Sicher oder konform? Das ist die Frage!

Compliance bedeutet die Einhaltung einer Regel, z. B. einer Spezifikation, einer Richtlinie, eines Standards oder eines Gesetzes. Die Einhaltung von Vorschriften beschreibt das Ziel, das Unternehmen anstreben, um sicherzustellen, dass sie die relevanten Gesetze, Richtlinien und Vorschriften kennen und Maßnahmen ergreifen, um diese einzuhalten. (Quelle: Regulatorische Compliance)

In vielen Unternehmen ist Compliance ein häufig verwendetes Wort. Der häufig verwendete Satz in Bezug auf Tools, Dokumente oder Aktionen im Allgemeinen lautet: "Seien Sie vorsichtig, das sollte regelkonform sein." Aber die Frage, die man sich danach immer stellen sollte, ist: "Warum? Welche Regel wollen wir einhalten?"

Wie bereits erwähnt, gibt es eine Definition für die Einhaltung von Vorschriften, und das ist ganz klar, aber es besteht ein großes Risiko, wenn die Implementierung von Kontrollen zur Einhaltung von Vorschriften zum Ziel und nicht zum Mittel zum Zweck wird. Lassen Sie mich das anhand eines einfachen Beispiels erklären.

Stellen Sie sich vor, es gibt 2 Dörfer. Beide liegen auf der anderen Seite des Flusses. Der Fluss ist voller Piranhas und Krokodile, und die Menschen können nicht schwimmen und haben keine Boote. Der Stadtrat stellt eine Regel auf, die besagt, dass Handel erlaubt ist, aber nur, wenn die Menschen dabei nicht zu Schaden kommen.

Ein paar weise Männer kommen zusammen und schmieden einen Plan. Sie werden eine einfache Brücke bauen. Sie ziehen einen langen Pfahl auf beiden Seiten des Flusses hoch und spannen 2 Seile zwischen ihnen. Die Menschen können die Brücke überqueren, indem sie über das Seil laufen. Das geht eine Weile gut, aber dann passiert ein unglücklicher Unfall. Das Seil reißt und eine Person fällt in den Fluss. Nach einer langen Sitzung wird beschlossen, eine sicherere Holzbrücke zu bauen. 1 Jahr später wird das Dorf von einem großen Sturm heimgesucht. Ein Baum stürzt auf die Brücke und die Brücke bricht ein. Man ging davon aus, dass die Brücke stabil genug war, um diesen Dingen standzuhalten. Um sicherzustellen, dass so etwas nie wieder passiert, wird eine Steinbrücke gebaut. Nach vielen Monaten harter Arbeit und einigen großen Investitionen ist die Brücke fertig, und alle sind glücklich und fühlen sich sicher. Leider ist dieses Gefühl nur von kurzer Dauer. Noch im selben Jahr bohrt ein Unruhestifter ein Loch in die Brücke, und einige Menschen fielen in den Fluss, ohne die Lücke zu bemerken. Nach diesem Vorfall wird die Brücke rund um die Uhr bewacht, um Kriminelle daran zu hindern, die Brücke zu betreten. Gleichzeitig wird ein Rat gebildet, der darüber nachdenkt, wie diese Brücke noch besser gemacht werden kann. Werden die richtigen Materialien verwendet, kann sie mehr Menschen aufnehmen und können wir sie besser gegen Kriminelle sichern?

Ein paar Jahre vergehen. Ein Kaufmann kommt in die Stadt. Er möchte die Brücke überqueren, um Handel zu treiben. Das wird ihm nicht erlaubt, weil er nicht auf der Liste der Personen steht, die die Brücke betreten dürfen. Um auf die Liste zu kommen, muss er Angaben machen, um sicherzustellen, dass er nicht zu schwer ist, illegale Werkzeuge mit sich führt oder schlechte Absichten hat. Der Besucher ist erstaunt und frustriert. Er geht den Fluss hinunter, bläst sein Gummiboot auf und strampelt hinüber. Ein Mitglied des Rates erwartet den Besucher am Flussufer. Er besteht darauf, dass der Besucher umdreht, weil die Brücke benutzt werden muss, wenn man den Fluss überqueren will, wenn man Handel treiben will.

