Richtlinien sind gut, Kontrolle ist besser Compliance ist kein Allheilmittel

Autor / Redakteur: Lothar Geuenich* / Elke Witmer-Goßner

Zu oft werden IT-Sicherheit und Compliance in einen Hut geworfen, doch die Einhaltung der Regularien und Standards bedeutet nicht, dass ein Unternehmen tatsächlich genügend gesichert ist. Vor allem die Cloud-Umgebungen mischen die Karten neu. Compliance belegt lediglich die Einhaltung eines Mindestmaßes– nicht mehr und nicht weniger.

Firma zum Thema

Richtlinien garantieren keine IT-Sicherheit per se, sondern die Einhaltung muss immer auf Herz und Nieren geprüft werden.
Richtlinien garantieren keine IT-Sicherheit per se, sondern die Einhaltung muss immer auf Herz und Nieren geprüft werden.
(Bild: © seksan94 - stock.adobe.com)

Unternehmen müssen sicherstellen, dass ihre Compliance-Überwachungs- und Audit-Programme so eingerichtet sind, dass sie fehlerfrei arbeiten, wenn sich ihre IT-Infrastrukturen, IT-Umgebungen oder Anwendungen ändern. Dies ist besonders wichtig bezüglich der Cloud, die für viele Unternehmen zum Kerngeschäft geworden ist. Täglich werden neue Codes für die dort aufgesetzten Anwendungen geschrieben, doch ohne eine angemessene Überwachung könnte sich dies negativ auf die Compliance-Prüfung des Unternehmens auswirken.

Falsches Gefühl der Sicherheit ablegen

Stets sollte bedacht werden, dass Compliance nicht mit IT-Sicherheit gleichzusetzen ist. Sie hilft dabei, eine Grundlinie für Kontrollen festzulegen, aber diese Richtlinien fußen auf allgemeinen Angriffsvektoren.

Die Einhaltung der Compliance allein betrachtet kann also in der Tat ein falsches Gefühl der Sicherheit vermitteln. Es kann vorgeschrieben sein, starke Passwörter zum Schutz des Systemzugangs zu verwenden, aber dies verhindert nicht, dass Angreifer komplexes Phishing nutzen, um Anmeldeinformationen zu stehlen oder Zugangskontrollen zu umgehen.

Cloud-basierte Einbrüche und große gemeldete Zwischenfälle haben zwar das Wissen vieler Verantwortlicher um IT-Bedrohungen erweitert, was zu besseren Sicherheitspraktiken und -kontrollen führt, wie die Einbindung von Automatisierung in Compliance-Programme. Jedoch hält dies unbekannte Angriffe (Zero-Day-Attacken) nicht ab. Hierfür bedarf es umfassend angelegter Sicherheitslösungen, die Angriffe nicht nur blockieren, sondern analysieren. Darüber hinaus reicht es bezüglich der beliebten Cloud-Microservices nicht, dass sie die Compliance-Standards des Unternehmens erfüllen, sondern es muss ihre IT-Absicherung gegen Angriffe bedacht werden.

Gezielte Schritte zur Compliance gehen

Die Abläufe zur Aufrechterhaltung von Sicherheit und Compliance in der Cloud sind wiederkehrend und können ausarten, wenn sich nicht geschulte Mitarbeiter mithilfe effizienter Prozesse und passender Technologie darum kümmern. Folgend einige wichtige Schritte:

Schritt 1: Inventarisierung der Cloud-Assets
Fachkräfte können nur schützen, was sie sehen und von dessen Existenz im Netzwerk sie wissen, aber dies ist bezüglich der vielen Microservices schwierig. In der Cloud sind jedoch die virtualisierten Ressourcen die Vermögenswerte, daher ist es unerlässlich, über Systeme zu verfügen, die zur Skalierung und kontinuierlichen Überwachung der Cloud-Umgebung ausgelegt sind. Für viele Unternehmen ist die Überwachung und Nachverfolgung von Assets außerdem ein Weg zu geringeren Kosten, da der Betrieb der Cloud so konzipiert sein sollte, dass er je nach Bedarf größer oder kleiner skaliert werden kann. Die Automatisierung dieses Cloud-Betriebs ermöglicht dabei die Inventarisierung und Konfiguration von Anlagen und schafft Sichtbarkeit der Datenströme und Konnektivität.

