Itsaree - stock.adobe.com
Cybersicherheit und Compliance im Einklang angehen
DSGVO, KI-VO, NIS2 und DORA - Security-Teams müssen bei allen Maßnahmen stets auch immer die Compliance im Blick haben. Das kann mitunter ein herausforderndes Unterfangen sein.
Compliance ist nicht gleichbedeutend mit Sicherheit. Das ist an sich keine bahnbrechend neue Erkenntnis. Es ist zwar richtig, aber auch nur ein Teil der Wahrheit. Compliance garantiert keine Sicherheit, aber Compliance-bezogene Ermüdungserscheinungen können diese aktiv untergraben. Umgekehrt kann Compliance bei richtiger Handhabung ein leistungsstarker Faktor für Sicherheit sein.
Als CISO können Sie es sich nicht leisten, Compliance zu vernachlässigen; oder die damit verbundene Ermüdung zu ignorieren. Das liegt nicht daran, dass Compliance und Sicherheit gleichbedeutend sind, sondern daran, dass Compliance ein Katalysator ist. Die Art und Weise, wie Sie mit Compliance umgehen, wirkt sich direkt auf die Risikooptimierungsgleichung aus. Sie verstärkt entweder das Risiko oder trägt zu dessen Verringerung bei.
Was versteht man unter Compliance-Fatigue?
Kurz gesagt tritt Compliance-Müdigkeit, inzwischen auch als Compliance-Fatigue bezeichnet, auf, wenn Mitarbeiter durch eine Flut von kontinuierlichen und sich überschneidenden Compliance-Anforderungen erschlagen werden.
Das ist nicht dasselbe, wie wenn sich Teammitglieder durch ein Audit überlastet fühlen oder wenn sie das Gefühl haben, dass es zu viele Checklisten zu bearbeiten gibt. Vielmehr spiegelt dies wider, wie die Mitarbeiter den Nutzen der Compliance einschätzen. Jede neue Compliance-Aktivität ist weniger wertvoll, lenkt eher ab, erschwert andere Prioritäten, mindert die Motivation der Mitarbeiter – und damit auch ihre Effektivität – oder behindert Ihr Programm auf andere Weise.
Ziehen Sie eine Bewertung Ihres Sicherheitsprogramms in Betracht. Wenn diese zum ersten Mal durchgeführt wird, ist sie äußerst wertvoll. Sie ist spannend, hilfreich und effektiv. CISOs und ihre Teams erfahren, wo das Programm verbessert, Kontrollen verstärkt und nicht berücksichtigte Risiken angegangen werden können. Aber wie sieht es mit der zehnten Bewertung aus? Was passiert, wenn fünf Bewertungen gleichzeitig stattfinden? Selbst wenn die Untersuchungen neue Erkenntnisse liefern, entsteht allmählich das Gefühl, dass die Mühe umsonst ist. Infolgedessen flacht die Aufwand-Nutzen-Kurve ab, die Mitarbeiter verlieren das Interesse oder machen nur noch Dienst nach Vorschrift, die wahrgenommenen Vorteile brechen ein und Schlussfolgerungen, die ansonsten wertvoll wären, werden nur noch als zusätzliche Verantwortung empfunden.
Was verursacht Compliance-Müdigkeit?
Es ist nicht verwunderlich, dass Compliance-Müdigkeit auftritt. Drei Hauptursachen sind sich überschneidende Regulierungskontrollen, kulturelle Faktoren und Unternehmensressourcen.
Sich überschneidende Regulierungsmaßnahmen
Regulatorische Standards und Rahmenwerke überschneiden sich. Das liegt nicht nur daran, dass es mehr davon gibt, obwohl dies ebenfalls zutrifft, sondern auch daran, dass sie ähnliche – in einigen Fällen sogar identische – Bereiche abdecken. Dies gilt sowohl für die von ihnen vorgeschriebenen Kontrollen als auch für die Überprüfung der Einhaltung.
