Die Bedeutung von Governance, Risiko und Compliance für die Cybersicherheit

Illustration: Absmeier, Pixabay

Geht es um die Cybersicherheit, steht der Themenkomplex »Governance, Risk and Compliance (GRC)« oft nicht im Fokus. Er wird nicht selten als bürokratische Hürde angesehen, die der Gefahrenabwehr im Weg steht. Die Bedeutung von GRC sollte jedoch nicht unterschätzt werden. Schließlich hilft ein gezieltes Programm Unternehmen dabei, ihre Sicherheits- und Compliance-Ziele zu erreichen. Gut umgesetzt kann so ein Ansatz für mehr Cybersicherheit sorgen und dazu führen, dass Vorfälle in Firmen nicht mehr nur reaktiv angegangen werden.

 

Cyber-Sicherheitsprogramme ohne GRC sind unvollständig

Zur Cybersicherheit gehören drei wichtige Komponenten: Menschen, Prozesse und die eingesetzte Technik. Die meisten Unternehmen konzentrieren sich vor allem auf die Technik, da sich dieses Element am einfachsten in den Griff bekommen lässt. Um die Sicherheitsziele zu erreichen, müssen jedoch alle drei Elemente mit einem programmatischen, flexiblen und skalierbaren Ansatz abgedeckt werden.

Anzeige

Ein Beispiel illustriert dies: Ein IT-Sicherheitsteam sieht mehrere Meldungen über sicherheitskritische Vorfälle. Ohne ein GRC-Programm fehlt den Mitarbeitern der Zusammenhang mit einem Geschäftsrisiko oder den Auswirkungen der Ereignisse auf die Einhaltung der Vorschriften. Stattdessen müssen sie sich ausschließlich auf Technik und begrenzte Informationen in voneinander isolierten Abteilungen verlassen. Dadurch besteht die Gefahr, dass sie das am wenigsten wichtige Thema hoch priorisieren. Bei einem GRC-Programm wäre das nicht der Fall.

 

GRC hat eine symbiotische Beziehung

Während Governance, Risiko und Compliance oft als getrennte Funktionen betrachtet werden, zeigt eine ganzheitliche Betrachtung, in welcher symbiotischen Beziehung sie zueinander stehen: Die Unternehmensführung stellt sicher, dass sämtliche Aktivitäten so ausgerichtet sind, dass sie die Geschäftsziele unterstützen. Risiken, die damit verbunden sind, werden identifiziert und entsprechend behandelt. Durch Compliance wiederum ist es möglich, alle organisatorischen Aktivitäten so zu betreiben, dass dabei Gesetze und Vorschriften eingehalten werden. Insgesamt entsteht dadurch ein Ansatz, mit dessen Hilfe Sicherheitsarchitektur, -technik und -betrieb auf die übergeordneten Unternehmensziele abgestimmt, Risiken effektiv gemanagt und Compliance-Ziele erreicht werden können.

Anzeige

Die Frage ist jedoch, wie es gelingen kann, ein GRC-Programm zu etablieren und sicherzustellen, dass es in die Organisation eingebettet ist.

 

Wie ein GRC-Programm skaliert werden kann

Für GRC gibt es keinen Standardansatz. Stattdessen variiert die Tiefe und Breite der Programme von Unternehmen zu Unternehmen. Unabhängig von dessen Komplexität kann es jedoch transformiert oder skaliert werden, um Cloud Services, neue Technologien und bisher unbekannte, zukünftige Innovationen einzuführen. Eine wichtige Voraussetzung dafür ist allerdings, dass bewährte Verfahren genutzt werden.

 

Voraussetzung 1: Gute Corporate Governance

Um im Bereich »Governance« eine Basis zu etablieren, ist es wichtig, zunächst die Compliance-Anforderungen zu identifizieren. Dazu gehören die Untersuchung von Vertragspflichten, Compliance-Frameworks und die Identifizierung geforderter oder selbstgewählter Standards, die umgesetzt werden müssen.

Anschließend ist eine Programmbewertung sinnvoll. Dank ihr ist es für ein Unternehmen möglich, die Fähigkeiten und die Reife seines aktuellen Profils zu verstehen, ihr Zielprofil zu bestimmen und einen Plan zu erstellen, wie dies erreichbar ist. Die Strategie sollte dabei die Aspekte Beschaffung, DevSecOps, Management, Sicherheit und Personalzuordnung berücksichtigen, einschließlich der Definition und Zuweisung von Funktionen, Rollen und Verantwortlichkeiten.

Schließlich müssen Firmen ihre neuen Richtlinien, Prozesse und Verfahren aktualisieren und veröffentlichen, ihre Mitarbeiter schulen und sicherstellen, dass Cybersicherheit und Governance eingehalten werden. Dabei sollten die Richtlinien eindeutig mit den Unternehmenszielen übereinstimmen. Im Idealfall legen Firmen dabei Prozesse fest, wie alte Technologien für die Einführung moderner Organisations- und Managementtechniken aufgerüstet werden können und wie sich Verfahren rund um Cloud-Services und andere neue Technologien integrieren lassen.