Schritt 2: Wahl der Compliance-Grundlage
Die Compliance-Vorschriften entsprechen stets den Anforderungen der jeweiligen Branche und des jeweiligen Marktes. Aus diesem Grund muss sichergestellt sein, dass die vorhandene Compliance-Technologie den aktuellen Standards entsprechen kann. Für Unternehmen ohne Regulierungsstandard können die Anforderungen der Kunden als Entscheidungsgrundlage dienen, da diese häufig Anbieter suchen, welche die für ihre eigene Branche relevanten Standards erfüllen. Ein weiterer guter Ausgangspunkt ist die Wahl allgemeiner Geschäftsstandards.

Schritt 3: Anpassung der Sicherheit
Es lohnt sich die Prüfung, welche Lösungen andere Unternehmen zur Erfüllung der Compliance-Richtlinien entwickelt haben. PCI-Frameworks weisen beispielsweise darauf hin, dass bestimmte Systemkomponenten bezüglich der Kreditkartenkartendaten (und nicht das gesamte Netzwerk oder verbundene Systeme) den größten Teil des Schutzes erhalten müssen. Dies führt dazu, dass Teile des Systems segmentiert und mit Firewalls versehen werden, um die Kontrollen nur auf die Systeme und Daten zu beschränken, die in den vorgegebenen Bereich fallen.

Schritt 4: Überblick verschaffen
Kontrollen sollten jederzeit einsatzbereit sein und müssen ständig überwacht werden, um die Einhaltung der Compliance zu gewährleisten. Um dies in der Cloud handhabbar zu machen, sollten Unternehmer Tools nutzen, die eine Workflow-Automatisierung ermöglichen. Dazu gehören kontinuierliche Compliance- und Sicherheits-Scans, Benachrichtigungen und Ticketing. Diese Programme sollten außerdem zentral die Datenströme und Konnektivität der Anwendungen darstellen, um den Fachkräften einen Überblick und die Kontrolle zu ermöglichen.

Schritt 5: Automatisierung der Vorgänge
Cloud-Umgebungen gelten als komplexer, verglichen mit den Rechenzentren. Aus diesem Grund sollte die Automatisierung zum Einsatz kommen. Es gibt viele Bereiche, wo sie helfen kann, darunter Sicherheitsaufgaben, Überwachung der Firewall-Regeln oder komplexere Workflows. Aufwendige Arbeiten und oder Routine-Aufgaben, umfangreiche Protokollierung, Scanning, Monitoring und Analyse von Bedrohungen, werden häufig automatisiert, um die Administratoren zu entlasten und ihnen Zeit für große Projekte freizuräumen. Allerdings ist bei der Automatisierung Vorsicht geboten, um Fehlalarme zu vermeiden. Sie muss im Einklang mit der Handarbeit laufen.

Schritt 6: Regelmäßige Berichterstattung sicherstellen
Jede Compliance-Grundlage fordert eine Berichterstattung. In vielen Fällen übernimmt der Cloud Service Provider (CSP), der die physische Kontrolle über die Cloud-Infrastruktur hat, dieses Auditing. Das Unternehmen selbst sollte jedoch sicherstellen, dass der CSP wirklich regelmäßig und zufriedenstellend berichtet, sowie darauf achten, dass die Compliance wirklich, gemäß der Berichte, eingehalten wird. Müssen die Unternehmer selbst die Berichterstattung durchführen, nimmt eine Automatisierung dieses Prozesses allen Beteiligten viel Arbeit ab und liefert äußerst genau Dokumentationen.

Auditing als Stolperfalle erkennen

Es kann vorkommen, dass die Kunden eines Unternehmens ebenfalls die Informationen einer solchen Berichterstattung verlangen, oder das Unternehmen muss in der vertraglichen Vereinbarung des Cloud-Anbieters bestätigen, dass es in seiner Verantwortung liegt, die Compliance zu überprüfen.

