|
Wenn ich an Compliance denke, habe ich das Bild von untertänigen Abteilungsleitern im Kopf, die vor dem Dom-Auditor auf die Knie gehen und um Vergebung flehen. Deshalb finde ich die Übersetzung "Fügsamkeit" am geilsten. 🧎
Die eigentliche Definition von Compliance, ist aber die Erfüllung gesetzlicher und regulatorischer Vorgaben. Security ist dagegen der Schutz vor Bedrohungen. Aber wo gibt es da eigentlich die Schnittmenge?
Wenn wir Compliance nur auf Cybersecurity beziehen, denken viele an Schlagwörter wie Information Security Management Systems (kurz: ISMS) oder Hardening Policies. Beide Themen bedeuten viel Arbeit, Zeit und hohe Kosten. Viele Geschäftsführer sind da eher skeptisch. Für sie ist oft nur der Marktzugang relevant, denn wenn man heutzutage keine ISO 27001 Zertifizierung hat, darf man bei den großen Jungs auch nicht mehr mitspielen. 😢
What is Compliance? Baby don't hurt me, don't hurt me, no more…
Kurz gesagt, es geht um die Spielregeln. Also um den Rahmen, in dem Daten verarbeitet werden dürfen, die IT ihre Systeme baut, die Zugänge den Mitarbeitern bereitgestellt werden, über welche Wege Berechtigungen vergeben werden und wie gewährleistet wird, dass alles 3 Stunden nach dem Audit auch noch tatsächlich so gemacht wird.
Klingt in der Theorie ganz cool, aber jeder der schon mal ein ISMS aufgebaut hat, kann sich noch an die komplizierten und niemals enden wollenden Fragerunden erinnern.
Falls dir das noch erspart geblieben ist, hier ein paar Beispiele:
- Wie wird der Schutz kryptografischer Schlüssel sichergestellt?
- Wie wird gewährleistet, dass nur autorisierte Personen auf sensible Daten zugreifen können?
- Wie identifiziert und bewertet das Unternehmen Sicherheitsrisiken?
Die Antworten sind die eine Sache, die Umsetzung aber eine gaaanz andere. 😵
Gefahren durch Compliance
Alle reden von den Vorteilen, aber niemand von den Gefahren, die durch Compliance entstehen. Dass man langsam zum Spießer wird und sich nach neuen Schlapfen und weißen Socken umsieht, ist nur ein Aspekt. 🤓
- Blinder Gehorsam: Prozesse sind extrem wichtig, aber nur, wenn sie auch unterstützen. Im Change-Advisory-Board einmal pro Woche die anstehenden Änderungen zu besprechen, ist super. Die akute Schwachstelle in der DMZ nicht zu patchen, weil noch drei Unterschriften fehlen, ist uncool.
- Papier ist geduldig: Neue Schwachstellen, Angriffsvektoren und Risiken kommen viel schneller als neue Richtlinien. Der Kryptografie-Standard FIPS 140-2, den viele amerikanische Behörden verwenden müssen, wurde 2001 veröffentlicht. FIPS 140-3, der Nachfolger, wurde erst 2019 genehmigt und 2-3 Jahre später langsam eingeführt. Die Verschlüsselungsmethoden waren also mehr als 20 Jahre alt!
- Unüberlegte Maßnahmen: Wenn es an technischen Hilfsmitteln für die Umsetzung von Maßnahmen fehlt, leiden die Mitarbeiter. Oft ist der Aufwand für die Formalitäten deutlich höher als die eigentliche Tätigkeit. Zum Beispiel, wenn die Security-Abteilung mehr Zeit damit verbringt, Berichte zu schreiben, als neue Schutzmaßnahmen zu implementieren.
- Sturm im Wasserglas: Ich nehme mal als Beispiel die Datenschutz-Fragebögen, die an Lieferanten geschickt werden. Da bestätigen die brav, dass alle Informationen mit größter Sicherheit und Vertraulichkeit behandelt werden, dass alle Mitarbeiter Top-Security-Spezialisten sind und dass USB-Sticks, bei denen der CISO die Seriennummer nicht am Allerwertesten tätowiert hat, sofort im Hochofen bei 1000° verbrannt werden. Ja, klar! Und wovon träumt ihr nachts? 🙄
Vorteile durch Compliance
Damit ich im Sommer noch eine Liege im Freibad bekomme, bevor die Compliance-Fleischis um 6:05 Uhr alle Plätze mit Handtüchern belegen, schreib ich jetzt auch noch was über die Benefits.
- Prozesse: Was in der Massenproduktion schon seit über 100 Jahren üblich ist, ist in der IT leider noch nicht überall bekannt. Jede manuelle Tätigkeit, hat großartiges Potential zu einer Sicherheitslücke zu werden. Das gilt zum Beispiel für die Berechtigungen, die im Active Directory händisch angepasst werden, und für die Anwendungs-Server, die manuell gepatcht werden. Inkonsistenz schleicht sich im Alltag ein und Compliance soll das durch Prozesse verhindern.
- Härtung: Wenn du deine Systeme nach einem Standard härtest, deaktivierst du alle nicht benötigten Funktionen von Haus aus. Klar, es ist mühsam, sie kleinteilig wieder zu aktivieren, aber ein Großteil der Angriffe passiert durch nicht konfigurierte Standard-Einstellungen. Gehärtete Systeme haben weniger Funktionen und dadurch auch weniger potenzielle Schwachstellen. Die PrintNightmare Schwachstelle war für viele ein Desaster. Einige meiner Kunden hatten gehärtete Umgebungen, in denen der Spooler auf 99 % der Systeme nicht gelaufen ist. Während die gesamte IT-Welt Panik geschoben hat, hatte das für sie keinerlei Auswirkungen.
- Vorgaben: Die coolsten Regeln sind die, die dich dazu bringen, über deine Prozesse nachzudenken, um sie zu verbessern. Es ist das Streben nach Qualität, das dich daran begeistern sollte. Zum Beispiel, wenn es darum geht, nicht nur deine Systeme immer auf dem neuesten Stand zu halten, sondern auch den Update-Prozess zu verwalten (Patch-Management). Oder wenn es darum geht, nicht jedem sofort alle Berechtigungen zu geben, sondern darüber nachzudenken, wie man jedem nur die Rechte geben kann, die für die Arbeit wirklich nötig sind. Und es ist wichtig, dass du die Qualität dieser IT-Prozesse selbst bewerten und überprüfen kannst, zum Beispiel durch einen Schwachstellen-Scan.
Fazit
Ohne Compliance-Framework bist du nicht so sicher, wie du vielleicht denkst. Das heißt aber nicht, dass dich eine Zertifizierung retten wird und vor größerem Schaden bewahrt. Es hilft dir viel mehr über deine Situation nachzudenken, das zu verschriftlichen und es als Chance zu sehen, es besser zu MACHEN.
|
|
|