WHITE PAPER. Die Gemeinsamkeit: Wo sich Compliance und Datenschutz überschneiden

Transkript

1 WHITE PAPER Die Gemeinsamkeit: Wo sich Compliance und Datenschutz überschneiden

2 Management Summary Ursprünglich war die Aufgabe eines CISO, die IT-Infrastruktur zu schützen. In letzter Zeit hat sich das Aufgabengebiet erweitert. Inzwischen ist der CISO zunehmend für die Einhaltung einer Vielzahl an Normen und Vorschriften verantwortlich. Deshalb werden sich CISOs auf der ganzen Welt diese Fragen stellen: Wie kann ich bei diesen herausfordernden Aufgaben meine Sicherheitsziele erreichen? In welchem Umfang überschneiden sich die Compliance- Initiativen wie PCI mit den Datenschutz-Richtlinien? Wenn ich compliant bin, bin ich auch sicher? Welche Technologien können sowohl die Anforderungen der Compliance als auch die des Datenschutzes erfüllen? In diesem White Paper soll zunächst das Aufgabengebiet der CISOs beschrieben werden die neuen Regularien und Standards, mit denen sie konfrontiert werden, zunehmende Hackerangriffe und eine komplexere IT-Umgebung, welche eine virtualisierte IT-Infrastruktur und Outsourcing mit einschließt. Aber dieses herausfordernde, komplexe Aufgabengebiet bietet auch Chancen. Da Unternehmen mehr Gelder für Compliance-Initiativen bereitstellen, profitieren auch CISOs von diesem Fokus auf die Compliance. Datenschutz und Compliance zwei scheinbar unterschiedliche Ziele können so viel gemeinsam haben, dass die Investitionen in das eine auch maßgeblich das andere beeinflussen. Ebenso überschneiden sich eine Vielzahl von Compliance-Initiativen wie PCI-DSS und die Datenschutz-Vorschriften in anderen Ländern. Tatsächlich gibt es so viele Gemeinsamkeiten innerhalb dieser Compliance-Initiativen, dass die Erlangung der Compliance für einen dieser Standards Hand in Hand mit dem Schutz sensibler Daten und den Anforderungen anderer Initiativen geht. Dieses White Paper zeigt die Möglichkeiten auf, die sich aus der Gemeinsamkeit von Compliance, Datenschutz und einer Vielzahl von Compliance-Vorgaben ergeben. Des Weiteren wird erklärt, welche Notwendigkeit innerhalb dieser Schnittmenge besteht, die Änderungen und Vorkommnisse innerhalb der gesamten IT-Infrastruktur transparenter zu gestalten. Sie erhalten Antworten, wie Aktivitäten erkannt werden, die eine Bedrohung darstellen, und wie arbeitsintensive und fehleranfällige Aufgaben automatisch reduziert werden Diese Anforderungen müssen erfüllt werden, wenn ein CISO sensible Daten schützen soll. 2 WHITE PAPER Die Gemeinsamkeit: Wo sich Compliance und Datenschutz überschneiden

3 Das Aufgabengebiet eines CISO CISOs sind für den Schutz der Unternehmensdaten verantwortlich. Sie arbeiten nicht nur in einem herausfordernden Umfeld, sondern sind auch einem großen Druck ausgesetzt. CISOs müssen Systeme, Anwendungen, Daten und Geräte in einem Umfeld schützen, das einer Vielzahl von Risiken ausgesetzt ist, wie zum Beispiel: Expansivere und dynamischere IT-Infrastrukturen; Immer hartnäckigere und raffiniertere Sicherheitsbedrohungen und Compliance-Anforderungen mit vielen Normen und Vorschriften. KOMPLEXERES IT-UMFELD UND ERWEITERTE ANGRIFFSFLÄCHEN Die heutige IT-Infrastruktur ist hochkomplex. Die Anzahl der IT-Assets in der Infrastruktur, die ein Unternehmen verwalten muss, kann überwältigend sein unterschiedliche Plattformen, Geräte, Server, Anwendungsdatenbanken und noch vieles mehr. Allein das Aktivitätsvolumen innerhalb dieser Infrastruktur ist unvorstellbar groß. Viele Unternehmen haben ihre Technologiesysteme an verschiedenen Orten weltweit. Im Einzelhandel und