Gesetzliche Vorgaben gehen oft zu Lasten der IT-Sicherheit

Balanceakt Compliance – IT-Security oder ein zufriedener Prüfer?

„Stellen Sie sich die Situation von Sicherheitsexperten vor ein paar Jahren vor“, sagt Eric Litt, Direktor für Informationssicherheit bei General Motors. „Sie unterstanden dem mittleren Management. In keinem Fall fanden sie Unterstützung oder Interesse bei der Unternehmensleitung. Und wenn sie etwas für die Sicherheit in Bewegung setzen wollten, dann war das ziemlich aussichtslos.“

Aber weniger klar ist, ob diese zusätzliche Aufmerksamkeit gegenüber gesetzlichen Auflagen den gewünschten Effekt hat und wirklich die allgemeine IT-Sicherheit erhöht. Viele Sicherheitsexperten denken nämlich, dass die Compliance in gewisser Art und Weise ihre Bedeutung unterhöhlt: Das Ziel ist nicht länger ein Zustand allgemeiner Sicherheit, sondern eine adäquate Einhaltung der Richtlinien, sodass die Checklisten der Unternehmensprüfer reibungslos abgehakt werden können.

„Viele Sicherheitsinitiativen werden aufgegeben. Überall sind die Budgets begrenzt, und deswegen werden Sicherheitsprojekte verschoben“, meint Lloyd Hession, CSO bei BT Radianz, einem Finanznetzwerk-Dienstleister in New York. Er führt an, dass Technologien – wie Intrusion Prevention , Digital Rights Management auf Unternehmensebene und sogar Zugangskontrolle – in vielen Firmen vernachlässigt wurden, um Geld freizumachen, das man für das Erreichen der Compliance ausgibt. „All diese Dinge würden die Sicherheit wirklich verbessern, aber leider helfen sie in Sachen Sarbanes-Oxley ( SOX ) [d.h. Compliance] gar nicht“, fügt Hession hinzu.

Compliance auf dem Vormarsch

In der heutigen Welt nach dem 11. September kann das höhere Management in Sachen Sicherheit nicht länger eine Vogel-Strauß-Position einnehmen. „Um die Sicherheit musste man sich kümmern. In dieser Hinsicht sahen Sicherheitsexperten die Compliance als positiven Faktor“, sagt Jerry Freese, Direktor für IT-Sicherheit bei American Electric Power, einem Energie-Erzeuger in Columbus, Ohio. Bei hochgradig regulierten Branchen wie Telekommunikation, Einzelhandel und Finanzdienstleistern gaben 60% der Befragten bei einer CSI/FBI-Umfrage an, dass SOX das Interesse an Informationssicherheit gesteigert hat.

Der Fokus auf Compliance bedeutete eine große Umstellung für die Sicherheitsexperten. Noch vor wenigen Jahren ging es bei IT-Sicherheit um technische Schutzmaßnahmen: Zugriffskontrolle und Netzwerksegmentierung, Anti- Malware und Updates für IDS.

Viele Sicherheitsexperten konnten gleich gut mit einer Unix -Kommandozeile wie mit einem Webbrowser umgehen und verbrachten täglich mehrere Stunden damit, kryptische Firewall -Regeln in einer umständlichen Kommandozeilen-Schnittstelle zu überarbeiten. Es ging darum, Lücken bei der Netzwerk- und Applikationssicherheit zu schließen, die sonst Kriminelle nutzen würden.

„In vielerlei Hinsicht erscheint uns diese Vergangenheit als Goldenes Zeitalter“, meint Hession. „Compliance hat alles verändert.“ Große Unternehmensskandale mit viel schlechter Presse haben die Situation radikal verändert. Es gab immer mehr Datenschutz-Blamagen, und so gab es auch immer mehr staatliche Auflagen.

Regelwerke bewirken nicht zwingend mehr Sicherheit

SOX veränderte die Art und Weise, wie Finanzinformationen von Unternehmen verwaltet werden. Der Patriot Act vom Oktober 2001 beinhaltete nie zuvor dagewesene Pflichten hinsichtlich Datenweitergabe und Kundenüberwachung, und der Federal Information Security Management Act von 2002 unterstellt die Computersicherheit bestimmten Bundesagenturen. Zudem folgten mehr als 30 amerikanische Bundesstaaten dem Vorreiter Kalifornien und erließen Gesetze, die SB 1386 stark ähnelten.

Nimmt man noch die branchenspezifischen Regeln wie HIPAA für das Gesundheitswesen und den Data Security Standard der Zahlkartenindustrie hinzu, dann versteht man, dass Sicherheitsexperten heute Kompromisse zwischen Sicherheit und Compliance treffen müssen. Deren schwierige Entscheidungen führen nicht immer zu mehr Sicherheit. „Die Compliance ist heute eine zusätzliche Bedrohung“, wie es Pete Lindstrom, Analyst bei Burton Group, drastisch formuliert.

Als registrierter User auf SearchSecurity.de können Sie mehr darüber erfahren, wie Compliance die IT-Sicherheit aus dem Fokus verdrängt und gesetzliche Regelungen die Risikoeinschätzung von Firmen verändern. Laden Sie sich hierzu einfach das SearchSecurity-Whitepaper „Balanceakt Compliance“ herunter.