Cybersecurity Compliance im Wandel

EU-Projekt für mehr Transparenz und Sicherheit

Unternehmen sehen sich einer ständig wachsenden Zahl von Regulierungen und Standards gegenüber. Deren Einhaltung (engl.: Compliance) ist mit aufwendigen Prüfungsprozessen (Audits) verbunden. Der schiere Aufwand und die benötigten Stunden an manueller Arbeit für die Überprüfung und Sicherstellung der Cybersecurity Compliance, stellen dabei große Herausforderungen dar. Hinzu kommt die Belastung durch die ständige Nachverfolgung und das Schritt-halten-müssen mit der Fülle an Vorschriften und deren Umsetzung. Das löst enormen Druck auf Unternehmen in ihrer digitalen Transformation aus und steigert damit den Bedarf nach Automatisierung und KI. Das macht sich vor allem auch im Bereich der Informationssicherheit bemerkbar. Hier muss man sich in komplexen Cloud-Umgebungen kontinuierlich an die sich ständig weiterentwickelnde Bedrohungslandschaft anpassen.

Für eine effiziente Compliance ist ein möglichst automatisierter Abgleich der unterschiedlichen Anforderungen erforderlich. Schließlich deckt die Erfüllung einer Norm häufig auch Teilaspekte weiterer Standards ab. Aus diesem Grund werden Cloud-bezogene Cybersecurity-Standards wie der IT–Grundschutz oder C5 des BSI in ihren neuesten Versionen auch in maschinenlesbarem Format vorhanden sein. Das vereinfacht ein solches Normen-Mapping deutlich.

Vom Schnappschuss zum Bewegtbild

Zur Beurteilung einer Regeleinhaltung wird ein Nachweis (engl.: Evidence) benötigt. Nachweise können bspw. Dokumente, Konfigurationsdateien oder Code umfassen, die — ähnlich wie Beweismittel — zeigen, dass Sicherheitskontrollen eingehalten werden. Diese werden wiederum aus sogenannten Policies, also Richtlinien, oder direkt aus Kontrollkatalogen abgeleitet, die aus Standards oder Regulierungen hervorgehen. Beim Evidence Assessment wird dann geprüft, ob die Nachweise entsprechende Kontrollen ausreichend belegen. So lässt sich die Gesamt-Compliance gegenüber einem Standard oder einer Regulierung ermitteln.

Solche Überprüfungen erfolgen typischerweise durch regelmäßige interne Audits. Externe Audits finden im Zuge eines konkreten Zertifizierungsvorhabens, wie bspw. zum ISO 27001 Standard, statt. Sie überprüfen den Zustand zum Zeitpunkt des Audits. Üblicherweise werden solche Audits periodisch durchgeführt, bspw. im Abstand von einem Jahr. Da sich die Bedrohungslandschaft allerdings stetig verändert — gerade in Cloud-Settings — birgt dieses schnappschussartige Vorgehen die Gefahr, dass zwischen den Auditzeitpunkten Risiken für Kunden und Unternehmen unterschätzt werden oder gar unerkannt bleiben. Die sogenannte kontinuierliche Compliance überwindet jedoch dieses Problem. Sie prüft nicht nur punktuell, sondern führt durchgängig Echtzeit-Compliance-Beurteilungen durch und sorgt so für mehr Sicherheit.

Vom Spotlight zum Fluter

Audits erfolgen in der Regel immer noch händisch und gerade bei hochkomplexen Organisationen oft Spotlight-artig in Form von Stichproben. Daher ist absehbar, dass auch Audits zukünftig eine KI-getriebene Transformation durchlaufen werden. Externe Auditoren können dann KI-Tools zur Datenanalyse und Auditoptimierung nutzen, um so bspw. in großen Datenmengen schnell Anomalien und Unstimmigkeiten zu erkennen. So kommt man weg von den Stichproben und hin zu umfassenderen Prüfungen. Es werden also nicht mehr nur einzelne, sondern mehr und mehr alle Bereiche Fluter-artig beleuchtet.

Dieser Trend zeigt: derartige Tools braucht es nicht nur für Auditoren sondern muss es auch firmenseitig geben. Nur so können Unternehmen wieder mit den Anforderungen der Auditoren Schritt halten. Damit wächst der Bedarf an Plattformen, die diese Prüfprozesse automatisiert und nutzerfreundlich im Sinne einer Compliance-as-a-Service-Lösung (CaaS) abbilden. Dazu müssen sie Cloud-native, flexibel und kontinuierlich einsetzbar sein. Obwohl sich diese Entwicklungen im Markt der sogenannten Governance, Risk, und Compliance Tools (GRC) abzeichnen, mangelt es hier an sicheren europäischen Open-Source-Lösungen. Diese müssten interoperabel agieren können — bspw. indem sie künftigen Standards zugrundeliegende maschinenlesbare Formate wie Open Security Controls Assessment Language (OSCAL) verwenden.

