Einhaltung gesetzlicher Vorschriften für Cybersecurity

 

Inhalt

Compliance ist eine kritische Komponente eines Sicherheitsprogramms. Compliance lebt durch die Regel: Wir vertrauen, aber wir prüfen auch. Das Konzept ist, dass wir einen Nachweis über die Einhaltung der festgelegten Richtlinien, Normen, Gesetze, Verordnungen usw. erhalten müssen, um die erforderlichen Bescheinigungen nach Bedarf zu erteilen.

Compliance wird direkt von den sich ständig verändernden und sich immer weiterentwickelten Regeln und Vorschriften beeinflusst, welche es für Organisationen sehr schwierig machen, eine Compliance aufrechtzuerhalten. Die kontinuierliche Erweiterung und Erweiterung unserer Produktionsumgebungen ergänzt auch die Compliance-Herausforderungen, denen wir heute begegnen.

SSH und Compliance

Wenn Organisationen mit Compliance-konformen Schlüsselkontrollen für privilegierten Zugang, Trennung von Aufgaben, Zugang Dritter und vieles mehr konfrontiert werden, beginnt oftmals ein Albtraum für die IT-Abteilung, um auch weiterhin den Regelbetrieb kontinuierlich auch mit autorisierten Zugang aufrecht erhalten zu können.

Der Zugriff via SSH Schlüssel wurde bereits oftmals als die dunkle Seite der Compliance bezeichnet. Seit Jahren aber wird diese Zugriff via SSH von den Sicherheitsverantwortlichen oftmals total ignoriert und/oder unterläuft das Audit-Radar. Unternehmen müssen nun umgehend Maßnahmen ergreifen und ihre SSH-Schlüsselsituation bewerten und Mittel und Wege verfolgen, um SSH-Schlüssel in ihren Produktionsumgebungen zu inventarisieren, zu kontrollieren, zu reparieren und zu verwalten.

Wie kommen die nationalen und internationalen Regelwerke ins Spiel?

Nach dem HIPAA-Gesetz wird zusammen mit dem HITECH-Gesetz in Gesundheitsorganisationen aktiv auditiert, um die Einhaltung der Vorschriften sicherzustellen. Der Zugang zu elektronischen Gesundheitsschutzinformationen (ePHI) muss kontrolliert und autorisiert werden, solange die Daten gespeichert, verwendet und übertragen werden.

In Deutschland adressieren eine Reihe verschiedener Gesetzestexte die Sicherheit von Patientendaten für medizinische Einrichtungen beziehungsweise den Datenschutz allgemein. So existieren neben dem BDSG (ab Mai 2018 dann die EU-DSGVO), kirchliche Datenschutzregelungen und diverse Landesdatenschutzgesetze oder beispielsweise das Gesundheitsdatenschutzgesetz.

Gegenüber dieser teils recht undurchschaubaren Fülle, ist das HIPAA in den USA für alle Einrichtungen und Personen gültig, die mit Patientendaten in Berührung kommen. Dies vereinfacht die Handhabung ungemein.

Nun kann man natürlich sagen "dieses HIPAA kommt aus den USA – für uns ist es doch nicht relevant". Rechtlich gesehen stimmt diese Aussage zwar, dennoch schadet es nicht, den Horizont zu erweitern. Die Texte des HIPAA helfen durch sehr strikte Regeln die Datensicherheit auch in deutschen Einrichtungen zu erhöhen. Die Erfahrung zeigt, dass ein Blick in das HIPAA häufig neue Ideen für die Sicherheit von Patienten und ihrer Daten bringt – insbesondere wenn es sich um aufstrebende Themen wie die Telemedizin oder mobile Endgeräte handelt.

Die ISO/IEC 27001 ist ein Standard für das Cybersicherheitsmanagement. Sie wird in der Finanzindustrie und anderen Branchen zur Strukturierung ihrer internen Prozesse weit verbreitet und geschätzt. Es wird auch häufig für die Bewertung der Cybersicherheitsfähigkeiten von Anbietern verwendet. Diese international gültige Norm wurde implementiert, um ein auditierfähiges Regelwerk für die Einrichtung, Implementierung, den Betrieb, die Überwachung, die Überprüfung, Wartung und Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) den Unternehmen zur verfügung zu stellen.

