Programm statt Projekt

Compliance- und Risiko-Management verbinden

12.11.2008
Von Jörn Dierks
Investitionen in Compliance-Maßnahmen stehen oft in keinem Verhältnis zum erhofften Risiko-Management oder messbaren Kostenreduzierungen. Ein nachhaltiges Programm kann dies ändern.

Unternehmen stehen vor der Herausforderung, IT-Prozesse an Compliance-Anforderungen auszurichten: Sie müssen gewährleisten, dass gesetzliche Vorschriften und Dokumentationspflichten eingehalten werden, die Integrität von Finanzberichten oder anderen kritischen Informationen sichergestellt ist und der Verlust sensibler Daten verhindert wird. Aus diesem Grund haben sich viele IT-Abteilungen und Sicherheitsverantwortliche zum Ziel gesetzt, Applikationen zu implementieren, mit denen sie die Einhaltung von Richtlinien sicherstellen können. Die entsprechenden Lösungen spielen daher im heutigen Wirtschaftsleben eine entscheidende Rolle.

Enttäuschende Resultate

Allerdings schlagen viele Lösungsansätze fehl, oder die Ergebnisse sind unbefriedigend. Oft stehen die Investitionen in Compliance-Maßnahmen in keinem Verhältnis zum erhofften Risiko-Management oder messbaren Kostenreduzierungen. Eine häufige Ursache: Compliance-Aufgaben sowie die damit verbundenen Maßnahmen werden als Projekte und nicht als nachhaltige Programme umgesetzt. Arbeitsintensive Vorgehensweisen belasten die ohnehin schon unter Druck stehende IT-Abteilung noch zusätzlich.

Beim Aufbau eines IT-Compliance-Programms messen viele Unternehmen zunächst die Richtlinienkonformität, indem sie schlicht überprüfen, ob die Kontrollmechanismen ordnungsgemäß implementiert sind und gepflegt werden. So werden etwa Kontrollmaßnahmen für die Identifizierung und die Authentifizierung (etwa Passwort-Anforderungen) bewertet. Leider gibt es bei diesem Ansatz mehrere Beschränkungen: Nicht alle Kontrollmaßnahmen sind gleich zu behandeln oder zu gewichten. Einige Kontrolldefizite bergen ein höheres Risiko als andere. So stellt ein Administrator-Account ohne Passwort auf einem Rechner eine größere Gefahr dar als ein ebenfalls nicht Passwort-geschütztes Konto mit eingeschränkten Benutzerrechten. Der "binäre” Ansatz (Ja oder Nein) führt bei der Bewertung von Kontrollmaßnahmen zu einer Verzerrung und zwingt das Management (oder die Administratoren) oft zu kostspieligen Kontrollmaßnahmen, die das Risiko jedoch nicht nennenswert reduzieren.

Nach der Systembedeutung bewerten

Drei Stufen, neun Schritte: NetIQs Methode für ein konzertiertes Compliance- und Risiko-Management.
Drei Stufen, neun Schritte: NetIQs Methode für ein konzertiertes Compliance- und Risiko-Management.

Auch sind nicht alle Systeme gleich zu behandeln oder zu gewichten. Unterschiedliche Systeme haben für das Unternehmen einen unterschiedlichen Wert. So ist der primäre Server, mit dem etwa das ERP-System unterstützt wird, wesentlich wichtiger als ein E-Mail-Backup-Server. Bei der Bewertung gilt es demnach, die jeweilige Bedeutung der Systeme für die Organisation zu berücksichtigen, damit das Management gezielt Ressourcen einsetzen kann, um die wichtigsten Elemente zu schützen.

Einige Kontrollmaßnahmen können für bestimmte Systeme ungeeignet sein. Oft werden in Richtlinien Kontrollmaßnahmen vorgegeben, die sich nicht ohne negative Folgen implementieren lassen. So sind etwa bei Service-Accounts, die zum Starten von Applikationen oder anderen Diensten auf einem Rechner benötigt werden, häufig gleich bleibende Passwörter erforderlich. In vielen Unternehmen gibt es jedoch eine Richtlinie, die - sinnvollerweise - vorschreibt, dass Passwörter von Benutzerkonten in regelmäßigen Abständen zu ändern sind. Weil eine solche Policy bei wichtigen Service-Accounts aus offensichtlichen Gründen ungeeignet ist, gilt es, Ausnahmeregelungen zu treffen.

Mit einem korrekt umgesetzten Risiko-Management lassen sich derartige Beschränkungen überwinden.