Kürzlich fand der Webcast „Der menschliche Faktor: “Compliance, Risiko und Security in einer total vernetzten Welt” powered by Fortinet statt.
Sie haben den Webcast verpasst? Oder Sie sind eher der auditive Typ? Hier geht’s zur Aufzeichnung:
OUT NOW im #Confare Blog mit Christoph Gruber: Mehr Compliance, weniger Sicherheit? Read more below:
Christoph Gruber ist allgemein beeideter und gerichtlich zertifizierter Sachverständiger für IT Security und arbeitet als IT-Security Verantwortlicher in der Versicherungsbranche. Wie erlebt er die Diskrepanz zwischen agilem Business und starrer Regulierung? Den Widerspruch zwischen Rechtsanforderungen und Cybersecurity Notwendigkeiten? Und die Bedeutung von Checklisten und Zertifizierungen in der realen Lebenswelt der IT-Security?
Mehr als 500 CIOs und CISOs aus Top-Unternehmen treffen Sie auf dem Confare #CIOSUMMIT, dem größten und mit dem CIOAWARD bedeutendsten IT-Management Treffpunkt in Österreich.
Mehr zum Thema Cybersecurity gibt es im Confare Factsheet, bei dem IT-Entscheider aus Top-Unternehmen Erfahrungen, Tipps und Wissen weitergeben. Cybersecurity Infocenter von Confare powered by T-Systems
Was sind die wichtigsten Compliance und Cybersecurity Herausforderung für Euer Unternehmen?
Die Aufsicht dringt immer weiter in die Technik vor und fordert bestimmte technische Vorrichtungen wo sie risikoadäquat niemals zum Einsatz kämen.
Beispiel: Der Schutz von Webanwendungen erfordert pauschal eine Web Application Firewall, egal ob sie im Intranet, im Extranet oder im Internet steht, ob der Zugriff wahfrei oder nur für full-trusted applications möglich ist. Dafür wird die Erstellung des Regelwerkes nicht genau überprüft, was zur Folge hat, dass unzählige unnötige WAFs installiert werden, diese aber nur mit dem Standard-Regelsatz des Herstellers laufen.
Wie sehr gehen Compliance und Security immer Hand in Hand?
Compliance kann helfen, Security Themen an den Vorstand heranzutragen, die dieser ohne Aufsicht nicht wahrnehmen würde. Dies ist aber kein Vorteil der Aufsicht, sondern eine Schwäche des Unternehmens.
Wo gibt es denn Widersprüche? Und wie kann man damit erfolgreich umgehen?
Compliance richtet sich potentiell auch gegen Security. Dies hängt von der Intention des Gesetzgebers ab, der bei der Aufsicht über Unternehmen nicht nur Security im Augenmerk hat. Daher kann sich Compliance, das ja einfach nur „Befolge Gesetze“ heißt auch gegen Security oder andere Interessen eines Unternehmens richten.
Es gibt eine Menge Zertifikate und Checklisten – was tragen diese wirklich zur Cybersecurity bei?
Zertifikate selbst tragen in den meisten Fällen nicht zur Security bei, in vielen Fällen kann man sich aber die Arbeit des Auditierens oder des auditiert werden erleichtern, wenn man dem Zertifikat vertrauen kann und daher bestimmte Prüfhandlungen nicht vornehmen muss.
Wo sind dabei die Fallstricke?
Man muss genau prüfen, was alles von einem Zertifikat umfasst ist. Ist das nicht exakt dasselbe, wie bei der geplanten Prüfung, kann das Zertifikat nicht für Abkürzungen verwendet werden.
Wie siehst Du die Rolle des Auditors?
Ein qualifizierter und erfahrener Auditor kann eine Benchmark darstellen, eine neutrale Messlatte, die es zu überspringen gilt. Die hoffentlich fehlenden Scheuklappen, die manche nach jahrelanger innerbetrieblicher Arbeit haben, sollten wegfallen, und der Blick auf das Übersehene gerichtet werden können. Dies erfordert aber qualifizierte Prüfer, die nicht leicht zu finden sind. Und qualifizierte Prüfer erfordern eine elastischen Prüfrahmen des Gesetzgebers, der aber immer weiter eingeengt wird. Die Eindringtiefe des Regulators wird immer größer.
Wie kann man Compliance und risikobasierte Security Ansätze unter einen Hut bringen?
Manche Prüfer lassen sich von nachvollziehbaren Argumenten eines effektiven Risikomanagements überzeugen, wenn der vorgegebene Rahmen elastisch genug ist. Da der Gesetzgeber aber immer weiter in die Tiefe reguliert, wird der Prüfer immer unflexibler, die Prüfung immer formalistischer.
Die äußere Form des Geprüften tritt immer weiter in den Vordergrund, der Inhalt in den Hintergrund. Geprüft wird meist nur die Dokumentation, Prüfungen an der Realität finden nicht mehr statt.
Grundsätzliches:
Jedes Regularium muss die Balance finden zwischen Zweck und Nutzen und dem dadurch entstehenden Aufwand.
Beispiel: Die Geschwindigkeitsbegrenzung auf der Autobahn ist 130km/h, ein Verstoß wird geahndet, wenn jemand bei einer Kontrolle „erwischt“ wird, zum Beispiel an einer Radaranlage geblitzt wird.
Dies erzeugt keine 100%ige Compliance aber genug Awareness um die Unfallhäufigkeit auf ein akzeptables Niveau zu senken.
Der Gesetzgeber könnte aber auch:
- Alle Fahrzeuge mit einem GPS-gestützten Geschwindigkeitsmesser austatten und alle Verstöße ahnden, oder
- In jährlichen Audits (zB bei der §57a Überprüfung) von allen Fahrzeughaltern den Nachweis verlangen, dass sie während des Jahres nie schneller als erlaubt gefahren sind.
Sie können sich dieses Beispiel gerne auf Ihre Regularien umrechnen.
Andererseits haben Regularien auch die Pflicht für Rechtssicherheit zu sorgen, sprich ein Unternehmen, dass sich an die Vorgaben hält, durch regelmäßige Überprüfungen den Nachweis erbringt, sollte daher auch straffrei gehalten werden.
Zusätzlich müsste der regulierende Staat bei einem Totalausfall eines regulierten Unternehmens die Haftung für das offensichtliche Versagen der Aufsicht übernehmen müssen, was aber nicht passiert, siehe Commerzialbank Mattersburg. Hier hatten Wirtschaftsprüfer und Aufsicht versagt, aber keiner der beiden wurde in die Pflicht für dieses Versagen genommen. Also Aufwand und Nachteile für alle Beteiligten, ohne irgendwelche Vorteile zu lukrieren.