Der Bereich der IT-Compliance & Security erscheint manchmal genauso undurchdringlich und undurchschaubar zu sein wie die Massen an Schlagwörtern mit denen man förmlich eingedeckt wird. Compliance ist dabei ganz wichtig, genauso wie Governance oder das Risikomanagement. Für alles gibt es Normen und Gesetze. Ansätze zu ITIL und CobiT werden auf einmal vermischt mit den ISO 2700x Normen und den BSI Grundschutzkatalogen – von SOX, Euro-SOX und dem BDSG ganz zu schweigen. Dazu kommt eine gewisse Mystifizierung der ganzen Materie, als wäre sie neu und nur von Spezialisten zu durch­schauen. Wir möchten Sie durch diesen Paragraphen- und Vorschriftendschungel führen.

... innerhalb der Zusammenarbeit ist es, mit unseren Kunden einen methodischen Ansatz zum schrittweisen Aufbau geeigneter Maßnahmen zu entwickeln, bei wachsenden Compliance-Anforderungen schnell und mit vertretbarem Aufwand nachzukommen ist. Bereits mit geringem Aufwand lässt sich eine Quick-win-Situation unter Risiko-Aspekten schaffen.

Allein schon Antworten parat zu haben auf so heikle Fragen, wie "Wer alles hat Berechtigungen auf eine bestimmte Dateiablage?" oder "Welche Berechtigungen auf Dateiablagen haben sich bei einem Mitarbeiter über die Jahre angesammelt?", bringt IT-Abteilungen ein erhebliches Stück aus der Schusslinie. Am Ende des Prozesses soll ein hochautomatisiertes System stehen, das die Basis aller regulatorischen Konformitätsmaßnahmen auf dem Gebiet behördenweiter Zugriffsrechte bildet.

Das Informationsschutz-Management beinhaltet auf oberster Ebene die drei Grundpfeiler Governance, Risikomanagement und Compliance. Unter Governance versteht man dabei die Steuerung der IT unter dem Gesichtspunkt des Schutzes von Daten. Das Risikomanagement bearbeitet die Frage, welche Werte mit welcher Priorität zu schützen sind, welche Schwachstellen es gibt und letztendlich welche Maßnahmen ausgewählt und umgesetzt werden sollen, um diese Schwachstellen zu vermindern oder ganz zu beseitigen. Die Compliance letztendlich kümmert sich darum, dass bei allen Prozessen, oder allgemein im Umgang mit Daten gesetzliche und interne Vorgaben eingehalten werden.

Ein funktionierender Informationsschutz baut auf Basisrichtlinien (auch „Policies“ genannt) auf, die den sicheren Betrieb und den sicheren Umgang mit Daten beschreiben. Der tägliche Betrieb wird dabei genauso durch solche Richtlinien geregelt, wie auch der Umgang mit Projekten. Der dabei grundlegende Gedanke ist immer der der kontinuierlichen Verbesserung. Formal wird dies durch den Regelkreislauf des Plan-Check-Do-Act sichergestellt.

Zunächst einmal ist es wichtig, sich über die eigenen Ziele klar zu werden. Soll lediglich ein technisches Basisniveau erreicht werden? Oder soll ein Prozess etabliert werden, der dafür sorgt, dass das Niveau weitgehend automatisiert mit der Zeit immer weiter ansteigt? Sollen Richtlinien erstellt werden, um die IT daran zu messen?

Diese Fragen müssen in jedem Fall zuerst geklärt werden, bevor darüber diskutiert wird, welche Werkzeuge dafür eingesetzt werden soll. In jedem Fall sollte das Hauptziel sein, Transparenz zu schaffen. Zu erkennen, wie sich die IT darstellt, welche Lücken es gibt und was zu tun wäre, um diese adäquat zu stopfen. Sehr häufig finden sich bei dieser Aufarbeitung genügend Anhaltspunkte für eine Verbesserung des allgemeinen Betriebs und damit die Möglichkeit Kosten zu sparen. Denn eine geregelte und praxisnahe Herangehensweise an einen IT Security Workshop beinhaltet immer eine offene Diskussion über die bestehende Landschaft, oftmals eingefahrene Prozesse und den Gedankenaustausch was denn zu verbessern wäre.

Vorgehensmodell:

• Ist-Analyse im Gespräch und mit Toolunterstützung
• Herausarbeiten eventueller Defizite und Dokumentation
• Abstimmung von Prioritäten
• Klären der weiteren Vorgehensweise