Compliance trotz Cloud und Facebook

Mit GRC-Tools neue Risiken im Blick behalten

02.09.2013
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
GRC-Tools (Governance, Risk and Compliance) können so erweitert werden, dass sie auch neue Risiken wie Social Media und Clouds berücksichtigen.
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen.
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen.
Foto: RSA, The Security Division of EMC

Eine der größten Herausforderungen im Bereich Compliance ist die Vielzahl an Standards und rechtlichen Vorgaben, die es zu beachten gilt. Man denke nur einmal an PCI DSS (Payment Card Industry Data Security Standard), Bundesdatenschutzgesetz, IT-Grundschutz nach BSI, HIPAA (Health Insurance Portability and Accountability Act) oder SOX (Sarbanes-Oxley Act).

Was jeweils genau zu beachten ist, kommt auf die Branche, die Geschäftstätigkeit, den Unternehmensstandort und individuelle Verträge an. In jedem Fall aber ist Vollständigkeit gefragt, denn ein Compliance-Nachweis, der einen geforderten Standard nicht berücksichtigt, ist keiner.

Neue Entwicklungen fehlen zum Teil

Damit nicht genug, bilden viele offizielle Standards nicht alle aktuellen technischen Entwicklungen ab. Definierte Vorgaben zum Einsatz von Social Media wie Facebook sucht man häufig vergebens, Empfehlungen zu Social Media Guidelines sind aber zu finden, zum Beispiel beim IT-Branchenverband Bitkom.

Die Weiterentwicklung von Standards nimmt viel Zeit in Anspruch. Für den IT-Grundschutz zum Beispiel ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) inzwischen dazu übergegangen, Überblickspapiere zu Themen anzubieten, die bislang noch nicht in den IT-Grundschutzkatalogen aufgenommen werden konnten. Dazu gehören zum Beispiel so wichtige Themen wie Cloud-Speicher, Smartphones und BYOD (Bring Your Own Device).

Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet.
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet.
Foto: RSA, The Security Division of EMC

Im Cloud-Bereich wird bei vielen Organisationen nach einheitlichen Standards gerungen, doch der Weg ist weit. Ein europäischer oder gar internationaler Cloud-Standard ist noch nicht in Sicht. Ein Beispiel für ein fortgeschrittenes Cloud-Framework ist Cloud Stack, getragen von vier Initiativen der Cloud Security Alliance (CSA), von Cloud Audit, Cloud Controls Matrix, Consensus Assessments Initiative und Cloud Trust Protocol.

Im Laufe des Jahres 2013 möchte das BSI vier neue Bausteine für IT-Grundschutz (Cloud-Management, Cloud-Storage, Cloud-Nutzung und Web-Services) sowie eine das Cloud Computing berücksichtigende Überarbeitung des BSI-Standards 100-2 als Vorabversionen veröffentlichen.

Auch wenn abschließende Standards noch nicht vorhanden sind, müssen sich Unternehmen daran machen, interne Richtlinien für die Nutzung von Clouds oder sozialen Medien vorzugeben und deren Einhaltung zu überprüfen.

Vorsicht mit Insellösungen

Immerhin ein Drittel der Unternehmen setzt laut der NTT-Data-Studie "IKS 2.0 - Herausforderungen Effizienz und Wirksamkeit" bereits spezielle Lösungen im Bereich GRC (Governance, Risk and Compliance) ein, also Softwarewerkzeuge, mit denen sich unter anderem die Einhaltung von Compliance-Vorgaben prüfen und dokumentieren lässt. Die Mehrzahl der Unternehmen arbeitet noch mit Insellösungen, wie zum Beispiel mit Excel-Checklisten.

Doch selbst die Unternehmen, die bereits spezielle GRC-Tools im Einsatz haben, könnten sich wieder in Richtung Insellösungen entwickeln und zum Beispiel zusätzlich separate Excel-Checklisten zur Compliance bei Social Media und Clouds einführen. Der Grund: Noch fehlen in den meisten Katalogen der Standards, die in den GRC-Tools umgesetzt sind, die neuen Risikobereiche. Es besteht deshalb ein dringender Ergänzungsbedarf.

Ziel sind integrierte Risikoübersichten

Unternehmen sollten versuchen, so viele Risiko- und Compliance-Bereiche wie möglich in einheitlicher, durchgehender Form zu behandeln. Werden verschiedene Übersichten geführt, könnten bestimmte Risiken aus dem Blickfeld geraten, ja letztlich einfach übersehen werden. Oder aber die einzelnen Risikobereiche werden separat bearbeitet, ohne auf mögliche Doppelprüfungen und Überschneidungen zu achten. Dies erhöht den internen Compliance-Aufwand unnötigerweise und könnte die um sich greifende Ablehnung gegenüber Audits noch steigern.