Gastgewerbe beispielsweise betreiben diese Unternehmen Datenzentren und tausende von Ladenkassen sowie Point-of- Sale-Geräten in Geschäften und Hotels, die ein potenzielles Risiko mit sich bringen. Des Weiteren sind Unternehmen aus Gründen der Kostenersparnis zu kosteneffizienteren Technologien wie der Virtualisierung übergegangen. Doch diese Aktivitäten bringen neue Komplikationen mit sich. Die Virtualisierung mag zwar kosteneffizient sein, doch die Verwaltung dieser dynamischen virtuellen Maschinen birgt Risiken und benötigt eine genauere Überwachung der Systemaktivitäten. Viele Unternehmen haben einen Großteil ihrer Technologie- Infrastruktur und Dienstleistungen an Dritte ausgelagert. Outsourcing macht die Sache nochmal komplizierter, weil das Unternehmen immer noch verantwortlich für die Daten ist, aber den Schutz dieser Daten einem dritten Unternehmen überlassen muss. Bei einer Sicherheitslücke entsteht ein Imageschaden, egal wer beim Schutz der Daten versagt hat. Brian Honan, Sicherheitsexperte und bekannter Blogger über Datenschutz: Unternehmen sollten bei der Auswahl eines Third Party Providers äußerst sorgfältig sein, um eine Gefährdung der Complinace auszuschließen. HÄUFIGE UND KOSTSPIELIGE ANGRIFFE Datenschutzverletzungen sind auf dem Vormarsch Laut dem 2009 Verizon Business Data Breach Investigations Report wurden Millionen Datensätze kompromittiert. Dies ist ein deutlicher Anstieg gegenüber den insgesamt 230 Millionen der letzten vier Jahre. Eine Untersuchung des Identity Theft Resource Centres ergab, dass Millionen Datensätze in falsche Hände gerieten. Gegenüber den 35 Millionen des Vorjahres ist dies ein Anstieg von 85 Prozent. Überall auf der Welt müssen sich Unternehmen der weitreichenden Folgen von Sicherheitsverletzungen bei Karteninhaberdaten bewusst sein. Im März 2010 wurde ein einzelner Hacker verurteilt, weil er geschätzte 130 Millionen Kredit- und Debitkartennummern im Zeitraum von Ende 2006 bis Anfang 2008 unter anderem von Heartland Payment Systems, 7-Eleven, JC Penny und Hannaford Brothers gestohlen hatte. Obwohl diese Sicherheitsverletzung meist Unternehmen der Vereinigten Staaten betraf, sind Hacker selbstverständlich weltweit aktiv und stellen für jedes Unternehmen ein potenzielles Risiko dar. Viele Großkonzerne sind multi-nationale Unternehmen, deren IT-Infrastruktur sich über die ganze Welt verteilt. Die Folgen einer Sicherheitslücke können an einem völlig anderen Ort widerhallen. Beispielsweise wurden die US-amerikanischen Wyndham Hotels und Resorts erst kürzlich Opfer eines Verstoßes. Von einigen Hotels in den USA wurden Kundendaten gestohlen, doch der Hacker hatte es außerdem geschafft, in das Rechenzentrum des Unternehmens einzudringen, das mit Wyndham Hotels weltweit verbunden war. Es ist offensichtlich, dass die weltweite Vernetzung das Risiko solcher Verletzungen erhöht und die potenzielle Reichweite eines Schadens ausdehnt. Außerdem sind die Kosten, die ein Verstoß gegen den Datenschutz verursacht, enorm. Dem Ponemon Institute, einem unabhängigen Forschungsinstitut, zufolge, betrugen die durchschnittlichen Kosten pro verletztem Datensatz im Jahr ,- GBP in Großbritannien, 144,- EUR in Deutschland, 95,- EUR in Frankreich und im weltweiten Durchschnitt 113,- EUR. Werden die Kosten für Zeitaufwand und Unterbrechungen hinzugerechnet, sind die finanziellen Folgen eines Verstoßes enorm. Zu den Gesamtkosten kommen noch die regulatorischen Kosten hinzu. Datenschutzgesetze und branchenspezifische Vorschriften wie das PCI-DSS schreiben hohe Geldstrafen vor. Das Information Commissioner's Office (ICO), die Datenschutzbehörde in UK, kann im Falle von schwerwiegenden Verstößen gemäß dem Data Protection Act (DPA) Geldstrafen von bis zu ,- GBP verhängen. Doch drohen den Unternehmen auch Zivilklagen. Der größte Kostenfaktor für ein Unternehmen dürfte allerdings die Rufschädigung sein. Kein Unternehmen kann sich negative Schlagzeilen über Sicherheitslücken erlauben. 