Foto: RSA, The Security Division of EMC
Eine der größten Herausforderungen im Bereich Compliance ist die Vielzahl an Standards und rechtlichen Vorgaben, die es zu beachten gilt. Man denke nur einmal an PCI DSS (Payment Card Industry Data Security Standard), Bundesdatenschutzgesetz, IT-Grundschutz nach BSI, HIPAA (Health Insurance Portability and Accountability Act) oder SOX (Sarbanes-Oxley Act).
Was jeweils genau zu beachten ist, kommt auf die Branche, die Geschäftstätigkeit, den Unternehmensstandort und individuelle Verträge an. In jedem Fall aber ist Vollständigkeit gefragt, denn ein Compliance-Nachweis, der einen geforderten Standard nicht berücksichtigt, ist keiner.
Neue Entwicklungen fehlen zum Teil
Damit nicht genug, bilden viele offizielle Standards nicht alle aktuellen technischen Entwicklungen ab. Definierte Vorgaben zum Einsatz von Social Media wie Facebook sucht man häufig vergebens, Empfehlungen zu Social Media Guidelines sind aber zu finden, zum Beispiel beim IT-Branchenverband Bitkom.
Die Weiterentwicklung von Standards nimmt viel Zeit in Anspruch. Für den IT-Grundschutz zum Beispiel ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen dazu übergegangen, Überblickspapiere zu Themen anzubieten, die bislang noch nicht in den IT-Grundschutzkatalogen aufgenommen werden konnten. Dazu gehören zum Beispiel so wichtige Themen wie Cloud-Speicher, Smartphones und BYOD (Bring Your Own Device).
Foto: RSA, The Security Division of EMC
Im Cloud-Bereich wird bei vielen Organisationen nach einheitlichen Standards gerungen, doch der Weg ist weit. Ein europäischer oder gar internationaler Cloud-Standard ist noch nicht in Sicht. Ein Beispiel für ein fortgeschrittenes Cloud-Framework ist Cloud Stack, getragen von vier Initiativen der Cloud Security Alliance (CSA), von Cloud Audit, Cloud Controls Matrix, Consensus Assessments Initiative und Cloud Trust Protocol.
Im Laufe des Jahres 2013 möchte das BSI vier neue Bausteine für IT-Grundschutz (Cloud-Management, Cloud-Storage, Cloud-Nutzung und Web-Services) sowie eine das Cloud Computing berücksichtigende Überarbeitung des BSI-Standards 100-2 als Vorabversionen veröffentlichen.
Auch wenn abschließende Standards noch nicht vorhanden sind, müssen sich Unternehmen daran machen, interne Richtlinien für die Nutzung von Clouds oder sozialen Medien vorzugeben und deren Einhaltung zu überprüfen.
Vorsicht mit Insellösungen
Immerhin ein Drittel der Unternehmen setzt laut der NTT-Data-Studie "IKS 2.0 - Herausforderungen Effizienz und Wirksamkeit" bereits spezielle Lösungen im Bereich GRC (Governance, Risk and Compliance) ein, also Softwarewerkzeuge, mit denen sich unter anderem die Einhaltung von Compliance-Vorgaben prüfen und dokumentieren lässt. Die Mehrzahl der Unternehmen arbeitet noch mit Insellösungen, wie zum Beispiel mit Excel-Checklisten.
Doch selbst die Unternehmen, die bereits spezielle GRC-Tools im Einsatz haben, könnten sich wieder in Richtung Insellösungen entwickeln und zum Beispiel zusätzlich separate Excel-Checklisten zur Compliance bei Social Media und Clouds einführen. Der Grund: Noch fehlen in den meisten Katalogen der Standards, die in den GRC-Tools umgesetzt sind, die neuen Risikobereiche. Es besteht deshalb ein dringender Ergänzungsbedarf.
