Kritische Situationen beim Audit
Geprüft wird im Übrigen nicht in der Compliance-Abteilung, sondern stets auf operativer Ebene. Dabei fragen Auditoren auch nicht nach internen Unternehmensrichtlinien, sondern interessieren sich ausschließlich für die nachweisliche Umsetzung der zugrunde liegenden externen Anforderungen. Nur weiß in der IT-Abteilung meist niemand, ob diese oder jene Berechtigungsrichtlinie ihren Ursprung in MaRisk, TRMG oder irgendeiner anderen externen Vorschrift hat.
Umso schwieriger wird es, während des Audits einen konkreten Konformitätsnachweis zu führen. Erschwert wird diese Problematik noch dadurch, dass der Dialog zwischen Compliance- und IT-Verantwortlichen in den meisten Unternehmen noch zu wünschen übrig lässt.
Das wiederum hängt mit einer verfehlten Aufgabenverteilung zusammen: Die Interpretation der Regularien und ihre praktische Umsetzung im Alltag fallen in strikt getrennte Zuständigkeitsbereiche. Das Compliance-Team strebt naturgemäß nach Vollständigkeit und nimmt dabei oft sorglos Redundanzen in Kauf, da die praktische Umsetzung ja anderen obliegt. Das erklärt auch die aufgeblähten Ausmaße vieler Unternehmensregelwerke.
Abhilfe kann hier nur ein pragmatischer Ansatz schaffen, der die Vielzahl von Richtlinien und Regularien direkt mit den davon betroffenen Unternehmensprozessen verzahnt. Das wiederum klingt nach jahrelanger Sisyphusarbeit - muss aber nicht sein.
- IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten. - RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen. - RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren. - Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen. - NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.
Auf kürzestem Weg zur Compliance
In der Beschreibung des Problems steckt bereits der Kern der Lösung: Wer schlaflose Nächte vor künftigen Audits vermeiden will, muss in der Lage sein, Compliance-relevante Vorgaben direkt auf all diejenigen Unternehmensprozesse zu beziehen, die von der jeweiligen Vorgabe betroffen sind.
Um dieses Ziel auf kürzestem Wege zu erreichen, hat Computacenter eine umfassende Methodik erarbeitet, deren Ausgangspunkt ein sogenanntes Control Backbone ist. Man kann sich dieses Rückgrat als einen Strahl vorstellen, an dem alle relevanten IT-Security-Themen gleichsam angeheftet sind - zum Beispiel Netzwerksicherheit oder Authentisierung. Eine gute Themengliederung liefert in diesem Kontext ISO 27001, Annex A.
Im nächsten Schritt werden alle einschlägigen Regularien auf IT-Security-Themen durchgesehen: Dabei wird jede relevante Einzelanforderung im Control Backbone dem entsprechenden Themenbereich zugeordnet. Bei der obigen Beispielbank betrifft das also unter anderem die deutschen MaRisk und die singapurischen TRMG. Da Computacenter derartige Zuordnungen in etlichen Kundenprojekten bereits für viele Regularien vorgenommen und einer Datenbank hinterlegt hat, ist dieser Arbeitsschritt meist schon zu Projektbeginn so gut wie erledigt.
Anschließend kommen die unternehmenseigenen Richtlinien an der Reihe: Sie werden auf die gleiche Weise durchforstet und im Control Backbone thematisch zugeordnet. An dieser Stelle treten meist jene Redundanzen zutage, die für den unbeherrschbaren Umfang mancher Regelwerke verantwortlich waren. Im letzten Schritt schließlich gilt es zu erfassen, ob und wie die technischen und organisatorischen Richtlinien von den Abteilungen im Alltag tatsächlich umgesetzt werden.
Zur Prüfung technischer Regeln setzt Computacenter einen datenbankbasierten Scanner ein. Damit lässt sich für die gesamte IT-Landschaft automatisch die Einhaltung bestimmter Policies untersuchen - etwa, ob in der Konfiguration aller UNIX- und Windows-Server ein achtstelliges Passwort erzwungen wird oder ob Gast-Accounts deaktiviert sind. Zur Verifikation organisatorischer Richtlinien haben sich demgegenüber standardisierte Fragebögen bewährt.