extra Sich wappnen gegen Verstöße Security Compliance hat sich zu Compliance und Sicherheitsmanagement Veranstaltungen

Transkript

1 Unterstützt von: Eine Sonderveröffentlichung der Heise Zeitschriften Verlag GmbH & Co. KG extra Security Compliance und Sicherheitsmanagement Gesetzliche Vorgaben koordinieren Sich wappnen gegen Verstöße GRC-Plattformen für IT-Compliance- und IT-Risikomanagement Stringente Prozesse offenbaren Risiken Vorschau Drucken, Scannen, Archivieren Multifunktionsgeräte Veranstaltungen 5.ˇ ˇ7. März 2013, Hannover CeBIT 22.ˇ ˇ23. März 2013, Heidelberg ix-workshop: Metasploit Das Penetration-Testing-Framework 23.ˇ ˇ25. April 2013, London Infosecurity Europe 14.ˇ ˇ16. Mai 2013, Bonn BSI: 13. Deutscher IT-Sicherheitskongress ix extra Security zum Nachschlagen: Seite I Seite II Seite VIII Security Sich wappnen gegen Verstöße Gesetzliche Vorgaben koordinieren Compliance muss häufig als eines der wichtigsten Argumente für die Anschaffung eines Sicherheits - produkts herhalten. Da in der Regel alle Bereiche eines Unternehmens von Vorgaben aus Gesetzen und sonstigen Quellen betroffen sind, wird das Compliance- Management meist als Querschnittdisziplin ausgelegt und muss sehr unterschiedliche Aspekte abdecken. Compliance hat sich zu einem beliebten Marketingbegriff in der IT-Sicherheitsbranche entwickelt, lässt sich damit doch prima um Aufmerksamkeit buhlen. Im Unternehmensumfeld bezeichnet sie in erster Linie die Einhaltung der geltenden gesetzlichen, behörd - lichen, vertraglichen oder sons - tigen relevanten externen Vor - gaben. Ziel ist es, Verstöße und damit Strafen zu vermeiden. Im weiteren Sinne bedeutet Compliance aber auch die Einhaltung interner Richtlinien, die sich das Unternehmen selbst auferlegt. Mit einem strukturierten Compliance-Management möchte ein Unternehmen Verstöße vermeiden beziehungsweise sicherstellen, dass eingetretene Verstöße erkannt, geeignet behandelt und Wiederholungen künftig vermieden werden. Da in der Regel alle Bereiche eines Unternehmens von verschiedenen Vorgaben betroffen sind, legt man das Compliance- Management meist als Querschnittdisziplin aus. Das Identifizieren und Sicherstellen der Einhaltung von Anforderungen mit Bezug zur IT- und Informationssicherheit ist somit nur ein Teilaspekt des gesamten Compliance-Managements. Betrachtet man den Aspekt Compliance aus dem Blick - winkel eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001, ist das Ermitteln und Berücksichtigen gesetzlicher und regulatorischer Anforderungen, die die Sicherheit von Informationen und der informationsverarbeitenden Systeme gewährleisten, explizit Bestandteil des Standards. Auch der BSI-Standard 100-2, der die IT-Grundschutzvorgehensweise beschreibt, sieht ausdrücklich die Ermittlung der gesetzlichen Rahmenbedingungen mit Auswirkung auf die Informations - sicherheit vor und empfiehlt bei der Schutzbedarfsermittlung auch die Betrachtung von Schadensszenarien, die aus einem Verstoß gegen Gesetze et cetera resultieren können. Für die innerhalb eines ISMS zu ermittelten Maßnahmen zur IT- und Informationssicherheit bedeutet dies in der Konsequenz, dass es nicht genügt, Sicherheitsmaßnahmen ausschließlich risikoorientiert herzuleiten aus herkömmlichen Bedrohungen, die die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen beziehungsweise informationsverarbeitenden Systemen gefährden. I