Ziel sind integrierte Risikoübersichten
Unternehmen sollten versuchen, so viele Risiko- und Compliance-Bereiche wie möglich in einheitlicher, durchgehender Form zu behandeln. Werden verschiedene Übersichten geführt, könnten bestimmte Risiken aus dem Blickfeld geraten, ja letztlich einfach übersehen werden. Oder aber die einzelnen Risikobereiche werden separat bearbeitet, ohne auf mögliche Doppelprüfungen und Überschneidungen zu achten. Dies erhöht den internen Compliance-Aufwand unnötigerweise und könnte die um sich greifende Ablehnung gegenüber Audits noch steigern.
Empfehlung: Erweiterung von GRC-Tools
Wer bereits ein spezielles GRC-Tool nutzt, sollte deshalb eine Erweiterung der bereits vorhandenen Anforderungskataloge, Prüfungen und Berichtsvorlagen in Erwägung ziehen. Dafür stehen je nach GRC-Software verschiedene Wege offen: spezielle Funktionen für beispielsweise Social Media Compliance, Schnittstellen zu anderen Lösungen, die Möglichkeit, eigene Anforderungskataloge zu definieren oder das Erstellen eigener, individueller Compliance-Module für das GRC-Tool, um die eigenen Vorgaben zum Beispiel zu sozialen Medien und zu Clouds zu integrieren.
1. Option: Tools mit passenden Funktionen
GRC-Lösungen zum Beispiel von OpenQ bieten für Social Media Compliance eigene Funktionen. Mit OpenQ lässt sich der Einsatz von Facebook, Twitter und anderen sozialen Netzwerken kontrollieren. Mögliche Risiken in veröffentlichten Posts oder verteilten Dateien werden analysiert und in den Berichten für das Management aufgeführt. Veröffentlichungen in sozialen Netzwerken können vorab moderiert und zur späteren Beweissicherung archiviert werden.
Solche Speziallösungen sind durchaus sinnvoll als Ergänzung für GRC-Tools, die andere Compliance-Bereiche abdecken. Um Insellösungen zu vermeiden, sollte allerdings auf die Möglichkeit zur Integration geachtet werden. Dafür eignen sich Schnittstellen.
2. Option: Schnittstellen nutzen
Verschiedene Softwarelösungen, die dem GRC-Bereich zugeordnet werden können, sind ganz bestimmten Richtlinien oder Normen gewidmet, aber trotzdem offen für Erweiterungen.
Das GSTOOL des BSI oder ein Tool wie Save von Infodas zum Beispiel haben die zuvor genannten IT-Grundschutzkataloge im Fokus. Die Ergebnisse der Prüfung, ob die Vorgaben und Empfehlungen aus dem IT-Grundschutz eingehalten werden, können zum Beispiel bei Save auch entsprechend der Norm für IT-Sicherheits-Managementsysteme ISO 27001 dargestellt werden. Weitere Compliance-Vorgaben lassen sich über zusätzliche Module integrieren. Dank der offenen Schnittstelle können die Module auch von Dritten stammen.
DocSetMinder von GRC Partner GmbH verfügt über eine Reihe von Modulen unter anderem zu IT-Grundschutz, ISO 27001, BDSG, SOX und PCI DSS. Dank flexibler Schnittstellen ist der Datenimport aus operativen Systemen möglich, um diese Informationen die in die Prüfungen und Berichte einfließen zu lassen.
Agiliance hat für die Lösung RiskVision mehr als 30 Konnektoren im Angebot, unter anderem um Compliance-Testergebnisse aus anderen Lösungen zu importieren.
Die IT GRC Software Solution von MetricStream enthält bereits eine Vielzahl von Anforderungskatalogen wie COBIT (Control Objectives for Information and Related Technology), ISO 27002, SOX, PCI DSS, HIPAA und NERC (North American Electric Reliability Corporation). Zusätzlich verfügt die Lösung über eine Anbindung an die Compliance-Datenbank Unified Compliance Framework (UCF), die die Kataloge weiterer Standards und Normen umfasst. Über Konnektoren können Ergebnisse und Berichte von Kontroll-Lösungen Dritter importiert werden.
