Automatisierte Compliance-Prüfung

Expertenkommentar: Die Plicht zur Compliance-Prüfung

funkschau: Dr. Spiegel, welche rechtlichen Rahmenbedingungen machen Compliance-Prüfungen von Systemen zur Pflicht?
Spiegel: Für den Finanzdienstleistungsbereich sind dies die Bestimmungen gemäß MaRisk AT 7.2. Danach müssen die IT-Systeme aus Hard- und Software sowie die dazugehörigen IT-Prozesse die Integrität, Verfügbarkeit, Authentizität und die Vertraulichkeit der Daten sicherstellen. Für alle Unternehmen gelten die Vorschriften des BDSG (Anlage zu &9 Satz 1). Es muss verhindert werden, dass Datenverarbeitungssysteme von Unbefugten genutzt und personenbezogene Daten von Unbefugten gelesen, kopiert, verändert oder entfernt werden können. Verarbeiter von Kreditkarten müssen die Regelungen des PCI-DSS befolgen, wonach alle damit verbundenen Sicherheitssysteme und -prozesse regelmäßigen Prüfungen unterzogen werden müssen.

Für zahlreiche Berufsgruppen kann schon die Möglichkeit der Verletzung von Privatgeheimnissen, sofern Ereignisse unzureichend überwacht werden, den Straftatbestand erfüllen. NYSE-, also an der New Yorker Börse gelistete Unternehmen, müssen die Kontrollvorschriften für das finanzielle Reporting des Sarbanes-Oxley Acts erfüllen. Alle Aktiengesellschaften und GmbHs sind gefordert, die Bestimmungen des AktG (Aktiengesetzes) beziehungsweise des GmbHG (Gesetzes) einzuhalten, dazu ein angemessenes Risikomanagement und Überwachungssystem zu etablieren.

funkschau: Welchen Nutzen hat ein Unternehmen, das regelmäßige, automatisierte Compliance- und Schwachstellenprüfungen von einem Dienstleister durchführen lässt?
Spiegel: Es muss die dafür notwendigen Sicherheits-Skills nicht im eigenen Unternehmen aufbauen und vorhalten. Das gleiche gilt für die IT-Ressourcen, um solche Prüfungen durchführen zu können. Außerdem profitiert das Unternehmen beim externen Dienst von Skaleneffekten, dadurch niedrigeren Kosten gegenüber Compliance- und Schwachstellenprüfungen im Eigenbetrieb. Zumal das Unternehmen nach dem Pay-per-Use-Modell nur für die Prüfdienste zahlt, die es tatsächlich genutzt hat.

funkschau: In vielen Unternehmen werden die Systeme bereits konform zur Sicherheitsrichtlinie aufgesetzt. Warum sollten hier darüber hinaus Compliance-Prüfungen vorgenommen werden?
Spiegel: IT-Systeme unterliegen einem Lebenszyklus und somit Veränderungen (Changes). Ein gutes Change-Management allein kann nicht 100prozentig gewährleisten, dass durch zwischenzeitliche Veränderungen unbeabsichtigt und unbemerkt Sicherheitseinstellungen verändert werden. Doch genau daraus können Schwachstellen entstehen, die Angreifer für ihre Zwecke nutzen können. Nur regelmäßige, automatisierte Compliance- und Schwachstellenprüfungen können solchen Gefahren entgegenwirken.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Automatisierte Compliance-Prüfung
2. Viele Schadensrisiken
3. Richtig planen und umsetzen
4. Automatisierte und regelmäßige Prüfungen helfen weiter
5. Gut beim Dienstleister aufgehoben
6. Resumée
7. Expertenkommentar: Compliance-Prüfungen belasten die Systeme nicht
8. Expertenkommentar: Die Plicht zur Compliance-Prüfung

Lesen Sie mehr zum Thema

Weitere Artikel zu Steria Mummert Consulting AG

KI für öffentliche Verwaltung

Riese Sopra Steria verbündet sich mit KI-Start-up Aleph Alpha

Privates 5G

Warum die Industrie eigene Mobilfunknetze betreiben möchte

Investitionen dringend erforderlich

TK-Branche braucht künstliche Intelligenz für 5G

Schwächelnde Abwehr

Unternehmen vernachlässigen mobile Sicherheit

Erschwerte Sicherheitsbedingungen

Banken bieten Angriffsflächen für Cyberkriminelle

Weitere Artikel zu Server, Datacenter

Neue Jobs für Rootsey und Krebs

Lenovo verändert Führungsstruktur

FTS ist jetzt Fsas

Fujitsu unter neuer Flagge

Stuart Enghofer startet am 1. April

Führungswechsel in der SAP-Business Unit von Akquinet

Abstand zu Nvidia verkürzen

AMD kauft Serverhersteller ZT Systems

Boomender RZ-Markt fordert Effizienz

Wachstums-Schmerzen lindern