Warum haben Cybersicherheitsexperten Probleme mit der Compliance?

Die Einhaltung gesetzlicher Vorschriften hat für Cybersicherheitsteams zunehmend Priorität, da sie mit zunehmenden Cybersicherheitsrisiken konfrontiert sind, zunehmend Technologie nutzen und Schwierigkeiten haben, sich in einer sich schnell entwickelnden Gesetzgebungslandschaft zurechtzufinden. Die Nichteinhaltung der in Gesetzen wie dem UK Data Protection Act 2018 und dem EU AI Act verankerten Vorschriften kann zu erheblichen Geldstrafen führen. Da die Cybersicherheitsteams jedoch bereits überlastet sind und unter dem Druck der Geschäftsleitung stehen, ist dies alles andere als einfach.

Hier können Industriestandards eine große Rolle dabei spielen, die Einhaltung gesetzlicher Vorschriften zu optimieren.

Compliance ist nicht einfach

Compliance ist für viele Cybersicherheitsexperten eine wachsende Herausforderung. In einem aktuelle Umfrage Von 200 Technologie-Entscheidungsträgern, die von Infosecurity Europe durchgeführt wurden, gibt fast die Hälfte (44 %) zu, dass sie Schwierigkeiten haben, die Cybersicherheitsgesetze einzuhalten, weil diese zu schwer zu verstehen und zu zeitaufwändig in der Umsetzung sind.

Daraus geht hervor, dass der US-amerikanische Sarbanes-Oxley Act (SOX) von den zwölf bestehenden und neu entstehenden Cybersicherheitsvorschriften zu den am kompliziertesten umzusetzenden Gesetzen gehört. Tatsächlich bezeichneten 12 % der Befragten es als „sehr komplex“. Mittlerweile glauben 41 % der Cybersicherheitsexperten, dass die Einhaltung des britischen Datenschutzgesetzes, des EU-Cybersicherheitsgesetzes und NIS/NIS75 „etwas komplex“ ist.

An anderer Stelle in dieser Studie geben 24 % der Befragten an, dass der EU Cybersecurity Act und das Data Security and Protection Toolkit (DSPT) die relevantesten Vorschriften für ihre Organisationen sind, gefolgt vom britischen Datenschutzgesetz (22 %). Besorgniserregend ist, dass nur 50 % der Unternehmen SOX und das EU-Cybersicherheitsgesetz vollständig einhalten, was die Herausforderungen verdeutlicht, vor denen Cybersicherheits- und Compliance-Teams in einer sich schnell entwickelnden Regulierungslandschaft stehen.

Diese Probleme werden auch in ISMS.online hervorgehoben Der Stand der Informationssicherheit 2024 Bericht, der die Einhaltung von Vorschriften und Standards als zweitgrößte Herausforderung für Cybersicherheitsteams einstuft (33 %). Eine weitere wichtige Erkenntnis des Berichts ist, dass fast die Hälfte (46 %) der Befragten angibt, dass die Einhaltung von ISO 27001 zwischen sechs und zwölf Monaten dauern kann. Weitere 12 % würden 11 bis 12 Monate benötigen, um dieses Ziel zu erreichen, bei 18 % der Befragten sogar mehr als eineinhalb Jahre.

Die Last wächst

Laut Richard Breavington, einem Partner der Anwaltskanzlei RPC, ist einer der Hauptgründe dafür, dass Cybersicherheitsteams die Einhaltung von Vorschriften so schwierig finden, der wachsende Umfang und die Komplexität der Branchenvorschriften.

„Die schiere Menge an Gesetzen, die sich auf Organisationen auswirken könnten, gepaart mit der Tatsache, dass sie sich schnell ändern und aktualisiert werden, macht es zu einer Herausforderung, die Einhaltung sicherzustellen“, sagt er gegenüber ISMS.online. „Zudem erfordern diese Regelungen unterschiedliche technische und organisatorische Standards, die nicht unbedingt einheitlich sind.“

Steven Wood, Leiter der Lösungsberatung beim IT-Sicherheitsunternehmen OpenText Cybersecurity, macht für diese Compliance-Probleme zum Teil die unbefugte Nutzung von Verbrauchertechnologie, unerwartete Fusionen, mangelnde Investitionen und den ständigen Druck, der Konkurrenz einen Schritt voraus zu sein, verantwortlich.

„Da sich die Bedrohungslandschaft ständig weiterentwickelt, stehen Sicherheitsteams vor der Herausforderung, dynamische IT-Umgebungen zu sichern und gleichzeitig strenge Compliance-Anforderungen einzuhalten“, sagt er gegenüber ISMS.online. „Darüber hinaus erfordern sich entwickelnde Bedrohungen wie Phishing, Exploits in der Lieferkette, Insider-Bedrohungen und Zero-Day-Schwachstellen einen vielschichtigen Ansatz für die Cybersicherheit.“

Sean Wright, Anwendungssicherheitsleiter bei Featurespace, weist darauf hin, dass der wachsende Fachkräftemangel im Bereich Cybersicherheit – eine größte Herausforderung, die von 31 % der Befragten in der ISMS.online-Studie genannt wurde – dazu führt, dass viele Unternehmen einfach nicht über die Ressourcen verfügen, um neue und aufkommende Vorschriften einzuhalten .

