Unsere Sicherheits- und Compliance-Grundlage

Sicherheit und Compliance werden erst dann sinnvoll, wenn sie in das System selbst integriert sind. Das klingt offensichtlich, aber in der Praxis ist es genau hier, wo viele Unternehmen den Faden verlieren. Frameworks werden aufgelistet, Kontrollen dokumentiert und eine beruhigende Anzahl von Akronymen erscheint auf Websites und Beschaffungsformularen, während das zugrunde liegende System weit weniger kohärent ist, als die Papierarbeit vermuten lässt. So gehen wir bei Kolsetu nicht vor. Wir arbeiten mit regulierten Unternehmen zusammen und es wird erwartet, dass wir diesen Standard ordnungsgemäß erfüllen. Das bedeutet, Frameworks auszuwählen, die einen klaren Zweck erfüllen, sich gegenseitig verstärken und widerspiegeln, wie unsere Systeme tatsächlich aufgebaut, betrieben und gewartet werden. Die Standards, an denen wir uns orientieren, sind nicht zur Dekoration da. Sie bilden die Struktur, nach der wir Sicherheit, Cloud-Risiken, operative Kontrollen und Datenschutz in der Praxis verwalten. Jeder von ihnen deckt einen anderen Aspekt ab. Zusammen bilden sie eine Sicherheits- und Compliance-Grundlage, die strukturiert, praktisch und anpassungsfähig ist.

Warum diese Frameworks

Jedes der Frameworks, an denen wir uns orientieren, erfüllt eine spezifische Rolle. Sie sind nicht austauschbar und nicht für die Abdeckung in einer Präsentation gedacht. Zusammen adressieren sie verschiedene Aspekte desselben Problems: Wie man Systeme aufbaut und betreibt, die über die Zeit sicher bleiben.

ISO 27001 - Die Grundlage des Sicherheitsmanagements

ISO 27001 liefert die Struktur. Es definiert, wie Sicherheit als System gemanagt wird: Zuständigkeiten, Risikomanagement, Dokumentation und kontinuierliche Verbesserung. Es stellt sicher, dass Kontrollen nicht inkonsistent angewendet oder von individuellen Entscheidungen abhängig gemacht werden. Der Standard basiert auf einem risikobasierten Ansatz und wird durch Anhang A unterstützt, der einen umfassenden Satz von Sicherheitskontrollen definiert, die Bereiche wie Zugriffsmanagement, Kryptographie, Lieferantenbeziehungen und Vorfallmanagement abdecken. In der Praxis verhindert dies, dass die Sicherheit im Laufe der Zeit abdriftet. Es schafft Verantwortlichkeit, Auditierbarkeit und eine Basis, auf die man sich über einzelne Teams oder Projekte hinaus verlassen kann.

NIST Cybersecurity Framework - Risikomanagement im Kontext

Das NIST Cybersecurity Framework bietet ein Modell zum Verständnis und zur Steuerung von Risiken. Seine Struktur – Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen – ist einfach, aber effektiv. Sie ermöglicht es Organisationen, ihren Stand zu bewerten, Verbesserungen zu priorisieren und Entscheidungen auf der Grundlage von Risiken statt Annahmen zu treffen. Unter dieser Struktur verbirgt sich ein detaillierter Katalog von Kategorien und Unterkategorien, die Sicherheitsergebnisse mit konkreten Fähigkeiten verknüpfen. Dies macht es besonders nützlich, um technische Kontrollen mit Geschäftsrisiken abzugleichen. Es geht weniger darum, Kästchen anzukreuzen, als vielmehr darum, die Exposition zu verstehen und fundierte Kompromisse einzugehen.

CIS Controls - Was tatsächlich implementiert wird

Die CIS Controls machen die Dinge konkret. Sie definieren einen priorisierten Satz von 18 Kontrollen, gruppiert nach Implementierungsstufen, abhängig von der Reife der Organisation und der Risikobereitschaft. Der Schwerpunkt liegt auf den Kontrollen, die die häufigsten und schädlichsten Risiken reduzieren: Asset-Sichtbarkeit, Zugriffskontrolle, Schwachstellenmanagement und Überwachung. Sie sind bewusst praktisch gehalten. Wenn ISO definiert, wie Sicherheit gemanagt wird, definieren CIS Controls, was tatsächlich getan wird. Es wird oft als pragmatisches Gegenstück zu eher auditlastigen Frameworks angesehen – kein Ersatz, sondern eine Möglichkeit, sicherzustellen, dass wesentliche Kontrollen tatsächlich vorhanden und funktionsfähig sind.

