Governance, Risk und Compliance: Vorgaben erfolgreich umsetzen
Bericht vom Treffen der mbuf Gruppe IT-Security-Management am 14.11.2024 in der Villa Mumm in Eltville.
Ein sehr informatives Treffen in historischem Ambiente direkt am Rheinufer – eine Vorabendveranstaltung mit Einblicken in die Welt des Sektes inklusive Verkostung: Im November traf sich die Gruppe IT-Security-Management in der Villa Mumm in Eltville am Rhein.
Die Security-Anforderungen an die Unternehmen nehmen weiter zu. Ebenso die Bedrohungs-Szenarien. Themenschwerpunkt war daher diesmal die praktische Umsetzung von gesetzlichen Governance-, Risk- und Compliance- (GRC-)Vorgaben in den Unternehmen. Welche Tools gibt es und wie findet man das passende Tool? Welche Dienstleister gibt es im GRC-Markt, wie findet man einen passenden Dienstleister und was ist bei der Zusammenarbeit mit externen Dienstleistern zu beachten?
Nach einer kurzen Begrüßung durch Max Gutberlet, CISO bei der Rotkäppchen-Mumm Sektkellereien GmbH, bei der er auch auf die aktuellen Herausforderungen im Bereich IT-Security einging und darstellte, wie in seinem Unternehmen darauf reagiert werde, stellte Martin Steiner, Technical Specialist Compliance bei der Microsoft Deutschland GmbH, den Microsoft Purview Compliance Manager vor. Dieses Tool unterstützt in Multi-Cloud-Umgebungen im Hinblick auf die Bewertung und Verwaltung von Compliance Einstellungen, hilft also zum Beispiel bei der Überwachung, Steuerung und Auditierung von Zugriffsberechtigungen, gibt aber auch Hinweise, inwieweit in der gemanagten Umgebung gesetzliche Compliance-Vorgaben wie KRITIS, NIS2 oder ISO 27001 umgesetzt sind. Von Vorteil ist bei diesem Tool, dass der Scope einer Überprüfung vorab per Mausklick anhand einer umfangreichen Kriterienliste (über 360 regulatorische Vorgaben) festgelegt werden kann: Welche Vorgaben gelten für das Unternehmen, was soll geprüft werden? Als Ergebnis erhält der Anwender eine Art To-Do-Liste, auf was das Unternehmen zu achten hat. Eine technische Prüfung findet hingegen nicht statt, irgendwelche Prozesse werden nicht automatisiert angestoßen. Der Microsoft Purview Compliance Manager zielt folglich darauf ab, was zu tun ist, nicht darauf, wie es zu tun ist. Da dieses Tool gegebenenfalls in einem vorhandenen Lizenzumfang bereits enthalten ist, hat man mit diesem Tool etwas zur Hand, was teilweise ein eigenständiges ISMS beziehungsweise andere separate Compliance-Lösungen ersetzen kann. Das kann helfen, Kosten einzusparen. Es entbindet aber keinesfalls den CISO und sein Team davon, die unternehmensspezifischen Security-Prozesse zu definieren und in Anwendung zu bringen.
In einem weiteren Beitrag ging es darum, wie man geeignete Tools im GRC-Markt findet und wie ein diesbezüglicher Sourcing-Prozess unterstützt werden kann. Janina Lelle, Cyber-Security Solution Manager bei CyberCompare, einem Unternehmen der BOSCH Gruppe, zeigte auf, wie man in einem Markt mit über 7.000 Anbietern im Segment GRC-Management den Überblick gewinnen und behalten kann. CyberCompare unterstützt auf Basis der im jeweiligen Unternehmen vorhandenen Security-Infrastruktur für IT, IoT und OT und anhand von zunächst festzulegenden Anforderungskriterien die Tool-Anbieter-Auswahl, hilft bei der Marktsichtung und der Erstellung von Ausschreibungsunterlagen und bietet ein Benchmarking für die Ist-Situation an. Die Teilnehmer waren sich einig in der Aussage, dass es ein Tool, das alle Anforderungen zu 100 Prozent abdecken kann, nicht geben wird und dass unternehmensspezifische Faktoren ein Anforderungsprofil wesentlich beeinflussen. So gesehen sei der Ansatz von CyberCompare beim Vergleich verschiedener Tools sicher sehr zielführend und interessant.
Cybersecurity an externe Dienstleister vergeben? Was bleibt zu beachten?
Zu dieser Fragestellung hatte man Markus Thiel und Michael Schrenk von Orange Cyberdefense eingeladen. Orange Cyberdefense ist die Cybersecurity-Geschäftseinheit der Orange Group. Sie bietet professionelle Cybersecurity Services und Lösungen für Business Kunden an. Die Ausführungen der beiden Referenten zu den besonderen Herausforderungen für Unternehmen in einem streng regulierten Markt (z.B. Banken und Versicherungen) und die Vorstellung der Lösungsansätze von Orange Cyberdefense führten zu einer angeregten Diskussion:
- Welche Anforderungen sind an einen externen Anbieter zu stellen?
- Inwieweit müssen solche Anbieter ausgesteuert werden?
- Welche Inhouse-Ressourcen fallen eventuell weg?
- Muss man externe Dienstleister sogar auditieren?
Fazit: Externe Dienstleister können eigene Ressourcen freisetzen, entbinden aber nicht grundsätzlich von der eigenen Verantwortung. Daher kommt es auf eine gute Aussteuerung an und auf eine verlässliche Zertifizierung von externen Security-Dienstleistern ist unbedingt zu achten.
In einem letzten Beitrag ging Martin Schmucker vom Beratungsunternehmen Comma Soft AG auf das M365 Maturity Model for GRC ein. Bei diesem Thema geht es um die Zuordnung des Status Quo eines Unternehmens im Bereich GRC zu definierten Reifegraden. Man unterscheidet die Reifegrade Level 100, Level 200, Level 300, Level 400 und Level 500. Sind bei Level 100 GRC-Risiken noch gar nicht identifiziert und weder Prozesse definiert noch Rollen zugeordnet, finden wir bei Level 400 all diese Faktoren auditierbar festgelegt, dokumentiert und sie werden im Unternehmen gelebt. Bei Level 500 ist überdies ein fortlaufender Verbesserungsprozess etabliert. Der Referent verdeutlichte mit vielen praxisnahen Beispielen die korrekte Zuordnung zu den einzelnen Stufen dieses Reifegrad-Modells und gab so wichtige Hilfestellung für alle Teilnehmer im Hinblick auf die Zuordnung zu den einzelnen Reifegraden im eigenen Unternehmen.
Ein Tag voller Informationen und mit vielen interessanten Gesprächen untereinander – auch zwischen den Beiträgen – ging viel zu schnell zu Ende.
Das nächste Treffen wird am 20. März 2025 im Werk Prüm-Weinsheim der ANDREAS STIHL AG & Co. KG stattfinden.
Karl Gerd Zimmermann