Governance, Risk & Compliance – GRC als Grundlage für die Informations- und IT-Sicherheit?

Können Governance, Risk & Compliance – Begriffe, die keinen reinen IT-Bezug haben – Grundlage für die Informations- und IT-Sicherheit sein?

Lassen Sie uns dazu zunächst klären, worum es sich bei Governance, Risk & Compliance (GRC) genau handelt. GRC steht für eine gute Unternehmensführung (Sorgfaltspflicht) und liegt in der Verantwortung der Unternehmensleitung. Dahinter verbirgt sich nichts anderes, als ein Ordnungsrahmen, den die Unternehmungsleitung erstellt, um den Erfolg des Unternehmens beziehungsweise die Umsetzung der Ziele und Aufgaben aus Leitungssicht abzusichern. Innerhalb dieses Rahmens erlässt die Unternehmensführung interne Richtlinien (Governance), bewertet interne & externe Risiken/Chancen (Risks) und achtet auf die Einhaltung rechtlicher & normativer Rahmenbedingungen (Compliance). Denn nur mit der Umsetzung dieser Vorgaben »erwirbt« die Organisation das Recht, von und in den Gesellschaften, ihre Ziele zu verfolgen und auf deren Marktplatz langfristig zu agieren.

Es ist dabei vollkommen unerheblich, um welche Art von Organisation es sich handelt (privatwirtschaftlich beziehungsweise staatlich) oder in welchem Marktumfeld diese tätig ist. Mit GRC müssen sich alle Organisationslenker in ihrem jeweiligen Kontext auseinandersetzen, zumindest sollten sie dies.

Für beinahe jede Art von Unternehmen gibt es neben den allgemeinen auch entsprechend spezialisierte, gesetzliche Vorgaben, die zu beachten sind. Beispielsweise sind börsennotierte Unternehmen den Vorgaben aus dem Aktiengesetz (AktG) oder dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) unterworfen. Jedoch auch andere Organisationen können bei ihrem Handeln schnell in Bereiche stoßen, in denen von der Organisationsleitung gefordert wird, Revisionssicherheit in Bezug auf die Einhaltung von »Standards« (Vergabe-, Finanz-, Umwelt-, Qualitätsstandards etc. – etwa Peppol) zu gewährleisten.

Verantwortung ist nicht teilbar. Die Unternehmensleitung kann Aufgaben auf andere Mitarbeiter übertragen und deren Umsetzung regelmäßig prüfen – allerdings fallen Verstöße gegen Gesetze und Normen immer auf sie selbst zurück. Kontrollmechanismen sind hier also unabdingbar. Durch Einsatz der IT lassen sich Ergebnisse prüfen, Prozesse beschleunigen beziehungsweise absichern und reporten. Hilfreich sind dabei KPIs (Key Performance Indicator). 

Wurden Betriebsprozesse anfänglich von der IT lediglich unterstützt, sind Prozesse und deren Abwicklung heute in hohem Maße von einer verlässlichen und funktionierenden IT abhängig. Dieser Trend wird auch in Zukunft weiter voranschreiten – viele Unternehmen haben mit Beginn der Pandemie im Frühjahr 2020 das Arbeiten ad hoc ins Home Office verlegt. 

Durch derartige Ereignisse und dem daraus resultierenden, verstärkten Einsatz der IT ergeben sich gleichzeitig ganz neue Risiken, unter anderem in Bezug auf GRC. Diese nehmen wiederum direkt oder auch indirekt Einfluss auf die Zielerfüllung der Organisation und ihrer Verpflichtung zur Einhaltung von Vorgaben (beispielsweise DSGVO). In den Anfängen hat die IT dazu beigetragen, Risiken handhabbar zu machen – inzwischen gehen von ihr selbst eigene Herausforderungen aus.

Ohne Zweifel ist die IT wesentlicher Bestandteil jedes Unternehmens und daher besonders zu schützen. Diesen Schutz gewährleistet die Informations- und IT-Sicherheit. Beide Domänen verfolgen das Ziel der Absicherung der IT durch zwei Grundprinzipien:

  • Absicherung gegen den Verlust von Vertraulichkeit, Integrität beziehungsweise Sicherstellung der Verfügbarkeit (Grundprinzip CIA – Confidentiality, Integrity and Availability)
  • Gewährleistung der ausschließlich berechtigten Nutzung von Systemen und Informationen durch Identifizierung, Authentisierung, Autorisierung und Auditierung der Anwender und Services (Grundprinzip IAAA). 