3 WHITE PAPER Die Gemeinsamkeit: Die Gemeinsamkeit: Wo sich Wo Compliance sich Compliance und Datenschutz und Datenschutz überschneiden überschneiden WHITE PAPER 3

4 ERKENNUNG EINER SICHERHEITSLÜCKE DAUERT ZU LANGE Sowohl Ursache als auch Quelle einer Sicherheitslücke sind nur schwer festzustellen. Eines der größten Probleme der Unternehmen hierbei ist die Dauer, bis eine Sicherheitslückt entdeckt wird also die Zeitspanne zwischen Sicherheitslücke und deren Erkennung. Oftmals stellen Kunden die Verletzung erst fest, wenn sie ungewöhnliche Vorgänge auf ihren Kreditkartenabrechnungen entdecken. Je größer die Zeitspanne zwischen Sicherheitslücke und Erkennung ist, desto mehr Zeit bleibt den Hackern, um Daten zu stehlen, und desto höher sind die Folgekosten einer solchen Sicherheitslücke. Viele, scheinbar harmlose Vorgänge können mangelhafte Sicherheit zur Folge haben und dazu führen, dass sensible Daten verloren gehen. Oftmals ist es nicht ein großer Vorfall, sondern vielmehr eine Serie kleiner Ereignisse, deren Kombination versehentlich zu einer Sicherheitslücke führen kann. Solch eine Serie kleinerer Ereignisse zu erkennen und ein Risiko daraus abzuleiten, ist zugegebenermaßen nicht leicht; die meisten Unternehmen haben keine ganzheitliche Sicht in ihre IT-Infrastruktur und verwenden keine Lösungen, um diese Vorfälle mit einer Sicherheitslücke in Verbindung setzen und erkennen zu können. Um Vorfälle zu erkennen, die eine Sicherheitslücke zur Folge haben, und den Schaden möglichst gering zu halten, wenn eine Verletzung eingetreten ist, müssen Unternehmen in der Lage sein, diese sofort zu erkennen. Voraussetzung hierfür ist eine Übersicht aller gespeicherten Daten, die Möglichkeit, die millionenfachen Veränderungen und Ereignisse innerhalb der gesamten IT-Infrastruktur automatisch zu analysieren und eine sofortige Warnung bei solchen zu erhalten, die ein potenzielles Risiko darstellen. STETIG WACHSENDE ANFORDERUNGEN AN DIE COMPLIANCE Als Reaktion auf Sicherheitslücken und Datendiebstahl haben die EU-Mitgliedsstaaten gemäß der EU-Richtlinie zum Datenschutz Gesetze verabschiedet, um personenbezogene Daten besser zu schützen, wie zum Beispiel der Data Protection Act (DPA) in Großbritannien. Jedes Unternehmen, das personenbezogene Daten gespeichert hat, einschließlich der von Mitarbeitern und Kunden, unterliegt dem Datenschutzgesetz des jeweiligen Landes. Des Weiteren existieren branchenspezifische Vorschriften zum Schutz spezifischer Daten. So schreiben beispielsweise die großen Kreditkartenunternehmen Unternehmen, die Karteninhaberdaten verarbeiten, speichern oder übermitteln, die Einhaltung des PCI DSS vor, um diese Daten zu schützen. DIE ZEITSPANNE ZWISCHEN SICHERHEITSLÜCKE UND DEREN ERKENNUNG IST ZU GROSS Im Durchschnitt bleibt eine Sicherheitslücke fünf Monate lang unentdeckt. Allerdings wird Datenschutz auf der ganzen Welt unterschiedlich ausgelegt. Einige Länder wie zum Beispiel Deutschland haben sehr strenge datenschutzrechtliche Bestimmungen, während andere das Thema sehr lax behandeln. Die Vorschriften im jeweiligen Land zeigen diese Unterschiede auf. Doch auch die EU-Länder legen die EU-Richtlinie zum Datenschutz höchst