Compliance trotz Cloud und Facebook

Mit GRC-Tools neue Risiken im Blick behalten

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Empfehlung: Erweiterung von GRC-Tools

Wer bereits ein spezielles GRC-Tool nutzt, sollte deshalb eine Erweiterung der bereits vorhandenen Anforderungskataloge, Prüfungen und Berichtsvorlagen in Erwägung ziehen. Dafür stehen je nach GRC-Software verschiedene Wege offen: spezielle Funktionen für beispielsweise Social Media Compliance, Schnittstellen zu anderen Lösungen, die Möglichkeit, eigene Anforderungskataloge zu definieren oder das Erstellen eigener, individueller Compliance-Module für das GRC-Tool, um die eigenen Vorgaben zum Beispiel zu sozialen Medien und zu Clouds zu integrieren.

1. Option: Tools mit passenden Funktionen

GRC-Lösungen zum Beispiel von OpenQ bieten für Social Media Compliance eigene Funktionen. Mit OpenQ lässt sich der Einsatz von Facebook, Twitter und anderen sozialen Netzwerken kontrollieren. Mögliche Risiken in veröffentlichten Posts oder verteilten Dateien werden analysiert und in den Berichten für das Management aufgeführt. Veröffentlichungen in sozialen Netzwerken können vorab moderiert und zur späteren Beweissicherung archiviert werden.

Solche Speziallösungen sind durchaus sinnvoll als Ergänzung für GRC-Tools, die andere Compliance-Bereiche abdecken. Um Insellösungen zu vermeiden, sollte allerdings auf die Möglichkeit zur Integration geachtet werden. Dafür eignen sich Schnittstellen.

2. Option: Schnittstellen nutzen

Verschiedene Softwarelösungen, die dem GRC-Bereich zugeordnet werden können, sind ganz bestimmten Richtlinien oder Normen gewidmet, aber trotzdem offen für Erweiterungen.

Das GSTOOL des BSI oder ein Tool wie Save von Infodas zum Beispiel haben die zuvor genannten IT-Grundschutzkataloge im Fokus. Die Ergebnisse der Prüfung, ob die Vorgaben und Empfehlungen aus dem IT-Grundschutz eingehalten werden, können zum Beispiel bei Save auch entsprechend der Norm für IT-Sicherheits-Managementsysteme ISO 27001 dargestellt werden. Weitere Compliance-Vorgaben lassen sich über zusätzliche Module integrieren. Dank der offenen Schnittstelle können die Module auch von Dritten stammen.

DocSetMinder von GRC Partner GmbH verfügt über eine Reihe von Modulen unter anderem zu IT-Grundschutz, ISO 27001, BDSG, SOX und PCI DSS. Dank flexibler Schnittstellen ist der Datenimport aus operativen Systemen möglich, um diese Informationen die in die Prüfungen und Berichte einfließen zu lassen.

Agiliance hat für die Lösung RiskVision mehr als 30 Konnektoren im Angebot, unter anderem um Compliance-Testergebnisse aus anderen Lösungen zu importieren.

Die IT GRC Software Solution von MetricStream enthält bereits eine Vielzahl von Anforderungskatalogen wie COBIT (Control Objectives for Information and Related Technology), ISO 27002, SOX, PCI DSS, HIPAA und NERC (North American Electric Reliability Corporation). Zusätzlich verfügt die Lösung über eine Anbindung an die Compliance-Datenbank Unified Compliance Framework (UCF), die die Kataloge weiterer Standards und Normen umfasst. Über Konnektoren können Ergebnisse und Berichte von Kontroll-Lösungen Dritter importiert werden.

Unternehmen, die weitere Compliance-Bereiche in ihre bestehende GRC-Software integrieren wollen, sollten jeweils prüfen, ob sich bei ihrer Lösung ebenfalls eine offene Schnittstelle nutzen lässt. Ist dies der Fall, könnte unter anderem versucht werden, die Berichte aus einer vorhandenen Lösung zum Beispiel für das Cloud-Logging oder für das Monitoring von Social Media in das GRC-Tool zu importieren. Im Idealfall sollte sich dieser Vorgang automatisieren lassen.

