Illustration: Absmeier, Pixabay
Geht es um die Cybersicherheit, steht der Themenkomplex »Governance, Risk and Compliance (GRC)« oft nicht im Fokus. Er wird nicht selten als bürokratische Hürde angesehen, die der Gefahrenabwehr im Weg steht. Die Bedeutung von GRC sollte jedoch nicht unterschätzt werden. Schließlich hilft ein gezieltes Programm Unternehmen dabei, ihre Sicherheits- und Compliance-Ziele zu erreichen. Gut umgesetzt kann so ein Ansatz für mehr Cybersicherheit sorgen und dazu führen, dass Vorfälle in Firmen nicht mehr nur reaktiv angegangen werden.
Cyber-Sicherheitsprogramme ohne GRC sind unvollständig
Zur Cybersicherheit gehören drei wichtige Komponenten: Menschen, Prozesse und die eingesetzte Technik. Die meisten Unternehmen konzentrieren sich vor allem auf die Technik, da sich dieses Element am einfachsten in den Griff bekommen lässt. Um die Sicherheitsziele zu erreichen, müssen jedoch alle drei Elemente mit einem programmatischen, flexiblen und skalierbaren Ansatz abgedeckt werden.
Ein Beispiel illustriert dies: Ein IT-Sicherheitsteam sieht mehrere Meldungen über sicherheitskritische Vorfälle. Ohne ein GRC-Programm fehlt den Mitarbeitern der Zusammenhang mit einem Geschäftsrisiko oder den Auswirkungen der Ereignisse auf die Einhaltung der Vorschriften. Stattdessen müssen sie sich ausschließlich auf Technik und begrenzte Informationen in voneinander isolierten Abteilungen verlassen. Dadurch besteht die Gefahr, dass sie das am wenigsten wichtige Thema hoch priorisieren. Bei einem GRC-Programm wäre das nicht der Fall.
GRC hat eine symbiotische Beziehung
Während Governance, Risiko und Compliance oft als getrennte Funktionen betrachtet werden, zeigt eine ganzheitliche Betrachtung, in welcher symbiotischen Beziehung sie zueinander stehen: Die Unternehmensführung stellt sicher, dass sämtliche Aktivitäten so ausgerichtet sind, dass sie die Geschäftsziele unterstützen. Risiken, die damit verbunden sind, werden identifiziert und entsprechend behandelt. Durch Compliance wiederum ist es möglich, alle organisatorischen Aktivitäten so zu betreiben, dass dabei Gesetze und Vorschriften eingehalten werden. Insgesamt entsteht dadurch ein Ansatz, mit dessen Hilfe Sicherheitsarchitektur, -technik und -betrieb auf die übergeordneten Unternehmensziele abgestimmt, Risiken effektiv gemanagt und Compliance-Ziele erreicht werden können.
Die Frage ist jedoch, wie es gelingen kann, ein GRC-Programm zu etablieren und sicherzustellen, dass es in die Organisation eingebettet ist.
Wie ein GRC-Programm skaliert werden kann
Für GRC gibt es keinen Standardansatz. Stattdessen variiert die Tiefe und Breite der Programme von Unternehmen zu Unternehmen. Unabhängig von dessen Komplexität kann es jedoch transformiert oder skaliert werden, um Cloud Services, neue Technologien und bisher unbekannte, zukünftige Innovationen einzuführen. Eine wichtige Voraussetzung dafür ist allerdings, dass bewährte Verfahren genutzt werden.
Voraussetzung 1: Gute Corporate Governance
Um im Bereich »Governance« eine Basis zu etablieren, ist es wichtig, zunächst die Compliance-Anforderungen zu identifizieren. Dazu gehören die Untersuchung von Vertragspflichten, Compliance-Frameworks und die Identifizierung geforderter oder selbstgewählter Standards, die umgesetzt werden müssen.
Anschließend ist eine Programmbewertung sinnvoll. Dank ihr ist es für ein Unternehmen möglich, die Fähigkeiten und die Reife seines aktuellen Profils zu verstehen, ihr Zielprofil zu bestimmen und einen Plan zu erstellen, wie dies erreichbar ist. Die Strategie sollte dabei die Aspekte Beschaffung, DevSecOps, Management, Sicherheit und Personalzuordnung berücksichtigen, einschließlich der Definition und Zuweisung von Funktionen, Rollen und Verantwortlichkeiten.
