Unternehmen stehen vor der Herausforderung, IT-Prozesse an Compliance-Anforderungen auszurichten: Sie müssen gewährleisten, dass gesetzliche Vorschriften und Dokumentationspflichten eingehalten werden, die Integrität von Finanzberichten oder anderen kritischen Informationen sichergestellt ist und der Verlust sensibler Daten verhindert wird. Aus diesem Grund haben sich viele IT-Abteilungen und Sicherheitsverantwortliche zum Ziel gesetzt, Applikationen zu implementieren, mit denen sie die Einhaltung von Richtlinien sicherstellen können. Die entsprechenden Lösungen spielen daher im heutigen Wirtschaftsleben eine entscheidende Rolle.
Enttäuschende Resultate
Allerdings schlagen viele Lösungsansätze fehl, oder die Ergebnisse sind unbefriedigend. Oft stehen die Investitionen in Compliance-Maßnahmen in keinem Verhältnis zum erhofften Risiko-Management oder messbaren Kostenreduzierungen. Eine häufige Ursache: Compliance-Aufgaben sowie die damit verbundenen Maßnahmen werden als Projekte und nicht als nachhaltige Programme umgesetzt. Arbeitsintensive Vorgehensweisen belasten die ohnehin schon unter Druck stehende IT-Abteilung noch zusätzlich.
Beim Aufbau eines IT-Compliance-Programms messen viele Unternehmen zunächst die Richtlinienkonformität, indem sie schlicht überprüfen, ob die Kontrollmechanismen ordnungsgemäß implementiert sind und gepflegt werden. So werden etwa Kontrollmaßnahmen für die Identifizierung und die Authentifizierung (etwa Passwort-Anforderungen) bewertet. Leider gibt es bei diesem Ansatz mehrere Beschränkungen: Nicht alle Kontrollmaßnahmen sind gleich zu behandeln oder zu gewichten. Einige Kontrolldefizite bergen ein höheres Risiko als andere. So stellt ein Administrator-Account ohne Passwort auf einem Rechner eine größere Gefahr dar als ein ebenfalls nicht Passwort-geschütztes Konto mit eingeschränkten Benutzerrechten. Der "binäre” Ansatz (Ja oder Nein) führt bei der Bewertung von Kontrollmaßnahmen zu einer Verzerrung und zwingt das Management (oder die Administratoren) oft zu kostspieligen Kontrollmaßnahmen, die das Risiko jedoch nicht nennenswert reduzieren.
Nach der Systembedeutung bewerten
Auch sind nicht alle Systeme gleich zu behandeln oder zu gewichten. Unterschiedliche Systeme haben für das Unternehmen einen unterschiedlichen Wert. So ist der primäre Server, mit dem etwa das ERP-System unterstützt wird, wesentlich wichtiger als ein E-Mail-Backup-Server. Bei der Bewertung gilt es demnach, die jeweilige Bedeutung der Systeme für die Organisation zu berücksichtigen, damit das Management gezielt Ressourcen einsetzen kann, um die wichtigsten Elemente zu schützen.
Einige Kontrollmaßnahmen können für bestimmte Systeme ungeeignet sein. Oft werden in Richtlinien Kontrollmaßnahmen vorgegeben, die sich nicht ohne negative Folgen implementieren lassen. So sind etwa bei Service-Accounts, die zum Starten von Applikationen oder anderen Diensten auf einem Rechner benötigt werden, häufig gleich bleibende Passwörter erforderlich. In vielen Unternehmen gibt es jedoch eine Richtlinie, die - sinnvollerweise - vorschreibt, dass Passwörter von Benutzerkonten in regelmäßigen Abständen zu ändern sind. Weil eine solche Policy bei wichtigen Service-Accounts aus offensichtlichen Gründen ungeeignet ist, gilt es, Ausnahmeregelungen zu treffen.
Mit einem korrekt umgesetzten Risiko-Management lassen sich derartige Beschränkungen überwinden.