2 individueller Bedrohungskatalog individuelle Risikoanalyse z. B. nach ISO Einzelrisiken z. B. IT-Grundschutz z. B. BDSG, PCI-DSS anerkannter Best-Practice- Katalog reguläre/gesetzliche Vorgaben Informationssicherheitsmanagement bedrohungsmotivierte Sicherheitsmaßnahmen Compliancemotivierte Sicherheitsmaßnahmen Compliance- Management Bauchgefühl / Erfahrung bedrohungsmotiviert (Sicherstellung C/I/A) Verschiedene Vorgaben dienen als Auslöser für Sicherheits - maßnahmen in Unternehmen (Abb.ˇ1). Zusätzlich ist es eben auch erforderlich, die gesetzlichen, regulatorischen und sonstigen externen Anforderungen zu kennen und die daraus gegebenenfalls resultierenden Sicher heits maßnahmen einzuleiten, selbst wenn die herkömmliche Bedrohungs- und Risikoanalyse diese Maßnahme möglicherweise nicht naheliegend erscheinen lässt. In der Praxis kommt der zuletzt genannte Bereich leider häufig zu kurz. Oft existiert innerhalb des ISMS nicht einmal die Möglichkeit, die relevanten gesetzlichen und regulatorischen Anforderungen mit IT-Sicherheitsmaßnahmen Bezug zur Informationssicherheit nachvollziehbar zu er - mitteln. Die Praxiserfahrung zeigt, dass hier in vielen Unternehmen Nachholbedarf vorhanden ist. Relevante Regelwerke Compliance-motiviert (Vermeidung/Verstoß) Zwischen Sicherheits- und Compliance-Manage ment gibt es eine Schnittmenge. Die Kunst besteht darin, die Maßnahmen für beides zu koordinieren und das passende Werkzeug zu finden (Abb.ˇ2). Beispiele für gesetzliche, regulatorische oder sonstige externe Anforderungen mit unmittelbarem Bezug zur IT- und Informationssicherheit sind das Bundesdatenschutzgesetz (BDSG), die Mindestanforderungen an das Risikomanagement der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für Unternehmen im Umfeld von Finanzdienstleistungen oder der Payment Card Industry Data Security Standard (PCI-DSS) für Unternehmen, die Kreditkartentransaktionen abwickeln. Letzte rer fordert beispielsweise ganz konkret die Anwendung einer Zweifaktor- Authentifizierung bei Remote- Access-Zugriffen ins Unternehmensnetzwerk. Die inhaltliche Überlappung des meist interdisziplinär ausgeprägten Compliance-Managementsystems im Unternehmen mit dem Informationssicherheits-Managementsystem muss sich zwangsläufig in der organisatorischen Ausprägung der Managementsysteme niederschlagen. Beispielsweise müssen die Schnittstellen zwischen dem ISMS und dem Compliance-Managementsystem klar definiert sein, und die Verantwortlichkeiten und Zuständigkeiten des Compliance Officers und des Information Security Officers müssen sauber abgegrenzt werden. Auch wenn es um die Auswahl eines unterstützenden Werkzeugs für das Compliance- und Sicherheitsmanagement geht, sollte man sich der Überlappungen bewusst sein. Das bedeutet, für beide Managementsysteme muss man ein gemeinsames Werkzeug auswählen und in den Auswahl prozess somit auch alle Seiten einbeziehen. (ur/sf) Steffen Gundel ist Leitender Berater bei der cirosec GmbH. Stringente Prozesse offenbaren Risiken GRC-Plattformen für IT-Compliance- und IT-Risikomanagement GRC-Tools sollen Unternehmen dabei unterstützen, Compliance-Vorgaben zu erfüllen sowie Risiken in Unternehmen besser zu kennen und sie gezielt zu reduzieren. Der ganzheitliche Ansatz solcher Produkte lässt sich am Beispiel des IT-Risiko- und des IT-Compliance-Managements zeigen. Unternehmen müssen aus verschiedenen Gründen Sicherheitsmaßnahmen ergreifen sei es im Compliance-Management, um gesetzliche oder regulatorische Anforderungen einzuhalten, oder im Rahmen des IT-Sicherheitsmanagements, um sich vor Bedrohungen zu schützen, die durch den Einsatz von IT entstehen können. In den Unternehmen bestehen große Unterschiede in der Vorgehensweise bei der Maßnahmenermittlung, insbesondere wenn es um tatsächliche oder gefühlte IT-Sicherheits risiken geht. Häufig entscheiden die Verantwortlichen hier immer noch ohne vorherige strukturierte Ermittlung der vorhandenen Bedrohungen über Sicherheitsmaßnahmen. Leider