„Klassische“ Compliance und IT: stark verwoben

Zukunftsvision ist die komplette Zusammenführung beider Bereiche

Von Christian Parsow und Hanno Baur

Beitrag als PDF (Download)

Einleitung

Kaum ein Prozess wird ohne den Einsatz von IT umgesetzt, auch die Complianceprozesse bilden hier keine Ausnahme mehr. Sei es bei dem sogenannten Know-your-Customer Prozess, bei der Überwachung der Urheberrechte etwa im Rahmen des Lizenzmanagements oder bei Transaktionsanalysen. Im Allgemeinen wird diese Unterstützungsleistung unter den Begriff „Compliance durch IT“ subsumiert und erstreckt sich von der einfachen Berechtigungsvergabe auf Ebene des Dateisystems bis hin zu speziellen Complianceanwendungen, mit denen der gesamte Complianceprozess abgebildet wird. Trotz dieser zentralen Rolle bei der Complianceumsetzung haben IT-Abteilungen selbst oft ein „IT-Eigenleben“ entwickelt, welches in der Regel durch eine Art Technikbarriere erklärt wird und sich auch in der Kommunikation widerspiegelt. Zusätzlich hat die Verknüpfung der einzelnen IT-Systeme die Komplexität dabei oft so erhöht, dass im Rahmen von internen Complianceuntersuchungen selten ausreichend Ressourcen zur Verfügung stehen, um verwendete Systeme tiefergehend zu analysieren.

Compliance

Bei der Kommunikation zwischen der IT-Abteilung und dem restlichen Unternehmen gehen oftmals Informationen verloren. Beispielsweise haben Erkenntnisse aus Sicherheitsvorfällen ergeben, dass immer wieder die Regeln zur Passwortweitergabe nicht verstanden wurden, obwohl in diesen Fällen die Weitergabe der betrieblichen Passwörter an Dritte über eine interne Regelung, meist eine entsprechende Passwortrichtlinie, nicht gestattet war. Passwörter wurden dabei zwar keiner natürlichen Person weitergegeben, aber zur Authentifizierung bei unternehmensfremden Diensten verwendet. Durch Datenlecks gerieten Passwörter in die Hände Dritter und wurden dort zum Beispiel für Wörterbuchangriffe verwendet. Dabei werden automatisch alle Passwörter aus einem vorher zusammengestellten Wörterbuch bei einem Hackerangriff auf ein Unternehmen verwendet. Ähnlich sah es bei der Umsetzung der Richtlinien in den IT-Abteilungen aus: Die Unternehmensregeln werden zwar für die Anwender implementiert, für die administrativen Mitarbeiter der IT-Abteilung werden diese Regelungen, wie etwa das „Need-to-know-Prinzip“, jedoch nicht immer umgesetzt. Die Ausnahmen werden darüber hinaus nicht überall durch passende organisatorische Maßnahmen, wie etwa ein Vier-Augen-Prinzip oder entsprechende Protokollierung, kompensiert.

Fatal ging ein Complianceverstoß bei einem Halbleiterhersteller aus. Hier führte ein Mitarbeiter der IT den vorgesehenen Virenscan nach einem Download nicht durch und verifizierte die Datei auch nicht auf anderem Wege. So wurde ein Virus in das Unternehmensnetzwerk eingebracht, der mehrere Produktionsstandorte lahmlegen konnte. Auch werden immer wieder Fälle öffentlich, bei denen sensible Daten auf mobile Datenträger kopiert wurden und diese dann verlorengingen, zum Beispiel zuletzt die Personaldaten von 80 JVA-Beamten.

IT-Sicherheit

Durch den Fachkräftemangel und zur Vorbereitung von Social-Engineering-Angriffen ist es zu einer Ausweitung der für Angreifer interessanten Angriffsziele gekommen. Waren in der Vergangenheit technische Informationen und Zahlungsströme im Fokus der internen und externen Angreifer, sind jetzt auch vorher vernachlässigte Informationen wie zur Aufbauorganisation oder Daten über das Fachpersonal in das Interesse der Angreifer gerückt, da sich diese Daten zum Beispiel zur Vorbereitung des sogenannten CEO-Frauds oder zur gezielten Identifikation von potentiell abwerbbarem Fachpersonal leicht monetarisieren lassen.

Das Bekanntwerden von Schwachstellen aus den Sammlungen von Geheimdiensten, die etwa für die Verbreitung von Ransomware – also Schadsoftware, die die Daten von befallenen Systemen verschlüsselt und den Opfern den Entschlüsselungs-Key zum Kauf „anbietet“ – verwendet wurden, führte zu einer Weiterentwicklung des Updatemanagements. Das Risiko Opfer eines solchen Angriffs zu werden, ist allerdings immer noch vorhanden. So stehen noch viele IT-Abteilungen vor der Herausforderung, dass Applikationen nicht immer zeitnah eine Freigabe für die Updates der Betriebssystemumgebungen erhalten. Zusätzlich werden zunehmend IoT-Devices oder Geräte, die teilweise noch nicht vom Updatemanagement erfasst werden, wie beispielswiese Multifunktionsdrucker, die auch als Faxgerät fungieren, angegriffen.