Continuous Compliance-as-a-Service — das EU-Projekt EMERALD

Das EU-Projekt EMERALD hat sich daher zum Ziel gesetzt sowohl Bewegtbild- als auch Flutlicht-Betrachtungen in der Cloud-Compliance kontinuierlich zu ermöglichen. Dabei ist von der Nachweissammlung bis zur -Bewertung alles abgedeckt. Es bietet ein CaaS-Framework, das Unternehmen und Auditoren in komplexen Multicloud-Umgebungen dabei unterstützen soll, Cybersecurity-Zertifizierungen effizient zu managen und kontinuierliche Compliance sicherzustellen. Neben der Nachweissammlung und -bewertung, umfasst es auch Monitoring und Auditprozesse in der Cloud. Dazu kommt KI und moderne UX/UI zum Einsatz.

Das CaaS-Framework verarbeitet Nachweise aus Code, Infrastruktur oder Dokumenten und bewertet sie (teil-)automatisiert mithilfe zugewiesener Sicherheitsmetriken. Die Nachweise werden dabei intelligent in Wissensgraphen organisiert. Das ermöglicht die Herstellung flexibler Verbindungen zu unterschiedlichen Kontrollen , statt einfacher Listen oder Tabellen. Auch das Mapping von Standards, um Synergien und Überschneidungen zu erkennen und zu nutzen, wird berücksichtigt. So wird es möglich, die Compliance-Bewertung nicht mehr als punktuelles Ereignis, sondern als konsistenter, belastbarer Prozess zu verstehen. Vergleichbar ist das mit der natürlichen Härtung eines Smaragds (engl.: EMERALD), der durch Zeit und Druck zu seiner charakteristischen Widerstandskraft gelangt.

IONOS fördert europäische Open-Source Initiative

IONOS ist einer der 11 EMERALD-Partner aus Forschungseinrichtungen und Unternehmen aus sechs europäischen Ländern. Das geförderte EU-Projekt ist eine Horizon Europe Innovation Action. Sie verfolgt das Ziel, innovative Lösungen zu entwickeln, zu demonstrieren und zur Marktreife zu bringen. IONOS funktioniert dabei mit seiner umfangreichen Expertise im Cybersecurity-Zertifizierungs- und Attestierungsumfeld als Industriepartner und validiert die Einsatzfähigkeit der entwickelten Komponenten.

Obwohl es bereits Compliance-Tools gibt, die Automatisierungspotenziale und KI-Use-Cases nutzen, ist der Markt von proprietären US-Lösungen dominiert. Aufgrund der aktuellen rechtlichen und geopolitischer Unsicherheiten müssen Unternehmen daher sorgfältig abwägen, wem sie sensible, vertrauliche Unternehmensdaten bspw. als Evidence anvertrauen. IONOS unterstützt als Projektpartner die Entwicklung einer sicheren, souveränen und interoperablen europäischen Open-Source-Lösung. Die soll zum Auslesen der Cloud-Konfigurationen etwa künftig auch SECA (Sovereign European Cloud API) als anbieterunabhängige API verwenden. So kann Interoperabilität zwischen verschiedenen Cloud-Anbietern ermöglicht werden. Gleichzeitig wird durch die Integration von OSCAL in EMERALD ein offenes interoperables Format für die Automatisierung von Sicherheits- und Compliance-Prozessen unterstützt.

Was wir heute für die Compliance von morgen tun können

Der Wandel in der Cybersecurity-Compliance verlangt von Unternehmen neue Denkweisen und gezielte Maßnahmen, um mit der Vielzahl an Vorschriften und steigenden Anforderungen Schritt halten zu können. Kontinuierliche Compliance-as-a-Service steigert dabei die Sicherheit und bietet mehr Transparenz — nicht nur im Unternehmen selbst, sondern auch für die Kunden. Auf Unternehmensseite kann so die Regelflut vor allem technisch und organisatorisch adressiert werden. Die aktuell fragmentierte Zertifizierungslandschaft stellt jedoch eine größere Herausforderung dar, die politisch gewollt vereinfacht werden muss.

Ein möglicher Lösungsansatz besteht in der Harmonisierung der oft landesspezifischen, fragmentierten Cloud-Zertifizierungen. Hier könnte die rasche Einführung des europaweit geplanten Standards EUCS (European Cybersecurity Certification Scheme for Cloud Services) maßgeblich entgegenwirken. Eine baldige Etablierung des EUCS würde eine bessere Vergleichbarkeit zwischen Zertifizierungen schaffen, weil bestehende nationale und internationale Standards auf das EUCS-Schema abgebildet werden können. Außerdem würde sie ein einheitliches, transparentes Framework für Cloud-Compliance etablieren. Nur durch ein solches einheitliches System können die Vorteile einer stärkeren digitalen Souveränität, höherer Sicherheit und einer effizienteren Compliance kommuniziert und umgesetzt werden. Daher sollten auch souveränitätsrelevante Kriterien stärker Berücksichtigung finden als im aktuellen Entwurf des EUCS.