bleibt bei dieser Vorgehensweise aus dem Bauch heraus in der Regel unklar, ob die Maßnahmen wirklich aus - reichend sind, dem Risiko also angemessen entgegenwirken. Umgekehrt ist unklar, ob der Umfang der ergriffenen Maßnahmen tatsächlich notwendig ist oder möglicherweise an der falschen Stelle investiert wurde. Eines der Ziele des Risiko - manage ments in der IT ist das strukturierte, transparente und nachvollziehbare Ermitteln von Risiken, die durch den Einsatz von IT entstehen. Nur dieses Vorgehen kann dem Management eine solide Entscheidungsgrundlage liefern, ob esextra II ix extra 3/2013

3

4 ein Risiko akzeptieren kann oder ob entsprechende Gegenmaßnahmen zu ergreifen und wie diese zu priorisieren sind. Über dieses Ziel ist man sich in der Praxis überall einig, nur die Umsetzung ist oft mit vielen Hindernissen gepflastert. IT- GRC-Werkzeuge versprechen hier Vereinfachung und Qualitätssteigerung. Bei einer näheren Betrachtung des IT-Risikomanage - mentprozesses in Unternehmen lassen sich häufig zwei Hauptprobleme ausmachen: Kaum jemand hat den Gesamtüberblick, welche Risiken derzeit am kritischsten sind, welche Restrisiken nach der Einführung von Maßnahmen übrig bleiben und wer diese Restrisiken akzeptiert und somit die Verantwortung dafür übernommen hat. Es fehlt also an Transparenz und Nachvollziehbarkeit und damit an der Grundlage für ein aussagekräftiges Reporting. Darüber hinaus erfolgt das Erfassen der für die Risikoermittlung benötigten Basisinformationen wie die zugrundeliegenden Assets, die relevanten Bedrohungen oder etablierten Gegenmaßnahmen häufig manuell und bei jedem Bewertungszyklus aufs Neue. Diese Vorgehensweise ist mit einem hohen Zeitaufwand behaftet, umfasst Frustpotenzial für alle Beteiligten und erscheint für einen außenstehenden Betrachter ineffizient. Eine Ursache hierfür ist unbestritten die hohe Komplexität moderner IT-Landschaften. Viele weitere Ursachen sind jedoch hausgemacht. Beispielsweise arbeiten die verschiedenen Bereiche oder Abteilungen eines Unternehmens, die Risiken betrachten, oft unabhängig von - einander. Dies führt dann dazu, dass diese Bereiche zum Beispiel das IT-Risikomanagement, die Revision und die Fachabteilungen eigenständig Daten erfassen, mit eigenen Methoden Überprüfungen durchführen beziehungsweise Risiken oder den Compliance-Status ermitteln, dafür eigene Werkzeuge verwenden und anschließend jeweils individuell aufgebaute Berichte erstellen. Neben einer mangelnden Vergleichbarkeit der Ergebnisse ist diese Vorgehensweise auch sehr ineffizient, da häufig dieselben Objekte (z.ˇb. IT-Services) Gegenstand der Untersuchung sind, sodass die zuständigen Personen (z.ˇb. Service-Verantwortliche) mehrfach befragt werden und ein redundanter Datenbestand entsteht. Ein weiteres verbreitetes Problem im täglichen Risikound Compliance-Management ist die Verwendung von nur eingeschränkt geeigneten Werkzeugen wie etwa Excel. Solche Tools unterstützen beispiels - weise keine Workflow-gestützte Vorgehensweise mit mehreren beteiligten Gruppen und individuellen Sichten auf die Daten (von einer granularen Vergabe von Berechtigungen oder einer Nachvollziehbarkeit von Änderungen ganz zu schweigen) und führen zu einer Unmenge von kaum übergreifend aus - wert baren Dateien auf dem File-Server des jeweiligen Bereichs. GRC ein ganzheit - licher Ansatz Viele dieser Schwierigkeiten kann man heute mit dem Einsatz sogenannter IT-GRC-Werkzeuge angehen und zum Teil vollständig beseitigen. GRC steht für Governance, Risiko und Compliance und ist zunächst ein ganzheitlicher Managementansatz, der sicherstellt, dass eine Organisation sich gemäß ihrer Risikobereitschaft sowie interner und externer Vorgaben verhält. Typische GRC-Prozesse sind somit beispielsweise die Dokumentation von Managemententscheidungen, das Bereitstellen von Kennzahlen und Entscheidungsvorlagen für das Management, Durch die Verknüpfung von Objekten lassen sich die hierarchischen Strukturen im Unternehmen abbilden. Sie ermöglichen es einem Werkzeug, das Gesamtrisiko von den IT-Systemen bis hin zu den Geschäftsprozessen transparent zu machen (Abb.