Suchen

Sicherheit vs. Compliance Sicherheit und Compliance darf man nicht gleichsetzen

Autor / Redakteur: Frank Augenstein / Peter Schmitz

Oft wird IT-Sicherheit gedanklich mit Compliance gleichgesetzt. Eine scheinbar logische Schlussfolgerung, aber ganz so einfach ist es leider nicht. Die Art und Weise, wie Entwickler, Sicherheitsanalysten und Prüfer an ihre Arbeit herangehen, führt tatsächlich dazu, dass in der praktischen Umsetzung zwischen Compliance und Sicherheit Lücken entstehen. Die wiederum bringen unnötige Risiken mit sich.

Firmen zum Thema

Im Spannungsfeld zwischen Security und Compliance können leicht Sicherheitslücken entstehen.
Im Spannungsfeld zwischen Security und Compliance können leicht Sicherheitslücken entstehen.
(Bild: gemeinfrei / Pixabay )

Wenn ein Unternehmen Sicherheits- und Compliance-Positionen falsch versteht (unabhängig davon, ob sie in einem konkreten Fall doch übereinstimmen oder nicht), sollte man sich mit der Rolle von Nachweisen beschäftigen. Nachweise, mit denen Sicherheitsteams üblicherweise Compliance belegen. Compliance-Nachweise sind das wesentliche Verbindungsglied zwischen Sicherheit und Compliance und bilden letztendlich die gemeinsame Grundlage für intelligente und effiziente Workflows.

Ein Beispiel aus der Praxis. Ein Auditor arbeitet mit einem IT-Unternehmen zusammen, um ein SaaS-Produkt zu entwickeln. Er spricht im Rahmen seiner Tätigkeit mit einer der Entwicklerinnen und stellt fest, dass ihre Entwicklung mit dem bestehenden Rahmenwerk nicht konform ist. Für die Entwicklerin frustrierend, denn das Produkt als solches ist hoch sicher. Der Auditor bestätigt sogar, dass es gut konzipiert und implementiert sei. Nur ist sicher nicht gleich konform. Es kann natürlich auch genau umgekehrt sein. Eine Lösung entspricht der Konformitätserklärung und verfehlt gleichzeitig die Sicherheitsgüte, die diese Kriterien liefern sollten. Wir sind alle ausreichend damit vertraut in den relevanten Kontrollkästchen einen Haken zu setzen. Aber es gelingt vergleichsweise selten, den prognostizierten Nutzen aus einer bestimmten Sicherheitskontrolle zu ziehen.

„Schützen, verhindern, erkennen“ versus “Prüfen, befragen, berichten“

Wie können Sicherheits- und Compliance-Teams eine erfolgreiche Allianz bilden? Geht es darum, die gemeinsamen Ziele Sicherheit und Compliance zu erreichen, lässt sich alles auf einen Begriff reduzieren: Risiko.

Risikomanagement ist der Grund, warum beide Teams überhaupt existieren. Beide entwerfen und etablieren Kontrollen zum Schutz einer Organisation und setzen diese Kontrollen praktisch um. Bei so vielen Gemeinsamkeiten scheinen beide Gruppen natürliche Verbündete zu sein, und oft sind sie das auch.

Warum kommt es dann überhaupt zu praktischen Differenzen wie in unserem Beispiel zwischen Prüfer und Entwicklerin? Das liegt an der Betrachtungsweise aus zwei völlig unterschiedlichen Perspektiven:

  • 1. Sicherheit: Sichern, verhindern, schützen, erkennen - das sind die Aufgaben im Rahmen der Cybersicherheit. Die Mittel, dieses Ziel zu erreichen, sind überwiegend technischer Natur. Compliance ist hier nicht das Hauptanliegen und im Übrigen auch nicht der primäre Auftrag eines Sicherheitsteams. Trotzdem kann Compliance unternehmerisch erforderlich sein.
  • 2. Compliance: Compliance-Teams beschäftigen sich mit denselben Risiken, obwohl ihr Mandat oft umfassender ist und über den Schutz von Information Assets hinausgeht. Richtlinien, Vorschriften und Gesetze sind weitreichender als das sogenannte Information Risk Management und decken physische, finanzielle, rechtliche und weitere Risiken ab. Vor diesem Hintergrund prüfen, bewerten, befragen und berichten Compliance-Teams.

Es handelt sich um unterschiedliche Begrifflichkeiten. Sie dienen allerdings demselben Zweck: das Unternehmen zu schützen. Vereinfacht dargestellt heißt das, wenn das Sicherheitsteam in einer Technikwelt lebt, agieren die Compliance-Verantwortlichen in einer Textwelt.

Drei Wege Sicherheit und Compliance miteinander zu verknüpfen

Kehren wir zu unserem Praxisbeispiel zurück. Die Entwicklerin hat aus technischer Sicht alles richtig gemacht - der Code ist gut geschrieben, die Architektur entsprechend aufgebaut und der Bereitstellungsprozess überzeugt. Aber vielleicht fehlt eine kritische Dokumentation, um nachzuweisen, dass dies tatsächlich und hundertprozentig der Fall ist. Ein Prüfer kann ein Ereignis zu einem bestimmten Zeitpunkt beobachten. Ohne lückenlose Dokumentation kann er aber nicht garantieren, dass Prozesse und Richtlinien immer befolgt werden.

