Compliance auf Kosten der IT-Sicherheit?
Ein Händler, der seiner Bank einen finanziellen Schaden von mehreren Milliarden Euro zufügt oder ein Geldinstitut, dessen Mitarbeiter unerlaubt Daten an Behörden weitergibt und das den Verursacher nicht mehr ermitteln kann, weil eine Protokollierung der Zugriffe auf die IT-Systeme fehlt – Schwachstellen beim Identitätsmanagement und seinen Rahmenbedingungen können für Unternehmen fatale Folgen haben. Nach einer aktuellen Studie des CERT (Computer Emergency Response Team der Carnegie Mellon University in den USA) hatte die Hälfte der in ähnlichen Fällen überführten Innentäter während der Tat autorisierten System- bzw. Netzzugang. Die meisten dieser Taten (73 %) wurden durch arbeitsbezogene Ereignisse ausgelöst, wobei mehr als der Hälfte der Innentäter „Rache“ als Motiv nannte.
Völlig ausschließen lassen sich solche Situationen nie. Doch um das Risiko zu minimieren müsste Unternehmen eigentlich sehr daran gelegen sein, entsprechende organisatorische und technische Maßnahmen zu treffen. Und auch die wachsende Bedeutung des Themas „Compliance“ sollte eigentlich dafür sorgen, dass die IT-Sicherheit wieder mehr in den Vordergrund rückt.
(Abb1.: Fünf „C“ für sichere Identitäten in einer vernetzten Welt)
Die Realität sieht allerdings ganz anders aus. Denn in vielen Firmen ist ein Zustand allgemeiner Sicherheit nicht mehr länger das eigentliche Ziel der Bemühungen. Vielmehr spielt oft nur noch die adäquate Einhaltung der Compliance-Richtlinien eine Rolle, damit die Checklisten der Unternehmensprüfer ohne Probleme abgehakt werden können. Und angesichts fehlender Ressourcen bedeutet dies oft genug faule Kompromisse zwischen Compliance und IT-Sicherheit. Ein fataler Fehler, denn Sicherheit hat bei weitem nicht nur die Aufgabe, Geschäftsprozesse vor „bösen Buben“ zu schützen. Ganz im Gegenteil. Allzu oft wird vergessen, dass bestimmte Sicherheitsrahmenbedingungen überhaupt erst neue Möglichkeiten eröffnen, Geld zu sparen oder zu verdienen.
Intelligentes Rollenmanagement
Ein intelligent umgesetztes „Wer-darf-Was“ in einem Unternehmen, in einer Behörde, einer Universität oder einem Krankenhaus beispielsweise geht in der Regel weit über den reinen Schutzaspekt hinaus, den man im Allgemeinen mit dem Thema „Sicherheit“ verbindet. Es ist nicht notwendiges Übel, sondern notwendige Rahmenbedingung für eine schlagkräftige und flexible Organisation mit Rollen, Rechten und Regeln für ihre handelnden Personen. Dies ist insbesondere von großer Bedeutung, wenn ein umfassende Zusammenarbeit („Collaboration“) stattfindet.
(Abb2: Trusted Identity Management für sicherste E-Business Anforderungen)
In der elektronischen Welt der Anwendungen und Workflows bildet man diese Rollen, Rechte und Regeln mit Hilfe von digitalen Identitäten ab, die vielfach noch aus der altmodischen Kombination von Kennung und Passwort bestehen, was eine Vielzahl von Problemen schafft:
- Administratoren und Helpdesk-Mitarbeitern wächst die Arbeit über den Kopf, denn Passworte werden allzu leicht vergessen und müssen zurückgesetzt werden. Das verursacht unnötige Kosten – nach vorsichtigen Schätzungen rund 100 Euro pro Mitarbeiter und Jahr.
- Passwörter sind nicht immer sicher, denn allzu leicht können sie weitergegeben werden. Ein Verhalten, das immer wieder zu schwerwiegenden Sicherheitslücken führt.
- Sich Passwörter zu merken, ist für viele Anwender ein großes Problem, denn die Zahl der digitalen Anwendungen nimmt in den Organisationen stetig zu.
Während im Innenverhältnis also der Kostendruck die Sicherheitsinfrastruktur zu mehr Effizienz treibt, so sind im Außenverhältnis andere Motive im Spiel. Organisationsübergreifende Geschäftsprozesse sind längst nicht mehr nur auf EDI (Electronic Data Interchange) beschränkt und selbst EDI wird immer mehr über das Internet betrieben. Das zeigt der Siegeszug von AS/2 (Applicability Statement 2), vor allem in der Handelsbranche, wo das http- oder https-Protokoll – also die Kerntechnologie des World Wide Web – inzwischen häufig zum Datenaustausch genutzt wird. Und auch E-Business- oder Collaboration-Anwendungen sind ohne Sicherheitsrahmenbedingungen undenkbar. Auch hier ist neben dem Schutzaspekt Vertraulichkeit und Verbindlichkeit die zweite Seite der Medaille.
Wertschöpfung berücksichtigen
Sicherheitsrahmenbedingungen im Innen- wie im Außenverhältnis sollten allerdings nicht auf die technische Infrastrukturseite beschränkt sein. Dies bringt oft deshalb keinen echten Mehrwert, weil die Geschäftsprozesssicht, also der eigentliche Wertschöpfungsprozess, unberücksichtigt bleibt. E-Mail-Verschlüsselung und Signatur alleine haben deshalb beispielsweise den „Public Key Infrastrukturen“ (PKIs) nicht zum Durchbruch verholfen. Denn der geschäftliche Mehrwert an sich fehlt hier auf den ersten Blick. Erst die sinnvolle Verknüpfung von technischen Mechanismen mit geschäftlichen Anforderungen zeigt mögliche Nutzenpotenziale auf. Dies gilt für moderne Sicherheitstechnologien genauso, wie für andere technische Einsatzfelder. Der Anwender fragt nach dem Nutzen – nicht nach der Technik.
Dieser Nutzeffekt kann dabei durchaus nach Einsatzfall oder branchenspezifisch variieren. So dominieren im Firmenumfeld beispielsweise besonders die Kostenaspekte. Bei Behörden können dagegen andere Argumente, wie die spezifischen Anforderungen an den Datenschutz oder die Rechtssicherheit, entscheidend sein. In regulierten Branchen wie der Pharmaindustrie oder den Banken dagegen, kommen meist weitere spezifische Compliance-Anforderungen dazu. In der Universität oder beim E-Government wiederum spielen zunehmend virtuelle Prozesse bei trotzdem großer Verbindlichkeit eine wichtige Rolle, während im Gesundheitswesen Nachvollziehbarkeit und Datenschutz bei allen Kostenaspekten durch elektronische Verfahren von entscheidender Bedeutung sind.
(Abb3: TISA - Totally Integrated Security Architecture)
Allen Anforderungen ist jedoch eines gemeinsam: Die Sicherheit einer elektronischen Identität, ihrer zweifelsfreien Zuordnung an die Person und ihre Verwaltung muss viel näher an die Anforderungen des Geschäftsprozesses rücken als dies bisher der Fall war. Denn Sicherheit kann nicht im „Huckepack-Verfahren“ auf die Anwendungen gesetzt werden, sondern muss ihr integraler Bestandteil sein. Erst damit ist sie sinnvolles Mittel zum Zweck geworden, angemessen Geschäfte elektronisch abzuwickeln. Erst damit wird Sicherheit wirklich zum Business-Enabler.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER