Compliance & Risikomanagement

 "Bewältige eine Schwierigkeit, und Du hältst hunderte von Dir fern" - Konfuzius

Compliance & Risiken - wie hängt das zusammen?

Kaum ein Begriff in der IT wurde in der letzten Zeit häufiger (fehl)interpretiert und schwammiger ausgedrückt als das Wort „Compliance“.

Das Internet gibt dafür Übersetzungen wie „Erfüllung, Befolgung, Übereinstimmung, Einhaltung“ u.a.m. heraus. Und genau darum geht es (nur) bei dem Begriff Compliance: Um die Einhaltung (oder den Grad der Einhaltung) von z.B. IT-Sicherheitsrichtlinien.

Die Festlegung und anschließende (objektive, nachprüfbare) Messbarkeit der Einhaltung von Richtlinien allerdings zieht dann einen unter Umständen gewaltigen Aufwand nach sich. Daher gilt es abzuwägen, welchen Vorschriften (gesetzliche Auflagen, Revisionen, Audits, etc.) man unterliegt und wie diese umgesetzt und laufend auf Einhaltung geprüft werden.

Eine Stufe vorher setzt das Risiko- und/oder Verwundbarkeitsmanagement an. Eine beliebige IT-Infrastruktur verfügt immer über eine Anzahl an Verwundbarkeiten. Wobei der Begriff Verwundbarkeit, vor allem unter dem Gesichtspunkt „Compliance“ nicht nur die fehlenden (Sicherheits-)Patches meint und vorhandene Sicherheitslücken in Software und Betriebssystemen. Verwundbarkeiten ergeben sich auch durch Fehlkonfigurationen, Fehlverhalten und direkte Regelverstöße. Eine Verwundbarkeit bedeutet jedoch nicht gleichzeitig auch ein Risiko. Der Begriff Risiko (Risk) ergibt sich erst daraus, dass sich für eine Verwundbarkeit auch eine Angriffsmöglichkeit (oder Ausnutzungsmöglichkeit) ergibt. Zusammen mit einer Risikobewertung, ob z.B. zentrale Systeme wie Datenbankserver, Web- oder Emailserver betroffen sind oder nur vereinzelte Netzwerkdrucker, ergibt sich ein Risikolevel.

Wie hängen nun alle diese Begrifflichkeiten zusammen?

Am Anfang aller Bewertungen und (Compliance-)Messungen stehen zunächst einmal die Sicherheitsrichtlinien. Diese umfassen neben den Vorgaben für Schutzeinrichtungen auch Vorgabewerte für Konfigurationen, Verhaltensweisen und Risikovermeidung bzw. Beseitigung. Das ganze gilt es dann in Systemen abzubilden, die anschließend auch Überprüfungen mit den notwendigen Reports und ggf. Bewertungen durchführen können. Die gleichen oder weitere Systeme können dann ggf. zur Behebung der Risiken beitragen. Andere Maßnahmen müssen durch verantwortliche Administratoren veranlasst werden. Erneute Prüfungen zeigen dann die Veränderungen (Verbesserungen) auf.

Der Grad der Einhaltung der Vorschriften, d.h. die Anzahl der Systeme, die den Vorschriften entsprechen oder in Teilbereichen entsprechen, ergeben dann die „Compliance“. Dieser abstrakte Wert kann durch geeignete Programme veranschaulicht werden, indem grafisch und tabellarisch aufgezeigt wird, welche Systeme welche Vorgaben einhalten und welche nicht.

Einige Lösungen mit teils gänzlich unterschiedlichen Betrachtungsweisen stellen wir Ihnen hier vor.

CONTECHNET - INDART Professional

INDART Professional

Indart Professional bietet die Möglichkeit ein effektives Notfallmanagement einzuführen und zu dokumentieren. Zusätzlich gibt es die folgenden Module und Möglichkeiten:

INDITOR - ISO

Tool zur Planung, Umsetzung und Überwachung des Informationssicherheits-Managementsystems. INDITOR bietet Ihnen effektives Monitoring und Steuern von IT-Risiken. Sie haben die Möglichkeit vorhandene Daten aus Ihrer IT-Notfallplanung zu übernehmen und die ISO 27001 Controls durch BSI-Maßnahmen zu ergänzen.

INDITOR - BSI IT-Grundschutz

Erstellen, Verwalten und Fortschreiben von IT-Sicherheitskonzepten nach BSI Standard. Inklusive integrierter Datenübernahme von GS-Tool oder VERINICE. Umsetzung der BSI-Standards 100-1 Informationssicherheit, 100-2 IT-Grundschutz-Vorgehensweise, 100-3 Risikoanalyse und in Verbindung mit INDART Professional 100-4 Notfallmanagement. 

 

Bei näherem Interesse sprechen Sie uns gerne an - dann besprechen wir im Detail mit Ihnen die Möglichkeiten.

Weitere Produktinformationen erhalten Sie über unser Kontaktformular oder direkt auf der Webseite des Herstellers

Onlinepräsentationen

Nutzen Sie die Erfahrung unserer Consultants und schauen sich unsere Lösungen in Live-Online-Demonstrationen an.

Lösungsüberblick

Lösungsüberblick
Network Security Intrusion Prevention Endpoint Security Management DLP, Port- und Device Management Risk- & Vulnerability Management, Complience Allgemeines Sicherheitsmanagement IT Notfall Management Gateway & Content Security Verschlüsselungstechnologien Mitarbeiterschulung & Awareness Consulting & Supportvereinbarungen