Compliance automatisieren - aber richtig

Technische Kontrollen als Anhaltspunkt

Für die technische Umsetzung der automatisierten Compliance-Lösung ist dann in der Regel die IT-Abteilung zuständig. Auf sie wartet hier eine besondere Herausforderung, denn die meisten Regelwerke und Standards geben lediglich bestimmte technische Kontrollen vor. Wie sich diese Anforderungen im konkreten Fall umsetzen lassen, muss dagegen jedes Unternehmen selbst erarbeiten. Und schon allein aufgrund der Vielzahl an einzuhaltenden Regelungen ist die Konzeption einer automatisierten Compliance-Lösung alles andere als trivial.

Unterstützend können IT-Verantwortliche sogenannte Security-Configuration-Management-Systeme heranziehen: Diese leiten den Anwender durch die Definition der benötigten technischen Kontrollen und bringen oft auch schon vorgefertigte Abfragen für die wichtigsten Compliance-Anforderungen mit. So decken beispielsweise viele Compliance-Tools zentrale Regelwerke wie PCI, SOX oder die ISO 2700x ab. Hierbei kommen in der Regel mitgelieferte technische Kontrollen zum Einsatz, die nicht nur die zentralen Regelwerke abbilden, sondern auch derart in Paketen gebündelt werden können, dass auch komplexe Richtlinien schnell im Rahmen der individuellen technischen Anforderungen umgesetzt werden können.