Unternehmen, die weitere Compliance-Bereiche in ihre bestehende GRC-Software integrieren wollen, sollten jeweils prüfen, ob sich bei ihrer Lösung ebenfalls eine offene Schnittstelle nutzen lässt. Ist dies der Fall, könnte unter anderem versucht werden, die Berichte aus einer vorhandenen Lösung zum Beispiel für das Cloud-Logging oder für das Monitoring von Social Media in das GRC-Tool zu importieren. Im Idealfall sollte sich dieser Vorgang automatisieren lassen.
3. Option: Eigene Kataloge definieren
Foto: verinice.org
Werden bislang keine separaten Lösungen zur Überwachung von Social Media oder Cloud Computing eingesetzt, helfen Schnittstellen der GRC-Tools aber wenig. Dafür ermöglichen es viele Compliance-Werkzeuge, die bereits enthaltenen Anforderungskataloge zu ergänzen oder eigene Kataloge zu erstellen oder zu importieren.
Die Open-Source-Lösung Verinice ist ein Beispiel für eine offene Lösung, die im Standardumfang insbesondere ISO 27001, IT-Grundschutz und das Information Security Assessment des Verbandes der Automobilindustrie VDA bietet, aber eigene Anforderungskataloge explizit vorsieht. Unternehmen können also ihre internen Vorgaben zu Facebook oder zur Cloud-Nutzung innerhalb von Verinice definieren und die Einhaltung dort prüfen und dokumentieren.
Foto: Nogacom
Interne Richtlinien lassen sich auch in vielen anderen GRC-nahen Produkten definieren und als Prüfungsgrundlage nutzen, zum Beispiel bei NogaLogic, um festzulegen, wie mit bestimmten Daten umgegangen werden soll.
4. Option: Individuelle Module erstellen
Es kann auch sinnvoll sein, ein eigenes GRC-Modul zu erstellen, um individuelle Anforderungskataloge umzusetzen, die sich zum Beispiel aus einem Kundenvertrag ergeben. Dabei sollte die Wirtschaftlichkeit einer Eigenentwicklung geprüft werden. Hilfreich sind Entwicklungs- und Lösungsplattformen, die eigene Module unterstützen.
Möglich sind individuelle GRC-Module zum Beispiel mit Zaplet von MetricStream. Zaplet ist eine offene Cloud-Plattform, mit der sich eine eigene GRC-Lösung entwickeln lässt.
RSA Archer eGRC bietet Nutzern ebenfalls die Möglichkeit, ein individuelles GRC-Tool zu erstellen. Die Anpassungen erfordern keinen Programmieraufwand. Zusätzliche Anforderungskataloge lassen sich aus der GRC Content Library beziehen, vorgefertigte GRC-Applikationen, die man im eigenen GRC-Tool einbinden kann, bietet RSA Archer eGRC Exchange.
Warten auf neue Standards reicht nicht
Ganz gleich, ob ein Unternehmen zusätzliche Compliance-Lösungen über eine Schnittstelle an das zentrale GRC-Tool anbindet, innerhalb des GRC-Tools eigene Anforderungskataloge definiert oder sogar den Weg beschreitet, GRC-Plattformen für die Erstellung eigener GRC-Module zu verwenden: Neuartige Risiken aus Bereichen wie Social Media, Cloud Computing und Mobile Computing erfordern die Einführung und Prüfung entsprechender Vorgaben sowie deren Dokumentation.
Fehlen die Anforderungen in den bereits umgesetzten Standards oder sind individuelle Kundenanforderungen zu überwachen, sollten Unternehmen aktiv werden und für eine zentrale GRC-Übersicht sorgen, durch Erweiterung der bestehenden Compliance-Lösung. Technische Möglichkeiten sind vorhanden, die sich meist mit vertretbarem Aufwand auch umsetzen lassen. (sh)