Compliance & Risikomanagement
"Bewältige eine Schwierigkeit, und Du hältst hunderte von Dir fern" - Konfuzius
Compliance & Risiken - wie hängt das zusammen?
Kaum ein Begriff in der IT wurde in der letzten Zeit häufiger (fehl)interpretiert und schwammiger ausgedrückt als das Wort „Compliance“.
Das Internet gibt dafür Übersetzungen wie „Erfüllung, Befolgung, Übereinstimmung, Einhaltung“ u.a.m. heraus. Und genau darum geht es (nur) bei dem Begriff Compliance: Um die Einhaltung (oder den Grad der Einhaltung) von z.B. IT-Sicherheitsrichtlinien.
Die Festlegung und anschließende (objektive, nachprüfbare) Messbarkeit der Einhaltung von Richtlinien allerdings zieht dann einen unter Umständen gewaltigen Aufwand nach sich. Daher gilt es abzuwägen, welchen Vorschriften (gesetzliche Auflagen, Revisionen, Audits, etc.) man unterliegt und wie diese umgesetzt und laufend auf Einhaltung geprüft werden.
Eine Stufe vorher setzt das Risiko- und/oder Verwundbarkeitsmanagement an. Eine beliebige IT-Infrastruktur verfügt immer über eine Anzahl an Verwundbarkeiten. Wobei der Begriff Verwundbarkeit, vor allem unter dem Gesichtspunkt „Compliance“ nicht nur die fehlenden (Sicherheits-)Patches meint und vorhandene Sicherheitslücken in Software und Betriebssystemen. Verwundbarkeiten ergeben sich auch durch Fehlkonfigurationen, Fehlverhalten und direkte Regelverstöße. Eine Verwundbarkeit bedeutet jedoch nicht gleichzeitig auch ein Risiko. Der Begriff Risiko (Risk) ergibt sich erst daraus, dass sich für eine Verwundbarkeit auch eine Angriffsmöglichkeit (oder Ausnutzungsmöglichkeit) ergibt. Zusammen mit einer Risikobewertung, ob z.B. zentrale Systeme wie Datenbankserver, Web- oder Emailserver betroffen sind oder nur vereinzelte Netzwerkdrucker, ergibt sich ein Risikolevel.
Wie hängen nun alle diese Begrifflichkeiten zusammen?
Am Anfang aller Bewertungen und (Compliance-)Messungen stehen zunächst einmal die Sicherheitsrichtlinien. Diese umfassen neben den Vorgaben für Schutzeinrichtungen auch Vorgabewerte für Konfigurationen, Verhaltensweisen und Risikovermeidung bzw. Beseitigung. Das ganze gilt es dann in Systemen abzubilden, die anschließend auch Überprüfungen mit den notwendigen Reports und ggf. Bewertungen durchführen können. Die gleichen oder weitere Systeme können dann ggf. zur Behebung der Risiken beitragen. Andere Maßnahmen müssen durch verantwortliche Administratoren veranlasst werden. Erneute Prüfungen zeigen dann die Veränderungen (Verbesserungen) auf.
Der Grad der Einhaltung der Vorschriften, d.h. die Anzahl der Systeme, die den Vorschriften entsprechen oder in Teilbereichen entsprechen, ergeben dann die „Compliance“. Dieser abstrakte Wert kann durch geeignete Programme veranschaulicht werden, indem grafisch und tabellarisch aufgezeigt wird, welche Systeme welche Vorgaben einhalten und welche nicht.
Einige Lösungen mit teils gänzlich unterschiedlichen Betrachtungsweisen stellen wir Ihnen hier vor.
McAfee Vulnerability Manager (Foundstone)
Die unüberschaubare und sich täglich vergrößernde Zahl von Sicherheitslücken in diversen Betriebssystemen und Applikationen machen eine strukturierte und effektive Beseitigung auch nur der wichtigsten Sicherheitslücken zu einer endlosen Geschichte. Dabei sogar noch an eine Überprüfung der getroffenen Maßnahmen zu denken oder die Vorgehensweise an unterschiedlichen Risikostufen auszurichten, ist nahezu unmöglich.
Mit Hilfe eines prioritätsbasierten Risiko-Managements hilft der McAfee Vulnerability Manager den Unternehmen und Organisationen bei der Risikominimierung. Dabei werden die Bedeutung der Ressourcen, die Dringlichkeit von Schwachstellen und die Gefährdung durch Bedrohungen sorgfältig bewertet. Dieser Ansatz legt zu Grunde, dass die Ressourcen eines Unternehmens limitiert sind und dass ein Unternehmen durch die Konzentration auf die wichtigsten Sachvermögen, Schwachstellen und natürlich Bedrohungen seine Ressourcen an den Stellen einsetzen kann, an denen der größte Gewinn und eine Verbesserung der Sicherheitslage des Unternehmens zu erwarten ist. Auf Basis übersichtlicher Bewertungen und detaillierter Definitionen können Sie klare Entscheidungen zum Risiko-Management treffen. Die Festlegung der Bedeutung von Anlagevermögen und die Definition der Sicherheitseinstufungen sowie andere intuitive Reporting- Features helfen bei der Bewertung des aktuellen Risikos und der Kommunikation von Korrekturmaßnahmen auf der Grundlage Ihrer Entscheidungen.