Das PCI-DSS (Payment Card Industry Data Security Standards) legt eindeutig fest, wie Händler und Acquirer die Daten des Karteninhabers schützen müssen. Die zwölf (12) PCI DSS-Regel decken ein breites Spektrum an Sicherheitsanforderungen ab, die alle dazu dienen, Kreditkarteninhaberdaten von der Erstellung bis zur Vernichtung oder Veralterung zu schützen.

PCI-DSS ist international für alle Unternehmen verbindlich, welche mit Kreditkarteninhaberdaten zu tun haben.

 Sarbanes-Oxley, auch SOX, SarbOx oder SOA, ist ein US-Bundesgesetz, das als Reaktion auf Bilanzskandale von Unternehmen wie Enron oder Worldcom die Verlässlichkeit der Berichterstattung von Unternehmen, welche den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessern soll. Die Unternehmen wurden hiermit verpflichtet, interne Kontrollen zu identifizieren und umzusetzen, um die Wirksamkeit ihrer Abschlüsse und Bescheinigungen sicherzustellen. Die Kontrollen beziehen sich (neben vielem anderen) auf Wirksamkeit der Schlüsselkontrollen zum Zugang, privilegierter Zugang und Aufgabentrennung.

Trotzdem es sich hier um ein US-Bundesgesetz handelt, sind viele Unternehmen (speziell, aber nicht nur Unternehmen mit US-Börsennotierung!) in Deutschland ebeso davon betroffen.

 National Institute of Standards and Technology (NIST) hat im Laufe der Jahre viele Sonderpublikationen und Interagency Reports herausgegeben, die alle Aspekte unserer Branchen unterstützten. Von besonderer Bedeutung sind NIST SP 800-53 sowie das NIST Cybersecurity Framework und NIST IR 7966 - Richtlinien zum SSH-Zugangsmanagement.

Die EU-DSGVO ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Darüber hinaus hat die Verordnung auch ausserhalb Auswirkungen auf Unternehmen, welche personenbezogene Daten von Bürgern der Europäischen Union verarbeiten.

Das  Ziel - Compliance

B-NetCons GmbH wird zusammen mit all seinen Hersteller-Partnern weiterhin die oben genannten und darüber hinaus relevante Regelungen und Gesetze im Auge behalten, - aktuelle Schwachstellen und Bedrohungen auf Relevanz prüfen zum Schutz Ihrer vertraulichen und sensiblen Informationen sowie Bewertung der Risiken, welche mit dem Zugriff auf geschützte Daten verbunden sind. Mit unserem Hersteller-Partner SSH Communications Security gewährleisten und genehmigen Unternehmen also Zugang zu geschützten Daten. Wir unterstützen dabei den Sicherheitsgrundsatz der geringsten oder minimalen Privilegien, welcher den Zugang zu Informationen nur dann erlaubt, wenn er für seinen legitimen Zweck notwendig und auch erforderlich ist.

Die Lösungen des Herstellers SSH Communications Security stellen essentielle Komponenten zum privilegierten Zugriff sowie Überprüfung der Aktivität der priviligierten Benutzer dar - in Verbindung mit Regelverstößen durch priviligierte Benutzer können Sie Sicherheitsverstöße in Echtzeit unterbinden!

Dabei möchten wir nochmals darauf hinweisen, dass der weitere Ausschluss der SSH-Schlüssel von Sicherheitsbewertungen, Konformitätsbewertungen sowie Audits nur die Tür zu potenziellen Audit-Ausnahmen führen wird - weiterhin werden unbemerkte Sicherheitsverstöße bzw. Datenlecks die unausweichliche Folge sein.

Weitere Informationen finden Sie in einigen Whitepapers:

 Interessiert an mehr Information? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Anmeldung Newsletter


Verfügbare Mailinglisten:

Bitte helfen Sie uns Spam zu vermeiden, und lösen Sie diese kleine Aufgabe!

captcha

Ich akzeptiere den Disclaimer

() Pflichtfelder

Information

×
Partner | Referenzen
  • dekabank.gif
  • gieseckedevrient.gif
  • DEUTSCHE_BANK.png
  • Postbank.jpg
  • NXP.png
  • dlr.png
  • VOESTALPINE.png
  • BAYER.png
  • CLAAS.png
  • sbb.gif
  • 1_LOGO_FARSITE.png
  • hvb.jpg
  • LMK.png
  • Exponet Infrakon 4c.png
  • 1_LOGO_NEXIONA.png
  • TDT-AG.JPG
  • netcologne.gif
  • commerzbank.gif
  • AIRBUS.png
  • 1_LOGO_SSH.png