[datensicherheit.de, 14.06.2019] Die frühzeitige Identifizierung von relevanten Risiken kann Unternehmen vor großen Schäden bewahren. Doch noch immer findet professionelles Governance-, Risk- und Compliance-Management nur in wenigen deutschen Firmen statt. Die SAVISCON GmbH, ein IT-Dienstleistungsunternehmen mit Sitz in Hamburg, will hier nun Abhilfe schaffen. Mit dem neuen GRC-Cockpit können Unternehmen ab sofort selbstständig ihre individuellen Risiken festlegen, diese überwachen und abteilungsübergreifend Maßnahmen ableiten. Die browserbasierte Softwarelösung wurde vor kurzem von der Firma Contelligence erworben und wird kontinuierlich weiterentwickelt.

Bild: SAVISCON GmbH

Ingo Simon, Geschäftsführer der SAVISCON GmbH

„Leider unterschätzen viele Unternehmen in Deutschland immer noch die Bedeutung eines professionellen Compliance Managements. Häufig werden Firmen erst dann aktiv, wenn es bereits zu signifikanten Verstößen von Richtlinien und Gesetzen gekommen ist“, betont Ingo Simon, Geschäftsführer der SAVISCON GmbH. Mit einem institutionalisierten Frühwarnsystem von Risiken, einer transparenten Dokumentation und einer koordinierten Aufgabenverteilung über Abteilungen hinweg, können Unternehmen steigende Anforderungen, wie zum Beispiel die neue Datenschutzgrundverordnung (DSGVO) erfolgreich meistern.

Sozialwirtschaft mit einer Vielzahl an regulatorischen und gesetzlichen Verpflichtungen.

So gibt es insbesondere in der Sozialwirtschaft neben der DSGVO eine Vielzahl an regulatorischen und gesetzlichen Verpflichtungen. „Ob Pflegedokumentationen, die Einhaltung von Hygiene-Vorschriften oder der Umgang mit Geschenken von Angehörigen – es gibt eine große Bandbreite an compliancerelevanten Prozessen. Dank des GRC-Cockpits haben Firmen alle relevanten Risiken im Blick und können sich auf ihr Kerngeschäft konzentrieren“, sagt Simon. Die browserbasierte Softwarelösung ermöglicht über eine Schnittstelle die Integration von relevanten Gesetzen und Normen. Gleichzeitig lassen sich Risiken definieren und überwachen, standardisierte Reportings erstellen und automatische Maßnahmen bei Compliance-Verstößen festlegen.

Durchgehender Compliance-Workflow

Im Gegensatz zu vielen anderen Lösungen auf dem Markt ermöglicht das GRC-Cockpit nach Angaben des Unternehmens seinen Nutzern einen durchgängigen Compliance-Workflow mit Monitoring und Dokumentation innerhalb eines Systems. „Unsere Kunden profitieren von digitalisierten Abläufen, einer revisionssicheren und benutzerfreundlichen Softwarelösung sowie mehr Zeit für ihre Kernaufgaben“, betont Simon.

Bild: SAVISCON GmbH

Screenshot: GRC-Cockpit

Weitere Informationen zum Thema:

SAVISCON GmbH
Unternehmensberatung / Projektmanagement / Change Management

datensicherheit.de, 08.05.2019
Compliance in der Finanzbranche: Service zur Vereinfachung von Audits vorgestellt

datensicherheit.de, 21.11.2018
Studie: Nachholbedarf bei Datensicherung und Compliance in deutschen Unternehmen

datensicherheit.de, 09.08.2018
Echtzeit-Netzwerkanalysen: IT, Sicherheit und Compliance im Überblick

datensicherheit.de, 28.06.2018
IT-Sicherheit: Compliance nur Teilaspekt

[datensicherheit.de, 14.08.2018] Digital Guardian fügt seiner Data Protection Platform neue Funktionen für User and Entity Behaviour Analytics (UEBA) hinzu. Die erweiterten Analysefunktionen der Machine Learning-basierten Technologie ermöglichen Kunden ab sofort ein effektiveres Management von Daten-Sicherheitsrisiken.

Ergänzend zu Datenklassifizierung und Richtlinienmanagement bietet die datenzentrierte Security-Plattform nun erweiterte Analysefunktionen und Anomalien-Erkennung auf Basis von Machine Learning. Die UEBA-Funktionen optimieren die Plattform-Anwendungen für Data Loss Prevention (DLP) und Endpoint Detection and Response (EDR) durch verbesserte Identifizierung und Reduzierung von Daten-Sicherheitsrisiken.

Die Data Protection Platform nutzt Machine Learning, um das Verhalten von Nutzern und Anwendungen zu erlernen und zu analysieren. Indem die Lösung zunächst Richtlinien für normale Aktivitäten festlegt, kann sie Anomalien unter enormen Datensätzen identifizieren und Alarm auslösen, sobald verdächtige Ereignisse in Benutzer- und System-Workflows, Anwendungsausführungen und beim Zugriff auf sensible Daten auftreten. So lässt sich in kurzer Zeit eine genaue Risikoeinschätzung vornehmen.

Bild: Digital Guardian

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Risikosituationen besser bewerten

Die UEBA-Funktionen werden durch ein übersichtlich angeordnetes Executive Risk Dashboard visualisiert, das Sicherheitsteams die Möglichkeit bietet, verdächtige Verhaltensweisen und die vollständigen Details von Anomalien, Datenverlusten und ungewöhnlichen Endpunktaktivitäten einzusehen. Auf diese Weise können Unternehmen ihre Risikosituation besser bewerten und dementsprechend geeignete Kontrollmechanismen für den Schutz sensibler Daten einrichten.