Was sagt uns diese Geschichte? Erstens: Das Ziel war aus den Augen verloren. Das Ziel war der Handel mit einem anderen Dorf auf der anderen Seite des Flusses. Die Brücke war lediglich ein Mittel, um dieses Ziel zu erreichen. Aber als die Hängebrücke zusammenbrach, wurde eine neue und verbesserte Brücke gebaut. Dasselbe geschah mit der Steinbrücke und der Sicherheit. Eine sichere Brücke wurde das Ziel. Und andere Lösungen, um das Ziel zu erreichen, wurden nicht gesehen. Das Boot ist auch eine großartige Lösung, aber niemand dachte an ein Boot. Außer jemand, der durch die Regeln blockiert war. Das sagt uns also eine zweite Sache. Egal, welche Kontrollen Sie schaffen, es gibt immer einen Weg, die Kontrollen zu umgehen. Aber wenn Sie sich die Ziele und die Regel zur Einhaltung der Regeln ansehen: "Beim Handel mit der anderen Seite sollten keine Menschen zu Schaden kommen", dann ist das Boot völlig in Ordnung.

Die Einhaltung von Vorschriften in Unternehmen fällt in der Regel in den gleichen Bereich wie Sicherheit und Risiko. Es gibt eine ganze Reihe von Risiken, die abgedeckt werden sollten. Unternehmen sollten die Kontrolle über diese Risiken haben und in der Lage sein, diese Kontrolle zu beweisen. Das ist Compliance. Aber die Einhaltung der Vorschriften ist nicht das Ziel. Es geht darum, sicher zu sein. Sie wollen nicht in die Schlagzeilen geraten, weil Sie gehackt wurden, Mitarbeiter mit Millionenbeträgen abgehauen sind oder persönliche Kundendaten durchgesickert sind. Compliance kann dabei helfen, die richtigen Fragen zu stellen und sich auf die richtigen Bereiche zu konzentrieren. Aber ich bin der festen Überzeugung, dass die Einhaltung von Vorschriften Sie nicht (noch) sicherer macht. Ich glaube sogar, dass ein Unternehmen, das sich zu sehr auf die Einhaltung von Vorschriften konzentriert, Gefahr läuft, weniger sicher zu werden, weil die Dokumente und Verfahren von der tatsächlichen Umsetzung ablenken und nur ein "sicheres Gefühl" vermitteln. Sowohl Compliance als auch Sicherheit sind wichtig. Wie können wir also gleichzeitig compliant und sicher sein?

Reduzieren Sie sich auf das Nötigste

Wie in der Geschichte dargestellt, besteht die größte Falle darin, dass Lösungen und Kontrollen für eine Compliance-Vorschrift zum Standard und zum Endziel werden. Sie erkennen dies an Fragen wie: "Wie haben Sie xyz implementiert?" oder "Gibt es ein Dokument, das abc beschreibt?" Sie sollten immer wissen, was Sie abdecken. Und natürlich gibt es bewährte Verfahren und wiederverwendbare Komponenten, aber Sie sollten immer die "Warum-Frage" beantworten und die gewählte Lösung überdenken.

Wenn wir uns die Hauptprobleme oder Risiken ansehen, mit denen wir es zu tun haben, kommt es auf die CIA-Triade an. Und genau darauf zielen die meisten der Informationssicherheitskontrollen ab [Quelle:  Die CIA-Triade]

Dies sind die Dinge, die abgedeckt werden müssen. Die Prüfer werden nach Lücken und Löchern suchen, um sicherzustellen, dass Sie nachweisen können, dass die von Ihnen getroffenen Maßnahmen die Lücken tatsächlich abdecken. Die Prüfer werden dies jedoch nur ein- oder zweimal im Jahr überprüfen und sind höchstwahrscheinlich nicht in der Lage, in die Bits und Bytes einzutauchen. In vielen Fällen wird es einen Stapel von Dokumenten geben, in denen die Verfahren und Kontrollen beschrieben werden, die zur Abdeckung der Risiken aus der Triade eingeführt wurden

In der Praxis bedeutet dies, dass bei der Ankündigung eines Audits alle Dokumente geprüft, Informationen gesammelt und Systeme validiert werden, so dass der Zustand des Systems "sicher" ist, aber zu keinem anderen Zeitpunkt gibt es irgendeinen Beweis dafür, dass das System alle Kontrollen durchführt. Auf die Frage "Sind wir konform?" lautet die Antwort in den meisten Fällen ja. Wenn wir uns aber auf das Wesentliche beschränken, sollten wir uns die Frage stellen. "Sind bei drei Einsätzen pro Woche alle Risiken abgedeckt, und haben wir die Kontrolle, wenn jetzt oder zu einem bestimmten Zeitpunkt etwas passiert?" Bei der ersten Frage geht es um die Einhaltung von Vorschriften, bei der zweiten um die Sicherheit. Die Antwort auf die erste Frage lautet in vielen Fällen "Ja"; die Antwort auf die zweite Frage lautet "Nein", "Manchmal" oder "Ich weiß es nicht".