ˇ1). Quelle: Cirosec ein proaktives Risikomanagement, das Identifizieren geltender Gesetze, Regularien und Vorschriften einschließlich einer regelmäßigen Prüfung auf Einhaltung oder das aktive Verfolgen von Maßnahmen aus Risikoanalysen und Audits. Den Begriff IT-GRC benutzt man, wenn diese Prozesse und Prinzipien im Management der IT- und Informationssicherheit angewendet werden. IT-GRC- Werkzeuge haben das Ziel, die genannten Prozesse innerhalb der verschiedenen Aufgabenbereiche der IT- und Informationssicherheit zu unterstützen. Neben der IT existieren sehr viele weitere Anwendungsgebiete für GRC-Werkzeuge. Überall dort, wo im Unternehmen Compliance ein Thema ist, Risiken betrachtet oder Kennzahlen benötigt werden, kann der Einsatz dieser Werkzeuge sinnvoll sein, beispielsweise im Finanz- Risikomanagement oder im unternehmensweiten Risikomanagement. Die beiden großen US-Marktforscher Gartner und Forrester unterscheiden bei GRC zwischen den Marktsegmenten Enterprise GRC und IT- GRC, jedoch sind die Grenzen in der Praxis oft fließend. Herkömmliche IT-GRC-Werkzeuge sind speziell auf das Informationssicherheitsmanagement ausgerichtet und verfügen beispielsweise über technische Schnittstellen in die IT oder bringen von Haus aus bereits ITrelevante Control-Kataloge mit. Die meisten sind jedoch so flexibel, dass sie beispielsweise auch im Enterprise-Risk-Management eingesetzt werden können und auch werden. Am Beispiel des IT-Risikomanagements und des IT-Compliance-Managements soll hier die grundsätzliche Funktionsweise von IT-GRC-Lösungen beschrieben werden. IT-GRC-Produkte bieten jedoch über das eigent - liche Risiko- und Compli ance- Management hinausgehende Unterstützungsmöglichkeiten, beispielsweise beim Erfassen und Bearbeiten von Security Incidents oder bei der Verwaltung von Sicherheits-Policies. Bei Letzteren unterstützen die Pro- Extra IV ix extra 3/2013

5

6 ANBIETER VON GRC-WERKZEUGEN Hersteller Produkt Webseite Agiliance RiskVision OpenGRC Approva Approva One avedos risk2value BWise GRC Platform C1:Solutions GRC CA GRC Manager CrossIdeas IDEAS CURA Software GRC Platform egestalt SecureGRC EMC RSA Archer ecrc IBM Tivoli Compliance Insight www-01.ibm.com/software/at/itsolutions/security/ MEGA GRC MetricStream GRC Modulo Solutions Risk Manager NetWrix NetWrix All-in-One Suite Open Text GRC-Suite Oracle Fusion GRC SAP GRC SAS Enterprise GRC Software AG ARIS Tagetik Tagetik 4 Thomson Reuters Enterprise GRC accelus.thomsonreuters.com/solutions/ TraceSecurity tracecso WMC QSEC-Suite Die Übersicht erhebt keinen Anspruch auf Vollständigkeit. dukte zum Beispiel das Versionsmanagement, die nachvollziehbare Verteilung der Policy an Endbenutzer oder die Verwaltung und Dokumentation von Policy-Ausnahmen. Bevor man das IT-GRC- Werkzeug für die Unterstützung von Risikoanalysen sinnvoll einsetzen kann, müssen die im Rahmen der Risikoanalysen zu betrachtenden Objekte einmalig im System hinterlegt beziehungsweise über die vorhandenen Schnittstellen eingelesen werden. Je nach Unternehmensorganisation, Aufgabenstellung und Betrachtungstiefe kann es sich bei den Objekt - typen zum Beispiel um Gebäude, IT-Systeme, Applikationen, IT-Services, IT-gestützte Geschäftsprozesse oder um organisatorische Einheiten handeln. Die Produkte bieten in der Regel zusätzlich die Möglichkeit, die verschiedenen Objekte hierarchisch miteinander in Beziehung zu setzen. Beispielsweise könnten auf der obersten Betrachtungsebene die Geschäftsprozesse angeordnet werden. Diesen ordnet man dann jeweils die sie unterstützenden Anwendungen unter und diesen ordnet man wiederum die IT-Systeme bei, denen man die Anwendungen laufen (Abb.