Illustration Absmeier foto freepik

Wenn Unternehmen regulatorische Verpflichtungen konsequent einhalten, warum kommt es dann noch derart häufig zu Datenschutzvorfällen? Diese berechtigte Frage offenbart ein Paradoxon im Kern all dessen, was wir in der Cybersicherheit tun. Man kann den Eindruck gewinnen, dass je stärker wir regulieren, je höher die Compliance-Anforderungen steigen, je umfassender die entsprechenden Regelwerke werden und je mehr wir in das Bewusstsein für Cybersicherheitsprobleme schulen, desto höher die Zahl der zu bewältigenden Datensicherheitsvorfälle. Ergo: Je mehr wir investieren, desto schlimmer wird es?

Wie kommt dieses Paradoxon zustande, wo liegen Ursache und Wirkung? Bemühen Unternehmen sich ausreichend darum, die Vorgaben einzuhalten oder sind sie dabei nachlässig (geworden)? Einige Firmen haben dafür bereits einen hohen Preis bezahlt. Warum uns das interessieren sollte? Im Global Financial Stability Report 2024 äußert der IMF seine Besorgnis über das erhöhte Risiko extremer Verluste aufgrund von Cybersicherheitsvorfällen und die möglichen Auswirkungen auf die globale Finanzstabilität [1]. Mit anderen Worten: Eine digitale Gesellschaft kommt nicht umhin, sich diesem Problem zu stellen.

In diesem Beitrag widmen wir uns den Ursachen des »Cyber-Compliance-Paradoxons« und wie man es auflösen kann.

Eine Fülle von Compliance-Problemen

Auf Unwissenheit können wir uns nicht berufen, denn es existieren Rahmenwerke, Richtlinien und Vorschriften, die Mindestanforderungen und Best Practices definieren. Somit befinden wir uns nun genau an diesem Punkt:
Eine Verteidigung auf der Basis glaubhafter Abstreitbarkeit ist nicht stichhaltig.

Und wie sieht es in anderen Wirtschaftszweigen aus? Nun, sie kämpfen mit ähnlichen Herausforderungen, wenn man Compliance- und Sicherheitsverpflichtungen in Einklang bringen willen: Ein Beispiel aus der Luftfahrtindustrie. Boeing brauchte erwiesenermaßen eine geraume Zeit, um sich von öffentlichkeitswirksam diskutierten Problemen zu erholen. Entstanden aus einem Missverhältnis zwischen Sicherheits- und Qualitätsverpflichtungen, weil man sich auf kurzfristige Gewinnerzielung fokussiert hatte. Im Finanzwesen mögen Compliance-Verstöße kaum überraschen, aber einige aktuelle Fälle, die Wirtschaftsprüfer betreffen, lassen jedoch Zweifel an der Vertrauenswürdigkeit des gesamten Systems aufkommen. Selbst in kritischen Bereichen mit einer langen Sicherheitstradition wie dem Brandschutz, kommt es zu Compliance-Verstößen. So geschehen im Zusammenhang mit dem tragischen Brand im Grenfell Tower in London.

Compliance-Mängel beschränken sich nicht auf die Cybersicherheit, aber dort zeigen sich die Mängel am gravierendsten. Der US-amerikanische Gesundheitsdienstleister United Health wurde im Frühjahr 2024 Opfer eines schweren Ransomware-Vorfalls. Er brachte die Logistik- und Zahlungssysteme weitestgehend zum Erliegen, was weitreichende Konsequenzen für Sicherheit und Patientenwohl hatte. Das bestätigt auch eine Studie der University of Minnesota. Demzufolge war die Patientensterblichkeit in einem von einem Ransomware Angriff betroffenen Krankenhaus nachweislich um fast 21 % gestiegen.

Entscheidend ist, dass mit der wachsenden Reife unserer digitalen Gesellschaft, dem Nutzen den wir daraus ziehen und der zunehmenden Abhängigkeit davon, die Sicherheit dieser neu geschaffenen digitalen Prozesse und Ressourcen ins Zentrum der Aufmerksamkeit gerückt ist.

Die üblichen Verdächtigen

Sucht man nach Gründen für die Kluft zwischen Compliance und Sicherheit, werden meist die folgenden Themen benannt:

Fachkräftemangel
Geopolitische Spannungen und wachsende Cyberkriminalität
Technologischer Fortschritt und Veränderungen durch die Digitalisierung (Cloud, Remote Work, soziale Netzwerke, Abhängigkeiten innerhalb der Lieferkette, KI- Technologien und Automatisierung)

Zweifelsohne spielen alle diese Faktoren eine Rolle, die eigentlichen Ursachen aber liegen woanders. Die bittere Wahrheit ist: In den meisten Fällen sind wir selbst für potenzielle Datenlecks verantwortlich. Nicht zuletzt, weil wir Risiken nicht angemessen bewerten und Cybersicherheitsinitiativen nicht die nötige Priorität zuweisen.

Was machen wir falsch?

Strukturelle Probleme

Die Financial Times hat in einem Beitrag aus dem letzten Jahr darauf hingewiesen, dass die Aktionäre Führungskräfte und Vorstände nicht für ihre Versäumnisse im Bereich Cybersicherheit zur Rechenschaft gezogen wurden. Wenn man aber für bestimmte Dinge nicht zur Rechenschaft gezogen wird, rutschen diese naturgemäß auf der Prioritätenliste nach unten. Wo robuste Compliance-Maßnahmen greifen sollten, sind sie nicht selten nur Fassade. Der IMF untertreibt eher, wenn er feststellt, dass sich private Unternehmen einfach nicht genug um Sicherheit und Schutzmaßnahmen kümmern [1]. Die Ursachen liegen nicht zuletzt in der Unternehmenskultur auf Eigentümer- und Vorstandsebene. Auch zwischen den Bereichen Finanzen und Technik besteht meist eine Kluft wie im Fall von Boeing.

Diese Diskrepanzen haben Folgen: Sicherheitsinitiativen fehlt es an Ressourcen. Cybersicherheitsexperten haben wenig Einfluss auf strukturelle Probleme der Wirtschaft. Sie sollten sich derer jedoch bewusst sein und weiterhin aus den beschränkten Mitteln das Beste extrahieren.

Operative Probleme

Einige Ursachen lassen sich aber direkt beeinflussen und Veränderungen bewirken.

»Break-Fix«-Mentalität

Die erwähnte Ressourcenknappheit führt nicht selten dazu, dass Firmen in die bekannte »Break-Fix«-Mentalität verfallen. Das heißt, man wartet ab, bis man eine böswillige Aktivität als solche erkennt und kümmert sich dann um die Folgen. Abgesehen davon, dass dieser Ansatz erst im Nachhinein greift, ist er anfällig für identitätsbasierte Angriffe. Diese ermöglichen es mit kompromittierte Anmeldedaten effektiv unter dem Radar zu fliegen. Sie verbergen sich häufig sogar in ihnen vorgelagerten Angriffen und sind deshalb schwer zu erkennen.

Sie wissen nicht, womit Sie es zu tun haben

Vielen Unternehmen fehlt es an Transparenz hinsichtlich ihrer Systeme und der Zugriffsberechtigungen innerhalb der gesamten Umgebung. Gerade ältere oder unzureichend gewartete Infrastrukturen sind anfällig für Angriffe. Wie hoch das Risiko tatsächlich ist, wissen Unternehmen aber oftmals nicht. Viele Sicherheitsverletzungen sind das Resultat kompromittierter Systeme, in Kombination mit einer laxen Verwaltung von Anmeldeinformationen und Zugriffsberechtigungen.

Absegnen

Compliance-Prozesse entarten nicht selten zur bloßen Formalität, wenn das Engagement fehlt und die Ergebnisse nicht validiert werden. Beispiele sind massenhaft zertifizierte Zugriffe ohne echte Validierung oder geschlossene Korrekturschleifen, unvollständige Dokumentationen oder Backups. Dokumente mit überzeugenden Titelseiten, aber ohne echten inhaltlichen Mehrwert. Davon abgesehen sind auch die integrierten Prozesse oft nur unzureichend an die sich ständig verändernde IT-, Angriffs- und Regulierungslandschaft angepasst.

Security-Silos

Fragmentierte technologische Strategien führen zu Lücken zwischen Sicherheitslösungen und den einzelnen Teams. Bis zu einem gewissen Ausmaß lässt sich das im Rechenzentrum (SOC) kompensieren, wo die Signale zentralisiert werden. Das führt aber zu höheren Latenzzeiten. Zudem sagt es wenig über notwendige Präventivmaßnahmen aus und verstärkt eher die schon beschriebene Break-Fix-Mentalität.

Die Lösung? Ein präventiver Ansatz

Operative Probleme sind schwer zu lösen, aber sie fallen zumindest in den Kontrollbereich der Cybersecurity. Trotz der Vielzahl an Herausforderungen bringt die digitale Identität in praktisch allen Bereichen Vorteile [2].

Wer die digitalen Identitäten in einer Umgebung kontrolliert, setzt vor dem ineffektiven Detection-Response-Zyklus an und verhindert böswillige Aktivitäten bevor sie ein Unternehmen kompromittieren. Eine digitale »Abschottung« auf Basis von effektiven Governance-Richtlinien erschwert die laterale Ausbreitung von beispielsweise Malware und begrenzt somit den Schadensradius von Sicherheitsverletzungen.

Korrekt verwaltete organisatorische Identitäten verschaffen Unternehmen einen besseren Überblick über Cybersecurity-Risiken, insbesondere in Kombination mit ITDR-Technologien [3]. So kann man die tatsächliche Gefährdung von Systemen einschätzen und zusätzliche Maßnahmen für eine optimale Sicherheitsabdeckung quantifizieren.