IT-Forensik

Die Konsolidierung und Vernetzung der IT-Infrastruktur wirkt sich auch auf die IT-Forensik und somit auf Complianceuntersuchungen aus. Hier ist für Unternehmen zunehmend von Interesse, ob ein Innentäter ausgeschlossen werden kann, wobei die klassischen Fragestellungen zum Modus Operandi, also wer wann was getan hat, nicht an Bedeutung verlieren. Durch die höhere Anzahl an Devices sind dabei auch die zu analysierenden Daten sprunghaft angestiegen. Waren in der Vergangenheit meist Daten auf lokalen Geräten, Daten in Netzwerkfreigaben und auf Servern mögliche Quellen, sind heute mobile Devices, Datenräume und diverse unterschiedliche Kommunikationsplattformen in die Betrachtung miteinzubeziehen. Weiterhin haben die IT-Abteilungen das Thema „ IT-Forensik“ nur selten auf der eigenen Agenda.

Zusammenspiel IT-Compliance, IT-Sicherheit und IT-Forensik

Ein Dauerthema, das sich auf alle drei beschriebenen Aspekte gleichermaßen auswirkt, bleibt die sogenannte Schatten-IT, also IT-Infrastruktur, die sich nicht unter der Kontrolle der IT-Abteilung befindet. Waren zuerst unverschlüsselte, private Datenträger Hauptprobleme der Schatten-IT, haben heute fast alle Mitarbeiter einen „Klein-PC“ in Form eines Smartphones am Arbeitsplatz. Sie sind funktionale, übersichtliche und performante Anwendungen gewohnt und können Funktionen – die ihnen die eigene IT eventuell nicht zur Verfügung stellt – einfach substituieren. Dabei werden nicht nur die Kommunikation unter Kollegen über den privaten Messenger durchgeführt oder gesperrte Websites über private Devices angesteuert, sondern auch fehlende Internetverbindung wird über ein privates Device aufgebaut. Außerdem werden Dateien/Programme über das private Gerät aus dem Internet heruntergeladen. All dies ist für die IT-Compliance, die IT-Sicherheit und die IT-Forensik gleichermaßen unkontrollierbar und somit extrem risikobehaftet, da hier der IT-Sicherheitsprozess sowie Archivierungsprozesse nicht greifen können und auch Daten nach einem Sicherheitsvorfall nicht oder nur umständlich analysiert werden können.

Die drei Bereiche können sich zudem auch im Zielkonflikt befinden. Dieses Spannungsfeld wurde zum Beispiel durch das „VPN-Verbot“ in China deutlich, durch das die Verwendung von Virtuellen Privaten Netzwerken (VPN) eingestellt beziehungsweise die genutzten VPN-Verbindungen lizenziert oder auf ein lizenziertes VPN umgestellt werden mussten. VPN sind in der IT-Sicherheit die Standardlösung, wenn unterschiedliche Unternehmensteile über ein unsicheres Netz (zum Beispiel das Internet) verbunden werden. Dabei wird der gesamte Datenverkehr zwischen den Unternehmensteilen verschlüsselt, was dazu führt, dass er auf der Transportstrecke nicht gelesen werden kann und Änderungen detektierbar werden. Unternehmensteilen in China steht diese Art der Absicherung jetzt nur noch insoweit zur Verfügung, als das Unternehmen davon ausgehen muss, dass der Datenverkehr durch den Staat entschlüsselt und geprüft wird. Die Vertraulichkeit der Datenübertragung kann durch diese gesetzliche Vorgabe nicht mehr über die bewährte Methode sichergestellt werden. Gleichzeitig steht die IT-Forensik vor dem Problem, dass hier Daten nicht nur eingesehen, sondern auch in irgendeiner Weise verändert werden könnten.

Integration von Compliance und IT

Wie die obigen Beispiele aus den einzelnen Bereichen zeigen, sind die „klassische“ Compliance und die IT stark verwoben. Fast keine Complianceuntersuchung und kein Complianceprozess erfolgen mehr ohne IT-Einsatz, und vielfältige Compliancerisiken betreffen IT und Compliance gleichermaßen. Hierbei ist etwa auch das Thema Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) zu nennen, bei dem rechtliche auf IT-Anforderungen prallen. Dies hat bei vielen Projekten im Rahmen der DSGVO zu Verständigungsproblemen und Zeitverzug geführt. Weiterhin sind die o.g. Beispiele im Bereich der „Schatten-IT“ derzeit in vielen Unternehmen komplett ungesteuert.

Fraglich ist nun, wer endgültig die Verantwortung für die Identifizierung von IT-Risiken und deren Abarbeitung trägt, da die Risiken und Maßnahmen aufgrund der zunehmenden Digitalisierung nicht trennscharf zugewiesen werden können. Hinzu kommt, dass oftmals ein Kommunikationsproblem zwischen den rein technisch getriebenen IT-Mitarbeitern und den juristisch geprägten Compliancemitarbeitern besteht. Insoweit empfiehlt es sich, die Complianceabteilung und die IT-Abteilung ein Stück weit zusammenwachsen zu lassen – sei es durch Aufnahme der IT in eventuell vorhandene Compliancekomitees, den Austausch von Mitarbeitern oder, als Zukunftsvision, die komplette Zusammenführung von IT und Compliance.

christian.parsow@ebnerstolz.de

hanno.Baur@ebnerstolz.de