 

Voraussetzung 2: Gutes Risikomanagement

Die zweite Stufe der Skalierung einer GRC-Richtlinie ist die Betrachtung des Risikomanagements. Die Durchführung einer Risikobewertung für jeden Aspekt einer Organisation und jeden Geschäftsbereich sowie Vermögenstyp ist von größter Bedeutung. Sobald dies geschehen ist und das Unternehmen ein vollständiges Verständnis für das Risiko hat, ist es möglich, einen Plan zur Risikominderung, -vermeidung, -übertragung oder -akzeptanz zu implementieren. Idealerweise geschieht dies auf jeder Ebene, für jeden Geschäftsbereich und für jedes Firmen-Asset.

Anschließend ist es möglich, Risikomanagement-Frameworks effizient zu verwenden. Möglich ist dies durch die Evaluation von Kontrollen und Risiken. Dabei werden Risikoinformationen in die Entscheidungsfindung der Führungskräfte einbezogen. Einfach ausgedrückt, sollte es zur Routine werden, zu fragen: »Was ist das Finanz-, Cyber-, Rechts- und Reputationsrisiko für das Unternehmen, wenn wir diese Entscheidung treffen?« Durch die Einbettung dieses Ansatzes in die Firmenkultur können Unternehmen sicherstellen, dass sie eine vollständige Transparenz über ihre Risikoposition haben, wenn sie wichtige Geschäftsentscheidungen treffen und das Unternehmenswachstum vorantreiben.

 

Voraussetzung 3: Einhaltung von Compliance-Richtlinien

Das Thema Compliance ist direkt mit der Unternehmensführung verknüpft und trägt dazu bei, die Richtlinien, Standards und Sicherheitskontrollen festzulegen, die später zur Überwachung genutzt werden. Neben den Berichten, die dabei entstehen, müssen Unternehmen ihre Sicherheitsfunktionen proaktiv immer wieder neu bewerten und dabei sicherstellen, dass die Anforderungen des Unternehmens erfüllt werden. Dazu gehören Bereiche wie die Automatisierung von Anwendungssicherheitstests und Schwachstellenüberprüfungen, die Durchführung von Selbstbewertungen anhand von Stichproben von Kontrollvorgängen sowie die Evaluierung von winzigen Änderungen, Red-Flag-Events und Ereignissen, die ein erhebliches Risiko darstellen könnten.

Darüber hinaus müssen Unternehmen bereit sein, ihre Prozesse an Ereignisse und Veränderungen des Risikos anzupassen. Mit zunehmender Komplexität der Bedrohungen sollte sich auch ihre Sicherheitslage weiterentwickeln. Die Koordination der Vorgänge rund um die Sicherheit mit dem Compliance-Team für das Response-Management ist dabei ebenso entscheidend wie die Festlegung von Standardprozessen, um auf unbeabsichtigte Änderungen reagieren zu können.

 

Priorisierung von Governance, Risiko und Compliance in Unternehmen

Ohne ein effektives GRC-Programm ist es unmöglich, eine leistungsfähige Cyber-Sicherheitsstrategie zu entwickeln. Daher ist es wichtig, dass Unternehmen das Thema mit hoher Priorität angehen, um ihre Sicherheits- und Compliance-Ziele zu erreichen. Auf diese Weise erfüllen sie die Voraussetzungen, auch dann skalieren, anpassen und weiterentwickeln zu können, wenn das Unternehmen wächst und sich die Vorschriften ändern. Große Cloud-Anbieter wie AWS verstehen die Bedeutung von Governance, Risiko und Compliance für ihre Kunden – und die besondere Rolle, die diese Punkte in jedem Unternehmen einnehmen. Durch die Zusammenarbeit mit einem Cloud-Provider, der bei Konzeption und Implementierung eines GRC-Programms unterstützt, stellen Firmen sicher, dass sie sich jetzt und in Zukunft auch vor komplexen Bedrohungen schützen können.