Betrachten wir DSGVO, KI-VO, NIS2, CRA (Cyber Resilience Act), PCI DSS, HIPAA, SOC 2 und ISO/IEC 27001. Viele der jeweils erforderlichen Kontrollen überschneiden sich, ebenso wie die Anforderungen auf Programmebene und die strukturellen Anforderungen. Teils existieren auch Überschneidungen hinsichtlich der abzugebenden Meldungen im Falle eines Falles. Die Reaktion auf die Bewertungen oder Audits der einzelnen Rahmenwerke erfordert jedoch eine unterschiedliche Sammlung von Nachweisen, Berichterstattung, Projektkoordination und Planung. Es ist logisch, dass eine Organisation – insbesondere eine große – all dies in ihrem Aufgabenbereich hat, was wiederum bedeutet, dass die Arbeit wahrscheinlich parallel erfolgen wird (siehe auch Meldungen nach NIS2 und DSGVO: Diese Synergien gibt es).
Kulturelle Faktoren
Erstens gibt es die Struktur des Teams selbst – beispielsweise, wenn Organisationen sich dafür entscheiden, die Reaktion auf Audits zu optimieren, anstatt sich mit einer sinnvollen Risikominderung, der Programmleistung und langfristigen Ergebnissen zu befassen.
Es kann auch Unklarheit darüber bestehen, warum Compliance-Strukturen vorhanden sind, warum einzelne Kontrollen wichtig sind und warum Reaktionen einem bestimmten Format oder Turnus entsprechen müssen.
Dies beeinträchtigt nicht nur die Arbeitsmoral der Mitarbeiter, sondern führt auch dazu, dass diese sich weniger für den Prozess engagieren. Dies wiederum führt dazu, dass Unternehmen Aufgaben, die direkt zur Einhaltung von Vorschriften beitragen, wie beispielsweise die Beschaffung von Nachweisen und die Einhaltung von Service Level Agreements (SLAs), weniger Gewicht beimessen.
Unternehmensressourcen
Auch die Ressourcen des Unternehmens spielen eine Rolle bei der Compliance-Müdigkeit. Es besteht der Stress, nicht genügend Personal zu haben, um die Arbeit zu erledigen. Hinzu kommt, dass viele Compliance-Aktivitäten nicht optional sind, sodass Ressourcen möglicherweise von anderen Aufgaben abgezogen werden müssen.
Es geht nicht nur um das Personal: Auch Tool-Ökosysteme können zu Verzögerungen führen. Mehrere interne Teams, Auditoren und Kunden verwenden oft unterschiedliche Tools, um dasselbe Ziel zu erreichen – beispielsweise die Einreichung von Nachweisen. Es entsteht eine Art Tool-Wildwuchs, bei dem verschiedene Tabellenkalkulationen, Governance-, Risiko- und Compliance-Plattformen sowie Ticketing-Systeme gleichzeitig zum Einsatz kommen. Das Ergebnis: Doppelarbeit, Verwirrung, Ineffizienzen und Zeitverschwendung.
Wie man Compliance-Müdigkeit entgegenwirkt
Es gibt Instrumente und Strategien, um die Compliance-Müdigkeit zu überwinden. Berücksichtigen Sie die folgenden Schritte und Maßnahmen.
Erkennen, wann Ermüdungserscheinungen auftreten
CISOs müssen erkennen, wann Compliance-Müdigkeit einsetzt. Dies ist das erste und wichtigste Kriterium. Um dies zu erreichen, sollten Sie auf folgende Symptome achten:
- Versäumnisse oder Verzögerungen bei der Nachweiserhebung.
- Rückstand bei auditrelevanten Aufgaben wie Richtlinienaktualisierungen, Überprüfungen der Benutzerzugriffe etc.
- Konsequente Nichteinhaltung operativer SLAs.
- Unzufriedenheit oder Apathie der Mitarbeiter.
Gesprächskultur fördern
Möchten Sie wissen, ob Ihre Mitarbeiter überfordert sind? Fragen Sie sie. Diese Strategie ist besonders effektiv – und wird überraschenderweise viel zu selten angewendet. Durch direkte Fragen signalisieren Sie den Mitarbeitern eine gewisse moralische Sicherheit und geben ihnen die Möglichkeit, offen über kulturelle, betriebliche oder strukturelle Reibungspunkte zu sprechen.