unterschiedlich aus, was die Compliance multi-nationaler Unternehmen noch komplizierter werden lässt. Heutzutage können Unternehmen einer Vielzahl von Compliance-Vorgaben unterliegen, wie zum Beispiel PCI DSS, SAS70, ISO 27001, Sarbanes-Oxley, interne Prüfungen, nationale Datenschutzgesetze und viele mehr. Compliance ist keine einmalige Sache, sondern eine kontinuierliche und fortlaufende Anforderung. HelpNet Security, Februar 2010 In 68 Prozent der Fälle bleibt eine Sicherheitslücke für Wochen oder Monate unentdeckt Verizon Business Data Breach Investigations Report Mit immer mehr Compliance-Vorgaben, sich ändernden Vorschriften, strengeren Audits, Geldstrafen für Non- Compliance und der Verwirrung über unterschiedliche Anforderungen sind die Kosten für Sicherheit und Compliance für die meisten Unternehmen zu hoch und arbeitsintensiv geworden. Firmen müssen einen Weg finden, dass der Aufwand für Compliance und die Einhaltung von Vorschriften auch zum Schutz der sensiblen Daten beitragen. Gemeinsamkeiten von Compliance und Datenschutz An diesem Punkt scheint die Aussage, dass die Aufgabe eines CISO herausfordernd sei, maßlos untertrieben. Doch die einzelnen Faktoren, die die Herausforderung ausmachen, bieten zusammengefasst die Chance, sowohl die Sicherheit als auch den Datenschutz kosteneffizient zu gestalten. Imageschaden, Zivilklagen, Geldstrafen und Audit- Ergebnisse haben Themen wie Datenschutz und PCI-Compliance inzwischen zu Tagesordnungspunkten auf der Agenda der Vorstandsebene werden lassen. Angesichts 4 WHITE PAPER Die Gemeinsamkeit: Wo sich Compliance und Datenschutz überschneiden

5 der Tatsache, dass nur jene Initiativen erfolgreich sind, die durch die oberste Führungsetage abgesegnet werden, ein entscheidender Schritt. Obwohl das Budget für die IT gekürzt wurde, nimmt das Budget für Compliance-Projekte weiter zu. Und auch wenn ein Großteil dieses Budgets für bestimmte Compliance-Projekte bereitgestellt wird; wenn die Durchführung eines Compliance-Projektes zur Sicherheit der Daten beiträgt und die Einhaltung einer Vorschrift dazu führt, dass auch die anderen eingehalten werden, dann kann ein einzelnes Compliance- Projekt schlussendlich mehrere Sicherheits- und Compliance-Ziele erfüllen. Um herauszufinden, wo die Gemeinsamkeiten liegen, müssen zunächst die Prinzipien der unterschiedlichen Vorschriften und Standards erörtert werden. Viele der bereits existierenden Standards und Vorschriften setzen die gleichen Themen voraus, wie zum Beispiel: Schutz sensibler Daten Vertrauen der Stakeholder Permanente Überwachung Einführung von Security Best Practices Die Notwendigkeit von Transparenz, Intelligenz und Automatisierung SCHUTZ SENSIBLER DATEN Das übergeordnete Ziel der Compliance-Vorgaben und der Informationssicherheit ist der Schutz wichtiger Systeme, die bestimmte Anwendungsdaten wie etwa Karteninhaberdaten oder personenbezogene Informationen zusammenfassen. Obwohl die Art der Daten, die geschützt werden müssen, unterschiedlich ist zum Beispiel Karteninhaberdaten für PCI und personenbezogene Daten für Datenschutzgesetze ist der Schutz des Systems, das sensible Daten erfasst oder verarbeitet, von größter Wichtigkeit. Der Schutz dieser Systeme setzt den Schutz wichtiger IT-Konfigurationen voraus, indem sie mit Best Practices und Policies abgestimmt werden. Unglücklicherweise lassen viele Unternehmen die Möglichkeit außer Acht, eine breiter angelegte, allumfassende Datenschutz-Strategie zu entwickeln. Statt dessen konzentrieren sich viele auf eine einzige Compliance-Anforderung und deren bevorstehende