Compliance & Risikomanagement

 "Bewältige eine Schwierigkeit, und Du hältst hunderte von Dir fern" - Konfuzius

Compliance & Risiken - wie hängt das zusammen?

Kaum ein Begriff in der IT wurde in der letzten Zeit häufiger (fehl)interpretiert und schwammiger ausgedrückt als das Wort „Compliance“.

Das Internet gibt dafür Übersetzungen wie „Erfüllung, Befolgung, Übereinstimmung, Einhaltung“ u.a.m. heraus. Und genau darum geht es (nur) bei dem Begriff Compliance: Um die Einhaltung (oder den Grad der Einhaltung) von z.B. IT-Sicherheitsrichtlinien.

Die Festlegung und anschließende (objektive, nachprüfbare) Messbarkeit der Einhaltung von Richtlinien allerdings zieht dann einen unter Umständen gewaltigen Aufwand nach sich. Daher gilt es abzuwägen, welchen Vorschriften (gesetzliche Auflagen, Revisionen, Audits, etc.) man unterliegt und wie diese umgesetzt und laufend auf Einhaltung geprüft werden.

Eine Stufe vorher setzt das Risiko- und/oder Verwundbarkeitsmanagement an. Eine beliebige IT-Infrastruktur verfügt immer über eine Anzahl an Verwundbarkeiten. Wobei der Begriff Verwundbarkeit, vor allem unter dem Gesichtspunkt „Compliance“ nicht nur die fehlenden (Sicherheits-)Patches meint und vorhandene Sicherheitslücken in Software und Betriebssystemen. Verwundbarkeiten ergeben sich auch durch Fehlkonfigurationen, Fehlverhalten und direkte Regelverstöße. Eine Verwundbarkeit bedeutet jedoch nicht gleichzeitig auch ein Risiko. Der Begriff Risiko (Risk) ergibt sich erst daraus, dass sich für eine Verwundbarkeit auch eine Angriffsmöglichkeit (oder Ausnutzungsmöglichkeit) ergibt. Zusammen mit einer Risikobewertung, ob z.B. zentrale Systeme wie Datenbankserver, Web- oder Emailserver betroffen sind oder nur vereinzelte Netzwerkdrucker, ergibt sich ein Risikolevel.

Wie hängen nun alle diese Begrifflichkeiten zusammen?

Am Anfang aller Bewertungen und (Compliance-)Messungen stehen zunächst einmal die Sicherheitsrichtlinien. Diese umfassen neben den Vorgaben für Schutzeinrichtungen auch Vorgabewerte für Konfigurationen, Verhaltensweisen und Risikovermeidung bzw. Beseitigung. Das ganze gilt es dann in Systemen abzubilden, die anschließend auch Überprüfungen mit den notwendigen Reports und ggf. Bewertungen durchführen können. Die gleichen oder weitere Systeme können dann ggf. zur Behebung der Risiken beitragen. Andere Maßnahmen müssen durch verantwortliche Administratoren veranlasst werden. Erneute Prüfungen zeigen dann die Veränderungen (Verbesserungen) auf.

Der Grad der Einhaltung der Vorschriften, d.h. die Anzahl der Systeme, die den Vorschriften entsprechen oder in Teilbereichen entsprechen, ergeben dann die „Compliance“. Dieser abstrakte Wert kann durch geeignete Programme veranschaulicht werden, indem grafisch und tabellarisch aufgezeigt wird, welche Systeme welche Vorgaben einhalten und welche nicht.

Einige Lösungen mit teils gänzlich unterschiedlichen Betrachtungsweisen stellen wir Ihnen hier vor.

CONTECHNET - INDART Professional

INDART Professional

Indart Professional bietet die Möglichkeit ein effektives Notfallmanagement einzuführen und zu dokumentieren. Zusätzlich gibt es die folgenden Module und Möglichkeiten:

INDITOR - ISO

Tool zur Planung, Umsetzung und Überwachung des Informationssicherheits-Managementsystems. INDITOR bietet Ihnen effektives Monitoring und Steuern von IT-Risiken. Sie haben die Möglichkeit vorhandene Daten aus Ihrer IT-Notfallplanung zu übernehmen und die ISO 27001 Controls durch BSI-Maßnahmen zu ergänzen.

INDITOR - BSI IT-Grundschutz

Erstellen, Verwalten und Fortschreiben von IT-Sicherheitskonzepten nach BSI Standard. Inklusive integrierter Datenübernahme von GS-Tool oder VERINICE. Umsetzung der BSI-Standards 100-1 Informationssicherheit, 100-2 IT-Grundschutz-Vorgehensweise, 100-3 Risikoanalyse und in Verbindung mit INDART Professional 100-4 Notfallmanagement. 

 

Bei näherem Interesse sprechen Sie uns gerne an - dann besprechen wir im Detail mit Ihnen die Möglichkeiten.

Weitere Produktinformationen erhalten Sie über unser Kontaktformular oder direkt auf der Webseite des Herstellers

F-Secure RADAR

F-Secure RADAR

Im Zeitalter des Internets der Dinge ist alles verwundbar, was eine IP-Adresse hat, von der Überwachungskamera bis zum Drucker. Um sich Klarheit zu verschaffen, wo Sie verwundbar sind, ist eine Schwachstellenanalyse eine wichtige Grundlage.