DevSecOps - Nutzung von DevOps für mehr Sicherheit und Konformität

Mit dem Übergang zu DevOps und Continuous Delivery, bei denen die Bereitstellung mehrmals täglich erfolgt, ist es noch wichtiger, die Kontrolle über den Prozess zu haben. Wenn InfoSec ohne Automatisierung und Integration der Informationssicherheit in die tägliche Arbeit von Dev und Ops in der Unterzahl ist, kann InfoSec nur die Einhaltung der Vorschriften überprüfen, was das Gegenteil von Sicherheitstechnik ist (Quelle: The DevOps Handbook - Gene Kim - Seite 313).

Vor diesem Hintergrund ist es wichtig, sich darum zu bemühen, dass Teams die Sicherheit in ihre Prozesse und Pipelines integrieren können.

Im Hinblick auf die Einhaltung von Vorschriften geht es vor allem darum, nachweisen zu können, dass der produzierte Code nachvollziehbar ist (Audit Trail), überprüft wurde (4-Augen-Prinzip) und dass das Artefakt, das für die Produktion veröffentlicht wurde, gegenüber dem Code, aus dem es entstanden ist, unverändert ist. (Integrität). Macht dies den Code sicher? Vielleicht, aber es werden nicht alle Aspekte abgedeckt. Um das zu erreichen, müssen Sie andere Dinge implementieren.

Wenn wir uns vor Augen halten, dass wir sichere Software schreiben und bereitstellen wollen, sollten wir die Teams in die Lage versetzen, dies zu tun. Sorgen Sie dafür, dass der Code überprüft wird, scannen Sie nach Schwachstellen, prüfen Sie den Code auf häufige Fehler, erstellen Sie unveränderliche Artefakte, verwenden Sie standardmäßig genehmigte Bibliotheken, testen Sie Ihren Code und Ihre Anwendungen, überwachen Sie sie auf Anomalien usw. All dies ist erforderlich, um sichere und zuverlässige Software zu erstellen.

Durch die Konzentration auf die Sicherheit innerhalb des Entwicklungs- und Bereitstellungsprozesses verlagert sich der Informationsbedarf vom Prüfer auf die Teams selbst. Um ein Problem in der Produktion zu beheben, ist eine ausreichende Protokollierung erforderlich. Um sicherzustellen, dass in der Test- und in der Produktionsumgebung dieselbe Version eingesetzt wird, müssen Skripte vorhanden sein, und um eine Benachrichtigung zu erhalten, wenn ein Problem auftritt, muss eine ausreichende Überwachung implementiert werden. Wenn der Bedarf im Team selbst besteht, werden die Prioritäten anders gesetzt, und das Ergebnis ist, dass die Teams mehr oder weniger automatisch compliant werden. Durch die Implementierung der Sicherheit und der notwendigen Gegenmaßnahmen werden die erforderlichen Kontrollen zur Einhaltung der Vorschriften automatisch erfüllt. Und das Beste daran ist, dass dies kontinuierlich durch eine automatisierte Pipeline überprüft wird und jederzeit Beweise aus dem System gezogen werden können.

Also, kurz gesagt. Konzentrieren Sie sich auf sichere Systeme statt auf konforme Systeme. Wenn Sie sicher sind, sind Sie höchstwahrscheinlich auch compliant.

Leseliste

Es gibt eine Menge sehr interessanter Artikel, Blogs, Videos und Bücher, die diese andere Sichtweise auf Compliance und Sicherheit beschreiben und die ich jedem empfehlen kann!

• [Video] Aufteilung der Überprüfung von Compliance und Sicherheit
• [Video] Kontinuierliche Lieferung in Agile
• [Video] Umstellung der Denkweise auf eine DevSecOps-Kultur
• Sicherheit nach links verlagern
• DevOpsSec bei Safari Bücher Online
• Die 9 größten Sicherheitsbedrohungen im Jahr 2018 auf CIO
• Die 9 größten Sicherheitsbedrohungen im Jahr 2019 auf CIO
• 10 kritische Cybersicherheitsrisiken für Unternehmen auf Heimdal Security
• Sicheres DevOpsKit für Azure auf GitHub
• 5 Wege, wie DevOps die Sicherheit verbessert auf SlideShare
• Kontinuierliche Sicherheitstests mit DevOps auf SlideShare
• DevOps Audit Defense Toolkit auf IT Revolution
• DevOpsSec Buch bei Safari Books Online
• Präsentieren Sie Secure DevOpsToolkit für Azure auf Microsoft
• Verbinden Sie Ihre Release- und Sicherheitsingenieure auf TechBeacon