Der McAfee Vulnerability Manager ist somit ein System, welches klar und eindeutig alle Schwachstellen (bekannte und alle neu hinzukommenden) in Relation zur vorhandenen IT-Umgebung setzt und dabei eine Risikobewertung vornimmt. Durch diese Einstufung können die begrenzten Ressourcen genau da eingesetzt werden, wo die für das jeweilige Unternehmen individuell größten Risiken vorhanden sind und der Schutz am effektivsten verbessert werden kann.
Der McAfee Vulnerability Management (VM) Lifecycle:
In Zusammenarbeit mit weiteren Systemen, wie beispielsweise dem McAfee Risk Advisor, dem Policy Auditor und auch den Intrusion Prevention Lösungen lässt sich ein wirksames und effektives System aufbauen, um die Sicherheit der IT-Struktur messbar und dauerhaft zu verbessern. Dies ist ein wesentlicher Faktor für viele sogenannte "Compliance" Vorschriften und gesetzliche Vorgaben wie z.B. KonTraG oder Bassel-II/III.
McAfee Risk Advisor
Der McAfee Risk Advisor ist das Top-Level des Risikomanagements. Er verarbeitet alle Informationen, die über den McAfee Agenten durch den Policy Auditor bereitgestellt werden, sowie die Informationen der McAfee Konfigurationen auf den Systemen und die Scanergebnisse des Vulnerability Managers. Diese Informationen werden dann mit den Bedrohungsbeschreibungen und Übersichten verschiedenster Quellen (auch anderen Anbietern aus der Branche) abgeglichen. So erhalten Sie in übersichtlichen Diagrammen und Reports sofort einen Überblick, wo Bedrohungen in Ihrem Netzwerk erfolgreich sein könnten. Dabei werden nicht nur Betriebsysteme betrachtet, sondern alle Netzwerkkomponenten und Anwendungen in Ihrem Netzwerk.
- 1. Rot - "Gefährdet". Diese Ressourcen sind gefährdet, weil sie anfällig und nicht durch Gegenmaßnahmen geschützt sind.
- 2. Grün - "Nicht gefährdet". Als "nicht gefährdet" eingestufte Ressourcen sind entweder nicht anfällig oder durch angemessene Gegenmaßnahmen geschützt.
- 3. Gelb - "Eventuell gefährdet". Diese Ressourcen erfordern eine weitere Untersuchung, da keine Daten zur Bestimmung des Anfälligkeitsstatus
oder der Gegenmaßnahmen vorliegen; In der Regel verfügen diese Ressourcen nicht über den McAfee-Agenten und werden auch nicht durch einen Schwachstellendetektor wie den McAfee Vulnerability Manager gescannt.
Selbstverständlich geht McAfee gleich noch einen Schritt weiter und gibt Ihnen auch die Information, wie die Schwachstellen zu schließen sind. Das können Konfigurationsänderungen sein, notwendige Patches oder auch Intrusion Prevention Systeme, die Bereiche Absichern, die vielleicht nicht gepatcht werden können.
McAfee Policy Auditor
Automatisieren Sie Audits mit dem McAfee Policy Auditor. Anhand Ihrer Richtlinien werden regelmäßig oder auf Konpfdruck Ihre Systeme auf Konformität bzw. "Compliance" überprüft. Dabei können sowohl PCI DSS, SOX, HIPAA, FISMA, die
empfohlenen Frameworks ISO 27001 und COBIT berücksichtigt werden (diese Benchmark Vorlagen sind bereits enthalten), als auch Ihre ganz eigenen und individuellen Vorgaben.
Contechnet - Indart Professional
Indart Professional
Hier werden wir Ihnen im kommenden Jahr einige Neuerungen vorstellen können.
Indart Professional bietet aktuell die Möglichkeit ein effektives Notfallmanagement einzuführen und zu dokumentieren. Im nächsten Jahr wird es hier ein zusätzliches Modul geben, mit dem Sie in die Lage versetzt werden mit einfachen Methoden das Risiko für Geschäftsprozesse zu ermitteln.
Bei näherem Interesse sprechen Sie uns gerne an - dann besprechen wir im Detail mit Ihnen die Pläne des Herstellers.
Onlinepräsentationen
Nutzen Sie die Erfahrung unserer Consultants und schauen sich unsere Lösungen in Live-Online-Demonstrationen an.
Lösungsüberblick