Wenn Sie selbst Ihre Schwachstellen nicht aufspüren, besteht immer die Gefahr, dass Hacker diese auffinden und zielgerichtet Attacken auf die verwundbaren Punkte fahren. Eine Schwachstelle kann einfach nur ein unvorsichtiger oder nachlässiger Mitarbeiter sein aber auch ein Software-Fehler in einem Web-Server, eine Sicherheitslücke im Netzwerk oder einfach ein nicht aufgespielter Patch.

F-Secure bietet mit "RADAR" eine Lösung, die automatisiert Schwachstellen in der Unternehmens-IT identifizieren und dokumentieren soll. Die Software hilft dabei, identifizierte Risiken zu melden und die Anforderungen bestehender und künftiger Gesetzesvorgaben zu erfüllen. Die volle Angriffsfläche Ihrer Netzwerkinfrastruktur inklusive Shadow-IT wird sichtbar - die Grundvoraussetzung, um auf kritische Schwachstellen angemessen reagieren zu können. 

 

Bei näherem Interesse sprechen Sie uns gerne an - dann besprechen wir im Detail mit Ihnen die Möglichkeiten.

Weitere Produktinformationen erhalten Sie über unser Kontaktformular oder direkt auf der folgenden Webseite

McAfee - TIE

McAfee Threat Intelligence Exchange (TIE)?

McAfee TIE ist ein „Reputations-Broker“, der Bedrohungsdaten aus importierten globalen Quellen, wie McAfee Global Threat Intelligence (McAfee GTI) und Drittanbieter-Bedrohungsdaten (z. B. VirusTotal), mit lokalen Quellen, einschließlich Endgeräte, Gateways und hochentwickelte Analyselösungen kombiniert.

Über den Data Exchange Layer (DXL) werden diese kollektiven Informationen sofort über Ihr Sicherheits-Management geteilt, damit die Sicherheitslösungen als Einheit agieren und so den Schutz im gesamten Unternehmen verbessern können. Aufgrund der einfachen Integration über den DXL werden die Implementierungs- und Betriebskosten der zahlreichen direkten API-Integrationen (Application Programming Interface) gesenkt und einzigartige Sicherheit, operative Effizienz sowie Effektivität erreicht.

 

Bei näherem Interesse sprechen Sie uns gerne an - dann besprechen wir im Detail mit Ihnen die Möglichkeiten.

Weitere Produktinformationen erhalten Sie über unser Kontaktformular oder direkt auf der Webseite des Herstellers

Trend Micro - Deep Security

Trend Micro - Deep Security

Deep Security bietet erweiterten Schutz für physische, virtuelle und cloudbasierte Server. Die Lösung schützt Unternehmensanwendungen und -daten vor Datenschutzverletzungen und Unterbrechungen des Geschäftsablaufs und macht Notfall-Patching überflüssig.

Mit dieser umfassenden, zentral verwalteten Plattform vereinfachen Sie die Verwaltung sicherheitsrelevanter Vorgänge, erfüllen Auflagen zur Richtlinieneinhaltung und beschleunigen die Rendite von Virtualisierungs- und Cloud-Projekten. Die Plattform kann mühelos mit den folgenden, hervorragend aufeinander abgestimmten Modulen erweitert werden, um Server-, Anwendungs- und Datensicherheit für physische, virtuelle und cloudbasierte Server sowie für virtuelle Desktops sicherzustellen.

 

* Malware-Schutz * Web Reputation * Integritätsüberwachung *

Erkennung und Abwehr von Eindringlingen * Schutz vor Schwachstellen in Webanwendungen *

 Identifizierung bösartiger Software, die auf das Netzwerk zugreift * Firewall * Protokollprüfung *

 

 

Bei näherem Interesse sprechen Sie uns gerne an - dann besprechen wir im Detail mit Ihnen die Möglichkeiten.

Weitere Produktinformationen erhalten Sie über unser Kontaktformular oder direkt auf der Webseite des Herstellers.

Ihr Security-Check

Ausführliche Informationen zur Schwachstellenanalyse und der Lösung F-Secure Radar finden Sie hier.

Unsere Webcasts, Workshops und Veranstaltungen für Sie!

Nutzen Sie die Erfahrung unserer Consultants und schauen sich unsere Lösungen in Live-Online-Demonstrationen (Webcasts) an.

Bleiben Sie mit unseren IT-Security-Veranstaltungen und Workshops "up to date"!

Lösungsüberblick

Network Security Intrusion Prevention Endpoint Security Management DLP, Port- und Device Management Risk- & Vulnerability Management, Complience Allgemeines Sicherheitsmanagement IT Notfall Management Gateway & Content Security Verschlüsselungstechnologien Mitarbeiterschulung & Awareness Consulting & Supportvereinbarungen
Network Security Intrusion Prevention Endpoint Security Management DLP, Port- und Device Management Risk- & Vulnerability Management, Complience Allgemeines Sicherheitsmanagement IT Notfall Management Gateway & Content Security Verschlüsselungstechnologien Mitarbeiterschulung & Awareness Consulting & Supportvereinbarungen