CISOs können dies informell tun – beispielsweise im Rahmen einer Mitarbeiterversammlung oder einer Veranstaltung außerhalb des Unternehmens – oder formell, indem sie relevante Fragen in Mitarbeiterbefragungen oder jährliche Leistungsbeurteilungsprozesse einbeziehen.
Prozesse nach Möglichkeit automatisieren
Automatisierung schlägt mehrere Fliegen mit einer Klappe. Behandeln Sie Compliance als Prozess und nicht als einmaliges Ereignis. Integrieren Sie die Kontrollüberwachung in den laufenden Betrieb. Erstellen Sie einen Plan zur Automatisierung aller aufwendigen, wenig wertschöpfenden Aufgaben, insbesondere der Beweissicherung, wie beispielsweise Richtlinienbestätigungen, Konfigurationsvalidierungen und Cloud-Kontroll-Snapshots.
Die Einführung von Automatisierung sorgt für nützliche Effizienzsteigerungen und verringert gleichzeitig den Zeitaufwand für einzelne Mitarbeiter. Überlegen Sie, wo Teams bestehende Prozesse und Arbeitsabläufe wie Continuous Integration/Continuous Delivery und DevSecOps- Tools nutzen oder anpassen können, um die erforderlichen Nachweise in einem Format zu erstellen, das direkt an Auditoren und Prüfer übermittelt werden kann.
Effizienz verbessern
Streben Sie nach Effizienzsteigerungen, wo immer dies möglich ist. Ordnen Sie Kontrollen über verschiedene Rahmenwerke hinweg zu und koordinieren Sie Ihre Bemühungen, um mehrere Bereiche gleichzeitig anzugehen. Dies ermöglicht eine effizientere Organisation von Abhilfemaßnahmen und Risikominderungsaktivitäten und kann auch zur Konsolidierung der Beweissammlung beitragen – beispielsweise durch die Verwendung derselben Nachweise für mehrere Audits.
Die Bedeutung der Compliance vermitteln
Es ist wichtig, zu vermitteln, warum Compliance so wichtig ist. Führen Sie als CISO Compliance-Schulungen durch, um Compliance-Aktivitäten im Hinblick auf Geschäftsrisiken zu veranschaulichen – insbesondere für technische Mitarbeiter und das Betriebspersonal. Diese Taktik hilft den Mitarbeitern, den Wert von Compliance zu erkennen, und stärkt ihr Verantwortungsbewusstsein. Kommunizieren Sie wichtige Fristen klar und deutlich und bitten Sie regelmäßig um Feedback. Planen Sie nach Audits mit hoher Auswirkung oder aufwändigen Korrekturmaßnahmen nach Möglichkeit eine Erholungsphase ein. So haben die Mitarbeiter Zeit, sich zu erholen, Erfolge und Misserfolge zu analysieren und darüber nachzudenken, wie sie sich beim nächsten Mal verbessern können.
Nutzen Sie Compliance, um Sicherheitsinitiativen voranzutreiben
CISOs wissen, dass Compliance ein Instrument ist, mit dem sich Risikominderung und operative Ziele vorantreiben lassen. Führungskräfte und die Geschäftsführung betrachten Compliance zu Recht als äußerst wichtig. Eine ehrliche und direkte Kommunikation der Herausforderungen in diesem Bereich kann dazu beitragen, Finanzmittel und die Unterstützung der Führungskräfte für Sicherheitsmaßnahmen zu sichern. Compliance wird so von einem Kostenfaktor zu einem Treiber, der Budget, Fokus und Unterstützung durch die Führungskräfte freisetzt.
Erfahren Sie mehr über Datenschutz und Compliance
-
![]()
Wie sich die Rolle des CISO im Unternehmen geändert hat
Von: Jerald Murphy
-
![]()
Wie ein gutes Security-Team zusammengesetzt sein kann
Von: Ed Moyle
-
![]()
IT-Sicherheit: Maßnahmen und Tools auf den Prüfstand stellen
Von: Dave Shackleford
-
![]()
KI in der Fertigung: Anwendungsfälle für Qualitätskontrolle
Von: Paul Maplesden
