29. April 2011 - Prüfkompetenz 2.0

Compliance-Anforderungen automatisiert prüfen

Datenschutzbeauftragter, Compliance Officer und Security Officer haben ein doppeltes Kreuz zu tragen: Einerseits müssen sie fachlich ständig auf dem aktuellen Stand sein und die gesetzlichen Regelungen und Standards verfolgen. Andererseits tragen sie die Verantwortung dafür, dass das Unternehmen die Compliance-Anforderungen umsetzt. Wäre es nicht schön, wenn man die Prüfung dieser Anforderungen einfach nur mit einem Mausklick anstoßen müsste? Wir geben Ihnen einen Überblick über die Möglichkeiten und stellen Ihnen ein Beispiel für eine Tool-basierte Lösung vor.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Schon heute ist es möglich – insbesondere im Bereich der technischen Sicherheitsmaßnahmen –, einen Großteil der ansonsten manuell nötigen Prüfung zu automatisieren.

Mit intelligenten Werkzeugen vereinfachen Sie auch organisatorische Maßnahmen gegenüber der manuellen Bearbeitung erheblich.

Compliance ist ein Querschnittsthema

Die Herausforderungen im Rahmen der betrieblichen Sicherstellung von gesetzlichen, vertraglichen oder unternehmensinternen Compliance-Vorgaben sind mannigfaltig. Denn Compliance ist ein Querschnittsthema, das sich durch das gesamte Unternehmen, dessen Organisationsstruktur, IT-Systeme und Prozesse zieht.

Die gesetzlichen Anforderungen sind umfangreich

Die Regelungsdichte bei Gesetzen, die für die Compliance im Unternehmen relevant sind, nimmt stetig zu.

Ein Blick auf die datenschutzrechtlichen Vorgaben etwa zeigt den Umfang der potenziell einschlägigen juristischen Regelungen – angefangen bei der informationellen Selbstbestimmung aus Artikel 2 des Grundgesetzes über die grundsätzlichen Regelungen des Bundesdatenschutzgesetzes bis hin zu den Spezialregelungen aus Telemediengesetz, Sozial- oder Strafgesetzbuch.

Mehr zum Thema Compliance

Rechtliche Komplexität erschwert die manuelle Compliance-Prüfung

Auch über den Datenschutz hinaus gibt es eine Fülle einschlägiger Gesetzesregelungen – vom Kreditwesen- über das Wertpapierhandels- und Bilanzrechtsmodernisierungsgesetz bis hin zu Basel II, die Konsumkreditrichtlinie oder den Sarbanes-Oxley-Act für börsennotierte Unternehmen in den USA.

Die Menge an unterschiedlichen Regelungen und die Komplexität, die sich daraus ergibt, erschwert es, die Compliance-Vorgaben von Hand zu bearbeiten und zu überprüfen.

Wichtige Aufgabe: Regeln erarbeiten und Kollegen schulen

Aus unternehmerischer Sicht kann Compliance nur ein organisations-übergreifendes Thema sein. Die Verantwortlichen auf der Ebene der IT-Governance müssen daher zunächst die abstrakten Compliance-Regelungen aus den gesetzlichen, ISO-, DIN- oder sonstigen Normen für das Unternehmen und seine IT-Dienstleistungen konkretisieren.

Das Erstellen und fortlaufende Aktualisieren entsprechender Policies und Richtlinien ist aber nur der erste Schritt. Denn im Ergebnis müssen die operativ tätigen Mitarbeiter diese unternehmensinternen Vorgaben auch leben. Dafür ist es nötig,

  • die Regelungen mit operativem Augenmaß zu erstellen sowie
  • die Mitarbeiter entsprechend zu unterweisen und zu schulen.

Dokumentation und Prüfung

Als Datenschutzbeauftragter kennen Sie die notwendigen Aufgaben der Dokumentation und der Prüfung: sei es bei der Führung entsprechender Verfahrensverzeichnisse, bei der Vorabkontrolle von neuen IT-Systemen, die personenbezogene Daten verarbeiten, oder bei der Durchführung von Vorab- und Regelkontrollen nach §§ 11, 9 BDSG im Rahmen der Auftragsdatenverarbeitung.

Für jedes System die Konfiguration prüfen – eine Herausforderung!

Auf technischer Ebene potenzieren sich diese Herausforderungen, wenn Sie für jedes IT-System den aktuellen Konfigurationsstand festhalten müssen – vom Betriebssystem über installierte Servicepacks bis hin zu eingespielten Sicherheits-Updates.

Falls Ihr Unternehmen Komponenten von Drittanbietern einsetzt, sind auch dafür die Konfigurationen zu überwachen und aktuell zu halten.

Die Compliance-Umsetzung verlangt immer mehr Regularien

Aus den gesetzlichen, organisatorischen und technischen Herausforderungen folgt in der Summe die Aufgabe für Unternehmen, mehr Regularien zu erstellen und deren Einhaltung zu überprüfen. Dabei steigen Komplexität und Änderungsgeschwindigkeit ebenso wie die Anforderungen an die Fähigkeiten der Mitarbeiter.

Bei rein manuellen Verfahren stößt man schnell an die Grenzen des Leistbaren. Es bietet sich folglich an, die Sicherstellung der Compliance durch intelligente Werkzeuge zu automatisieren. Nur so lassen sich die Ziele von Compliance erreichen, nämlich eine Risikominimierung bei gleichzeitiger Effektivitäts- und Effizienzsteigerung.