Er sagt gegenüber ISMS.online, dass Compliance selten eine „einmalige“ Aufgabe für Unternehmen sei – sondern vielmehr die kontinuierliche Aufmerksamkeit von Cybersicherheitsteams erfordere. Er fügt hinzu, dass ständige Änderungen bestehender Gesetze – zusammen mit der Einführung neuer Vorschriften – die Belastung und Arbeitsbelastung für überlastete Cybersicherheitsteams erhöhen und es ihnen leichter machen, wichtige Details zu übersehen oder zu übersehen.

Straffung der Compliance

Breavington von RPC glaubt, dass Unternehmen den Prozess rationalisieren könnten, indem sie die Erstellung und Umsetzung eines „sinnvollen Compliance-Plans“ an ein engagiertes Team speziell geschulter Fachleute delegieren.

Diese Experten würden die Führung übernehmen, wenn es darum geht, relevante Vorschriften zu identifizieren, wichtige rechtliche Anforderungen zu verstehen und sicherzustellen, dass ihre Organisation die Vorschriften vollständig einhält, sagt er.

„Es lohnt sich, so weit wie möglich zu versuchen, einheitliche technische Standards zu finden, die eine flächendeckende Einhaltung ermöglichen, auch wenn das möglicherweise bedeutet, über das hinauszugehen, was für einige Vorschriften erforderlich ist“, argumentiert er.

Die Aufklärung der Mitarbeiter über die neuesten Trends in den Bereichen Informationssicherheit, Social Engineering und Compliance kann Unternehmen auch dabei helfen, Cybersicherheitsvorschriften besser einzuhalten und ihren Ruf zu schützen, argumentiert Wood von OpenText Cybersecurity.

„Umfassende Mitarbeiterschulungsprogramme sind von entscheidender Bedeutung, um zu verhindern, dass menschliche Schwachstellen ausgenutzt werden“, sagt er.

Wright von Featurespace fordert Cybersicherheitsteams dringend dazu auf, „robuste“ und „wiederholbare“ Prozesse zu implementieren, um laufenden regulatorischen Verpflichtungen nachzukommen. Er ermutigt sie außerdem, „wiederholbare Elemente“ zu automatisieren, damit diese Verpflichtungen nicht wichtige Cybersicherheitsressourcen belasten.

Unternehmen können die Effektivität ihrer Cybersicherheits-Compliance-Programme steigern, indem sie sicherstellen, dass jedes Teammitglied die Bedeutung dieser Vorschriften versteht, fährt er fort. Dadurch wird sichergestellt, dass Compliance „nicht nur zu einer Aufgabe des Sicherheitsteams, sondern zu einer unternehmensweiten Aufgabe wird“.

Die Bedeutung von ISO 27001

Durch die Implementierung eines weltweit anerkannten Industriestandards wie ISO 27007 können Unternehmen die erforderlichen Best Practices entwickeln, um ihre Cybersicherheitslage zu verbessern und letztlich den Anforderungen der Regulierungsbehörden gerecht zu werden.

Breavington von RPC erklärt, dass diese Akkreditierungen einfach zu aktualisieren sind und das kontinuierliche Engagement einer Organisation für die Einhaltung gesetzlicher Vorschriften belegen. Er schlägt vor, dass dies ein effektiverer Ansatz ist, als „den Überblick über die zahlreichen und möglicherweise weniger spezifischen rechtlichen und regulatorischen Anforderungen zu behalten“.

Wright sieht auch den Wert der Einhaltung von ISO 27007 und ist davon überzeugt, dass Unternehmen dadurch das Vertrauen ihrer Kunden in ihren Ansatz zur Cybersicherheit und Compliance stärken können. Er fügt hinzu, dass technische Lösungen wie ein Informationssicherheits-Managementsystem (ISMS) es ihnen ermöglichen würden, einige Compliance-Anforderungen zu rationalisieren und zu erfüllen – und so „Ressourcen“ in ausgebrannten und überlasteten Cybersicherheitsteams freizusetzen.

Angesichts der potenziellen finanziellen und rufschädigenden Auswirkungen ist die Nichteinhaltung von Branchenvorschriften keine Option. Mithilfe von Programmen zur Sensibilisierung der Benutzer, Best Practices der Branche und den neuesten automatisierten Cybersicherheitstools gibt es für Unternehmen jedoch zumindest eine Möglichkeit, die Belastung zu verringern.