Compliance als Wettbewerbsvorteil

In der Prozess- und Fertigungsindustrie gewinnen die ISO Normen 27001 und 27002 an Bedeutung. Die Standards gehören zu den wenigen international anerkannen Richtlinien: Ob in Pharma-, Automobil- oder Telekommunikationsindustrie – wer Informationssicherheit bieten und nachweisen kann, wird zum bevorzugten Partner. Dabei geht es nicht nur um den Schutz von Daten, sondern auch um hohe Systemverfügbarkeit und die Fähigkeit, gesetzliche Regulierungs- und Compliance-Vorschriften einzuhalten.

ISO-Normen waren noch nie ein leichtes Brot, bei ISO 27001 und 27002 kommt noch erschwerend die Dynamik der Entwicklung in der IT-Sicherheit hinzu: Regeln und Richtlinien müssen an sich ändernde IT-Umgebungen im Unternehmen oder bei Partnern und Kunden angepasst werden. Ein einmal aufgestelltes Sicherheitssystem darf nicht statisch konzipiert sein, ansonsten sind einem Unternehmen sehr schnell die Hände gebunden beim Versuch, sich flexibel und schnell auf Neuerungen des Marktes, der IT oder des Gesetzgebers einzustellen.

Technische und unternehmenspolitische Hürden

Der Oberbegriff ISO 27000 steht für die IT-Sicherheitsnormen der ISO 2700x-Familie. Dabei legt die ISO 27002 fest, wie IT-Sicherheit in der Praxis realisiert wird, inklusive Zielen, Vorschlägen zur Umsetzung und Kontrollmechanismen. Insgesamt werden elf Überwachungsbereiche erfasst, die sich in 39 Hauptkategorien untergliedern. Diese wiederum sind mit insgesamt 133 Sicherheitsmaßnahmen, auch ‚Controls‘ genannt, ausgelegt, deren Anwendung die Erreichung der Kontrollziele unterstützt. Schon ein oberflächlicher Einblick in ISO 27001 lässt ahnen, dass die Umsetzung von erheblichem Aufwand begleitet ist, technisch wie unternehmenspolitisch. „In diesen komplexen und dynamischen Umgebungen gilt es, auf den kleinsten und stabilen gemeinsamen Nenner aufzusetzen, und das sind Logs und IT-Daten, die von jeder Hardware und Software bei jeder Aktion erzeugt werden“, erklärt Martin Ulmer, Territory Account Manager bei Loglogic Deutschland. „Log Management ist schon bei klassischen IT-Infrastrukturen für zuverlässige Sicherheit erforderlich, findet aber häufig nur als Insellösungen einzelner IT-Abteilungen statt. Wer eine ISO 2700x-Zertifizierung anstrebt, für den wird modernes Log- und IT-Datenmanagement unumgänglich. Gleiches gilt, wenn Virtualisierung oder Outsourcing mittels Cloud Computing im Unternehmen relevant sind: In komplexen Welten zwischen physischen und virtuellen Servern sowie kaum noch lokalisierbaren Cloud-Systemen sind Logs und IT-Daten die einzig nicht manipulierbaren Anhaltspunkte. Setzt man sie in Beziehung zeigen sie präzise an, was im IT-Netz geschieht.“

Anzeige

KI in Fertigungsbranche vorn

Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen

Verteilte Verantwortlichkeiten strukturieren

Standards wie ISO 27002, die Organisationsrichtline Control Objectives for Information and Related Technology (Cobit) oder der Sicherheitsstandard PCI DSS für den elektronischen Zahlungsverkehr betreffen sämtliche IT-Bereiche wie Netzwerke, Server, Mainframe, Datenbanken und Applikationen. Obwohl die zugehörigen Bereiche im Unternehmen miteinander verbunden sind, unterliegen sie unterschiedlichen Verantwortungsbereichen, die jeweils für Sicherheit, Überwachung und Leistung verantwortlich sind. „Mit der Migration auf virtuelle Server verteilen sich Verantwortlichkeiten weiter: Eine Anwendung kann gleichzeitig auf unterschiedlichen Systemen laufen parallel mit Applikationen, die dafür eigentlich nicht vorgesehen waren“, erklärt Martin Ulmer. „Mit Cloud Computing verteilt sich das Datenmanagement global, was der Transparenz bezüglich Sicherheit und Compliance zusätzlich abträglich ist. Spätestens jetzt braucht man eine übergreifende IT-Datenmanagementlösung.“