Die Domänen bilden eine solide Basis für den technischen Schutz der IT und der Daten. Es ist aber auch zu erwähnen, dass Entscheidungen in beiden Bereichen oftmals ausschließlich aufgrund von systemischen Anforderungen und Belangen getroffen werden. Jedem, der sich direkt mit den (IT-)Systemen beschäftigt, sind die (technischen) Abhängigkeiten und Bedürfnisse klar und er kann diese auch leicht erläutern. Ein Beispiel: Es steht außer Frage, dass ein funktionierendes, getestetes Backup-System die Grundlage vieler Informationssicherheits- und IT-Sicherheitsmaßnahmen ist. Damit diese Maßnahmen gewährleistet werden können, sind entsprechende Tests erforderlich. Eventuell bedeutet dies jedoch eine Unterbrechung der Produktion. Redundanz könnte hier unter anderem eine Alternative sein – der Betrieb würde weiterlaufen und die Tests ließen sich unterbrechungsfrei durchführen, wenn auch wahrscheinlich zu erhöhten Kosten. 

 

Die IT hilft dabei, Risiken handhabbar zu machen – schafft gleichzeitig aber auch neue Risiken für die (organisatorischen) Governance & Compliance.

 

Mag das Beispiel bewusst einfach gehalten sein – es skizziert doch die Szenarien, die den IT-Experten von Controlware in Projekten oftmals begegnen. Der Bedarf der IT wird technisch formuliert und auch entsprechend argumentiert. Verlässt man die technische Argumentationsebene, werden Zusammenhänge beziehungsweise Abhängigkeiten nicht mehr als ganz so transparent wahrgenommen. Vor allem, wenn es um die Finanzierung von Maßnahmen geht. Es stellt sich die Frage, ob Entscheidungen aufgrund reiner systemischer Anforderungen und Belange korrekt beziehungsweise für die geschäftliche Rechtfertigung ausreichend sind?

Mittlerweile hat sich neben der Informationssicherheit und der technischen IT-Sicherheit die organisatorische Informationssicherheit, auch als GRC-Beratung oder GRC-Themen bekannt, etabliert. Diese wird vor allem durch staatliche Organe (etwa NIST, BSI) oder Gesetzesinitiativen (KRITIS, IT-SIG 2.0) und die Entwicklung entsprechender Normen (ISO/IEC 27000, IT-Grundschutz) gefordert, befeuert und unterstützt. 

Die organisatorische Informationssicherheit kann durchaus als eine Ableitung von GRC auf Organisationsebene mit Fokus auf die IT bezeichnet werden und ist nicht von den GRC-Themen auf Organisationsebene entkoppelt. Beide stellen den risikobasierten Ansatz in den Mittelpunkt ihrer Betrachtungen.

Kann eine Organisation folgende Fragen umfassend beantworten, so wird deutlich, dass sich bereits fundiert mit der Thematik befasst wird und Entscheidungen ganzheitlich betrachtet und abgewogen werden:

  • Welche Risiken will oder muss die Organisation abdecken?
  • Welche Maßnahmen hat sie hierzu ergriffen?
  • Wie bewertet sie die Wirksamkeit der Maßnahmen?

Gerade die letzte Frage stellt Verantwortliche immer wieder vor große Herausforderungen. Ein Grund hierfür könnte sein, dass der letztendliche Rückschluss auf die GRC-Anforderungen der Organisation (oder auch Geschäftsziele) nicht oder nicht eindeutig möglich ist oder entsprechend dekliniert wurde. Maßnahmen, die im IT-Kontext technisch sinnvoll sind, können von der IT-Organisationen häufig nur schwer in den oft zitierten »Business-Kontext« übersetzt werden. Diese Übersetzung unterstützt eben genau die organisatorische Informationssicherheit und bildet damit eine    sehr gute Grundlage, wenn es um die Frage geht, welche Maßnahmen in Bezug auf die Informations- und IT-Sicherheit zu ergreifen sind und wie diese gemessen werden – selbstverständlich im »Business-Kontext«. Nicht umsonst hat die Anzahl der Firmen, die sich für ein Informations-Sicherheits-Management-System (ISMS) interessieren oder es bereits implementiert haben, sich aber zumindest mit der Erstellung und Pflege von Sicherheitskonzepten und -richtlinien beschäftigen, deutlich zugenommen.

Wichtig ist: Ein ISMS ersetzt kein Business Continuity Management (BCM). BCM im herkömmlichen Stil mit den »altbekannten« Ausfallszenarien hat auch heute noch seine Daseinsberechtigung – nach wie vor gelten die entsprechenden Anforderungen. Ziel ist es vielmehr, die BCM-Prozesse und BCM-Vorgaben um entsprechende Maßnahmen in der digitalen Welt zu ergänzen oder definierte Maßnahmen teilweise neu zu bewerten. Zum Beispiel für die Umsetzung der Anforderungen nach KRITIS oder dem IT-Sicherheitsgesetz 2.0 (IT SIG 2.0).

Die Erstellung und Umsetzung von GRC-Richtlinien sind jedoch Voraussetzung für das erfolgreiche und nachhaltige Wirken von Organisationen auf »dem Marktplatz«. Die IT ist dabei ein zentraler Grundbaustein für die Erfüllung und Prüfung von GRC-Anforderungen sowie für die Behandlung von Risiken. 

Kompetenter Partner im Bereich GRC. Controlware berät Unternehmen zu allen Fragen und Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie mit IT-Fokus ergeben. Dabei spielt es keine Rolle, ob es sich um die Umsetzung von regulatorischen Anforderungen, die Einführung von Management-Systemen oder die Vorbereitung der Organisation auf entsprechende Zertifizierungen handelt. Die Experten von Controlware unterstützen mit langjähriger Praxiserfahrung Organisationen dabei, diese Aufgaben professionell umzusetzen. Grundlage ist hier ein modular gestaltetes Vorgehensmodell, das sich an den Bedürfnissen beziehungsweise dem Reifegrad der Kunden orientiert. Bereits vor über 10 Jahren hat Controlware ein eigenes ISMS erstellt und dies nach ISO/IEC 27000 zertifizieren lassen. Seither wird es regelmäßig re-zertifiziert. 

Als beratender IT-Dienstleister in der DACH-Region bietet Controlware neben der Beratung im GRC-Umfeld auch die praktische und technische Umsetzung von Lösungen rund um Network Solutions, Collaboration, Information Security, Application Delivery, Data Center & Cloud aus einer Hand. Spezialisiertes IT-Management und umfangreiche Managed Services komplettieren das Leistungsangebot.

 

Im Überblick

  • GRC ist das Grundgerüst einer Organisation für deren Wachstum. 
  • Die IT ist elementarer Grundbaustein für die Umsetzung beziehungsweise Messung der Einhaltung von Vorgaben. 
  • Die Informations- und IT-Sicherheit stellen Methoden und Verfahren für die Einhaltung dieser Vorgaben bereit und tragen mit den Grundprinzipien CIA & IAAA zur Absicherung von Informationen, aber auch der IT selbst, bei, die wiederum eine (schützenswerte) Ressource im GRC-Kontext der Organisation darstellt.
  • Werden Sicherheitsmaßnahmen aber ausschließlich mit technischem Fokus gewählt und begründet, so lässt sich deren Notwendigkeit im »Business-Kontext« gegebenenfalls nur schwer vermitteln. Bekannte Folge: Die IT wird als Kostentreiber angesehen, der mit entsprechenden Kürzungen begegnet werden muss.
  • Es besteht eine direkte Wechselwirkung zwischen GRC-Aufgaben der Geschäftsleitung und der Informationssicherheit beziehungsweise der IT-Security.
  • Die organisatorische Informationssicherheit macht diese transparent und ermöglicht entsprechende Ableitungen. 
  • Oder anders ausgedrückt: GRC(-Beratung) ist die Grundlage der Informations- und IT-Sicherheit.

 

 


Steffen Gügel, Teamleiter Consulting,
Controlware GmbH
www.controlware.de
blog.controlware.de

 

 

Illustration: © Serhii Borodin/shutterstock.com

 

763 Artikel zu „Sicherheit Governance“

Die Bedeutung von Governance, Risiko und Compliance für die Cybersicherheit

Geht es um die Cybersicherheit, steht der Themenkomplex »Governance, Risk and Compliance (GRC)« oft nicht im Fokus. Er wird nicht selten als bürokratische Hürde angesehen, die der Gefahrenabwehr im Weg steht. Die Bedeutung von GRC sollte jedoch nicht unterschätzt werden. Schließlich hilft ein gezieltes Programm Unternehmen dabei, ihre Sicherheits- und Compliance-Ziele zu erreichen. Gut umgesetzt…

