Suchen

Compliance aus der Sicht des Administrators – Lücken schließen und PCs absichern Von DSM über NAP und Group Policy Objects bis hin zu RBM

| Autor / Redakteur: Johann Baumeister / Dipl.-Ing. (FH) Andreas Donner

Compliance ist eines der wichtigsten Schlagworte der IT in diesen Tagen. Was das Thema Compliance für IT-Administratoren bedeutet und was man unter den Schlagworten Desired State Management, Network Access Protection, Group Policy Objects und Role Based Management versteht, zeigt dieser Grundlagenbeitrag.

Firmen zum Thema

Der System Center Configuration Manager wurde in der Version 2007 um das Desired Configuration Management erweitert.
Der System Center Configuration Manager wurde in der Version 2007 um das Desired Configuration Management erweitert.
( Archiv: Vogel Business Media )

Beim Begriff der Compliance werden die meisten IT-Verantwortlichen an abstrakte Reglungen denken, die mit ihrem Tagesgeschäft wenig zu tun haben. Compliance wird hierzulande assoziiert mit Begriffen wie Basel II oder KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich). In den USA oder für Unternehmen die an der US-Börse notiert sind, gehören Begriffe wie SOX (Sarbanes-Oxley Act of 2002) oder HIPAA (Health Insurance Portability and Accountability Act) zum Compliance-Vokabular, um nur ein paar wenige zu nennen.

Laut Wikipedia schließlich versteht man unter Compliance „die Einhaltung von Verhaltensregeln, Gesetzen und Richtlinien durch Unternehmen“. Dies mag recht allgemein klingen, ist aber in der Tat zutreffend und die dabei avisierten Aspekte gewinnen gerade in diesen Tagen enorm an Brisanz, wie die Finanzkrise oder der neuerliche Verlust von Daten durch die Telekom beweisen.

Compliance-Anforderungen an die IT

Die Anforderungen an die IT in Fragen der Compliance beschäftigen sich mit den Regulatorien oder gesetzlichen Vorgaben. Generell geht es dabei um die Einhaltung von Regeln. Unternehmen und Märkte ohne Regeln stellen eine Bedrohung für den Markt an sich und die daran teilnehmenden Unternehmen dar.

Bricht man die Compliance-Anforderungen auf die IT herunter, so geht es dabei häufig um die Fragen, wer wann auf welche Daten Zugriff hat oder hatte, wer Daten gelöscht, eingefügt, geändert oder entwendet hat und wem diese Daten zur Verfügungen gestellt wurden. Bei den Daten in diesem Sinn geht es sowohl um die Inhalte von Datenbanken, aber auch um Dokumente, Emails, den Nachrichtenverkehr mittels Instant Messaging und jegliche weitere Form.

Für den IT-Betrieb stellt sich die Frage, wie das Unternehmen „in Einklang mit den Regeln und Vorgaben“ operieren soll. Schrittweise erhalten Administratoren gerade hier Hilfe in Form von Produkten zur Systemverwaltung. Diese werden zusehends um Compliance-Anforderungen ergänzt.

Bezüglich des Zugriffschutzes auf Daten stehen heute vor allem die Firewalls und ihre Regeln im Blickpunkt. Sie kontrollieren und überwachen jegliche Operationen der Benutzer. Daneben steht der gesamte Block an Produkten, der sich in diesen Tagen unter dem Schlagwort Data Leakage Prevention etabliert. Bei diesen Tools geht es in erster Linie darum, den unberechtigten oder versehentlichen Abfluss von Daten zu unterbinden. Dies wird durch die Kontrolle des Datenverkehrs und der Kommunikationsschnittstellen erreicht.

weiter mit: Zielkonfiguration für Rechnersysteme

(ID:2017169)