Schließlich müssen Firmen ihre neuen Richtlinien, Prozesse und Verfahren aktualisieren und veröffentlichen, ihre Mitarbeiter schulen und sicherstellen, dass Cybersicherheit und Governance eingehalten werden. Dabei sollten die Richtlinien eindeutig mit den Unternehmenszielen übereinstimmen. Im Idealfall legen Firmen dabei Prozesse fest, wie alte Technologien für die Einführung moderner Organisations- und Managementtechniken aufgerüstet werden können und wie sich Verfahren rund um Cloud-Services und andere neue Technologien integrieren lassen.
Voraussetzung 2: Gutes Risikomanagement
Die zweite Stufe der Skalierung einer GRC-Richtlinie ist die Betrachtung des Risikomanagements. Die Durchführung einer Risikobewertung für jeden Aspekt einer Organisation und jeden Geschäftsbereich sowie Vermögenstyp ist von größter Bedeutung. Sobald dies geschehen ist und das Unternehmen ein vollständiges Verständnis für das Risiko hat, ist es möglich, einen Plan zur Risikominderung, -vermeidung, -übertragung oder -akzeptanz zu implementieren. Idealerweise geschieht dies auf jeder Ebene, für jeden Geschäftsbereich und für jedes Firmen-Asset.
Anschließend ist es möglich, Risikomanagement-Frameworks effizient zu verwenden. Möglich ist dies durch die Evaluation von Kontrollen und Risiken. Dabei werden Risikoinformationen in die Entscheidungsfindung der Führungskräfte einbezogen. Einfach ausgedrückt, sollte es zur Routine werden, zu fragen: »Was ist das Finanz-, Cyber-, Rechts- und Reputationsrisiko für das Unternehmen, wenn wir diese Entscheidung treffen?« Durch die Einbettung dieses Ansatzes in die Firmenkultur können Unternehmen sicherstellen, dass sie eine vollständige Transparenz über ihre Risikoposition haben, wenn sie wichtige Geschäftsentscheidungen treffen und das Unternehmenswachstum vorantreiben.
Voraussetzung 3: Einhaltung von Compliance-Richtlinien
Das Thema Compliance ist direkt mit der Unternehmensführung verknüpft und trägt dazu bei, die Richtlinien, Standards und Sicherheitskontrollen festzulegen, die später zur Überwachung genutzt werden. Neben den Berichten, die dabei entstehen, müssen Unternehmen ihre Sicherheitsfunktionen proaktiv immer wieder neu bewerten und dabei sicherstellen, dass die Anforderungen des Unternehmens erfüllt werden. Dazu gehören Bereiche wie die Automatisierung von Anwendungssicherheitstests und Schwachstellenüberprüfungen, die Durchführung von Selbstbewertungen anhand von Stichproben von Kontrollvorgängen sowie die Evaluierung von winzigen Änderungen, Red-Flag-Events und Ereignissen, die ein erhebliches Risiko darstellen könnten.
Darüber hinaus müssen Unternehmen bereit sein, ihre Prozesse an Ereignisse und Veränderungen des Risikos anzupassen. Mit zunehmender Komplexität der Bedrohungen sollte sich auch ihre Sicherheitslage weiterentwickeln. Die Koordination der Vorgänge rund um die Sicherheit mit dem Compliance-Team für das Response-Management ist dabei ebenso entscheidend wie die Festlegung von Standardprozessen, um auf unbeabsichtigte Änderungen reagieren zu können.
Priorisierung von Governance, Risiko und Compliance in Unternehmen
Ohne ein effektives GRC-Programm ist es unmöglich, eine leistungsfähige Cyber-Sicherheitsstrategie zu entwickeln. Daher ist es wichtig, dass Unternehmen das Thema mit hoher Priorität angehen, um ihre Sicherheits- und Compliance-Ziele zu erreichen. Auf diese Weise erfüllen sie die Voraussetzungen, auch dann skalieren, anpassen und weiterentwickeln zu können, wenn das Unternehmen wächst und sich die Vorschriften ändern. Große Cloud-Anbieter wie AWS verstehen die Bedeutung von Governance, Risiko und Compliance für ihre Kunden – und die besondere Rolle, die diese Punkte in jedem Unternehmen einnehmen. Durch die Zusammenarbeit mit einem Cloud-Provider, der bei Konzeption und Implementierung eines GRC-Programms unterstützt, stellen Firmen sicher, dass sie sich jetzt und in Zukunft auch vor komplexen Bedrohungen schützen können.