3. Option: Eigene Kataloge definieren

Eine Lösung wie Verinice unterstützt unter anderem bei der Umsetzung von IT-Grundschutz.
Eine Lösung wie Verinice unterstützt unter anderem bei der Umsetzung von IT-Grundschutz.
Foto: verinice.org

Werden bislang keine separaten Lösungen zur Überwachung von Social Media oder Cloud Computing eingesetzt, helfen Schnittstellen der GRC-Tools aber wenig. Dafür ermöglichen es viele Compliance-Werkzeuge, die bereits enthaltenen Anforderungskataloge zu ergänzen oder eigene Kataloge zu erstellen oder zu importieren.

Die Open-Source-Lösung Verinice ist ein Beispiel für eine offene Lösung, die im Standardumfang insbesondere ISO 27001, IT-Grundschutz und das Information Security Assessment des Verbandes der Automobilindustrie VDA bietet, aber eigene Anforderungskataloge explizit vorsieht. Unternehmen können also ihre internen Vorgaben zu Facebook oder zur Cloud-Nutzung innerhalb von Verinice definieren und die Einhaltung dort prüfen und dokumentieren.

NogaLogic: Festlegen, was mit unstrukturierten Daten geschehen soll.
NogaLogic: Festlegen, was mit unstrukturierten Daten geschehen soll.
Foto: Nogacom

Interne Richtlinien lassen sich auch in vielen anderen GRC-nahen Produkten definieren und als Prüfungsgrundlage nutzen, zum Beispiel bei NogaLogic, um festzulegen, wie mit bestimmten Daten umgegangen werden soll.

4. Option: Individuelle Module erstellen

Es kann auch sinnvoll sein, ein eigenes GRC-Modul zu erstellen, um individuelle Anforderungskataloge umzusetzen, die sich zum Beispiel aus einem Kundenvertrag ergeben. Dabei sollte die Wirtschaftlichkeit einer Eigenentwicklung geprüft werden. Hilfreich sind Entwicklungs- und Lösungsplattformen, die eigene Module unterstützen.

Möglich sind individuelle GRC-Module zum Beispiel mit Zaplet von MetricStream. Zaplet ist eine offene Cloud-Plattform, mit der sich eine eigene GRC-Lösung entwickeln lässt.

RSA Archer eGRC bietet Nutzern ebenfalls die Möglichkeit, ein individuelles GRC-Tool zu erstellen. Die Anpassungen erfordern keinen Programmieraufwand. Zusätzliche Anforderungskataloge lassen sich aus der GRC Content Library beziehen, vorgefertigte GRC-Applikationen, die man im eigenen GRC-Tool einbinden kann, bietet RSA Archer eGRC Exchange.

Warten auf neue Standards reicht nicht

Ganz gleich, ob ein Unternehmen zusätzliche Compliance-Lösungen über eine Schnittstelle an das zentrale GRC-Tool anbindet, innerhalb des GRC-Tools eigene Anforderungskataloge definiert oder sogar den Weg beschreitet, GRC-Plattformen für die Erstellung eigener GRC-Module zu verwenden: Neuartige Risiken aus Bereichen wie Social Media, Cloud Computing und Mobile Computing erfordern die Einführung und Prüfung entsprechender Vorgaben sowie deren Dokumentation.

Fehlen die Anforderungen in den bereits umgesetzten Standards oder sind individuelle Kundenanforderungen zu überwachen, sollten Unternehmen aktiv werden und für eine zentrale GRC-Übersicht sorgen, durch Erweiterung der bestehenden Compliance-Lösung. Technische Möglichkeiten sind vorhanden, die sich meist mit vertretbarem Aufwand auch umsetzen lassen. (sh)