Compliance braucht keine Magie, sondern nur die richtigen Methoden und Tools. Die Realität sieht in vielen Unternehmen jedoch anders aus: Die ausufernde Komplexität der Regelwerke erweist sich in der Praxis als eines der Haupthindernisse für nachweisbare Compliance mit internen und externen Vorschriften. Das ist umso prekärer, als in vielen Branchen der Audit- und Zertifizierungsdruck wächst.
Eine Lockerung der Regulierungsschraube ist nirgendwo in Sicht - sie wird in Zukunft eher noch fester angezogen. So steht die Finanzwirtschaft spätestens seit der Bankenkrise unter verschärfter Kontrolle.
In Deutschland steigt die Zahl der Audits, in denen Kreditinstitute gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nachweisen müssen, dass sie die "Mindestanforderungen an das Risikomanagement" (MaRisk) erfüllen.
So ein Audit ist alles andere als ein Routinetermin, denn es steht viel auf dem Spiel: Bei MaRisk-Verstößen drohen mitunter harte Sanktionen - nicht nur Verwarnungen und Geldbußen, sondern schlimmstenfalls auch der Lizenzentzug.
Foto: Computacenter
Regulationsdruck: Keine Entspannung in Sicht
Untätig waren die meisten Unternehmen beim Thema Compliance auch in der Vergangenheit nicht. Im Gegenteil: In großen Banken ist mitunter ein ganzer Compliance-Stab mit der Übersetzung nationaler und internationaler Vorgaben in unternehmensinterne Richtlinien befasst. Bei einer deutschen Großbank umfasst das daraus entstandene Regelwerk beispielsweise fast 700 Einträge, die überdies an weltweit rund 70 Standorten zur Anwendung kommen sollen.
Ähnlich gigantische Dimensionen weist bei einem namhaften Automobilhersteller allein das Regel-Kompendium für IT-Sicherheit auf - nämlich knapp 1.300 Einträge. IT-Systeme gelten in der Automobilindustrie zunehmend als kritischer Compliance-Faktor. Denn einerseits funktioniert die Lieferkette mittlerweile so integriert, dass die Systeme von Auftraggebern und Zulieferern vielerorts automatisch miteinander interagieren. Auf der anderen Seite dringt die Digitalisierung mit rasantem Tempo immer weiter in produktionsnahe Bereiche vor.
Die Folge: Fallen Server im Rechenzentrum aus, steht möglicherweise eine komplette Fertigungslinie still. Kein Wunder also, dass sich Zertifizierungen in dieser Branche verstärkt auch auf die IT-Landschaft beziehen. Schließlich müssen Abnehmer die Verfügbarkeit und Compliance auch in ihrer verlängerten Werkbank sicherstellen.
Heute findet man in fast allen großen Unternehmen eine zentrale Anlaufstelle für alle IT-bezogenen Compliance-Fragen: den Compliance Manager beziehungsweise Chief Information Security Officer oder auch ein ganzes Compliance-Team. Ihre Aufgabe besteht vorrangig darin, externe Anforderungen zu sichten und relevante Regularien in interne Unternehmensrichtlinien umzuformulieren.
Für eine Großbank sind hierbei nicht nur die hiesigen MaRisk relevant, sondern auch ähnliche nationale Vorschriften all jener Länder, in denen sie Niederlassungen unterhält. In Fernost wären das etwa die Technology Risk Management Guidelines (TMRG) der Monetary Authority of Singapore.
- IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten. - RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen. - RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren. - Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen. - NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.
Schwammige Definitionen
Vergleichsweise unproblematisch sind solche Vorgaben, die für einen klar umrissenen Prozessbereich den geforderten Sicherheitsstandard präzise definieren und zugleich vorschreiben, welche Schutzvorkehrungen dafür an welcher Stelle zu implementieren sind.
Das trifft zum Beispiel auf den Payment Card Industry Data Security Standard PCI-DSS zu, der für die Systemsicherheit bei der Abwicklung von Kreditkartentransaktionen eine Rolle spielt. Derart eindeutig gefasste Vorgaben sind jedoch eher die Ausnahme - der Großteil aller Regularien ist stattdessen in hohem Grade interpretationsbedürftig.
In Anlage 1 der 2012 novellierten MaRisk-Fassung ist beispielsweise folgender Satz zu lesen: "Zumindest bei IT-Berechtigungen und Zeichnungsberechtigungen in Verbindung mit Zahlungsverkehrskonten wird eine mindestens jährliche, bei kritischen IT-Berechtigungen eine mindestens halbjährliche Überprüfung erwartet."
Was dabei als kritisch versus unkritisch einzustufen ist - das bleibt der Interpretation der Compliance-Verantwortlichen in Banken vorbehalten. Sie müssen selbst entscheiden, ob sie die Zugriffsrechte von Administratoren kritischer oder weniger kritisch als etwa die Applikationsberechtigungen in Fachabteilungen einstufen. Danach können sie nur noch hoffen, dass beim nächsten Stresstest der BaFin-Auditor ihre Sichtweise teilt.
Kritische Situationen beim Audit
Geprüft wird im Übrigen nicht in der Compliance-Abteilung, sondern stets auf operativer Ebene. Dabei fragen Auditoren auch nicht nach internen Unternehmensrichtlinien, sondern interessieren sich ausschließlich für die nachweisliche Umsetzung der zugrunde liegenden externen Anforderungen. Nur weiß in der IT-Abteilung meist niemand, ob diese oder jene Berechtigungsrichtlinie ihren Ursprung in MaRisk, TRMG oder irgendeiner anderen externen Vorschrift hat.
