Auswirkungen von Risk Exposure auf Compliance


Gefahr, dass die Vorschriften zu einer Reihe von Checklisten verkommen
Bewertung des Risikomanagements ein erster Schritt



Von Peter Machat, Senior Director Central EMEA bei Armis

Mit der DSGVO, DORA und der derzeit in der Luft hängenden NIS2 werden immer mehr Vorschriften und Richtlinien eingeführt, die Unternehmen beachten müssen. Dies hat dazu geführt, dass einige Unternehmen der Meinung sind, dass die Einhaltung der Vorschriften eher eine Belastung als ein Anfang zur Verbesserung ihrer Sicherheitsmaßnahmen ist. Das birgt das Risiko, dass die Security zwar angegangen werden muss, aber es bedeutet nicht, dass es die eigene Cybersicherheit auf ein höheres Level hebt. Stattdessen besteht die Gefahr, dass die Vorschriften zu einer Reihe von Checklisten verkommen.

Sie dienen lediglich dem Zweck nur für den Auditor bereit zu stehen, der ab und zu vorbeikommt und um die Einhaltung der Compliance zu überprüfen. Oftmals unternimmt er dieses Unterfangen, weil das Unternehmen weiterhin Aufträge mit sicherheitsbewussteren Partnern schließen will. Damit wird die gute und notwendige Absicht, die mit der Einhaltung der Vorschriften verfolgt wird, ins Lächerliche gezogen. Im Gegensatz dazu wollen die Regulierungsbehörden die Unternehmen darauf ausrichten die Cybersicherheit zu erhöhen, Risiken zu erkennen und zu verringern.

Die Gefahr, Opfer von Cyber-Bedrohungen zu werden, wächst seit Jahren. Die Zahl der Unternehmen, die gehackt werden, zeigt, dass die Cybersicherheit immer noch nicht überall Priorität hat. Immerhin zeichnen sich in letzter Zeit leichte Veränderungen zum Besseren ab. Um den wachsenden Cyberrisiken durch KI-gestützte Cyberkriminelle und staatliche Akteure zu begegnen, müssen alle Unternehmen in proaktive Cybersicherheitsmaßnahmen investieren. Diese müssen den gesamten Lebenszyklus von Cyber-Bedrohungen in 360 Grad und 24 / 7 angehen und verwalten und dabei auch KI-gestützte Cybersicherheitslösungen und -Tools nutzen.

Unternehmen müssen nach wie vor in die Cybersicherheit investieren, und um dies richtig zu tun, wurden Normen und Vorschriften priorisiert, um Unternehmen dabei zu unterstützen. Sie sollen Best Practices befolgen und gute Entscheidungen treffen, indem sie die Einfluss von Menschen, Prozessen und Technologie (People, Process and Technology, PPT) nutzen.

Die Umsetzung des Dreiklangs von PPT erhöht die Effektivität der Einhaltung von Vorschriften und wird somit ihrer wahren Bedeutung gerecht. Eine Bewertung des Risikomanagements ist ein erster Schritt zur Aufdeckung von Risiken innerhalb der Organisation. Es bedeutet, die folgenden Aufgaben mit einer Plattform durchzuführen, die es ermöglicht:
>> Alle Geräte zu sehen, Hardware (OT, IT, IoT, IoMT), virtuell, Cloud, Software, verwaltet und nicht verwaltet,
>> die mit diesen Geräten verbundenen Risiken wie Schwachstellen zu identifizieren und
>> einen Plan zu entwickeln, um das Risiko und die Gefährdung zu mindern.

Unternehmen sollten diese Erkenntnisse nutzen, um ihre Risiken im Rahmen ihrer Cybersicherheitsstrategie zu priorisieren und die vollständige Einhaltung der gesetzlichen Vorschriften zu gewährleisten. Die zunehmende Bedeutung gesetzlicher Rahmenbedingungen auf nationaler und europäischer Ebene unterstreicht den entscheidenden Bedarf an umfassenden Informationen und Berichten über alle Geräte im Netzwerk eines Unternehmens hinweg. Dazu gehören verwaltete, nicht verwaltete, OT-, IomT- und IoT-Geräte, unabhängig von ihrer Verbindungsmethode - sei es kabelgebunden, Wi-Fi, Bluetooth oder andere Peer-to-Peer-Protokolle.