Darin liegt eine nicht zu unterschätzende Herausforderung. Prozesse zu dokumentieren ist aufwendig und mühsam. Viele Anforderungen scheinen einer schnellen Entwicklung und Bereitstellung ständig neue Hindernisse in den Weg zu legen. Es entsteht ein Spannungsfeld zwischen den konkurrierenden Interessen von Sicherheit, Entwicklung und Compliance. Das führt zu Kompromissen hinsichtlich Geschwindigkeit, Einfachheit und Dokumentation.

Muss es dieses Spannungsfeld zwischen Sicherheit und Compliance tatsächlich geben? Oder kann man die Interessen im Sinne von Sicherheit und Compliance so zusammenführen, dass das Ganze mehr ist als die Summe seiner Teile?

1. Kommunizieren

Ein Compliance-Team sollte vor allem eines tun, um sich besser auszurichten und erfolgreicher zu arbeiten: kommunizieren. Das betrifft vier grundlegende Aspekte:

  • Die Anforderungen: In unserem praktischen Beispiel hatte die Entwicklungsabteilung keine Kenntnis der Anforderungen. Je früher Sicherheits- und Entwicklungsteams wissen, was sie im Sinne der Konformität berücksichtigen sollten, desto frühzeitiger finden sie Wege diese Anforderungen zu erfüllen.
  • Die Details: Die Verantwortlichen müssen verstehen, wonach ein Prüfer genau sucht. „Wir haben eine Firewall“ ist eine wenig hilfreiche Aussage. Heißt das, Layer-3 ist ausreichend oder braucht das Unternehmen doch eine Layer-7-Firewall?
  • Der Nachweis: Abteilungen, welche die geforderten Nachweise erbringen sollen, müssen wissen, was einen Prüfer zufriedenstellt. Sucht er nach Berichten, Screenshots oder Richtliniendokumentationen?
  • Die Häufigkeit: Kontrollen und Anforderungen müssen zumeist regelmäßig überwacht werden. Muss das jährlich oder monatlich passieren? Wenn Sie das wissen, kann die Sicherheitsabteilung im Voraus planen und die nötigen Aufgaben zuweisen.

2. Dokumentieren

Die Dokumentation ist nicht selten langwierig und zeitaufwendig, für ein erfolgreich abgeschlossenes Audit allerdings unumgänglich.

Die Dokumentation ist gleichzeitig eine interne Referenz und der von einem Prüfer verlangte Nachweis. Die wichtigsten Dokumente für eine erfolgreiche Allianz zwischen Security und Compliance sind:

  • Kontrollen: Eine Liste aller Kontrollen, denen das Unternehmen zugestimmt hat.
  • Nachweise: Besprechungsnotizen, Zugriffs- und Regelüberprüfungen, Berichte und sogar E-Mails können als Nachweise dienen. Entwickeln Sie einen Plan, um Nachweise für die geleistete Arbeit zu erstellen, zu sammeln und zentral für alle Beteiligten zugänglich abzuspeichern.
  • Kalender: Wenn klar ist, mit welcher Häufigkeit und Regelmäßigkeit Audits anstehen, ist es hilfreich, einen gemeinsamen Kalender zu erstellen, in dem sowohl die regelmäßigen Ereignisse als auch der Zeitplan für die Audits festgeschrieben sind.

3. Automatisieren

Bei Compliance geht es in erster Linie darum, die notwendigen Nachweise zu erbringen und die Arbeit des Sicherheitsteams zu dokumentieren.

Sicherheit profitiert davon, manuelle Prozesse und Kontrollen weitestgehend zu automatisieren. Die drei Bereiche, in denen Automatisierung die größten Synergien erzielt, sind:

  • Workflows: Es mag offensichtlich erscheinen, dass Workflows am ehesten von Automatisierung profitieren. In der Praxis sieht das anders aus. Kaum ein Prozess kommt ohne manuelle Eingriffe aus.
  • Berichte: Wenn Sie Berichte manuell generieren, besteht immer ein gewisses Ausfallrisiko, gerade bei regelmäßigen Kontrollen. Das automatisierte Generieren und Verteilen von Berichten stellt sicher, dass diese pünktlich versendet werden, idealerweise an eine Gruppe von Personen, die für Analysen und Maßnahmen verantwortlich zeichnen.
  • Dokumentation: Dokumentationen in Standard-Workflows zu integrieren ist eine gute Möglichkeit, Sicherheit und Compliance in die tägliche Arbeit zu integrieren. Ähnlich wie bei Berichten gibt es Möglichkeiten Dokumentationen ebenfalls zu automatisieren.

Die erfolgreiche Allianz zwischen Sicherheit und Compliance entsteht, wenn ein Sicherheitsteam wirksame Kontrollen zum Schutz von Informationsressourcen implementiert und ein Compliance-Team überprüft, ob diese tatsächlich vorhanden sind und wie erwartet funktionieren. Diese Allianz stellt sicher, dass die Kontrollen immer auf dem aktuellen Stand sind und die erforderlichen Dokumentationen zum Zeitpunkt des Audits zuverlässig vorliegen.

Über den Autor: Frank Augenstein ist Senior Sales Engineer bei Tripwire.

(ID:46397494)