In vielen Fällen aber sind die Auditberichte der CSPs die einzige Möglichkeit, die Compliance zu überprüfen. Die Unternehmen verfügen oft nicht über die operativen Kapazitäten, um jedem ihrer Kunden eine gesonderte Prüfung zu ermöglichen. Es ist wichtig, dies bei der Auswahl des Cloud-Anbieters zu berücksichtigen und etwaigen Bedenken hinsichtlich seiner Compliance-Berichte nachzugehen.

Zuletzt sollte jedem bewusst werden, dass die Audit-Berichte des Cloud-Anbieters sensible Informationen enthalten, weswegen die Möglichkeit, diese den Kunden zu zeigen, begrenzt ist. Ein Unternehmen darf die Informationen über die Compliance-Zertifizierung des CSP-Anbieters nicht als eigene beanspruchen, es sei denn, der CSP-Anbieter hat dies erlaubt.

Staatliche Regularien nicht vergessen

Jeder der großen CSP (wie Amazon, Google und Microsoft Azure) bietet inzwischen Hunderte von einzigartigen Diensten an und die Regulierungsbehörden für Compliance haben die Notwendigkeit erkannt, sich an die Komplexität der Cloud anzupassen. So wurden beispielsweise die Rahmenwerke gängiger Standards, wie CIS Benchmark, NIST, SOC2, PCI DSS und ISO27001, erweitert, um den Besonderheiten der Cloud-Umgebungen gerecht zu werden.

Darüber hinaus müssen Vorschriften zum Datenschutz, wie die EU-DSGVO (Europäische Datenschutz-Grundverordnung) oder CCPA (California Consumer Protection Act), eingehalten werden. Daher müssen Unternehmen außerdem nach Cloud-Anbietern suchen oder Compliance-Lösungen einsetzen, die auch diesen Standards entsprechen können.

Vorteile der Automatisierung nutzen

Wird verlangt, alle Protokolle prüfen zu können, hilft ein SIEM oder IDS bei der Bereitstellung von Echtzeitwarnungen zu potenziellen Schwachstellen und zeichnet alle Änderungen im Netzwerk auf.

Änderungen an Komponenten des Systems oder Anwendungen oder der Konnektivität, sowie an Ereignistypen erfordern Anpassungen der Richtlinien und müssen dokumentiert werden. Das ist aufwändig, weswegen eine Automatisierung das Mittel der Wahl für diese Aufgabe sein sollte, um sich beim Auditing sicher fühlen zu können. Dabei sollte diese Lösung in der Lage sein, auf der Grundlage der Risiko-Bewertung eine Priorität für die Bearbeitung verschiedener Bedrohungen zu setzen. Das bedeutet: Bei potenziell schwerwiegenden und wahrscheinlichen Ereignissen muss diese Lösung auf der Grundlage von Branchen-Informationen und Verhaltensanalysen verschiedene Angriffsarten erkennen können. Auf diese Weise lässt sich der manuelle Abstimmungsaufwand verringern.

Mindestmaß garantiert

Stets muss bedacht werden: Die Einhaltung der Compliance ist keine Garantie für die IT-Sicherheit in der Cloud – das ist eine andere Baustelle. Sie hilft aber dem Unternehmen und dem CSP, einen gemeinsamen Ansatz zu finden.

Lothar Geuenich, Check Point Software Technologies GmbH.
Lothar Geuenich, Check Point Software Technologies GmbH.
(Bild: Check Point)

Der Wert von Compliance besteht deshalb darin, dass sie die Bedeutung der IT-Sicherheit unterstreicht und ein Mindestmaß an Absicherung verlangt. Die Zertifizierung belegt also, dass ein Unternehmen zumindest den gültigen Standards entspricht, womit viel gewonnen ist.

* Der Autor Lothar Geuenich ist Regional Director Central Europe bei Check Point Software Technologies GmbH.

(ID:47717646)