Bertram Dorn, Specialized Solutions Architect Security und Compliance bei AWS
NEWS | BUSINESS | GESCHÄFTSPROZESSE | INFRASTRUKTUR | IT-SECURITY | STRATEGIEN | AUSGABE 7-8-2017
Governance, Risk und Compliance – Risikoanalysen für kritische IT-Infrastrukturen
Risikoanalysen sind das Fundament für den systematischen Aufbau und die Verbesserung der Informationssicherheit in jeder Institution. Nur die Kenntnis der Risikolage ermöglicht es, gezielte und wirkungsvolle Maßnahmen zur Risikominimierung zu ergreifen.
TRENDS WIRTSCHAFT | NEWS | BUSINESS | TRENDS KOMMUNIKATION | KOMMUNIKATION | ONLINE-ARTIKEL | SERVICES
Der Vertrieb ist ein Alptraum für jeden Compliance Officer
Neue Umfrage zeigt: 77 Prozent der Unternehmen wissen nicht, ob sich Vertriebsmitarbeiter an Gesetze, Richtlinien und interne Regeln halten. Bewusstsein für Korruption fehlt bei den meisten Vertriebsmitarbeitern. Eine gute Flasche Wein, eine Einladung in ein Sterne-Restaurant, Karten für ein Sportturnier – was ist ein angemessenes Geschenk unter Geschäftspartnern und was ein Bestechungsversuch? Gerade im Vertrieb,…
NEWS | BUSINESS | BUSINESS PROCESS MANAGEMENT | DIGITALE TRANSFORMATION | EFFIZIENZ | GESCHÄFTSPROZESSE
Effekte moderner Datenplattformen: Erfolgreiche digitale Transformation in der Finanzbranche
Digitale Disruption tritt auf allen Ebenen des Finanzsektors auf. Privatkundenbanken, Versicherer, Investmentfirmen und Vermögensverwalter stehen gleichermaßen unter Druck, rund um die Uhr digitale Dienste bereitzustellen. Anderenfalls riskieren sie, hinter den Wettbewerbern zurückzufallen. Ein überfüllter Markt, neue Technologien und steigende Erwartungen der Verbraucher zwingen die Finanzinstitute, große Veränderungen voranzubringen. Markus Grau, Principal Systems Engineering bei Pure…
NEWS | CLOUD COMPUTING | IT-SECURITY | SERVICES
4 Grundlagentipps für ein erfolgreiches Cloud-Management
IT-Verantwortliche müssen sich heutzutage mit den verschiedensten Herausforderungen auseinandersetzen, die eine Migration in die Cloud mit sich bringen. Obwohl sich die Cloud-Nutzung in den letzten Jahren stark verbreitet hat, haben einige Unternehmen trotzdem das Gefühl, noch nicht das volle Potenzial der Cloud ausgeschöpft zu haben. Die Gründe hierfür lassen sich allerdings leicht identifizieren und die…
TRENDS 2019 | TRENDS WIRTSCHAFT | NEWS | TRENDS SECURITY | BUSINESS | IT-SECURITY
Cybercrime: Cyberkriminalität kostet Unternehmen im Schnitt 13 Millionen US-Dollar pro Jahr
Die Bedrohungslage durch Cyberangriffe verschärft sich weltweit und Unternehmen geben mehr Geld denn je aus, um sich mit den Kosten und Folgen immer komplexerer Angriffe auseinanderzusetzen. Das zeigt die 9. »Cost of Cybercrime«-Studie, die die Unternehmensberatung Accenture gemeinsam mit dem Ponemon Institute in elf Ländern und 16 Branchen durchgeführt hat. In Deutschland wurden im Rahmen…
NEWS | CLOUD COMPUTING | IT-SECURITY | AUSGABE 5-6-2019 | SECURITY SPEZIAL 5-6-2019
Sensitive kryptografische Schlüssel schützen – Daten in der Cloud optimal verschlüsseln
An der Datenverschlüsselung in der Cloud führt kein Weg vorbei. In komplexen Umgebungen und bei der Nutzung von Cloud-Services mehrerer Anbieter benötigen Unternehmen umfassende Schlüsselmanagement-Lösungen.