Deadline. Sie verwenden eingeschränkte Projektansätze, die die Implementierung ungleicher Technologie-Tools und deren unzureichenden Integrität zur Folge haben. Nach Beendigung einiger Compliance- Projekte wird das Unternehmen kaum oder nicht mehr in der Lage sein, die von unterschiedlichen Tools erfassten Daten einzuordnen. Ein Beispiel: Ein File Integrity Monitoring-Tool erfasst bestimmte Daten über Änderungen der Konfigurationen, Dateien und Dateiattribute. Ein anderes Tool erfasst Log Dateien für eine Log Daten-Sammlung und zur Einhaltung der Vorschriften. Die von den Tools erfassten Daten werden üblicherweise an verschiedenen Orten gespeichert. Es gibt keine automatisierte Vorgehensweise zur Bestimmung, ob erkannte Änderungen einer Serie von Ereignissen, die durch ein Log Tool erfasst werden, angehören. Und nicht nur das: in vielen Fällen werden Protokolldaten zwar erfasst, doch aufgrund der hohen Anzahl an erfassten Daten ist es Sicherheitsexperten nicht möglich, die Daten in Echtzeit zu analysieren. Unternehmen benötigen eine Möglichkeit, die von unterschiedlichen Sicherheits-Tools erfassten Daten zusammenzuführen, um sowohl Sicherheit und Compliance gewährleisten zu können als auch Kosten zu sparen und den ROI zu maximieren. SICHERHEIT FÜR STAKEHOLDER Das zweite, nicht weniger wichtige Ziel von Sicherheitskomponenten, Vorschriften und branchenspezifischen Standards ist es, den Anteilseignern diesen Datenschutz zu versichern. Ein Beispiel: Verbraucher müssen darauf vertrauen können, dass ihre persönlichen Daten durch korrekte Erfassung und sichere Speicherung geschützt sind; Sowohl Kunden als auch Geschäftspartner müssen darauf vertrauen, dass das Unternehmen über eine entsprechende und effektive IT-Sicherheit verfügt; Aufsichtsbehörden muss versichert werden, dass strenge Sicherheitsmaßnahmen implementiert sind, von PCI DSS, um Karteninhaberdaten zu schützen, bis hin zu Datenschutzgesetzen für personenbezogene Daten; und Führungskräfte müssen sich darauf verlassen können, dass Unternehmensdaten der wichtigste Vermögenswert eines Unternehmens nicht wegen schlechter oder nicht entsprechender Sicherheitsstrategien verloren gehen, dass Sicherheitslücken schnell erkannt und die Kosten niedrig gehalten werden. Sie müssen darauf vertrauen können, dass der Ruf des Unternehmens nicht gefährdet wird. DIE NOTWENDIGKEIT DER PERMANENTEN ÜBERWACHUNG Nun sind einige Faktoren zusammengekommen, die die Haltung der Unternehmen gegenüber dem Schutz wichtiger Daten grundlegend ändern sollte. Von den sicherheitsspezifischen Herausforderungen, die sowohl 5 WHITE PAPER Die Gemeinsamkeit: Die Gemeinsamkeit: Wo sich Wo Compliance sich Compliance und Datenschutz und Datenschutz überschneiden überschneiden WHITE PAPER 5

6 von einer zunehmenden Anzahl von Sicherheitsvorfällen als auch von der Ausgeklügeltheit dieser Bedrohungen ausgeht, bis hin zu höheren Strafen im Zusammenhang mit Sicherheitslücken und explodierenden Kosten, erkennen Unternehmen, dass sensible Daten konstant geschützt und überwacht werden müssen. Honan, Security-Experte und bekannter Blogger zum Thema Datenschutz: In den kommenden Jahren werden die Unternehmen zunehmend feststellen, dass eine gute IT-Sicherheit von großem Wert und im Wettbewerb mit anderen von entscheidendem Vorteil ist. Die meisten Unternehmen sehen Compliance jedoch als Jahresprojekt, um wenigstens die Mindestanforderungen der Audits zu erfüllen. Ziel eines jeden Projektes ist es dann, ein Häkchen hinter Compliance zu setzen, anstatt die Sicherheit zu verbessern und wertvolle Unternehmensdaten zu schützen einschließlich des guten Rufes. Doch immerhin haben einige die Notwendigkeit von kontinuierlicher Sicherheit und Compliance bereits erkannt. Zum Beispiel gehen viele davon aus, dass die Internationale Organisation für Standardisierung (verantwortlich für ISO 27001) den Rahmen für andere Gesetzesanforderungen oder Regularien bildet zum Beispiel für JSOX, SOX und die Datenschutzrichtlinien sowie vertraglichen Normen wie PCI DSS, weil Unternehmen dazu verpflichtet werden, den hohen Ansprüchen der Informationssicherheit zu genügen. Bob Russo, Generaldirektor des PCI Security Standards Councils erklärte vor dem House Subcommittee on Emerging Threats, Cybersecurity and Science and Technology: Die nachhaltige Compliance mit PCI DSS und kontinuierliche Überwachung im Bezug auf andere Sicherheitsverfahren sind fortlaufende Prozesse, die systematisch in die Entwicklung, Geschäftsabläufe und Policies jedes Unternehmens eingebunden werden müssen, um den bestmöglichen Schutz vor Datenschutzverletzungen zu gewährleisten. Er betonte, dass Unternehmen nicht bloß eine Sicherheitscheckliste abhaken oder sich auf regelmäßige Sicherheitsüberprüfungen verlassen sollten, sondern eine kontinuierliche Überwachung und die Einhaltung eines strengen Sicherheitsprogrammes verfolgen müssen, um eine konstante und fortlaufende PCI DSS-Compliance zu gewährleisten. PCI ALS BASIS FÜR SECURITY BEST PRACTICES David Whitelegg, ein Experte für Kreditkartenbetrug und PCI DSS-Themen und seit 15 Jahren im Bereich der IT-Sicherheit tätig, meint: Ein zentraler PCI-Ansatz ist für das gesamte Unternehmen von Vorteil. PCI DSS als Basis für Security Best Practices kann von enormem Vorteil für die Der PCI Compliance-Prozess ist sowohl Ressourcenintensiv als auch teuer. Es ist nicht leicht, die Compliance dauerhaft zu gewährleisten es ist ein fortlaufender Prozess. David Whitelegg, Experte für Kreditkartenbetrug und PCI DSS Implementierung einer einwandfreien Sicherheitsstrategie sein. Dieser umfassende Standard ist weitaus bindender, detaillierter und bietet weniger Raum für Interpretationen als es zum Beispiel die ISO 27000er Serie tut. PCI ist ein sehr guter Sicherheitsstandard; er entwirft detaillierte Best Practices so Whitelegg. Darüber hinaus ist PCI ein weltweit geltender Standard, der es Unternehmen ermöglicht, den Anteilseignern auf der ganzen Welt die Qualität der Sicherheit zu demonstrieren. Und obwohl PCI ein hervorragender und gut abgestimmter Standard sowie ein guter Einstieg für jede Compliance- Initiative ist, so ist es doch nur ein Baustein der Sicherheit. Whitelegg weiter: PCI DSS ist kein Ersatz für die gesamte IT-Sicherheit, es sollte sie aber ergänzen; die PCI DSS-Anforderungen sind nur ein Baustein der Sicherheitsmaßnahmen, die ergriffen werden müssen. Whitelegg räumt ein, dass die wachsende Anzahl der Bedrohungen, die immer ausgeklügelter und raffinierter werden, den Compliance-Prozess erschwert haben. Der Experte geht jedoch davon aus, dass die Vorschriften insgesamt strenger geworden sind und den Unternehmen damit eine bessere Anleitung zur Durchführung von Sicherheitskontrollen geboten wird. VORTEILE DER ÜBERSCHNEIDUNG Die entscheidende Frage ist, ob es eine Überschneidung von PCI DSS und anderen bewährten Sicherheitsstandards gibt, die den Unternehmen Rationalisierungsvorteile verschafft und dazu beiträgt, Kosten zu senken. Laut Whitelegg können die Konzepte des PCI sowohl auf den Datenschutz als auch auf ISO angewendet werden. Anforderungen wie Patch-Management, Anti-Virus, Schwachstellen-Scans, Monitoring und Alarme sowie Sicherheitsrichtlinien sind allen Standards gemein. Darüber hinaus kann der PCI-Ansatz für Karteninhaberdaten auch für andere sensible Daten innerhalb des Unternehmens verwendet werden. Wenn zum Beispiel das File Integrity Monitoring für PCI implementiert wurde, kann die IT damit auch den Schutz anderer sensibler Daten, nicht nur Karteninhaberdaten, verbessern. 6 WHITE PAPER Die Gemeinsamkeit: Wo sich Compliance und Datenschutz überschneiden