IT-Daten als Steuerungsinstrument

Schließlich gelte es, die Situation des Gesamtunternehmens zu betrachten. Dazu müssen die IT- und Log-Daten, die von Systemen, Geräten oder Applikationen im Netz gesendet werden, lückenlos gesammelt und mit den Controls der ISO 27002 abgeglichen werden. Und an diesem Punkt wird es erst einmal politisch: „Über Abteilungs-, Verantwortungs- und Kompetenzgrenzen hinweg Logs zu erfassen und anschließend die entsprechenden Informationen wieder den einzelnen Abteilungen für Fehlersuche, Forensik, Reporting und Alarmierung zur Verfügung zu stellen, hat hierarchische Hürden“, berichtet Martin Ulmer aus dem Praxisalltag. „Es ist Aufgabe der CIO und CFO, die ISO-Prozesse von oben durchzusetzen und zu kontrollieren.“ Nicht erst mit ISO 27001 gehen technische und politische Veränderungen in Unternehmen Hand in Hand: Laut der aktuellen Sans-Studie 2011 sammeln 89 Prozent der Unternehmen IT- und Log-Daten in der einen oder anderen Form, um die Sicherheit zu erhöhen, die Forensik zu verbessern oder die Einhaltung von Compliance-Richtlinien zu unterstützen. IT-Datenmanagement bietet die Möglichkeit, präzise zu wissen und zu verstehen, was im IT-Netz vorgeht. Damit avanciert das IT-Thema zur Aufgabe der Geschäftsführung.

Anzeige

MES-Integrator und 360-Grad-Partner für optimierte Fertigung

Das Manufacturing Execution System (MES) HYDRA optimiert Produktionsprozesse für Fertigungsunternehmen, um Wettbewerbsvorteile zu erzielen. ‣ weiterlesen

Digitaler Blick auf das gesamte Unternehmen

Log Management hat sich vom technischen Monitoring-Tool zum Steuerungsinstrument für das Management in Form von IT-Datenmanagement gewandelt. Schließlich haften die Verantwortlichen persönlich dafür, angemessene Risikoüberwachungs- und Früherkennungssysteme zur Gefahrenabwehr einzusetzen. Geht es um ISO-Zertifizierung, gewinnt IT-Datenmanagement weiter an Relevanz für die Unternehmensführung. „Für zuverlässiges Unternehmens- und Compliance-Management gelten klare Kriterien: Zunächst müssen die Log- und IT-Daten lückenlos und in Echtzeit erfasst werden. Dabei darf es weder Einschränkungen im Umfang geben noch dürfen Systemgrenzen eine Hürde darstellen“, erklärt Martin Ulmer die Herangehensweise. „Ist dies erreicht, geht es darum, die Handhabung so effizient wie möglich zu gestalten – und hier ist auch der Übergang von Log Management zu IT-Datenmanagement zu sehen: Es gilt, anhand der Masse an IT- und Log-Daten schnellstmöglich Wissen und Einblick in die Vorgänge im IT-Netz zu schaffen, um direkt auf Verletzungen von Sicherheits- und Compliance-Richtlinien reagieren zu können und besser noch, im Kontext der Gesamtsituation die Risiken von Konstellationen, die für sich genommen harmlos erscheinen, vorab zu erkennen und entsprechende Maßnahmen einzuleiten.“

Automatisierung reduziert den ISO-Aufwand

Ein hoher Automatisierungsgrad im IT-Datenmanagement unterstützt dabei ein effizientes und kostenbewusstes Vorgehen. „Out-of-the-Box-Korrelationslösungen sorgen dafür, dass die Logs und IT-Daten über Filter, Reports und Alarm-Funktionen mit den Regeln und Controls aus ISO 27002 abgeglichen werden“, sagt Martin Ulmer. „Kombiniert mit einem Management-Tool wird der Compliance-Workflows automatisiert.“ Dabei werden den Verantwortlichen im Unternehmen die Rollen zugewiesen, die für einen ISO 27002 Audit notwendig sind. Die für das Compliance Management festgelegten Prozesse und Reports aktiviert der IT-Administrator. Die Reviewer prüfen die Reports im vorgeschrieben Zeitraum in Relation zu den IT Service Management Prozessen im Unternehmen. Ein ‚Executive Dashboard‘ zeigt, welche Bereiche die Controls eingehalten haben und was optimiert werden muss. Mit diesen definierten Abläufen und Verantwortlichkeiten ist es für einen Auditor einfacher, die Einhaltung der geforderten Prozesse zu prüfen. „Damit die Vorteile einer ISO 2700x Zertifizierung nicht durch den Aufwand zunichte gemacht werden, sind die Faktoren ‚lückenlose IT-Datensammlung‘ und ‚Automatisierungsgrad zwischen IT-Datenmanagement und Compliance-Workflow‘ entscheidend“, so das Resümee von Martin Ulmer. „Nicht zu vergessen ist aber auch die Skalierbarkeit des IT-Datenmanagements: Nur wenn es mit dem Unternehmen und der Modernisierung des IT-Systems schritthalten kann, sind getätigte Investitionen für die Einhaltung von Compliance geschützt und zukunftsfähig.“