Die Krux des IT Security Officers

Uwe Kissmann verantwortet das IT-Security-Consulting-Geschäft von IBM in der Schweiz, in Österreich, Osteuropa und im Mittleren Osten.

Kein Thema bestimmt aktuell die IT-Security-Welt so stark wie Compliance Management. Von den Unternehmen wurde Compliance, das gesetzes- und vorgabengetreue Verhalten, längst als geschäftliche Basis erkannt. Zuerst erforderte das Management dieser Compliance die Entwicklung von Instrumenten und Verfahren sowie deren nachvollziehbare Kontrolle, wobei die Übereinstimmung von externen und internen Vorgaben sichergestellt werden muss. Dieser Bereich ist derzeit aber für die Unternehmen einer der wesentlichsten Kostentreiber im IT-Security-Umfeld. Unklare Kompetenzverteilung und mangelhafte Kostenkontrolle sind häufig die Realität.

Nachdem die generelle Entwicklungsphase von Verfahren für Compliance Management abgeschlossen ist, sehen sich viele Unternehmungen nun vor der Herausforderung, die damit verbundenen Kosten zu optimieren. Dies sowohl im allgemeinen Compliance-Umfeld, als auch im IT-Security-relevanten Compliance-Umfeld. Klares Ziel ist es, die Kosten zu reduzieren, ohne die Compliance selbst in Frage zu stellen. Dies stellt die Verantwortlichen vor grosse Herausforderungen. Obwohl sie auf der einen Seite während ihrer täglichen Arbeit vielfach die Bestätigung erhalten: «Ja, natürlich halten wir die Security-Vorgaben ein.» Audit-Erfahrungen hingegen belegen, dass solche Einschätzungen oftmals nicht der Realität entsprechen. Diese Diskrepanz bleibt vielfach nicht ohne Folgen. Vor allem in neuerer Zeit hat sie zu sehr unangenehmen Expositionen von Firmen aus verschiedenen Industriezweigen in der Öffentlichkeit geführt. Dies war mit weitreichenden Auswirkungen auf deren Reputation verbunden, vor allem wenn sie in Bereichen tätig sind, welche ein hohes Vertrauensverhältnis als Basis der Geschäftsbeziehung voraussetzen.

Eine weitere Herausforderung ist mit der Schätzung verbunden, dass in einer IT-Organisation mit einer Grösse von 100 Servern, durchschnittlich 200 bis 1000 Change Requests pro Tag bewältigt werden müssen. Dies kann von kleinen Änderungen bis hin zu grösseren Eingriffen reichen. Derartige Änderungen haben nicht selten direkten Einfluss auf die Sicherheit dieser Systeme.

Einerseits ist es angesichts solcher Rahmenbedingungen offensichtlich, dass ein Audit oder eine Sicherheitsüberprüfung, die nur alle paar Quartale durchgeführt wird, nicht mehr ausreicht, um eine ausreichende und möglichst permanente Übereinstimmung mit den Sicherheitsvorgaben zu gewährleisten. Andererseits stehen in der Regel aber auch die personellen Mittel nicht zur Verfügung, um die Übereinstimmung mit den Vorgaben permanent von Hand zu überprüfen.

Zunächst liegt eine Teillösung dieser Krux in der automatisierten Überprüfung von Einstellungen, die von in- und externen Vorgaben bestimmt werden. Auf dem Markt gibt es mittlerweile diverse Tools, die dieses Thema adressieren. Allerdings kann durch den Einsatz solcher Werkzeuge bei weitem nicht umfassend gewährleistet werden, dass alle wesentlichsten Anforderungen abgedeckt werden. Denn Anforderungen an eine solche Lösung sind vielfältig und weitreichend.

Nicht nur die automatisierte Überprüfung aller sicherheitsrelevanten Einstellungen und die lückenlose Einbindung sämtlicher erforderlicher IT-Systeme sind für Unternehmen von zentraler Bedeutung, sondern auch im Nachgang die kontrollierte und vor allem nachvollziehbare Abarbeitung der Korrekturen. Darüber hinaus muss der jeweilige Ist-Zustand stufengerecht darstellbar sein und ein Reporting für alle Unternehmenslevels, vom IT-Spezialisten bis hin zum Executive Board Member, ermöglicht werden.

Da die Security-Vorgaben nicht statisch sind, ist eine leichte Adaptierbarkeit an sich ändernde Security-Settings unerlässlich. Eine Priorisierung von Abweichungen nach Risikoklassen sollte ebenso möglich sein, wie eine leichte Harmonisierung mit internen Prozessabläufen. Das heisst, auch die Schaffung gemeinsamer Messpunkte mit vorgegebenen Security-Prozessen zur Sicherstellung eines ganzheitlichen Ansatzes und zur Kosten- und Qualitätskontrolle. Dies erfordert unter anderem eine saubere und klare Definition von technischen Security-Vorgaben, welche wiederum hohe Kenntnisse von Security-Erfordernissen der diversen Systemplattformen voraussetzt.

Diese vielfältigen Anforderungen können erst durch eine Kombinationslösung diverser Applikationen abgedeckt und durch deren Einbindung in Ticketing- und Inventory-Management-Systeme, sowie in die Prozesslandschaft einer Unternehmung realisiert werden.

Ein solcher Ansatz erlaubt es auch, die Einhaltung interner und externer Security-Vorgaben permanent zu überprüfen, was einen wesentlichen Teil diverser Com-pliance-Vorgaben bildet, und mittlerweile -von diversen Unternehmungen eingesetzt wird.