Revisionssichere Auditierung: ein technisches und organisatorisches Problem

In den meisten Firmen kann jeder, der umfangreiche Admin-Rechte hat oder sich solche verschafft, problemlos auf unternehmenskritische Daten zugreifen, sie manipulieren, kopieren oder löschen. Das zu verhindern ist schwierig, es mindestens zu dokumentieren wichtig.

Martin Grauel, Autor dieses Gastbeitrags für ZDNet, ist Consultant bei BalaBit IT Security (Bild: Balabit).
Martin Grauel, Autor dieses Gastbeitrags für ZDNet, ist Consultant bei BalaBit IT Security (Bild: Balabit).

Kein Firmenchef möchte sich Nachlässigkeit nachsagen lassen, wenn es um Unternehmenssicherheit geht. Deshalb wird auch brav in Firewalls, Intrusion Prevention, Anitvirensoftware oder Unified Threat Management investiert. Und doch holen sich nach wie vor viele ein blaues Auge, weil sie die innere Sicherheit vernachlässigen. Dabei kann ohne die richtigen internen Vorkehrungen jeder, der umfangreiche Admin-Rechte hat oder sich solche verschafft, ganz einfach auf unternehmenskritische Daten zugreifen, sie manipulieren, kopieren oder löschen. Die Spuren werden mit Hilfe manipulierter Log-Dateien verwischt. Die Folgen tun weh: Kosten, Reputationsverlust eventuell sogar eine Anklage.

Die Administratoren und Entwickler der IT-Infrastruktur eines Unternehmens – seien sie fest angestellt oder auch als externe Dienstleister engagiert – sind die Macher im Unternehmensnetzwerk. Die Chefs der Firmen-IT garantieren den reibungslosen Betrieb, sie verantworten ein großes Stück des Unternehmenserfolgs und besetzen damit eine Position mit großer Verantwortung. Es ist allerdings auch ein höchst sensibler Posten, denn er hat mit den unternehmensrelevanten Daten zu tun, den Kronjuwelen einer Firma.

Transparenz plus Vertrauen

Das Vertrauen des Geschäftsführers in seine IT-Abteilung ist Voraussetzung für eine funktionierende Zusammenarbeit. Aber ist es keine Frage des Vertrauens oder Misstrauens, sondern nur vernünftig, wenn sicher gestellt wird, dass das Tun und Lassen der IT-Verantwortlichen transparent und nachvollziehbar ist.

Firmenchefs müssen rekonstruieren und überblicken können, welche für ihr Unternehmen wichtige Prozesse ablaufen, welche Aktionen angestoßen werden und was mit ihren Daten passiert. Schließlich haften sie mit aller Konsequenz, mit allen rechtlichen und finanziellen Folgen. Ein Verlust der Daten oder ein verschuldeter oder unverschuldeter Missbrauch kann strafrechtliche Konsequenzen nach sich ziehen: Wenn dem Unternehmen nachgewiesen werden kann, dass es nachlässig gearbeitet hat, dass seine Schutzmechanismen lückenhaft sind oder wenn regulative Forderungen verletzt wurden.

Unwissenheit schützt nicht

Die Transparenz der Aktivitäten innerhalb des Unternehmensnetzwerkes ist folglich für Unternehmen kein „nice to have“, sondern ein strategischer und überlebenswichtiger Teil des Unternehmenserfolgs und Teil der Unternehmens-Compliance. Eine aktuelle Studie des Beratungshauses Bearing Point mit dem Titel „Agenda 2015“ beschreibt das Compliance-Management als stetig wachsende Herausforderung. Die Einführung und Anwendung von IT-unterstützten Compliance-Prozessen und Kontrollmechanismen spielt dabei eine wichtige Rolle.

AUTOR

Martin Grauel ...

... ist Consultant bei BalaBit IT Security. Das Unternehmen entwickelt und vertreibt Produkte für die Verwaltung von privilegierten IT-Nutzern sowie Logging- und Firewall-Lösungen. Als aktives Mitglied der Open-Source-Bewegung stellt es Lösungen für eine breite Palette von Open-Source- und proprietären Plattformen zur Verfügung. Dazu gehört auch "syslog-ng", eine Log-Server-Anwendung, die als Open Source zur Verfügung steht. Sie nutzen weltweit über 650.000 Kunden.

Auch ein aktuelles, von Balabit beauftragtes Whitepaper des Marktforschungshauses IDC (Compliance is More Than Just Cost: Creating Value Beyond Compliance) bestätigt, dass europäische Banken im Jahr 2010 rund zehn Prozent des gesamten IT-Budgets für Compliance-Maßnahmen ausgegeben haben. Die Analysten erwarten, dass dieser Prozentsatz 2011 auf 15 bis 20 Prozent steigen wird. Und sie legen den Unternehmen den Einsatz von Monitoring-Systemen für privilegierte Nutzergruppen ans Herz.

Die deutschen Gesetze fordern ganz klar die Einhaltung und Durchsetzung bestimmter Vorschriften und Regularien und damit ein höheres Maß an IT-Sicherheit. Stellvertretend seien hier das Bundesdatenschutzgesetz (BDSG), SOX, Euro SOX, Basel II, HIPAA und PCI-DSS genannt. Unternehmen müssen Kontrolle und Revisionssicherheit ihrer Geschäftsprozesse gewährleisten beziehungsweise kontinuierlich durch neue Anforderungen verstärken – sonst riskieren sie Strafen und Regressansprüche.

Die vier wichtigen Punkte der IT-Sicherheit sind:

  1. Schutz der Vertraulichkeit
  2. Schutz der Integrität
  3. Sicherstellen der Verfügbarkeit
  4. Sicherstellen der Nachvollziehbarkeit

Neueste Kommentare 

Noch keine Kommentare zu Revisionssichere Auditierung: ein technisches und organisatorisches Problem

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *