Anzeige

Compliance

Die nahezu flächendeckende Digitalisierung von Wirtschaft und Gesellschaft und nicht zuletzt die COVID19-Krise haben die Anforderungen an die Datenbank-Sicherheit und Compliance erheblich verschärft.

Compliance und Sicherheit sind zwei eng miteinander verbundene Konzepte, die sich auf alle Datenbanken auswirken, die personenbezogene und andere sensible Daten speichern. Heutzutage umfasst die Datenbank-Sicherheit Vorkehrungen für den Schutz personenbezogener Daten; die Compliance muss im Gegenzug nachweisen, dass die Sicherheitsmaßnahmen zum Schutz der Daten angemessen sind.

Zu den häufigsten internen Schwachstellen, die die Datenbank-Sicherheit gefährden, zählen die Verwendung schwacher und gemeinsam genutzter Passwörter oder die immer noch weit verbreitete Nutzung von Standard-Systempasswörtern und -einstellungen. Auch fehlende Sicherheitstests vor der Implementierung, mangelhafte Datenverschlüsselung und unsichere Backups gehören zu den leicht vermeidbaren Risiken, die in vielen Unternehmen jedoch immer noch bestehen.
Zudem hat die Corona-Pandemie zusätzliche Gefahren für die Datenbank-Sicherheit mit sich gebracht. Ganz oben auf der Liste steht das Arbeiten an Remote-Standorten. Denn bei der Einrichtung des Fernzugriffs werden möglicherweise erhöhte Privilegien gewährt, was potenzielle Einfallstore für Cyberkriminelle eröffnet. Durch großangelegte Phishing-Kampagnen mit dezidiertem Corona-Bezug hat sich auch die Wahrscheinlichkeit erhöht, dass Angestellte Opfer von Social-Engineering-Angriffen werden.

Compliance-Audits

Um den oben genannten traditionellen und neuen Risiken zu begegnen, ist es für Unternehmen wichtig, die spezifischen Anforderungen zu verstehen, die für Infrastruktur und Systeme gelten. In vielen Fällen kann dieser Prozess von einem Compliance-Audit profitieren, bei dem der Zustand bestehender Systeme anhand einer Reihe von regulatorischen Standards geprüft wird. Diese Audits können von internen oder externen Teams durchgeführt werden, wobei das Endergebnis der Nachweis der Compliance ist. In der Praxis basiert dies in der Regel auf der Verfügbarkeit und dem nachweisbaren Wert von Berichten, Run Books, Dokumentationen sowie Konfigurations- und Sicherheitseinstellungen, die jede Compliance-Anforderung oder jeden Prozess effektiv adressieren.

Automatisierungssoftware als Unterstützung:

Führungskräfte sollten Compliance und Sicherheit als geschäftliche Vorteile betrachten und in die entsprechenden Ressourcen und Prozesse investieren, etwa in Automatisierungssoftware und Risikobewertungsmaßnahmen für interne Kontrollen, um ihre Verpflichtungen zu erfüllen. So sind beispielsweise Data Warehouses, die mit Automatisierungssoftware erstellt wurden, tendenziell sicherer als handcodierte Lösungen, die anfällig für menschliche Fehler sein können.

Gut geschultes Personal

Auch sollten schriftliche Verfahren und Richtlinien zum Umgang mit Geschäftspraktiken durch umfangreiche Schulungen für Management, Mitarbeiter und Auftragnehmer unterstützt werden. Entscheidend für den gesamten Prozess ist eine vollumfängliche Aufsicht, und ein spezielles Team sollte mit der Durchsetzung, Überwachung, Prüfung und Reaktion auf alle Vorwürfe oder Fälle von Fehlverhalten beauftragt werden. Selbst kleine Unternehmen sollten einen eigenen internen Auditor haben, dessen Aufgabe es ist, den aktuellen Zustand der Compliance-Bemühungen zu überprüfen und eventuelle Lücken zu schließen.

Softwaregestützte Schwachstellenerkennung

Viele Unternehmen setzen inzwischen spezielle Softwarelösungen ein, um die volle Kontrolle über ihre Datenbank-Sicherheit und Compliance zu übernehmen. Dabei können sie bestehende Schwachstellen in den heute weit verbreiteten Umgebungen identifizieren, von SQL Server bis hin zu Azure und Amazon, um nur einige zu nennen. Durch die Einstufung der Sicherheitsstufen über einen „Report Card“-Ansatz und die Analyse der Benutzerberechtigungen für alle Datenbankobjekte können sich IT-Teams beispielsweise auf die Härtung der Sicherheitsrichtlinien für jeden Datensatz konzentrieren und ihre Fähigkeit zur Einhaltung von Audits maximieren. In den zunehmend komplexen Umgebungen von heute kann diese Art von intelligentem, softwaregestütztem Ansatz den Grundstein für eine effiziente und effektive Strategie bilden.

Letztlich ermöglicht Compliance den Unternehmen, Kunden zu gewinnen, indem sie die Einhaltung von Vorschriften beispielsweise im Finanzbereich wie etwa PCI (Payment Card Industry Data Security Standard) oder SOX nachweisen. Dies gibt die Gewissheit, dass die Datenbanken geschützt sind, und minimiert die Möglichkeit, bei Verstößen von den Aufsichtsbehörden mit Geldstrafen belegt zu werden, die in der Regel mit einem Reputationsschaden und einer Beeinträchtigung der Kundenbindung einhergehen. Eine effektive, langfristige Strategie ist nicht nur eine Absicherung gegen Risiken, sondern eine nachweisliche Verpflichtung gegenüber allen Stakeholdern, dass die jeweilige Organisation bereit, willens und in der Lage ist, die von heutigen Unternehmen geforderten Standards zu erfüllen.

Thomas Heuer, Senior Account Director DACH
Thomas Heuer
Senior Account Director DACH, WhereScape

Artikel zu diesem Thema

Cyber Security
Feb 02, 2021

Cybersecurity-Probleme 2021 – Darauf müssen CIOs achten

Während die analoge Welt im Jahr 2020 durch eine Pandemie in Schach gehalten wurde,…
Passwort
Feb 01, 2021

"Ändere dein Passwort"-Tag: Was hat sich im letzten Jahr getan?

Wieder einmal jährt sich der Ändere-dein-Passwort-Tag am 1. Februar. Doch was ist seit…
ALM
Jan 25, 2021

Wie Sicherheit, Compliance und Transparenz erhöht werden können.

Im dritten Teil unserer Artikelserie zum Thema Application Lifecycle Management wollen…

Weitere Artikel

Cyber Security

Cybersecurity muss Prävention und Detektion ausbalancieren

In ihrer bisherigen Historie konzentrierten sich Cybersicherheitsprodukte hauptsächlich darauf, bösartigen Code daran zu hindern, auf Computer zu gelangen und diesen auszuführen. Joe Levy, CTO bei Sophos erjklärt, warum wir Unvollkommenheit nicht mit…
Cyber-Versicherung

Cyber-Versicherungen erleben einen Aufschwung - die Prämien auch

Unternehmen stehen heute mehr denn je unter Druck, ausreichend gegen Angriffe von außen geschützt zu sein. Regelmäßig werden Hacker-Angriffe auf Unternehmen publik – und diese sind nur die Spitze des Eisbergs.
Cyber Security

Microsoft native Security Lösungen optimal nutzen

Mit der Zunahme an Security Tools steigt die Komplexität für Administratoren und Sicherheitsverantwortliche. Sicherheitsrichtlinien, Profile und Berechtigungen müssen verwaltet werden. Anders gesagt: Je mehr Tools, Endgeräte und User desto komplexer wird…
2022 Security

Cybersicherheit 2022: Worauf sich Unternehmen einstellen müssen

Das Jahr 2021 war gespickt mit vielen öffentlich wirksamen Cyberangriffen auf Unternehmen und Behörden. Es hat sich gezeigt, dass die Zielgerichtetheit und Rafinesse der Attacken deutlich zugenommen hat. Besonders prominent waren dabei vor allem zahlreiche…
Social Engineering

Social Engineering-Attacken stoppen mit Verhaltensbiometrie

Kein Sicherheitsfaktor ist so kritisch, wie der Mensch selbst. Das BSI stellt in seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland 2021 zu Recht fest, dass der Mensch ein oft unterschätztes Sicherheitsrisiko als Einfallstor für Cyberangriffe…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.