Uwe Kissmann verantwortet das IT-Security-Consulting-Geschäft von IBM in der Schweiz, in Österreich, Osteuropa und im Mittleren Osten.

Kein Thema bestimmt aktuell die IT-Security-Welt so stark wie Compliance Management. Von den Unternehmen wurde Compliance, das gesetzes- und vorgabengetreue Verhalten, längst als geschäftliche Basis erkannt. Zuerst erforderte das Management dieser Compliance die Entwicklung von Instrumenten und Verfahren sowie deren nachvollziehbare Kontrolle, wobei die Übereinstimmung von externen und internen Vorgaben sichergestellt werden muss. Dieser Bereich ist derzeit aber für die Unternehmen einer der wesentlichsten Kostentreiber im IT-Security-Umfeld. Unklare Kompetenzverteilung und mangelhafte Kostenkontrolle sind häufig die Realität.

Nachdem die generelle Entwicklungsphase von Verfahren für Compliance Management abgeschlossen ist, sehen sich viele Unternehmungen nun vor der Herausforderung, die damit verbundenen Kosten zu optimieren. Dies sowohl im allgemeinen Compliance-Umfeld, als auch im IT-Security-relevanten Compliance-Umfeld. Klares Ziel ist es, die Kosten zu reduzieren, ohne die Compliance selbst in Frage zu stellen. Dies stellt die Verantwortlichen vor grosse Herausforderungen. Obwohl sie auf der einen Seite während ihrer täglichen Arbeit vielfach die Bestätigung erhalten: «Ja, natürlich halten wir die Security-Vorgaben ein.» Audit-Erfahrungen hingegen belegen, dass solche Einschätzungen oftmals nicht der Realität entsprechen. Diese Diskrepanz bleibt vielfach nicht ohne Folgen. Vor allem in neuerer Zeit hat sie zu sehr unangenehmen Expositionen von Firmen aus verschiedenen Industriezweigen in der Öffentlichkeit geführt. Dies war mit weitreichenden Auswirkungen auf deren Reputation verbunden, vor allem wenn sie in Bereichen tätig sind, welche ein hohes Vertrauensverhältnis als Basis der Geschäftsbeziehung voraussetzen.

Eine weitere Herausforderung ist mit der Schätzung verbunden, dass in einer IT-Organisation mit einer Grösse von 100 Servern, durchschnittlich 200 bis 1000 Change Requests pro Tag bewältigt werden müssen. Dies kann von kleinen Änderungen bis hin zu grösseren Eingriffen reichen. Derartige Änderungen haben nicht selten direkten Einfluss auf die Sicherheit dieser Systeme.

Einerseits ist es angesichts solcher Rahmenbedingungen offensichtlich, dass ein Audit oder eine Sicherheitsüberprüfung, die nur alle paar Quartale durchgeführt wird, nicht mehr ausreicht, um eine ausreichende und möglichst permanente Übereinstimmung mit den Sicherheitsvorgaben zu gewährleisten. Andererseits stehen in der Regel aber auch die personellen Mittel nicht zur Verfügung, um die Übereinstimmung mit den Vorgaben permanent von Hand zu überprüfen.

Zunächst liegt eine Teillösung dieser Krux in der automatisierten Überprüfung von Einstellungen, die von in- und externen Vorgaben bestimmt werden. Auf dem Markt gibt es mittlerweile diverse Tools, die dieses Thema adressieren. Allerdings kann durch den Einsatz solcher Werkzeuge bei weitem nicht umfassend gewährleistet werden, dass alle wesentlichsten Anforderungen abgedeckt werden. Denn Anforderungen an eine solche Lösung sind vielfältig und weitreichend.

Nicht nur die automatisierte Überprüfung aller sicherheitsrelevanten Einstellungen und die lückenlose Einbindung sämtlicher erforderlicher IT-Systeme sind für Unternehmen von zentraler Bedeutung, sondern auch im Nachgang die kontrollierte und vor allem nachvollziehbare Abarbeitung der Korrekturen. Darüber hinaus muss der jeweilige Ist-Zustand stufengerecht darstellbar sein und ein Reporting für alle Unternehmenslevels, vom IT-Spezialisten bis hin zum Executive Board Member, ermöglicht werden.

