Compliance und Sicherheit in der IT: eine unerreichbare Vision?

Eine aktuelle Studie von Steria Mummert Consulting zur IT-Sicherheit zeigt: Knapp ein Fünftel der deutschen Unternehmen und Behörden beurteilt die Kontrolle und Überwachung der IT-Sicherheit im eigenen Haus als unzureichend. Rund ein Viertel der befragten Sicherheitsverantwortlichen hält die Maßnahmen dagegen für überzogen. Damit sind 44 Prozent mit der aktuellen Lage unzufrieden.

Ressourcenmangel auf der einen, Anforderungen an Sicherheit und Nachvollziehbarkeit auf der anderen Seite: dies ist das Dilemma vieler Unternehmen und Behörden in Deutschland. In der Regel liegen recht unterschiedliche Ausgangsvoraussetzungen für Kontrolle und Überwachung vor – dazu zählen etwa die Größe des Informationsverbunds und die vorhandenen personellen Ressourcen.

Eines haben aber viele Organisationen miteinander gemein: ein unvollständiges oder fehlendes aktuelles Konzept für die Protokollierung und Überwachung. Dies führt dazu, dass oftmals eine oder mehrere der folgenden typischen Gegebenheiten vorzufinden sind:

  • Reale oder potenzielle Sicherheitsprobleme werden nicht oder zu spät erkannt – dies erschwert sowohl operative Gegenmaßnahmen als auch das Festlegen angemessener Präventivmaßnahmen. Dazu zählt beispielsweise die sichere Konfiguration von IT-Systemen und Netzwerkkomponenten.
  • Für die Sicherheit oder gesetzliche Anforderungen relevante Ereignisse sind nicht dokumentiert und nicht nachvollziehbar – dies erschwert unter anderem auch die Forensik.
  • Die IT-Verantwortlichen haben keinen Überblick, welche Parameter an welchen Geräten überhaupt protokolliert werden. Möglicherweise wird sogar mehr als notwendig protokolliert. Bei personenbezogenen Daten kann dies zu einem Verstoß gegen das Bundesdatenschutzgesetz führen (Erhebungszweck, Löschfristen).
  • Logdaten werden auf ein und demselben Gerät erhoben und gespeichert. Die Konsequenzen dieser suboptimalen Vorgehensweise verschlimmern sich, wenn es für die Logdaten kein Datensicherungskonzept gibt. Die Ursache eines Systemausfalls zum Beispiel ist dann schwer zu ermitteln.
  • Logdaten werden erhoben, aber deren Auswertung und Korrelation ist zu komplex oder zu aufwändig. Folge: die Protokollierung ist primär für forensische Zwecke brauchbar.  

Sind diese Herausforderungen lösbar? Im Prinzip ja – die Konzepte müssen aber an die spezifischen Voraussetzungen der eigenen Organisation angepasst sein. Ausgewählte Lösungsansätze werden künftig in weiteren Beiträgen auf SecTank skizziert.