Umso schwieriger wird es, während des Audits einen konkreten Konformitätsnachweis zu führen. Erschwert wird diese Problematik noch dadurch, dass der Dialog zwischen Compliance- und IT-Verantwortlichen in den meisten Unternehmen noch zu wünschen übrig lässt.
Das wiederum hängt mit einer verfehlten Aufgabenverteilung zusammen: Die Interpretation der Regularien und ihre praktische Umsetzung im Alltag fallen in strikt getrennte Zuständigkeitsbereiche. Das Compliance-Team strebt naturgemäß nach Vollständigkeit und nimmt dabei oft sorglos Redundanzen in Kauf, da die praktische Umsetzung ja anderen obliegt. Das erklärt auch die aufgeblähten Ausmaße vieler Unternehmensregelwerke.
Abhilfe kann hier nur ein pragmatischer Ansatz schaffen, der die Vielzahl von Richtlinien und Regularien direkt mit den davon betroffenen Unternehmensprozessen verzahnt. Das wiederum klingt nach jahrelanger Sisyphusarbeit - muss aber nicht sein.
- IT-Grundschutz
Die IT-Grundschutz-Kataloge werden vom BSI regelmäßig ergänzt. Noch sind allerdings nicht alle Maßnahmen und Empfehlungen für Cloud Computing enthalten. - RSA Archer: SOX-Compliance
Unternehmen müssen eine Vielzahl von Standards und Compliance-Vorgaben befolgen und die Einhaltung nachweisen, zum Beispiel SOX oder bestimmte EU-Vorgaben. Lösungen wie RSA Archer können dabei helfen. - RSA Archer: Cloud-Standards
Auch für Cloud Computing gibt es zahlreiche Vorgaben und Empfehlungen, zum Beispiel von der Cloud Security Alliance (CSA). Bestimmte Cloud-Standards sind bereits in Lösungen wie RSA Archer abgebildet. Abschließende europäische oder internationale Cloud-Standards sind allerdings noch nicht verabschiedet. Unternehmen sollten deshalb zusätzlich interne Vorgaben zum Cloud Computing definieren. - Verinice: Vorgabenkatalog
Eine Lösung wie Verinice unterstützt insbesondere bei der Umsetzung von IT-Grundschutz, kann aber auch um weitere Compliance-Vorgaben ergänzt werden. So könnte ein Unternehmen auch einen eigenen Vorgabenkatalog zur Nutzung von sozialen Netzwerken hinterlegen. - NogLogic: Policy Management
Interne Richtlinien können bei einer Lösung wie NogaLogic zum Beispiel genau festlegen, was mit unstrukturierten Daten passieren soll, um diese besser zu schützen. Solche internen Policies fassen Vorgaben aus Standards genauer oder ergänzen diese.
Auf kürzestem Weg zur Compliance
In der Beschreibung des Problems steckt bereits der Kern der Lösung: Wer schlaflose Nächte vor künftigen Audits vermeiden will, muss in der Lage sein, Compliance-relevante Vorgaben direkt auf all diejenigen Unternehmensprozesse zu beziehen, die von der jeweiligen Vorgabe betroffen sind.
Um dieses Ziel auf kürzestem Wege zu erreichen, hat Computacenter eine umfassende Methodik erarbeitet, deren Ausgangspunkt ein sogenanntes Control Backbone ist. Man kann sich dieses Rückgrat als einen Strahl vorstellen, an dem alle relevanten IT-Security-Themen gleichsam angeheftet sind - zum Beispiel Netzwerksicherheit oder Authentisierung. Eine gute Themengliederung liefert in diesem Kontext ISO 27001, Annex A.
Im nächsten Schritt werden alle einschlägigen Regularien auf IT-Security-Themen durchgesehen: Dabei wird jede relevante Einzelanforderung im Control Backbone dem entsprechenden Themenbereich zugeordnet. Bei der obigen Beispielbank betrifft das also unter anderem die deutschen MaRisk und die singapurischen TRMG. Da Computacenter derartige Zuordnungen in etlichen Kundenprojekten bereits für viele Regularien vorgenommen und einer Datenbank hinterlegt hat, ist dieser Arbeitsschritt meist schon zu Projektbeginn so gut wie erledigt.
Anschließend kommen die unternehmenseigenen Richtlinien an der Reihe: Sie werden auf die gleiche Weise durchforstet und im Control Backbone thematisch zugeordnet. An dieser Stelle treten meist jene Redundanzen zutage, die für den unbeherrschbaren Umfang mancher Regelwerke verantwortlich waren. Im letzten Schritt schließlich gilt es zu erfassen, ob und wie die technischen und organisatorischen Richtlinien von den Abteilungen im Alltag tatsächlich umgesetzt werden.
Zur Prüfung technischer Regeln setzt Computacenter einen datenbankbasierten Scanner ein. Damit lässt sich für die gesamte IT-Landschaft automatisch die Einhaltung bestimmter Policies untersuchen - etwa, ob in der Konfiguration aller UNIX- und Windows-Server ein achtstelliges Passwort erzwungen wird oder ob Gast-Accounts deaktiviert sind. Zur Verifikation organisatorischer Richtlinien haben sich demgegenüber standardisierte Fragebögen bewährt.