Möglichkeiten der Automatisierung gibt es bereits

Es existieren mittlerweile unterschiedliche Automatisierungs-Initiativen, die insbesondere in den USA verbreitet sind – so etwa die „Making Security Measurable“-Initiative der US-amerikanischen Mitre Corporation oder das „Security Content Automation Protocol“ der amerikanischen Standardisierungsbehörde (NIST: National Institute of Standards and Technology).

Eigene Sprachen identifizieren die Prüfobjekte

Ansatzpunkt dieser Initiativen ist es, Prüfungsobjekte (also z.B. IT-Systeme in Form von Webservern) eindeutig zu identifizieren, um sie mittels standardisierter Regeln überprüfen zu können. Dafür existieren eigene, auf XML basierende „Sprachen“: zur eindeutigen Identifizierung etwa „CVE“ (Common Vulnerability Enumeration) und als Regelsprache z.B. „OVAL“ (Open Vulnerability and Assessment Language).

Die Initiativen sammeln diese Regeln zentral und stellen sie den Unternehmen in einem eigenen Depot (engl. „Repository“) zur Verfügung.

Synergieeffekte nutzen

Dadurch muss nicht jedes Unternehmen alle Regeln selbst erfinden, sondern kann auf die Entwicklungen der Sicherheitsgemeinde zurückgreifen.

Falls im Rahmen der Überprüfung Probleme offenbar werden, hilft dieses System auch dabei, sie hinsichtlich ihres Sicherheitsrisikos zu bewerten, z.B. per „CVSS“ – Common Vulnerability Scoring System.

Automatisierte Prüfungen kontrollieren auf diese Weise Themenbereiche wie

  • die Länge von Passwörtern (mindestens acht Zeichen) und
  • die Aktualität eingespielter Sicherheits-Updates.

Automatisierte Prüfung organisatorischer Maßnahmen

Datenschutz und Informationssicherheit sind in hohem Maß eine Frage des Bewusstseins („Awareness“) und der Fähigkeiten der Mitarbeiter.

Die genannten Regelsprachen helfen daher auch dabei, organisatorische Maßnahmen abzubilden und automatisiert abzufragen und zu prüfen. Natürlich ist dazu das Feedback eines realen Menschen nötig, der Prozess läuft also nicht vollständig automatisiert ab. Hier können allerdings intelligente Umfragelösungen sicherstellen, dass das Unternehmen mit überschaubarem Aufwand nach standardisierten Regeln und Workflows einen Prozess etabliert, der eine automatisierte Nachverfolgung umfasst.

Praxisbeispiel Automatisierung: Der UPW Compliance Guard

Ein Werkzeug wie der UPW Compliance Guard (UCG) unterstützt die Automatisierung, indem es die OVAL-Regeln auf einer Vielzahl von Rechnern oder Datenbanken ausführt. Dabei dokumentiert die Software den Prüfungszeitpunkt, die geprüfte Konfiguration und das Ergebnis der Kontrolle.

Für den Compliance-Verantwortlichen bedeutet dies, dass er jederzeit einen Überblick über den aktuellen Sicherheitszustand hat. UCG historisiert die Ergebnisse aller Prüfungen und liefert somit die Basis für interne und externe Prüfungen.

Die Software erkennt Schwachstellen in Echtzeit

Software-Hersteller wie Microsoft, Red Hat oder Novell bieten ihre Sicherheitshinweise inzwischen auch in der Form von OVAL-Regeln an.

Da die Aktualisierung teilweise mehrmals täglich erfolgt, kann das Sicherheits-Team schnell auf neue Schwachstellen reagieren. Der Compliance Guard lädt dann die entsprechende Regel und führt sie auf den Systemen aus.

In UCG lassen sich bereits bestehende Prüfkataloge an die unternehmensspezifischen Bedürfnisse anpassen. Beispielsweise können Sie Regeln für eine bestimmte Anwendung ergänzen oder für eine Komponente der Infrastruktur weglassen.

UCG verwaltet auch Befragungen

Neben technischen Prüfungen lassen sich auch Befragungen in der Regelsprache OVAL formulieren. Dabei hinterlegt das Sicherheitsteam über die Frage hinaus auch die korrekte Antwort und die Gültigkeitsdauer.

Statt den Fragenkatalog nun z.B. per Excel abzubilden und als E-Mail zu verschicken, wird die Befragung zu einer OVAL-Regelmenge. Die Befragten erhalten einen Link zum UCG-Server und füllen den Fragenkatalog auf einer Webseite aus.

Compliance-relevante Informationen sind so nicht mehr über das ganze Unternehmen verteilt, sondern bleiben an einer Stelle im UCG-Server gebündelt. Das Tool erinnert automatisch an fällige Antworten.

Die Kontroll- und Befragungsergebnisse lassen sich einheitlich auswerten

Liegen sowohl die Ergebnisse technischer Kontrollen als auch die Befragungsergebnisse im UCG-Server vor, lassen sie sich einheitlich auswerten. Eine Business-Intelligence/Reporting-Komponente erstellt auf Wunsch sowohl Übersichten als auch Detail-Berichte. Die Sicherheitsverantwortlichen können die Auswertungen jederzeit über einen Web-Browser abrufen.

Peer Lambertz
Gerhard Koschorreck
Peer Lambertz ist Berater, Rechtsanwalt und Datenschutz-Experte. Gerhard Koschorreck ist Solution Architect für IT-Security & Compliance bei der UPW Project Services GmbH und Ansprechpartner für den UPW Compliance Guard.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln