollautomatisch erkennen, wodurch je nach Einstellung entsprechende Alarme ausgelöst und die Verantwortlichen automatisch benachrichtigt werden können.

Bild 2: Details für einen Zugang anzeigen

Der beschriebene Idealfall ist jedoch nicht für jedes Unternehmen sinnvoll. Abhängig von der Unternehmensgröße, den vorhandenen IT-Ressourcen und dem Automatisierungsgrad kann sich eine Einrichtung spezifischer Teilbereiche besser eignen. Der Bereich Access Fulfillment, also die durchdachte Identitätsverwaltung und die Übertragung der Rollenzuweisung an die Fachabteilungen, sollte jedoch fester Bestandteil jeder Access-Governance-Strategie sein. Denn nur so sind Unternehmen in der Lage, trotz Compliance-Vorgaben flexibel im Tagesgeschäft agieren zu können. Wechselt beispielsweise ein Mitarbeiter das Team oder verlässt gar das Unternehmen, kann die Fachabteilung sofort den Entzug bestimmter Rechte in Gang setzen. Ebenso können Fachabteilungen im Falle hoher Arbeitslast externe freie Mitarbeiter schnell und unkompliziert mit den richtigen Zugriffsrechten ausstatten.

Bild 3: Kontrolle der Compliance

Fazit

Um angesichts zahlreicher und vielfältiger Vorgaben und Entwicklungen in der virtuellen Landschaft den Überblick zu wahren und das Haftungsrisiko durch Verstöße zu minimieren, können kleinere und mittlere Unternehmen die Augen vor der Einführung von Compliance-Management-Systemen nicht länger verschließen. KMUs müssen das große Potenzial von Compliance-Systemen erkennen und nutzen, zu ihrer eigenen Sicherheit. Denn ein solches System sorgt bei kleinen wie großen Unternehmen am Ende auch dafür, dass die Vorstandsweste weiterhin weiß bleibt.

http://www.netiq.com/

Jörn Dierks ist Chief Security Strategist EMEA bei NetIQ. NetIQ ist ein Enterprise-Software-Anbieter mit einem Portfolio skalierbarer und automatisierter Lösungen für Identity, Security, Access, Governance, Systeme und Anwendungen, Service und Workload Management, mit deren Hilfe Organisationen IT Services über physische, virtuelle und Cloud-basierte Umgebungen hinweg sicher bereitstellen und verwalten können.