7 Am Beispiel der Verschlüsselung sensibler Daten, wie es viele Compliance-Standards und Datenschutzgesetze vorschreiben, lässt sich PCI DSS näher beschreiben. PCI schreibt eine Verschlüsselung der Karteninhaberdaten vor. Die Verschlüsselungsmethode des PCI-Standards kann auch auf andere sensible Daten angewendet werden, wie zum Beispiel personenbezogene Daten, die durch die EU-Richtlinie für Datenschutz definiert werden. Diese Richtlinie schreibt zwar die Verschlüsselung vor, bietet jedoch keine Anleitung hierfür. Unternehmen benötigen eine einfache, automatisierte Möglichkeit, ihre Compliance anhand einer Vielzahl von Vorgaben und Datenschutzrichtlinien zu überprüfen. Lösungen, die die IT-Konfigurationen kontinuierlich mit diesen vielen Vorschriften abgleichen zum Beispiel PCI für Händler, SOX für Bilanzierungsmethoden und ISO als Sicherheitsrahmen und mit vielen anderen Plattformen, Hardwaretypen und Geräten, verhelfen Unternehmen zu einer stärkeren Compliance und einem besseren Security-Umfeld. VERBESSERTE TRANSPARENZ, INTELLIGENZ UND AUTOMATISIERUNG SIND ENTSCHEIDEND Ob für ein Compliance-Projekt oder für die IT-Sicherheit, die IT muss verdächtige Sicherheitsereignisse und Änderungen identifizieren, die ein Risiko darstellen, um sensible Daten zu schützen. Voraussetzung hierfür ist eine transparente IT-Infrastruktur, sowohl virtuell als auch physisch. Eine weitere Voraussetzung ist die Möglichkeit, Ereignisse automatisch zu analysieren, um bestimmen zu können, welche Ereignisse ein Risiko zur Folge haben könnten. Diese Ereignisse müssen mit einer höheren Priorität behandelt werden. Des Weiteren muss die IT die Möglichkeit haben, die Daten eines Sicherheitstools mit denen eines anderen speicherortunabhängig in Verbindung zu bringen, um erkennen zu können, ob eine Datenschutzverletzung bereits eingetreten oder im Gange ist. Um den Schaden einer solchen Datenschutzverletzung möglichst gering zu halten, muss die IT das nahezu in Echtzeit ausführen können. Schließlich muss die IT die Vorfälle, von denen ein Risiko ausgeht, automatisch beheben können. Diese Automatisierung trägt dazu bei, fehleranfällige, manuelle Reparaturen zu vermeiden und so Zeit und Geld zu sparen. Sicher und gleichzeitig compliant zu bleiben erfordert die Fähigkeit, frühzeitige Erkennung mit einer schnellen und automatisierten Risikominderung in Echtzeit zu kombinieren. Da die Budgets überall zusammengestrichen werden, muss die IT mit den Mitteln auskommen, die ihr bleiben. Doch trotz dieser Budgetkürzungen sollen die Ausgaben für Sicherheitssoftware laut einer Gartner-Studie im Jahr 2010 um 4 Prozent steigen. Das ist mehr als in allen anderen Bereichen der Infrastruktur-Software. Unternehmen stellen einen Großteil dieser Mittel bereit, um bestimmte Compliance-Vorgaben zu erfüllen und die unangenehmen Folgen einer Sicherheitslücke oder eines Audit-Reports zu vermeiden. Doch die Zeiten sind rauer geworden und zusätzliche Ausgaben der IT müssen sowohl gerechtfertigt als auch effektiv sein. Unternehmen benötigen integrierte Lösungen, die Transparenz und Automatisierung liefern, um Compliance