Viele Organisationen fragen sich, ob sie zu viel tun, oder ob sie genug getan haben, um sich zu schützen. Aber woran macht man ein "ja" oder "nein" fest? Fachwissen, Bauchgefühl, Checklisten, Universitätsabschlüsse der Entscheider? Diese Fragen sind nicht einfach zu beantworten und in dem Zusammenhang sind die Fragen legitim, wie ein Gesetz (Compliance) oder eine Norm (z. B. ISO/IEC 27001) bei der Antwort helfen kann.
Das Dilemma zwischen Compliance und Sicherheit ist ein ständiger Balanceakt im Bereich der Informationssicherheit und des Risikomanagements. Auf der einen Seite haben wir Compliance - das notwendige Übel, um regulatorische Vorgaben zu erfüllen und regulatorische Strafen zu vermeiden. Auf der anderen Seite haben wir Sicherheit mit dem Streben nach einem echten Schutz vor einer Vielzahl von Bedrohungen, die unsere Daten und Systeme gefährden könnten.
Für viele Unternehmen ist Compliance die Konzentration darauf, die gesetzlichen oder regulatorischen Mindestanforderungen zu erfüllen, ohne wirklich die tiefere Bedeutung von Sicherheit zu erfassen oder diese zu fördern.
Was ist dann das Ergebnis?
So wird oft eine "Checkliste abgehakt", das ist aber nicht unbedingt ein Indikator für tatsächliche Sicherheit, sie sind "compliant", aber das bedeutet nicht unbedingt, dass ihre Daten und Systeme sicher sind, da auch das Gesetz Anforderung nicht klar spezifiziert, um zukunftssicher und flexibel zu bleiben. Und Juristen sind i. d. R. keine IT-Security-Fachleute.
Beispiel Identifikation bzw. Passwort anhand des Artikels 21 der NIS-2, hier wird gefordert: "Verwendung von Lösungen zur Multi-Faktor-Authentifizierung".
Das Gesetz will nur die Kontrolle des Zugriffs auf die Daten mit hohem Schutzniveau, legt aber keine Merkmale oder Biometrie bzw. Länge und Komplexität von Passwörtern fest. Ein Passwort mit 12 Zeichen galt vor 10 Jahren als weitgehend sicher, in der Praxis finden sich oft noch 8 Zeichen als Standard. Heute empfiehlt das BSI deutlich längere Folgen von Zeichen und deutlich mehr Varianten bei den Zeichen. Und mit der wachsenden Rechengeschwindigkeit oder gar Quantencomputern reduziert sich der Schutz vor Eindringlingen durch komplexe Passwörter weiter.
Auf der anderen Seite gibt es Unternehmen, die erkennen, dass Compliance allein nicht ausreicht, um ihre Daten und Systeme effektiv zu schützen. Sie setzen auf Sicherheit als oberste Priorität und ergreifen zusätzliche Maßnahmen, um ihre Systeme vor neuen Bedrohungen zu schützen und ihre Sicherheitsstandards kontinuierlich zu verbessern. Diese Unternehmen verstehen, dass echte Sicherheit über die bloße Erfüllung von Compliance-Anforderungen hinausgeht und ein ganzheitlicher Ansatz erforderlich ist, der sowohl technische als auch organisatorische Maßnahmen umfasst. Der Fokus auf Sicherheit führt aber nicht zwangsläufig zur Compliance, da es in der Regel zu den beiden Themen keine identischen Prüfschemata gibt. Ein Gesetz bildet nicht die 93 Anforderungen der ISO/IEC 27001 oder den Rahmen des VDA ISA (TISAX) ab.
Das löst sich dankenswerterweise mit der NIS-2 ein Stück weit auf, da hier die ISO 27000-Reihe als Bezugsrahmen für die Einhaltung der Compliance zugelassen ist. Glückwunsch an die EU-Juristen!
Und auch die Erfüllung der Anforderungen gem. ISO/IEC 27001:2022 ist keine Garantie für ausreichende Sicherheit, da die Norm nicht alles im Detail spezifizieren kann, soll sie doch branchenübergreifend über viele Jahre hinweg in allen Ländern angewendet werden können.
So steht der Sachverstand der handelnden Personen weiter hoch im Kurs, die auf der Basis von Gesetzen und Normen den Sicherheitsbegriff "operationalisieren" und die Sicherheit täglich vor Ort realisieren.
Insgesamt steht das Dilemma, zwischen Compliance und Sicherheit und realem "Handeln" unterscheiden zu müssen, im Zentrum vieler Diskussionen im Bereich der Informationssicherheit. Denn das Streben nach echter Sicherheit ist nicht nur eine Aufgabe, um zu einem Termin gesetzeskonform zu handeln, nur die Checkboxen zu füllen oder ein Zertifikat zu ergattern, sondern eine kontinuierliche Verpflichtung, die über die Einhaltung von Vorschriften hinausgeht und täglich gelebt werden muss.