CCM als Antwort auf die Herausforderungen der Cybersicherheit

Der Umgang mit potenziellen Sicherheitsrisiken stellt Unternehmen vor immer größere Aufgaben. Das Continuous Controls Monitoring (CCM) wird in diesem Zusammenhang zu einem Schlüsselprozess für die Widerstandsfähigkeit und Effizienz innerhalb des gesamten Unternehmens. Es ermöglicht einen dynamischen und proaktiven Ansatz für das Risikomanagement, von der Echtzeit-Bedrohungswarnung bis hin zur automatisierten Compliance-Überwachung.

Zugriffskontrollen sind eine wesentliche Komponente der Datensicherheit

Mit Zugriffskontrollen für geschäftskritische Anwendungen schützen Unternehmen ihre IT-Systeme vor unberechtigten Zugriffen, Datenverletzungen und anderen Sicherheitsbedrohungen. Ziel ist es dabei, die Nutzung von Software-Anwendungen auf Basis vordefinierter Richtlinien und Regelwerke wie dem BSI-Grundschutz, dem DSAG-Leitfaden und anderen GRC-Leitfäden zu überwachen, um zu gewährleisten, dass Anwender nur autorisierte und vertrauenswürdige Geschäftsanwendungen ausführen können. Auf diese Weise lässt sich das Risiko von Malware und anderen sicherheitsrelevanten Vorfällen deutlich reduzieren.

Klassische Kontrollmechanismen erfordern Expertenwissen und sind aufwändig

Die gängige Methode Business-Applikationen zu überwachen ist ein ausnahmebasierter Ansatz, bei dem Unternehmen einen vordefinierten Kontrollrahmen einrichten, um beispielsweise unberechtigte Änderungen an Stamm- und Transaktionsdaten oder auch Funktionstrennungskonflikte zu verfolgen. Bisher muss die Auswertung weitgehend manuell gesteuert werden, das bindet nicht nur hochqualifizierte IT-Ressourcen, sondern ist auch sehr zeitaufwändig.

Hinzu kommt die Schwierigkeit, generierte Reports, z.B. über Auffälligkeiten bei Zugriffsrechten, richtig zu deuten und sinnvolle Maßnahmen abzuleiten. Konventionell ist dies für Nicht-IT-Spezialisten nur mit hohem Aufwand möglich, insbesondere bei der schnell wachsenden Anzahl von Applikationen.

CCM – kontinuierliche Überwachung über die traditionelle SAP-Welt hinaus

Hier setzt das CCM an: Es harmonisiert all diese Prozesse, kann eine Vielzahl von Regelwerken vereinheitlichen und sie in einem klar definierten gemeinsamen Regelwerk abbilden. So entsteht ein stabiles Fundament für das gesamte Unternehmen. Dabei ist es wichtig, die Qualität und den Reifegrad der einzelnen Regelwerke zu berücksichtigen. Es muss ein Gesamtregelwerk geschaffen werden, das transparent und anpassungsfähig ist und die individuellen Anforderungen eines Unternehmens darstellen kann. Sind die Regelwerke zu einheitlich und rudimentär, sind es letztlich auch die Ergebnisse.

Dieser proaktive, dynamische Ansatz verwendet automatisierte Prüfwerkzeuge, um die Kontrollen in Echtzeit zu überwachen und gleichzeitig zu validieren. Im Gegensatz zu der traditionellen periodischen Überprüfung stellt die kontinuierliche Überwachung der Anwendungen eine lückenlose Kontrolle sicher. Dabei kommen Algorithmen zum Einsatz, die große Datenmengen schnell analysieren und Anomalien oder besondere Vorkommnisse sofort und automatisch erkennen können.

Da unternehmenskritische Applikationen nicht mehr rein SAP-spezifisch, sondern häufig auch Cloud-basiert sind, entstehen weitere neue Risiken, denen auch andere Sicherungsmaßnahmen folgen müssen. Daher ist es wichtig, dass es auch in dieser Hinsicht gelingt, alle unternehmensweiten Regelwerke über die zunehmend verteilte Anwendungslandschaft hinweg zu harmonisieren. Insbesondere vor dem Hintergrund von NIS-2 sollte einem Auditor jederzeit nachgewiesen werden können, welche Prozesse und Tools bereits implementiert sind und wie das Risikomanagement zur Stärkung der Netz- und Informationssicherheit aussieht.

Umfassende Echtzeitkontrolle, verständliche Berichte und grafische Darstellung

Entscheidend ist auch, dass dies alles in Echtzeit geschieht, um den regulatorischen Anforderungen von NIS-2 gerecht zu werden. Nur so ist es möglich, kritische Situationen zu jedem Zeitpunkt ad hoc zu verfolgen und zu beurteilen, ob damit ein signifikantes Risiko einhergeht. Aufgrund des Automatisierungsgrades sind diese Prozesse im Continuous Controls Monitoring sehr ressourcenneutral. Ein Fachbereich erhält jederzeit die relevanten Informationen und die bisher oft händisch durchgeführten Stichproben werden überflüssig.

Ausschlaggebend ist, dass mit einem gut implementierten CCM-Tool stets aktuelle und auch für Nicht-Spezialisten verständliche Reports zur Hand sind, die jedes Risiko konkret bewerten und klare Handlungsanweisungen geben.

Mit Pathlock Continuous Controls Monitoring ist genau das möglich – und darüber hinaus die Visualisierung des Sicherheitsstatus in Form von maßgeschneiderten Dashboards, zum Beispiel für die Managementebene. So wird dem CISO oder dem CFO übersichtlich und in der richtigen Detailtiefe aufgezeigt, welche konkreten Findings aktuell für welchen Fachbereich vorliegen und welche Handlungsmöglichkeiten bestehen.

Risikoquantifizierung zur besseren Einschätzung der Risiken

Die Risikobewertung durch Quantifizierung ist insbesondere für das C-Level von großem Interesse, da sie aufzeigt, welche finanziellen Folgen eine kritische Situation für das Gesamtsystem hätte. Dies wird im Pathlock CCM etwa durch die Zuordnung von Kennzahlen in den editierbaren Regeln erreicht. Es hilft nicht nur dem CFO, wenn ein Risiko monetär beziffert wird, ob es zu potenziellen Verlusten im zwei- oder sechsstelligen Euro-Bereich führen kann. Die Fähigkeit, Risiken einzuschätzen, die Reihenfolge der erforderlichen Maßnahmen zu priorisieren und im Bedarfsfall sehr schnell zu reagieren, ist immens wichtig. Denn in Risikosituationen ist die Reaktionsgeschwindigkeit der entscheidende Faktor.

Ein solches Advanced Continuous Controls Monitoring bietet Unternehmen eine intelligente Kombination von Funktionalitäten in einer integrierten Oberfläche, die die individuellen Kontrollanforderungen der IT-, HR-, Finanz- und Revisionsbereiche unterstützt. So können das Risikomanagement kosteneffizient gesteuert, Prozesse verbessert, gesetzliche Anforderungen erfüllt, Compliance nachgewiesen und Risiken quantifiziert werden.

Für weiterführende Informationen nehmen Sie gerne Kontakt mit uns auf oder besuchen Sie unsere englische Website.

Ein weiterer Fachartikel zu diesem Thema ist auf it-daily.net sowie im it management Print Magazin, Ausgabe 7-8/24, erschienen.