Mehr Sicherheit in der Wolke: Vier Vorteile von Cloud Services im Vergleich zu On-Premises

Die verstärkte Remote-Arbeit hat, neben weiteren Variablen, die Cloud-Adaption von Unternehmen stark beschleunigt. Für viele Organisationen ist eine verteilte Belegschaft mit Optionen wie Home Office und Arbeiten von überall aus mittlerweile zu einem Teil der Unternehmenskultur geworden, der auch über die Pandemie hinaus Bestand haben wird. Dieser Wandel Richtung New Work erfordert jedoch eine Umstellung…

Identitätsbasierte Angriffe: Kritische Schwächen traditioneller Identitätssicherheit

Best Practices für einen einheitlichen Identitätsschutz. Identitätsbasierte Angriffe zählen heute zu einer der größten Bedrohungen für die IT-Sicherheit, da moderne hybride Unternehmensnetzwerke Cyberkriminellen zahlreiche Einfallstore bieten. So verschaffen sich Hacker beispielsweise mit gekaperten Konten einen Erstzugang über SaaS-Apps und IaaS in der Public Cloud oder dringen über kompromittierte VPN- oder Remote Desktop Protocol (RDP)-Verbindungen in…

Produktsicherheit: Erfolgreiches Product Security Incident Response Team (PSIRT) aufbauen

In den letzten Jahren sind aus gutem Grund immer mehr Gerätehersteller dazu übergegangen, die Produktsicherheit stärker in den Fokus zu rücken. Dazu zählt auch, den Aufbau eines Product Security Incident Response Teams (PSIRT) in die strategische Planung einzubeziehen, um das Risiko eines erfolgreichen Exploits zu senken. Unternehmen, die vernetzte Produkte und IoT-Geräte entwickeln, sind sich…

Hohe Komplexitätsanforderungen der Cloud führen zu häufigen Sicherheitsfehlern – Firewall-Fehlkonfigurationen

Das Scheitern klassischer Netzwerksicherheitstechnologien in hybriden Multicloud-Umgebungen lässt sich beziffern. Marktforschungen zufolge gehen 99 Prozent der Firewall-Verstöße auf falsch konfigurierte Sicherheitsrichtlinien zurück. Was sind die häufigsten Fehler bei der Konfiguration und wie lassen sie sich vermeiden?

Sicherheitsrisiken durch Identity Sprawl: Fünf Maßnahmen zum Schutz

Da Unternehmen zunehmend neue Technologien wie die Cloud, Big Data, DevOps, Container oder Microservices nutzen, stellt diese wachsende Komplexität auch neue Herausforderungen an das Identitäts- und Zugriffsmanagement. Denn mit diesen aufkommenden Technologien wachsen die Workloads und Datenmengen und befinden sich zunehmend in der Cloud. Die Anzahl menschlicher und maschineller Identitäten steigt hierdurch exponentiell an. Um…

Zukunftssichere Absicherung der IT-Infrastruktur – Gleiche Sicherheit für alle Nutzer

Datenmissbrauch, Identitätsdiebstahl und Datenlecks sind für Unternehmen nicht nur sehr kostenintensiv, sie gefährden auch die sensiblen Beziehungen zu Kunden und Geschäftspartnern. Potenzielle Sicherheits­lücken sind dabei nicht selten auf die Kompromittierung privilegierter Benutzerkonten zurückzuführen. Denn vielerorts wird die Vergabe und Kontrolle von IT-Berechtigungen nicht zufriedenstellend gelöst.

Datensicherheitsverletzungen im Gesundheitswesen sind 2020 um 55,2 Prozent gestiegen

Laut dem aktuellen Healthcare Breach Report von Bitglass gab es im Jahr 2020 599 Datensicherheitsverletzungen im Gesundheitswesen, von denen insgesamt mehr als 26 Millionen Personen betroffen waren. Jedes Jahr analysiert der Cloud-Sicherheitsanbieter Daten der sogenannten »Wall of Shame« des US-Ministeriums für Gesundheitspflege und Soziale Dienste. Dabei handelt es sich um eine Datenbank, die Informationen zu…

Sicherheitsinitiativen: Warum eine operationszentrierte Strategie?