CSA STAR - Cloud-Sicherheit ohne Illusionen

CSA STAR adressiert eine Realität, die viele Frameworks nur indirekt berühren: Moderne Systeme laufen in der Cloud. Es baut auf der Cloud Controls Matrix (CCM) auf, die Sicherheitskontrollen speziell für Cloud-Umgebungen abbildet und sie mit anderen wichtigen Frameworks abgleicht. Dies ermöglicht es Organisationen, ihre Cloud-spezifische Sicherheitslage strukturiert und vergleichbar darzustellen. Es konzentriert sich auf Shared Responsibility Models, Multi-Tenant-Umgebungen und verteilte Infrastrukturen – Bereiche, in denen Annahmen fehlschlagen können, wenn sie nicht explizit gemacht werden. Für Cloud-native Systeme ist dies keine Erweiterung. Es ist unerlässlich.

DSGVO - Datenschutz als Basis

Die DSGVO ist kein Framework, das wir gewählt haben. Es ist die Basis, unter der wir als europäisches Unternehmen operieren. Sie definiert, wie personenbezogene Daten behandelt werden, welche Rechte Einzelpersonen haben und wie Organisationen zur Rechenschaft gezogen werden. Dies umfasst Prinzipien wie Datenminimierung, Zweckbindung und Rechenschaftspflicht sowie strenge Anforderungen an die Benachrichtigung bei Verstößen und die Rechte der betroffenen Personen. Wichtiger noch, sie erzwingt den Datenschutz im Systemdesign durch Konzepte wie Privacy by Design und Privacy by Default, anstatt ihn zu einer reinen Politikübung zu machen. Für ein in der EU ansässiges Unternehmen ist die Einhaltung dieser Verordnung nicht optional. Sie ist grundlegend.

Datenschutz über die DSGVO hinaus – Entwickelt für Anpassungsfähigkeit

Der Betrieb in verschiedenen Regionen bedeutet, auf zusätzliche Datenschutz-Frameworks zu stoßen. Varianten von Datenschutzvorschriften für personenbezogene Daten, branchenspezifische Vorschriften und jurisdictionsspezifische Anforderungen führen zu Abweichungen – manchmal bedeutsam, manchmal weitgehend terminologisch. Da unsere Systeme nach DSGVO-Standards aufgebaut sind, müssen wir sie nicht für jedes dieser Frameworks neu gestalten. In der Praxis bedeutet die Ausrichtung:

• Bereitstellung innerhalb der erforderlichen Gerichtsbarkeit,
• Anwendung regionsspezifischer Konfigurationen und
• Berücksichtigung spezifischer Kontrollunterschiede, wo sie bestehen

Das Kernsystem bleibt unverändert. Dies vermeidet Fragmentierung und stellt sicher, dass die Compliance keine Inkonsistenzen in das Verhalten des Systems einführt.

Wie diese Frameworks zusammenarbeiten

Diese Frameworks sind nicht zufällig geschichtet:

• ISO stellt sicher, dass das System strukturiert und gesteuert ist
• NIST bietet eine Möglichkeit, Risiken zu bewerten
• CIS stellt sicher, dass die kritischen Kontrollen tatsächlich implementiert sind
• CSA STAR stellt sicher, dass diese Kontrollen in Cloud-Umgebungen funktionieren
• DSGVO stellt sicher, dass der Datenschutz integriert ist

Zusammen bilden sie ein System, das sowohl definiert als auch operativ ist.

Warum wir nicht alles hinzufügen

Wir können bei Bedarf zusätzliche Frameworks einbeziehen. Eine präventive Hinzufügung macht das System jedoch nicht sicherer. Es erhöht die Dokumentation, erweitert die Zuordnung und erschwert die Kommunikation. Die zugrunde liegenden Kontrollen verbessern sich nicht einfach, nur weil sie auf mehr Arten beschrieben werden. Dazu gehören auch zusätzliche ISO-Standards wie 27017 und 42001, die wir vollständig implementiert haben, um unsere Grundlage auf Cloud-Sicherheit und KI-Governance auszuweiten. Eine formelle Zertifizierung in diesen Bereichen steht nicht immer im Verhältnis zum Mehrwert, aber die zugrunde liegenden Kontrollen werden unabhängig davon implementiert. Irgendwann hören zusätzliche Frameworks auf, Klarheit zu schaffen, und beginnen, Rauschen zu erzeugen. Unser Fokus liegt darauf, das System selbst klar, konsistent und zuverlässig zu halten.

Fazit

Compliance ist notwendig. Aber sie ist nicht das Ziel. Das Ziel ist ein System, das sich korrekt, konsistent und vorhersehbar verhält – auch unter Druck. Frameworks unterstützen das, sie ersetzen es nicht.