Zugriffsberechtigungen werden nicht selten von Führungskräften »durchgewunken«, wobei sie selbst die Zugriffsentscheidungen und -prozesse nicht grundlegend verstanden haben. Dadurch werden weit mehr und höhere Zugriffsberechtigungen vergeben als notwendig. Zentralisierte Zugriffsrichtlinien und Identitätskontrollen sowie KI gestützte Empfehlungen liefern Entscheidungsträgern den notwendigen Kontext, überwachen die Vergabe von Zugriffsberechtigungen und helfen, Fehler zu beheben [4]. Hier sind zuerst Fragen der Unternehmenskultur zu klären. Eine unternehmens- und anwenderfreundliche User Experience mit gezielten KI-gesteuerte Identitätserkenntnissen und automatisch generierte Identitäts-KPIs unterstützen jedoch effektive sinnvolle Compliance-Prozesse [5].

Keine Technologie deckt alle Sicherheitsanforderungen ab. Identitäten aus Anwendungen und Systemen auszulagern und Richtlinien zu zentralisieren, beseitigt jedoch den Silo-Effekt zwischen Technologien und Abteilungen. Je stärker Identitätstechnologien untereinander und innerhalb eines breiteren Sicherheitsökosystem vernetzt sind, desto weniger Optionen haben Angreifer, Lücken und Versäumnisse auszunutzen. Eine gute Möglichkeit, das Identitätsökosystem mit der Cybersicherheit im weiteren Sinne zu verbinden, sind Zero-Trust-Initiativen, an denen Identity Architects und IAM-Experten beteiligt sind. Sie haben die Kompetenz, einzuschätzen wie bedeutsam digitale Identitäten für das Erreichen von Zero-Trust-Zielen sind.

Ein zentralisiertes, automatisiertes Identitätsmanagement trägt außerdem dazu bei, die Rendite zu steigern, weil sie sich positiv auf eine Vielzahl von Sicherheitsaktivitäten auswirkt und im Zusammenspiel mit präventiven und detektiven Maßnahmen dazu beiträgt optimale Ergebnisse zu erzielen.

Fazit

Um die Vorteile der digitalen Gesellschaft zu nutzen, sollten wir den Wert und die Kosten von Cybersicherheit anerkennen und Cybersicherheitsbestrebungen richtig priorisieren. Ein wesentlicher Teil dieser Entwicklung ist ein sicheres digitales Identity-Ökosystem. Es sorgt dafür, dass notwendige Kontrollmaßnahmen und Sicherheitsvorgaben umgesetzt werden können.

Die Sicherheit der digitalen Identitäten ruht auf den bekannten Säulen wie Identity Governance and Administration (IGA), Privileged Access Management (PAM), Access Management (AM) und der Sicherheit von grundlegenden Verzeichnisdiensten wie Active Directory (AD) und Entra ID.

Ein einheitlicher Ansatz bei der Identitätssicherheit vermeidet Fehler wie die eingangs beschriebenen Silos. Tatsächlich liefert ein vernetztes Gefüge gut integrierter Identitätsdienste einen Mehrwert in Form von verhaltensgesteuerter Governance, Privileged Access Governance, Just-in-Time- und Least-Privilege-Access-Prozessen [6]. Sämtliche dieser Dienste fördern eine messbare Durchsetzung von Compliance.

Das übergreifende Ziel ist ein einheitliches Identitätsgefüge. Es ist aber wichtig, dass Unternehmen zunächst mit Maßnahmen beginnen können, die ihre individuellen, unmittelbaren Anliegen adressieren, um diese sukzessive auf alle Facetten einer Identität auszuweiten.

Robert Byrne, One Identity

[1] https://www.imf.org/en/Publications/GFSR/Issues/2024/10/22/global-financial-stability-report-october-2024

[2] https://www.oneidentity.com/learn/what-is-a-digital-identity.aspx

[3] https://www.oneidentity.com/learn/what-is-identity-threat-detection-and-remediation.aspx

[4] https://www.oneidentity.com/learn/what-is-access-control-in-cybersecurity.aspx

[5] https://www.oneidentity.com/learn/ai-in-cybersecurity-everything-you-need-to-know.aspx

[6] https://www.oneidentity.com/what-is-the-principle-of-least-privilege/

1824 Artikel zu „Compliance Cyber“

News | IT-Security | Kommentar

NIS2-Compliance: Cybersicherheit braucht eine proaktive Vorgehensweise

24. Januar 2025

Für zahlreiche deutsche Unternehmen war das Jahr 2024 war im Hinblick auf ihre Cybersicherheit herausfordernd: laut des Berichts des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben die Aggressivität sowie die Raffiniertheit, mit der Cyberkriminellen vorgehen, erheblich zugenommen [1]. So sind die Häufigkeit und Komplexität von Ransomware-Angriffen stark gestiegen. Um angesichts dieser Bedrohungen das Gesamtniveau…