Da die Security-Vorgaben nicht statisch sind, ist eine leichte Adaptierbarkeit an sich ändernde Security-Settings unerlässlich. Eine Priorisierung von Abweichungen nach Risikoklassen sollte ebenso möglich sein, wie eine leichte Harmonisierung mit internen Prozessabläufen. Das heisst, auch die Schaffung gemeinsamer Messpunkte mit vorgegebenen Security-Prozessen zur Sicherstellung eines ganzheitlichen Ansatzes und zur Kosten- und Qualitätskontrolle. Dies erfordert unter anderem eine saubere und klare Definition von technischen Security-Vorgaben, welche wiederum hohe Kenntnisse von Security-Erfordernissen der diversen Systemplattformen voraussetzt.

Diese vielfältigen Anforderungen können erst durch eine Kombinationslösung diverser Applikationen abgedeckt und durch deren Einbindung in Ticketing- und Inventory-Management-Systeme, sowie in die Prozesslandschaft einer Unternehmung realisiert werden.

Ein solcher Ansatz erlaubt es auch, die Einhaltung interner und externer Security-Vorgaben permanent zu überprüfen, was einen wesentlichen Teil diverser Com-pliance-Vorgaben bildet, und mittlerweile -von diversen Unternehmungen eingesetzt wird.

Eine mögliche Lösung besteht darin, auf den zu überprüfenden Systemen Softwareagenten zu installieren, die die Security-relevanten Einstellungen regelmässig mit den spezifischen Vorgaben der Security-Policy vergleichen. Die daraus resultierenden Resultate werden in der Folge an ein zent-rales Datenbanksystem weitergeleitet. Ergeben sich Abweichungen gegenüber den Vorgaben, werden diese automatisch an ein Ticketing-System weitergeleitet. Dieses System sendet dann automatisch eine Korrekturanforderung an den jeweiligen Systemverantwortlichen. Es kontrolliert und eskaliert auch, falls die Korrektur nicht innerhalb eines vorgegebenen Zeitraums erfolgt.

Sämtliche Messungen und deren Resultate und Korrekturen werden darüber hinaus in einem zentralen, webbasierenden Reportingsystem erfasst. Aus diesem System heraus lassen sich in der Folge Reports erstellen, die detailliert über den aktuellen und den vergangenen Compliance-Status Auskunft geben können.

Durch die automatisierte Abarbeitung dieser Thematik lassen sich im operativen Bereich markante Kosteneinsparungen im Bereich der IT Security relevanten Compliance-Aufwendungen realisieren. Diese Einsparungspotenziale liegen im Wesentlichen in der automatisierten Abdeckung der Korrektur-, Mess- und Dokumentationserfordernisse. Eine wesentliche Voraussetzung für maximale Kosteneinsparungen ist die Beachtung der Tatsache, dass der optimale Nutzen nur erreicht werden kann, wenn nicht nur die technologische Lösung im Fokus steht, sondern auch parallel eine starke Harmonisierung mit den Security-Prozessen erfolgt.

Nach der Einführung solcher Lösungen ist ausserdem häufig der Effekt zu beobachten, dass sich die Aufwände für die Behebung von Security-Abweichungen reduzieren. Hintergrund dafür ist die Tatsache, dass die betroffene Organisation nach einer gewissen Phase der Angewöhnung, die Abarbeitung solcher Abweichungen ins «Daily Business» integriert, was zur effizienteren und routinemässigen Bearbeitung solcher Abweichungen führt.

Zusammenfassend kann gesagt werden, dass die automatisierte Kontrolle und Abarbeitung von IT-Security-relevanter Compliance-Überprüfung - nebst einem erhöhten Compliance-Grad - ein Kosteneinsparpotenzial bietet. Dies vor allem dann, wenn mehrere Lösungen miteinander kombiniert und in die Prozesslandschaft eines Unternehmens eingebunden werden.