Fotolia

Die Verwendung von Vorlagen für Sicherheitsrichtlinien birgt Risiken

Der Einsatz von Vorlagen für Sicherheitsrichtlinien wiegt Unternehmen in Sicherheit, ist ohne richtige Umsetzung in der Praxis aber durchaus riskant.

Unternehmen setzen häufig auf Vorlagen für Sicherheitsrichtlinien, um den zunehmenden Compliance-Anforderungen zu entsprechen. Dies scheinen oftmals die einfachsten und schnellsten Lösungen zu sein, um Konformität zu Vorschriften zu gewährleisten und das eigene Richtlinienwerk diesbezüglich anzureichern. So ist es in den USA ein einträgliches Geschäft, Vorlagen für Richtlinien anzubieten, die Anforderungen wie PCI-DSS, HIPPA oder NIST entsprechen. Und diese Vorlagen können in der Tat sehr hilfreich sein, immer vorausgesetzt, sie werden ordnungsgemäß überprüft und umgesetzt.

Wenn diesen Vorlagen aber blind vertraut wird, und sie ohne Überprüfung übernommen werden, birgt dies auch Risiken. Häufig werden diese Vorlagen als Reaktion angeschafft, nachdem das Unternehmen für den einen oder anderen Standard bewertet wurde. Oft verfügen diese Unternehmen über keinen wirklichen Sicherheitsverantwortlichen. Nach einem Compliance Audit in kleinen und mittleren Unternehmen geschieht es daher häufig, dass nach entsprechenden Vorlagen gesucht wird, um den geforderten Standards zu entsprechen.

Die Risiken von Sicherheitsvorlagen

Das Risiko besteht darin, dass zwar die Richtlinie der Vorlage übernommen wird, aber nicht in die tägliche Praxis umgesetzt wird. Wenn in der Richtlinie beispielsweise vorgegeben wird, dass ein Kennwort zwölf Zeichen lang und komplex sein muss, dann muss dies auch tatsächlich so umgesetzt werden. Geschieht dies nicht, dann wird dies bei der nächsten Prüfung oder bei einem Sicherheitsvorfall entsprechend bewertet. Bei einem Audit wird der Prüfer wahrscheinlich daraufhin alle anderen Sicherheitsrichtlinien in Frage stellen, da Zweifel an der Integrität des Sicherheitsprogramms des Unternehmens bestehen. Wenn ein Unternehmen derart die Nichteinhaltung der Compliance quasi dokumentiert, erleichtert sie dem Prüfer die Arbeit. Bei einer Untersuchung nach einem Datendiebstahl oder einem anderen Sicherheitsvorfall könnte dies finanzielle Folgen haben, wie auch eine Änderung hinsichtlich der Bewertung des Compliance-Status.

Eine weitere Herausforderung bei der Verwendung von entsprechenden Templates ist, dass diese unter Umständen nicht verständlich formuliert sind. Viele Sicherheitsrichtlinienvorlagen sind so verfasst, dass sie ohne Jurastudium kaum verstanden werden können. Oft wird eine sehr formale Sprache verwendet, die mit einer Richtlinienumsetzung in der Praxis wenig zu tun hat. Die besten Richtlinien sind diejenigen, die kurz und leicht verständlich formuliert sind. Und zwar auch für diejenigen Mitarbeiter, die sich nicht hauptberuflich mit IT-Sicherheit befassen. Richtlinien, für deren Verständnis man einen Anwalt konsultieren müsste, werden von Mitarbeitern auch nicht eingehalten werden.

Derzeit existiert noch nicht die eine Methode, um den Erfolg oder Misserfolg eines Sicherheitsprogramms schlussendlich zu bewerten. CISOs versuchen mit unterschiedlichen Metriken, den Erfolg ihrer Bemühungen zu belegen. Auditoren, die angehalten sind, das Sicherheitsprogramm des Unternehmens oder einen Sicherheitsvorfall zu untersuchen, werden sich immer auf die Sicherheitsrichtlinien und deren Umsetzung konzentrieren.

Längst nicht alle Compliance-Auditoren verfügen über einen technischen Hintergrund. Viele verlassen sich auf automatisierten Abläufe und Richtlinien- wie Verfahrensdokumentationen für ihre Bewertung. Die einfache Übernahme von Sicherheitsvorlagen ohne Überarbeitung kann, aus Sicht des Prüfers, einen negativen Eindruck im Hinblick auf das Sicherheitsprogramms hinterlassen.

Wenn es darum geht, ein eigenes Sicherheitsprogramm aufzubauen, können Vorlagen für Sicherheitsrichtlinien eine echte Hilfe sein. Sie müssen jedoch überprüft, bearbeitet und an die spezifischen Anforderungen des Unternehmens angepasst werden. Die Richtlinien müssen zudem mit der gelebten Praxis in der Organisation übereinstimmen und sollten in einer verständlichen Sprache verfasst sein. Compliance-Auditoren bilden sich ihre Meinung über das Sicherheitsprogramm eines Unternehmens zu einem guten Teil über die verwendeten Richtlinien und die Prozesse beziehungsweise Abläufe. Ein Einsatz von nicht überarbeiteten Vorlagen kann den Erfolg einer Compliance-Prüfung da schon einmal gefährden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Governance, Risiko-Management & Compliance mit ganzheitlichem Ansatz.

CISO: Die größten Herausforderungen für Sicherheitsverantwortliche.

RSA-Report: Sicherheitsstrategien sind häufig lückenhaft.

Einen Cybersicherheitsplan für Unternehmen aufstellen.

Artikel wurde zuletzt im Januar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close