ˇ1). So entstehen hierarchische Strukturen, die es dem Werkzeug später etwa ermöglichen, Risiken von den IT-Systemen zu den Anwendungen und von den Anwendungen bis ganz nach oben zu den Geschäftsprozessen zu transportieren und so dem Management das Gesamt - risiko transparent zu machen. Viele deutsche und europäische Unternehmen führen detaillierte IT-Risikoanalysen in Anlehnung an den Standard ISO/IEC durch. Bei diesem Ansatz werden stark vereinfacht zunächst strukturiert die Schwachstellen und Bedrohungen ermittelt und bewertet. Für jedes errechnete Risiko ist dann zu entscheiden, wie man damit umgeht. Auswahl und Bewer - tung der Bedrohungen IT-GRC-Produkte, die diesen Ansatz unterstützen, arbeiten grundsätzlich folgendermaßen: Aus im Produkt hinterlegten Schwachstellen- und Bedrohungskatalogen wählt der Anwender zunächst die für das betrachtete Objekt relevanten Schwachstellen und Bedrohungen aus. Die Hersteller liefern hier in der Regel fertige Kataloge mit, beispielsweise basierend auf den im Anhang C des ISO/IEC enthaltenen Bedrohungen. Es lassen sich aber auch eigene Kataloge entwickeln und hinterlegen. Im nächsten Schritt ermöglicht das GRC-Werkzeug die Bewertung der Bedrohungen, etwa im Hinblick auf den daraus resultierenden Schaden und die Wahrscheinlichkeit für ein Schadensereignis. Die jeweiligen Werte können Anwender entweder direkt aus einer Auswahlliste auswählen oder anhand eines hinterlegten Fragenkatalogs ermitteln. Anschließend berechnet das Werkzeug über ebenfalls hinterlegte Formeln das zur Bedrohung gehörende Risiko. Einige Produkte geben hier eine starre, nicht durch den Anwender anpass - bare Berechnungsmethodik vor (zum Beispiel Produkt von Eintrittswahrscheinlichkeit und Schaden), andere wiederum sind aufgrund ihrer Architektur so flexibel, dass man beliebige Formeln hinterlegen kann und somit die Abbildbarkeit der im Unternehmen eingesetzten Methodik zur Risikoermittlung sichergestellt ist. Hat das Tool (Rest-)Risiken ermittelt, muss das Unternehmen im nächsten Schritt für jedes Risiko entscheiden, ob das Management es trägt oder es durch entsprechende Maßnahmen auf ein akzeptables Maß gemindert werden soll. GRC- Werkzeuge ermöglichen in dieser Phase beispielsweise die Dokumentation dieser Entscheidung sowie die Verwaltung der beschlossenen Aktivitäten zur Risikominderung. Neben dem Erfassen der Aktivitäten unterstützen die Werkzeuge ähnlich wie ein Ticketing-System meist auch deren Verteilung an den verantwortlichen Personenkreis und die Erledigungsverfolgung. Gängige Funktionen sind etwa die Pflege des Erledigungs - status oder eine automatische Erinnerung vor Fälligkeit der Aufgabe. In GRC-Werkzeugen kann man nicht nur Bedrohungs - kataloge, sondern auch Control-Kataloge hinterlegen. Auch hier liefern die Hersteller von IT-GRC-Lösungen meist fertige Kataloge mit, die beispiels - weise die Controls aus den ISO-Standards 27001/27002, der IT-Grundschutzkataloge oder des PCI-DSS enthalten oder sich an den CobiT Control Objectives orientieren. Die Verantwortlichen können aber auch beliebige unternehmensspezifische Kataloge ergänzen, etwa die in einer internen Sicherheitsrichtlinie enthaltenen Vorgaben oder die technischen Maßnahmen aus einer Härtungsanleitung. Im Rahmen eines toolgestützten Control-Assessments ist es nun möglich, den Umsetzungsgrad der einzelnen Controls auszuwählen oder anzugeben. Anhand einer hinterlegten Logik kann das Werkzeug dann den Compliance-Status ermitteln und Abweichungen transparent machen. Bei erkannten Abweichungen ist es auch hier möglich, wie oben beschrieben die entsprechenden Aktivitäten Extra VI ix extra 3/2013

