GlobalSign Blog

12 Okt 2018

Einhaltung gesetzlicher Auflagen vs. Risikomanagement in der realen Welt: Achtung Verwechslungsgefahr!

Ob Commerce, Infrastruktur, Gesundheitswesen oder Finanzen – egal wo Sie arbeiten, ist das Einhalten von den Sicherheitsregeln und -gesetzen in Ihrer Branche Chefsache. Standards in Compliance, wie die Critical Infrastructure Protection Standards für die Versorgungsbranche und die HIPAA Standards im Gesundheitswesen sind wichtig – sogar unabdingbar – um einen ununterbrochenen Dienst zu gewährleisten und die wichtigsten Interessensvertreter zu schützen.

Aber die Einhaltung gesetzlicher Auflagen ist nur ein Teil von Sicherheit. Es ist nicht das gleiche wie wirkliches Risikomanagement und Unternehmen, die Wert auf starke Sicherheit legen, sollten den kleinen aber feinen Unterschied zwischen den beiden Dingen kennen.

Die zwei Elemente von Sicherheit

Wenn es um Compliance geht, gibt es meist zwei Ansichtsweisen.

Es gibt einerseits den Einblick, den Sie Ihrem Auditor gewährleisten – der, der alle wichtigen Elemente abdeckt und sagt, dass bis zur nächsten Prüfung alles seine Ordnung hat. Oft ist dies eine optimistische Einschätzung (manchmal mehr, manchmal weniger) Ihrer Fähigkeiten.

Und dann gibt es noch den internen Einblick – also die Realität Ihrer Fähigkeiten, die Steuerungsmechanismen Ihrer Roadmap, und weitere Gründe für die Unterschiede zwischen dem, was der Auditor sieht, und was wirklich der Stand der Dinge ist.

Der Unterschied entsteht meist nicht in böser Absicht, und kommt in vielen Unternehmen vor. Compliance ist für viele Unternehmen Voraussetzung, um handeln zu dürfen. Unternehmen nutzen daher verständlicherweise Schlupflöcher und andere Wege, um sicherzustellen, dass sie die Auflagen weiter einhalten, während sie ihre Sicherheit kontinuierlich weiter verbessern.

Um nicht nachlässig zu werden, ist aber gerade der letzte Satz wichtig: Sicherheit kontinuierlich weiter verbessern. Letztendlich ist es Ihre Aufgabe, und nicht die des Auditors, auf die sich immer weiterentwickelnden Gefahren in Echtzeit zu reagieren und sich der wandelnden Sicherheitslandschaft in Ihrer Branche anzupassen. Dieser proaktive Ansatz macht eine hartnäckige Sicherheitsstrategie aus, nicht nur das Bestehen der jährlichen Audits.

Falls dieser Ansatz für Compliance aus zwei Sichtweisen neu für Sie ist, könnte es Sinn machen, mehr über die Reife Ihrer Sicherheit in Erfahrung zu bringen. Es ist wichtig die Sicherheitsmechanismen zu verstehen, vor allem wo und wie Sie von dem abweichen, was an Ihren Auditor berichtet wird.

Die Aufgaben des Gutachters

Vielfach ist Compliance davon abhängig wie gut der Gutachter ist, und nicht wie gut die Sicherheitspraktiken des Unternehmens.

Nicht alle Gutachter sind gleich. Vor allem wenn es um hoch technische Umgebungen geht, verstehen einige nicht immer die feinen Abstufungen oder die gestellten Fragen können verschieden interpretiert werden. Dazu werden oft nur „die Antworten auf gestellte Fragen“ gegeben – und nicht mehr – um dem Gutachter nicht mehr Informationen als notwendig zu geben.

Leider ist das System mangelhaft. Gutachter können fälschlicherweise zu dem Schluss kommen, dass Unternehmen die gesetzlichen Auflagen erfüllen. Dann gibt es noch Unternehmen, die ihre Fähigkeiten nicht wahrheitsgemäß darstellen. Und Unternehmen, die eigentlich konform sind, die aber nicht richtig bewertet wurden. Jedoch werden solche Fälle immer vorkommen. Es gibt keine perfekte Lösung.

Wir kommen also wieder zurück zu verantwortlichem Handeln und einem proaktiven Ansatz, wenn es um Ihre eigene Sicherheit geht. Sicherheit ist nie ‚fertig’, es bleibt immer ein kleines Rätsel bestehen, Sie sind nie 100% sicher. Stattdessen ist es ein Prozess, der Ihr Unternehmen mit der Zeit weiterentwickelt und wachsen lässt.

Ein Anfangspunkt

Compliance ist meist der Anfangspunkt; also die Mindestanforderungen, die Ihre Daten, Netzwerke, Anwendungen oder Clients schützen. Den gesetzlichen Vorgaben zu entsprechen sollte nicht als ausreichend angesehen werden, oder das zu erreichende Ziel darstellen. Compliance ist nur der Anfang.

Aber, wir müssen alle irgendwo anfangen. Vielleicht sind für Sie die gesetzlichen Vorgaben genau dieser Anfangspunkt, an dem Sie loslegen müssen.

Anstatt Anforderungen auf einer Liste abzuhaken, sollten Unternehmen lieber mit Experten zusammenarbeiten, um ihre spezifischen Risiken zu kennen. Wenn dies richtig ausgearbeitet wird, können Experten Unternehmen helfen einen Plan zu erstellen, um kontinuierlich ihre Sicherheit zu verbessern – oder noch besser, in einem Tempo, das für Ihr Unternehmen und Ihre Kunden Sinn macht, und Ihr Kapital schützt.

Hat Ihnen der Artikel gefallen? Vielleicht gefallen Ihnen auch diese Artikel:

Über den Autor

Ryan Manship ist Präsident des proaktiven Sicherheitsunternehmens RedTeam Security. RedTeam ermöglicht Kunden durch Penetration Testing ihr Sicherheitsrisiko zu minimieren und hilft ihnen ihre Angriffsfläche besser zu verstehen, indem es kostenlose Ressourcen wie einen Sicherheitsblog und Checklisten zur Erfüllung gesetzlicher Anforderungen bietet. Manship hat einen BS in Information Technology mit Schwerpunkt Netzwerke und Sicherheit, mit Nebenfächern Philosophie und Humanität. Er ist bisher auf ABC News, Business Insider, FOX und Tech Insider aufgetreten und wurde in der Los Angeles Times, Bringmethenews, the Star Tribune und CSO Online zitiert. Außerdem hält er regelmäßig Vorträge auf Sicherheitsevents.

Artikel teilen