Die sich entwickelnden Standards unterstreichen die Bedeutung einer vollständigen Gerätetransparenz und -verwaltung, einer zentralisierten Erkennung von Bedrohungen und der Erkennung von Schwachstellen, um diese zu priorisieren und zu beheben. Auf diese Weise können sie sowohl die Einhaltung gesetzlicher Vorschriften erreichen als auch proaktive Sicherheitsmaßnahmen stärken. (Armis: ra)

eingetragen: 04.02.25
Newsletterlauf: 02.04.25

Armis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Weitere Maßnahmen sollten folgen

    Die Deutsche Kreditwirtschaft (DK) begrüßt die Entscheidung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), den sektoralen Systemrisikopuffer für Wohnimmobilienfinanzierungen von zwei auf ein Prozent zu senken. Damit reagiert die Aufsicht auf die veränderten Marktbedingungen und kommt einer Forderung der Kreditwirtschaft nach. Der Schritt ist ein wichtiges Signal für die differenzierte und verantwortungsvolle Anwendung makroprudenzieller Instrumente.

  • Dringend gesetzliche Klarheit & Bürokratieabbau

    Als am 1. Juli 2024 die Pflegepersonalbemessungsverordnung (PPBV) in Kraft getreten ist, waren sich die meisten Krankenhäuser über die weitreichenden Folgen vermutlich noch gar nicht im Klaren. Denn: Auch wenn der ursprüngliche Gedanke aus dem Gesundheitsministerium durchaus begrüßenswert ist - nämlich Pflege und Versorgung im Gesundheitswesen zu verbessern - ist es wieder einmal das Wie, das eine Besserung der oftmals dramatischen Lage verhindert. In der Praxis erweist sich die Verordnung nämlich nicht als pragmatische Lösung für bessere Arbeitsbedingungen oder einen Abbau von zeitintensiver Bürokratie, sie ist ziemlich genau das Gegenteil: ein bürokratisches Monster, das an inhaltlicher Komplexität seinem eigenen Namen in nichts nachsteht.

  • Stärkung der Demokratie notwendiger denn je

    Transparency Deutschland (TI-D) hat den Koalitionsvertrag der neuen Regierung geprüft - die Bilanz fällt weitgehend ernüchternd aus. Mit Blick auf Lieferkettengesetz, Geldwäschebekämpfung sowie Klima- und Umweltpolitik seien leider erhebliche Rückschritte zu erwarten.

  • Bewertung von PCI DSS 4.0

    Am 31. März 2025 trat die neueste Version des Payment Card Industry Data Security Standard (PCI DSS) in Kraft - Version 4.0*. PCI DSS 4.0 verlangt nicht nur, dass digitale Identitäten eindeutig Personen zugeordnet werden, sondern legt zudem den Fokus auf die Aufrechterhaltung robuster Sicherheitsmaßnahmen angesichts sich ständig weiterentwickelnder Cyberbedrohungen. Organisationen, die mit Zahlungskartendaten arbeiten, müssen verbesserte Sicherheitsanforderungen umsetzen - darunter auch starke Multi-Faktor-Authentifizierung (MFA).

  • EU-Richtlinie gegen Diskriminierung muss kommen

    Auf EU-Ebene fanden weitere Verhandlungen zur "5. Antidiskriminierungsrichtlinie zur Anwendung des Grundsatzes der Gleichbehandlung ungeachtet der Religion oder der Weltanschauung, einer Behinderung, des Alters oder der sexuellen Ausrichtung" statt. Der Sozialverband VdK fordert die Bundesregierung auf, sich endlich dafür einzusetzen, dass diese verabschiedet wird.

EU AI Act setzt weltweit Maßstäbe NIS2-Umsetzung nicht vor Herbst 2025?

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen