Beim vorliegenden Artikel handelt es sich um einen Auszug aus dem vollständigen Konzept. Für die vollständige Übersicht, Analyse und Konklusion wird auf das registrierungspflichtige Dokument verwiesen.

** Slides - Regulatoren und ihre Auswirkungen auf die IT Sicherheit

Einleitung

Normen und Gesetze sind allgegenwärtig. Im Privatleben kennen wir unsere wichtigsten daraus entstehenden Rechte und Pflichten. Im Geschäftsleben auch, es beginnt mit zwingenden Vorgaben über die Entstehung eines Unternehmen und setzt sich mit der Buchführungspflicht und der revisionsgerechten Archivierung fort. Diese Aufzählung liesse sich beliebig fortsetzen, aber es handelt sich dabei doch nicht um Verpflichtungen im Sinne der IT Sicherheit, oder?

Ausgangslage

Spätestens jedoch seit Begriffen wie Sarbanes Oxley und Basel II wurde vielen Unternehmen bewusst, dass sie im Tagesgeschäft und in Projekten weit mehr Anforderungen unterliegen, als bisher angenommen. Diese regulatorischen Rahmenbedingungen stellen, wenn nicht berücksichtigt, ein massives operatives Risiko dar. Es stellen sich die folgenden Fragen:

• Welche Gesetze / Regulatoren sind für ein Unternehmen massgebend?
• Welche Anforderungen bezüglich der IT Sicherheit ergeben sich?
• Wie werden Risiken erfasst und Sicherheitsmassnahmen institutionalisiert?

Vorgehen bei der Erhebung der Regulatoren

Um die erste Frage beantworten zu können, braucht es ein Vorgehensmodell, anhand dessen eine Auflistung der Regulatoren erfolgen kann. Das Vorgehensmodell ist hier nicht abgebildet – siehe hierzu die registrierungspflichtigen und/oder kostenpflichtigen Dokumente.

Die Auflistung kann z.B. nach privatem und öffentlichem Recht erfolgen. Es zeigt sich aber bald, dass die Menge der Regulatoren, die auf ein Unternehmen wirken, praktisch unüberschaubar ist. Es ist daher nicht praktikabel, anhand einer vollständigen Aufstellung sicherheitsrelevante Anforderungen ableiten zu wollen.
Es muss deshalb auf eine überschaubare Anzahl von Regulatoren beschränkt werden.

Anforderungsanalyse

Die Anforderungsanalyse erfolgt im Prinzip in zwei Schritten. Zuerst erfolgt die Feststellung, ob und in welchem Mass unsere Regulatoren Auswirkungen auf die IT Sicherheit haben. Anschliessend werden die Auswirkungen in sicherheitsrelevante Anforderungen übersetzt. Vorweggenommen zeigt sich, dass es im Kern immer wieder um die generischen Punkte Vertraulichkeit, Verfügbarkeit und Integrität geht. Diverse spezifische Anforderungen werden mehrmals von den untersuchten Regulatoren angezogen. Auszug:

Bemerkung zu Basel II: Die Sicherheitsanforderungen von z.B. Basel II sind umfassend. Diese bewegen sich auf strategischem, taktischem und operativem Level.

Anforderungsabdeckung

Jetzt, da wir die wichtigsten Anforderungen kennen, stellt sich die Frage: „Wie umsetzen“? Basel II stellt z.B. hohe Anforderungen, insbesondere an das Risk-Management. Für deren Umsetzung und Institutionalisierung ist ein umfassender Sicherheitsprozess notwendig. Auch andere Regulatoren sind nicht ohne.

Im Rahmen einer Studie wurde untersucht, wie gut und umfassend Standards wie ISO 17799 / 2700x oder das Grundschutzhandbuch (GSHB) des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) die Anforderungen zu erfüllen vermögen.

In der Studie erfolgte eine Gegenüberstellung der Frameworks zu den ermittelten Anforderungen. Der Vergleich hat ergeben, dass diese die ermittelten Anforderungen abzudecken vermögen, handelt es sich doch um umfassende Sicherheitsframeworks, welche sich zum Aufbau eines Information Security Management System (ISMS) eignen.

Risk Management Prozess

Risk Management spielt bei der Bewertung der operationellen Risiken und innerhalb eines ISMS eine wesentliche Rolle. Der Risk Prozess ist hier nicht abgebildet – siehe hierzu die registrierungspflichtigen und/oder kostenpflichtigen Dokumente.

Die verschiedenen Regulatoren erzwingen Sicherheitsmassnahmen, welche bei angemessener Umsetzung eine Risikoverminderung bewirken sollten. Innerhalb des PDCA-Modell erfolgt das Risk Management und Controlling. Das PDCA-Modell stellt ebenfalls die Institutionalisierung sicher.

Konklusion

Die wichtigen Erkenntnisse zusammengefasst lauten:

• Die schiere Menge der Regulatoren erfordert eine Eingrenzung der Untersuchung
• Die verschiedenen Regulatoren ziehen regelmässig gleiche Anforderungen nach sich. Daraus folgt, dass eine eingeschränkte Analyse zu zuverlässigen Ergebnissen führt
• Aus einigen Regulatoren müssen die Anforderungen einzelnen abgeleitet werden. Andere benennen von sich aus sehr konkrete Anforderungen. Regulatoren wie Basel II ziehen umfassende Anforderungen nach sich
• Praktisch jedes Unternehmen ist tangiert, auch Klein- und Mittelunternehmen
• Bei pragmatischer Anwendung eines Sicherheitsframeworks stellt sich auch bei kleineren Unternehmen sehr rasch eine Gewinnsituation ein. Unternehmen, welche von den umfassenden Auswirkungen von z.B. Basel II oder SOX betroffen sind, benötigen ein ganzheitliches Sicherheitsmanagement
• Anforderungen der Regulatoren können in der Regel durch die bekannten ISO Standards oder das GSHB sehr gut abgedeckt werden

Es gibt mehr als genug stichhaltige Gründe, sich um IT Sicherheit zu kümmern. Eine Erkenntnis aus der Analyse des ZGB, unterstreicht dies:

Aus dem ZGB ergeben sich keine unmittelbaren Auswirkungen auf die IT Sicherheit - aber die Beweisregel gemäss Art. 8 fördert die Entlastung der Verantwortlichen im Schadensfall.

Begriffserklärungen

Basel II
Bezeichnet die Gesamtheit der Eigenkapitalvorschriften, die vom Baseler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Neu ist der Einbezug der operationellen Risiken (nebst dem Markt- und Kreditrisiko). Basel II fordert die regulatorische Hinterlegung von Risiken mit Eigenkapital.

SOX
Sarbanes Oxley Act of 2002 - US-Gesetz zur Verschärfung der Rechnungslegungsvorschriften in Folge Bilanzskandale von Unternehmen wie Enron oder MCI Worldcom. Das Gesetz gilt für inländische und ausländische Unternehmen, die an US-Börsen oder der NASDAQ gelistet sind.

ZGB
Zivilgesetzbuch der Schweiz (Teil 1-4 der privatrechtlichen Ordnung)

OR
Obligationenrecht der Schweiz (Teil 5 der privatrechtlichen Ordnung)