7 im Tool zu hinterlegen und zu verfolgen. Auf der technischen Ebene von IT-Systemen bieten einige Produkte zusätzlich die Möglichkeit, den Umsetzungsgrad der Maßnahmen automatisiert zu ermitteln. Hierzu meldet sich das IT-GRC-Werkzeug mit einem hinterlegten Benutzer - namen am Betriebssystem an und fragt für jede Maßnahme des Katalogs über ein jeweils hinterlegtes Skript bestimmte Systemparameter ab (zum Beispiel den Wert eines Registry Keys). Anhand des Werts ermittelt das Werkzeug dann den Umsetzungsgrad der Maßnahme und berechnet gegebenenfalls einen Risikoindex. Risikoanalyse gleich inbegriffen Die im Werkzeug hinterlegten Control-Kataloge kann man sich übrigens auch für die Risikoanalyse zunutze machen: Soll eine Gegenmaßnahme zur Risikominderung durchgeführt werden, kann das Werkzeug bei der Auswahl der zum Risiko passenden Maßnahmen unterstützen. In vielen Produkten ist es nämlich möglich, die Bedrohungen des Bedrohungskatalogs mit den Controls des Control- Katalogs zu verknüpfen. Somit kann das Werkzeug für jedes So etwa kann eine Bedrohungsbewertung hier mit risk2value von Avedos in der Praxis aussehen (Abb.ˇ2). relevante Risiko automatisch einen Maßnahmenvorschlag präsentieren. Das Werkzeug steuert sämtliche Arbeitsschritte einer Risikoanalyse oder eines Compliance-Assessments in ihrer Reihenfolge. Durch die Möglichkeit zur Abbildung von Workflows können unterschiedliche Aufgaben an unterschiedliche Rollen oder Personen zur Umsetzung delegiert werden. Beispielsweise könnte die IT-Revision mit dem Werkzeug ein Control Assessment initiieren und die für sie interessanten Maßnahmen auswählen. Anschließend delegiert die IT-Revision die Beantwortung der Fragen zum Ermitteln des Umsetzungsgrads dieser Maßnahmen an den IT-Betrieb. Die entsprechenden Mitarbeiter würden vom Werkzeug über die anstehende Aufgabe eine - Nachricht erhalten oder nach Anmeldung am Werkzeug in ihrem persönlichen Aufgabenbereich die Aufgabe angezeigt bekommen. Nach Beantwortung der Fragen würde das Werkzeug dann automatisch wieder die IT-Revision informieren, die daraufhin beispielsweise die Antworten prüft und freigibt. Darüber hinaus sind GRC- Werkzeuge mandantenfähig, sodass unterschiedliche Rollen oder Personen mit individuellen Sichten mit dem Werkzeug arbeiten können. Die Produkte verfügen zudem über ein granulares Berechtigungsmodell zur Steuerung des Zugriffs auf die meist vertraulichen Informationen. Eine wichtige Komponente in GRC-Produkten ist die Auswertung und Aufbereitung der durchgeführten Risikoanalysen und Compliance-Assessments oder der hinterlegten Aktivitäten. Ziel ist es, allen beteiligten Rollen und Personen jederzeit die Informationen und Ergebnisse im benötigten Detaillierungsgrad zu liefern. Bei den meisten Herstellern sind einige Standardreports im Lieferumfang enthalten, die jedoch typischerweise noch an das jeweilige Einsatzfeld angepasst werden