IT-Teams sind nicht selten gezwungen, ihr Unternehmen aus einer siloartigen Infrastruktur heraus gegen Cyberangriffe zu verteidigen. Das liegt daran, dass das verfügbare Sicherheitsarsenal größtenteils aus Tools besteht, die für den Schutz ganz bestimmter Systeme und Anwendungen entwickelt wurden. Mit anderen Worten: Die eine Lösung wird eingesetzt, um Cloud-Workloads abzuschotten, während sich eine andere primär darauf…

Sicherheitsstrategie: Abwehr der zehn größten Risiken

Zuerst einmal machen wir Schluss mit einem häufigen Missverständnis hinsichtlich der Open Web Application Security Project (OWASP) Top 10: Auch wenn einige Sicherheitsanbieter dies behaupten, es handelt sich dabei nicht um eine Checkliste von Angriffsvektoren, die Sie mit einer Web Application Firewall (WAF) blockieren können. Kommen wir nun zu Ihrer Strategie. Was genau benötigen Sie,…

Fünf fundamentale Sicherheitsprobleme für kritische Infrastrukturen

Digitale Bedrohungen für kritische Infrastrukturen nehmen weiter zu. Angreifer haben es zunehmend auf betriebliche (Operational Technology, OT) und industrielle Steuerungssysteme (Industrial Control Systems, ICS) abgesehen. Das zeigt auch der Lagebericht zur IT-Sicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Betreiber der kritischen Infrastrukturen sehen sich allerdings mit großer Mehrheit »gut« (57 Prozent) oder »sehr…

Zero Trust: Nur ein Buzzword oder wichtiger Teil der Sicherheitsstrategie?

Das Zero-Trust-Modell hat sich bereits vor einigen Jahren als Sicherheitskonzept etabliert. Nun wurde die IT-Landschaft von Unternehmen innerhalb der letzten zwölf Monate allerdings auf den Kopf gestellt, was auch Folgen für die IT-Sicherheit hat. Besonders der plötzliche Umzug in die Cloud stellte viele Sicherheitsteams vor neue Herausforderungen. Rolf Haas, Senior Enterprise Technology Specialist bei McAfee,…

Software-Sicherheitstrends 2021

Die Spezialisten von Checkmarx sagen für 2021 einige grundlegende Security-Trends voraus. So müssen Unternehmen die Sicherheit schneller machen, mehr auf Open-Source-Angriffe achten, Infrastructure-as-Code ins Auge fassen, die Integration der Security in die Software-Entwicklung vorantreiben, einen ganzheitlichen Blick auf das Security-Standing ihrer Anwendungen werfen, Cloud-native Security in den Fokus rücken, anfällige APIs als Hauptursache software- und…

Datenzentrierte Sicherheit in der Multi-Cloud  

Datenzentrierung ist ein Faktor, der maßgeblich die Cloud- und IT-Security-Strategie in Unternehmen mitbestimmt. Je nach regulatorischen Vorgaben werden diverse Datenprozesse in geeigneter Weise abgesichert. Mit der wachsenden Cloud-Nutzung in den vergangenen Jahren entstehen in Unternehmen auch mehr und mehr Multi-Cloud-Umgebungen. Für diese spricht vor allem der Vorteil hoher Effizienz: Prozesse können zu den jeweils geringsten…

Studie: Mehr Sicherheitsvorfälle durch mehr Home Office

Forrester-Sicherheitsstudie erkennt steigende Risiken durch coronabedingte Home-Office-Strukturen. Im Auftrag von BeyondTrust hat Forrester Research untersucht, welche Auswirkungen für die IT-Sicherheit durch die großflächige und coronabedingte Umstellung auf Home-Office-Strukturen zu erwarten sind. Im Rahmen der Studie »Evolving Privileged Identity Management (PIM) in the Next Normal« hat Forrester Research dafür im November 2020 insgesamt 320 IT- und…

Von der Zielscheibe zur Festung: Cloud-Software bringt kleinen Betrieben Sicherheit 

Wer denkt, sein Unternehmen ist zu klein und daher für Hacker kein lohnendes Ziel, liegt falsch. Denn nicht nur große Betriebe und Einrichtungen von öffentlichem Interesse sind von Cyberangriffen betroffen. Auch kleine Firmen oder Startups fallen ihnen immer häufiger zum Opfer. Die Cloud kann hier Abhilfe leisten: Provider von Cloud-Software und -Infrastrukturen ermöglichen Unternehmen ohne…