„Wir entwickeln unsere Cloud-basierte Data Protection Platform ständig weiter, und unsere neuen UEBA-Funktionen bieten Unternehmen ein effektiveres Risikomanagement und einen besseren Einblick in verdächtige Aktivitäten“, so Christoph Kumpa, Director DACH & EE bei Digital Guardian. „Wir haben die drei Schlüsselfunktionen von Verhaltensanalyse, Data Loss Prevention und Endpoint-Detection und -Response abgerundet und bieten dadurch umfangreichen Bedrohungsschutz – ob vor böswilligen Insidern oder externen Angreifern – für sensible Unternehmensdaten und Geschäftsgeheimnisse.“

Die UEBA-Funktionen auf der DG Data Protection Platform nach Unternehmensangaben auf einen Blick:

• Priorisierung und Untersuchung der schwerwiegendsten Risiken: Mit der Digital Guardian Plattform können ungewöhnliche Verhaltensweisen in Verbindung mit Systemen, Benutzern und Daten überwacht und Anomalien unmittelbar identifiziert werden. Forensische Beweise wie Capture-Dateien, Systemartefakte, Screenshots und Tastatureingaben können gesammelt und aufbewahrt werden, so dass Vorfälle in ihrem vollen Kontext rekonstruiert werden können. Für die bedeutendsten Vertraulichkeitsindikatoren, die eine zusätzliche Untersuchung rechtfertigen, wird ein Alarm ausgelöst.
• Schnellere Erkennung von Bedrohungen: Die Benutzer- und Instanz-Analysen erkennen in Echtzeit riskante Verhaltensweisen. Die automatische Datenklassifizierung von Digital Guardian gibt diesen Aktionen einen Kontext, indem sie die Verhaltensweisen kennzeichnet, die auf die sensibelsten Assets abzielen.
• Verkürzte Reaktionszeit: Die Daten zum Verhalten von Nutzern und Instanzen werden aggregiert, um Risiko-Scores zu erstellen. Diese ermitteln Aktivitäten, die auf potentielle Bedrohungen hindeuten. Einmal bestätigt, können Sicherheitsteams die Prozesse unternehmensweit auf eine Blacklist setzen. Auf diese Art können Unternehmen frühzeitig und präzise potentiellen Bedrohungen entgegenwirken.
• Dashboards und Workspaces für Guided Responses: Die von Experten entwickelten Workspaces geben Sicherheitsverantwortlichen Hilfestellung bei der Identifizierung von Ereignissen, die mit anomalen und verdächtigen Insider-Aktivitäten in Verbindung stehen. Das Executive Risk Dashboard von Digital Guardian aggregiert Risiko-Scores und bietet granularen Zugriff auf die spezifischen Verhaltensweisen und Ereignisse, um gezielt Richtlinien zum Schutz vertraulicher Informationen erstellen und anwenden zu können.

Weitere Informationen zum Thema:

Digital Guardian
Informationen zu den Digital Guardian UEBA-Funktionen

datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

[datensicherheit.de, 07.12.2011] Identifizierungspflichten beim Erwerb von elektronischem Geldes sollten erst ab einem Schwellenwert von 100 Euro im Monat vorgeschrieben werden, so der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:
Anders als ursprünglich von der Bundesregierung vorgesehen, werde damit die von Peter Schaar im Gesetzgebungsverfahren aufgestellte, von den Datenschutzbeauftragten der Länder unterstützte Forderung jedenfalls teilweise erfüllt. Der Deutsche Bundestag hat am 1. Dezember 2011 das Gesetz zur Optimierung der Geldwäscheprävention mit breiter Zustimmung angenommen. Mit diesem Gesetz sollten laut der Begründung festgestellte Defizite bei geldwäscherechtlichen Normen beseitigt werden. Der ursprünglich von der Bundesregierung vorgelegte Gesetzentwurf habe in den Ausschussberatungen zahlreiche Änderungen erfahren, berichtet Schaar. So sei zunächst vorgesehen gewesen, dass beim Vertrieb von elektronischem Geld (E-Geld) unabhängig vom Wert umfangreiche Kundinnen- und Kundendaten erheben werden sollten – beispielsweise wäre eine Tankstelle bereits beim Verkauf einer E-Geld-Karte im Wert von fünf Euro verpflichtet gewesen, Namen, Geburtsdatum und Anschrift zu erheben und für mindestens fünf Jahre aufzubewahren.
In den Beratungen der Bundestagsausschüsse habe erreicht werden können, dass nunmehr einen Schwellenwert von 100 Euro festzulegen. Nur wenn dieser Wert überschritten wird, bestehe eine Identifizierungspflicht, so Schaar. Bei wiederaufladbaren Karten beziehe sich dieser Schwellenwert auf die monatliche Aufladung.
Schaar begrüßt, dass der anonyme Erwerb von E-Geld damit nicht generell abgeschafft wird, kritisiert jedoch die nach wie vor bestehende „Tendenz, individuelles Handeln in immer stärkerem Maße zu registrieren“.

Weitere Informationen zum Thema:

Datenschutz FORUM, 06.12.2011
Peter Schaar / Anonyme Prepaid-Verfahren weiterhin (eingeschränkt) möglich