und IT-Sicherheit zu geringeren Kosten zu erhalten. Zusammenfassung Die Herausforderungen, denen sich ein CISO heute stellen muss, haben ironischerweise dazu beigetragen, die idealen Voraussetzungen für die dringend benötigte finanzielle Unterstützung zu schaffen, in den Schutz sensibler Daten zu investieren. Sicherheitslücken, Audit-Reports und andere Kosten, die durch unzureichende Sicherheit und Non-Compliance entstanden sind, haben dazu geführt, dass Unternehmen selbst in konjunkturell harten Zeiten Mittel für Compliance-Projekte bereitstellen. Da Compliance und Sicherheit das gleiche Ziel verfolgen, nämlich sensible Daten zu schützen, können strategisch denkende CISOs dies zu ihrem Vorteil nutzen. Strategisch denkende CISOs suchen nach Überschneidungen der Standards und Vorschriften, denen Ihr Unternehmen unterliegt, um mithilfe der Einhaltung regulatorischer Standards ihr Ziel zu erreichen, nämlich die sensiblen Daten zu schützen. Sie führen Standards wie PCI ein, um Richtlinien, Prozesse und Kontrollen einzurichten, die das Unternehmen sicherer machen. CISOs müssen über das Lösen von Sicherheitsproblemen hinauswachsen und dem Unternehmen aufzeigen, welcher Wert den Daten zugrunde liegt, die geschützt werden müssen. Informationssicherheit sollte nicht nur Aufgabe der IT sein. Informationssicherheit bedeutet, Unternehmenswerte zu schützen und das Risiko zu mindern, das mit Datenerfassung, -speicherung und -löschung verbunden ist. Strategisch denkenden CISOs verdeutlichen den Wert des Schutzes dieser Daten und der damit einhergehenden Risikominderung. Nur dann werden ihnen Unterstützung und zusätzliche Mittel durch die Geschäftsleitung zur Verfügung gestellt. 7 WHITE PAPER Die Gemeinsamkeit: Die Gemeinsamkeit: Wo sich Wo Compliance sich Compliance und Datenschutz und Datenschutz überschneiden überschneiden WHITE PAPER 7

8 Um eine gute IT-Sicherheit im komplexen und herausfordernden Umfeld zu erreichen, müssen die Unternehmen Lösungen einsetzen, die die Lücke zwischen Datenschutz und Compliance schließen, um eine bessere Transparenz innerhalb ihrer gesamten IT-Infrastruktur zu erhalten, Bedrohungen proaktiv zu behandeln, Risiken zu mindern, die Compliance zu überprüfen und Sicherheitslücken vorzubeugen. Durch die Nutzung der Gemeinsamkeit von Standards und Vorschriften und durch den Einsatz der entsprechenden Lösungen können Unternehmen einen besseren Datenschutz erreichen, ihre Kosten senken und ihren Anteilseignern den Schutz der Daten garantieren. So kann der strategische CISO den wahren Wert eines Unternehmens vermitteln.

9 ÜBER TRIPWIRE Tripwire ist ein führender globaler Anbieter von Automatisierungslösungen für IT-Sicherheit und Compliance, mit denen Unternehmen und Behörden ihre gesamte IT-Infrastruktur steuern können. Tausende von Kunden verlassen sich auf die integrierten Lösungen von Tripwire: zum Schutz vertraulicher Daten, zum Nachweis der Compliance sowie zur Verhinderung von Ausfällen. Tripwire VIA, die umfassende Suite mit branchenführenden Lösungen für Dateiintegrität und Log- und Security Event Management, ist der neue Ansatz, mit dem Organisationen proaktiv dauerhafte Compliance erreichen, ihre Risiken minimieren und die Steuerung des operativen Bereichs verbessern können. Die Mittel dazu sind Transparenz, Intelligenz und Automatisierung. Weitere Informationen finden Sie unter auf Twitter Tripwire, Inc. Tripwire ist eine eingetragene Marke der Tripwire, Inc. Alle anderen Produkt- und Firmennamen sind das Eigentum ihrer jeweiligen Eigentümer. Alle Rechte vorbehalten. WPCDP1aDE 2010/11