Bertram Dorn, Specialized Solutions Architect Security und Compliance bei AWS

 

Der Vertrieb ist ein Alptraum für jeden Compliance Officer

Neue Umfrage zeigt: 77 Prozent der Unternehmen wissen nicht, ob sich Vertriebsmitarbeiter an Gesetze, Richtlinien und interne Regeln halten. Bewusstsein für Korruption fehlt bei den meisten Vertriebsmitarbeitern. Eine gute Flasche Wein, eine Einladung in ein Sterne-Restaurant, Karten für ein Sportturnier – was ist ein angemessenes Geschenk unter Geschäftspartnern und was ein Bestechungsversuch? Gerade im Vertrieb,…

Effekte moderner Datenplattformen: Erfolgreiche digitale Transformation in der Finanzbranche

Digitale Disruption tritt auf allen Ebenen des Finanzsektors auf. Privatkundenbanken, Versicherer, Investmentfirmen und Vermögensverwalter stehen gleichermaßen unter Druck, rund um die Uhr digitale Dienste bereitzustellen. Anderenfalls riskieren sie, hinter den Wettbewerbern zurückzufallen. Ein überfüllter Markt, neue Technologien und steigende Erwartungen der Verbraucher zwingen die Finanzinstitute, große Veränderungen voranzubringen. Markus Grau, Principal Systems Engineering bei Pure…

4 Grundlagentipps für ein erfolgreiches Cloud-Management

IT-Verantwortliche müssen sich heutzutage mit den verschiedensten Herausforderungen auseinandersetzen, die eine Migration in die Cloud mit sich bringen. Obwohl sich die Cloud-Nutzung in den letzten Jahren stark verbreitet hat, haben einige Unternehmen trotzdem das Gefühl, noch nicht das volle Potenzial der Cloud ausgeschöpft zu haben. Die Gründe hierfür lassen sich allerdings leicht identifizieren und die…

Cybercrime: Cyberkriminalität kostet Unternehmen im Schnitt 13 Millionen US-Dollar pro Jahr

Die Bedrohungslage durch Cyberangriffe verschärft sich weltweit und Unternehmen geben mehr Geld denn je aus, um sich mit den Kosten und Folgen immer komplexerer Angriffe auseinanderzusetzen. Das zeigt die 9. »Cost of Cybercrime«-Studie, die die Unternehmensberatung Accenture gemeinsam mit dem Ponemon Institute in elf Ländern und 16 Branchen durchgeführt hat. In Deutschland wurden im Rahmen…

Gebündeltes Expertenwissen für ganzheitliche IT-Sicherheit

Allgeier CORE betritt mit umfassendem Leistungsspektrum den Informationssicherheits- und IT-Markt.   Die secion GmbH, die consectra GmbH und die Allgeier ONE AG haben sich zur Allgeier CORE GmbH zusammengeschlossen. Seit Ende Dezember gehört zum neu gegründeten Unternehmen auch die GRC Partner GmbH, die das Portfolio mit ihrer Compliance Management Software DocSetMinder sowie umfassendem Know-how im…

Cyberkriminalität: Mehrkosten und Umsatzverluste durch Cyberangriffe von 5,2 Billionen US-Dollar

5,2 Billionen US-Dollar Umsatz könnten Unternehmen weltweit durch Cyberattacken in den nächsten fünf Jahren entgehen. Das jedenfalls schätzen die Analysten von Accenture in der aktuellen Studie »Securing the Digital Economy: Reinventing the Internet for Trust«. Am stärksten betroffen ist die Hightech-Industrie mit mehr 753 Milliarden US-Dollar. Es folgen Biowissenschaften (642 Milliarden US-Dollar) und Automobilindustrie (505…

Wie Automatisierung des Data Warehouse den Wert der Unternehmensdaten erhöhen kann

Volume, Velocity, Variety, Veracity. Im englischen IT-Sprachgebrauch haben sich die vier Vs der Datenspeicherung längst etabliert. Volumen, Geschwindigkeit, Vielfalt und Wahrhaftigkeit gilt es in Einklang zu bringen, um die Daten eines Unternehmens erfolgreich verwalten zu können. Herkömmliche Data-Warehouse-Infrastrukturen sind häufig nicht mehr in der Lage, die enormen Datenmengen, die Vielfalt der Datentypen, die Geschwindigkeit mit…

Datenklau und Co: Wären Ihre Daten im Ernstfall sicher?

Nahezu täglich erreichen uns Nachrichten über Datenschutzverletzungen, ob kriminell motiviert oder durch menschliches Versagen verursacht. Der potenzielle Verlust von Daten ist von der Ausnahme zur Regel geworden. Wir haben uns an Meldungen über den Verlust sensibler Daten fast schon gewöhnt. Der Fall des sogenannten »Politiker-Daten-Lecks«, bei dem massenhaft, teilweise sehr sensible Daten von Politikern, Journalisten…

In fünf Schritten zum ganzheitlichen Risikomanagement

Ein kompakter Leitfaden für die Durchführung von Risikoanalysen verhilft Unternehmen in fünf einfachen Schritten die Voraussetzungen für ein nachhaltiges Informationssicherheitsmanagement zu schaffen und die Weichen für eine bereichsübergreifende Risikominimierung zu stellen.   Cyberattacken auf Daten und Systeme der Unternehmen nehmen rasant zu – und bedeuten in Zeiten strenger Compliance-Vorgaben und hoher Bußgelder ein erhebliches finanzielles…