8 müssen oder komplett neu entwickelt werden. Einige Hersteller bieten darüber hinaus Schnittstellen für den direkten Zugriff auf die Datenbasis, sodass man im Sinne eines Business-Intelligence-Ansatzes beliebige Auswertungen durchführen und Reports erstellen kann. Die eingangs beschriebene Möglichkeit, verschiedene Objekte hierarchisch miteinander in Beziehung zu setzen, ermöglicht darüber hinaus übergreifende Auswertungen. Beispielsweise kann das Werkzeug die in den einzelnen Analysen erkannten Risiken entlang der Hierarchie zu einem Gesamtrisiko zusammenfassen. Auf dieser Basis könnte das Werkzeug dann jederzeit einen aussagekräftigen Management-Report über die aktuelle Risikosituation erstellen und verteilen. Fazit Heutige GRC-Produkte bieten ein großes Potenzial zur Verbesserung der Qualität, Sicherheit und Robustheit der Prozesse sowie zur Erhöhung der Effizienz. Durch das Vorhandensein einer zentralen GRC-Datenbasis alle getroffenen Management- Entscheidungen, die identifizierten Risiken, die Audit-Ergebnisse, die aufgetretenen Security Incidents, die daraufhin beschlossenen Maßnahmen und Aktivitäten, die genehmigten und abgelehnten Policy-Ausnahmen et cetera befinden sich an einer zentralen Stelle wird die Informationskonsistenz sichergestellt. Somit kann man nicht nur redundante Aktivitäten vermeiden, sondern vor allem auch die im ISMS-Umfeld notwendige Nachvollziehbarkeit und Transparenz erreichen. Durch die Verknüpfung von Informationen können neue gewonnen (und berichtet) werden, was bei einer dezentralen Vorgehensweise nur schwer oder gar nicht möglich ist. Anteilseignern steht so eine Grundlage zur Verfügung, sich jederzeit einen aktuellen Statusüberblick über die Risikositua - tion, den Compliance-Status oder den Umsetzungsstatus vereinbarter Maßnahmen zu Alleskönner liegen im Trend: Drucken, scannen, kopieren und faxen mit nur einem Gerät ist praktisch und reduziert die Gerätevielfalt. ix extra beschreibt, welche Features Unternehmen von Multifunktionsdruckern erwarten können. Dazu gehören Drucktechnik (Tinte oder Laser?) und Bedienbarkeit via Touchscreen sowie Anschlüsse an die Außenwelt. Wer auf Sicherheitsfunktionen verzichtet, riskiert, dass der Druckerraum zur Nachrichtenzentrale wird. Auch das Drucken von mobilen Endgeräten bekommt eine immer größere Bedeutung, ebenso wie die Auslagerung der Druckgeräte an einen externen Dienstleister. Anbieter für verschaffen und Aktivitäten sinnvoll zu priorisieren. Das Berechtigungsmodell des GRC- Produkts stellt dabei sicher, dass nur Berechtigte auf die jeweiligen Informationen zugreifen können. Um diesen Mehrwert tatsächlich zu erzielen, ist eine sorgfältige Produktauswahl erforderlich. Die Produkte unterscheiden sich in ihrem Funktionsumfang teils erheblich. Ein weiterer entscheidender Unterschied zwischen den Produkten ist die Anpassbarkeit an die eigene Methodik und Vorgehensweise. Während viele Produkte feste Formeln zur Risikobewertung vorgeben oder beispielsweise keine Erweiterung der drei Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität zulassen, können in anderen Produkten beliebige Formeln und Berechnungslogiken hinterlegt werden. Die Praxis zeigt, dass am Ende des Auswahlprozesses fast immer eines der zuletzt genannten flexiblen Produkte zum Einsatz kommt schließlich soll sich das Werkzeug an die Vorgehensweise des Unternehmens anpassen und nicht umgekehrt. (ur/sf) Steffen Gundel ist Leitender Berater bei der cirosec GmbH. In ix extra 04/2013 Drucken, Scannen, Archivieren: Multifunktionsgeräte DIE WEITEREN IX EXTRAS: Managed Print Services (MPS) können dabei helfen, die Druckkosten zu reduzieren. Ein Ausflug in die Welt der Software zeigt, wie man die Dokumente noch weiter aufbereiten kann, zum Beispiel mit OCR (Optical Character Recognition). Erscheinungstermin: 28. März 2013 Ausgabe Thema Erscheinungstermin 05/13 Networking Highspeed-Hardware mit 40- und 100-GE 25.ˇ04.ˇ13 06/13 Storage Solid-State-Disksysteme 23.ˇ05.ˇ13 07/13 Security Sicheres Mobile Computing 27.ˇ06.ˇ13 VIII ix extra 3/2013