NEWS | INFRASTRUKTUR | IT-SECURITY | RECHENZENTRUM | AUSGABE 5-6-2019
Kritische Infrastrukturen – immer noch ausbaufähig
Nach mehr als zwei Jahren mit der KRITIS-Verordnung ist das Thema bei vielen Unternehmen mittlerweile angekommen. Weitere kommen jedoch hinzu, die sich, analog zu ihren Quasi-Vorgängern, erst jetzt des Ausmaßes bewusst werden.
NEWS | PRODUKTMELDUNG
Gebündeltes Expertenwissen für ganzheitliche IT-Sicherheit
Allgeier CORE betritt mit umfassendem Leistungsspektrum den Informationssicherheits- und IT-Markt. Die secion GmbH, die consectra GmbH und die Allgeier ONE AG haben sich zur Allgeier CORE GmbH zusammengeschlossen. Seit Ende Dezember gehört zum neu gegründeten Unternehmen auch die GRC Partner GmbH, die das Portfolio mit ihrer Compliance Management Software DocSetMinder sowie umfassendem Know-how im…
TRENDS 2019 | TRENDS WIRTSCHAFT | NEWS | TRENDS SECURITY | BUSINESS | DIGITALISIERUNG | FAVORITEN DER REDAKTION | INTERNET DER DINGE | TRENDS 2020 | IT-SECURITY | TRENDS 2022 | TIPPS
Cyberkriminalität: Mehrkosten und Umsatzverluste durch Cyberangriffe von 5,2 Billionen US-Dollar
5,2 Billionen US-Dollar Umsatz könnten Unternehmen weltweit durch Cyberattacken in den nächsten fünf Jahren entgehen. Das jedenfalls schätzen die Analysten von Accenture in der aktuellen Studie »Securing the Digital Economy: Reinventing the Internet for Trust«. Am stärksten betroffen ist die Hightech-Industrie mit mehr 753 Milliarden US-Dollar. Es folgen Biowissenschaften (642 Milliarden US-Dollar) und Automobilindustrie (505…
NEWS | DIGITALISIERUNG | FAVORITEN DER REDAKTION | LÖSUNGEN | ONLINE-ARTIKEL
Wie Automatisierung des Data Warehouse den Wert der Unternehmensdaten erhöhen kann
Volume, Velocity, Variety, Veracity. Im englischen IT-Sprachgebrauch haben sich die vier Vs der Datenspeicherung längst etabliert. Volumen, Geschwindigkeit, Vielfalt und Wahrhaftigkeit gilt es in Einklang zu bringen, um die Daten eines Unternehmens erfolgreich verwalten zu können. Herkömmliche Data-Warehouse-Infrastrukturen sind häufig nicht mehr in der Lage, die enormen Datenmengen, die Vielfalt der Datentypen, die Geschwindigkeit mit…
NEWS | EFFIZIENZ | IT-SECURITY | LÖSUNGEN | RECHENZENTRUM | STRATEGIEN
Datenklau und Co: Wären Ihre Daten im Ernstfall sicher?
Nahezu täglich erreichen uns Nachrichten über Datenschutzverletzungen, ob kriminell motiviert oder durch menschliches Versagen verursacht. Der potenzielle Verlust von Daten ist von der Ausnahme zur Regel geworden. Wir haben uns an Meldungen über den Verlust sensibler Daten fast schon gewöhnt. Der Fall des sogenannten »Politiker-Daten-Lecks«, bei dem massenhaft, teilweise sehr sensible Daten von Politikern, Journalisten…
NEWS | GESCHÄFTSPROZESSE | IT-SECURITY | TIPPS
In fünf Schritten zum ganzheitlichen Risikomanagement
Ein kompakter Leitfaden für die Durchführung von Risikoanalysen verhilft Unternehmen in fünf einfachen Schritten die Voraussetzungen für ein nachhaltiges Informationssicherheitsmanagement zu schaffen und die Weichen für eine bereichsübergreifende Risikominimierung zu stellen. Cyberattacken auf Daten und Systeme der Unternehmen nehmen rasant zu – und bedeuten in Zeiten strenger Compliance-Vorgaben und hoher Bußgelder ein erhebliches finanzielles…