Imperva: Wir schützen die Daten, die Unternehmen antreiben

Compliance mit Gesetzes- und Branchenanforderungen

Viele Organisationen haben auch weiterhin Probleme damit, behördlichen Regulierungen wie PCI DSS, SOX, HIPAA und anderen gerecht zu werden. Branchenregulierungen, behördliche Bestimmungen und Gesetze zum Schutz der Privatsphäre erfordern eine Implementierung von Prüf- und Sicherheitskontrollen, um regulierte Daten zu schützen. Die Implementierung dieser Kontrollen stellt Unternehmen vor komplexe IT- Herausforderungen und kostspielige Hürden, die zum Erreichen einer Compliance zu bewältigen sind. Dabei geht es vor allem um die folgenden Kontrollen:
  • Prüfung der Verwendung vertraulicher Daten
  • Überwachung privilegierter Nutzer
  • Entwicklung und Wartung sicherer Webanwendungen
Für eine effiziente Implementierung dieser Kontrollen sind die Netzwerktopologie, Anwendungsanforderungen und die spezifischen Aspekte von Datenplattformen wie Datenbanken und Dateisystemen von Bedeutung.

Wichtige Faktoren


Prüfung der Zugriffe auf vertrauliche Daten
Regulierungen, die eine Prüfung des Benutzerzugriffs auf vertrauliche Daten erfordern, setzen einen Audit-Trail voraus, über den sich Datenzugriffsereignisse nachvollziehen und Datenzugriffsverletzungen untersuchen lassen. Verschiedene Regulierungen erfordern eine Prüfung unterschiedlicher Ereignisse. Dazu gehören z. B.:
  • PCI DSS – richtet sich vor allem auf den Schutz von Karteninhaberinformationen vor Diebstahl oder Datenlecks und erfordert eine Prüfung aller „Lese“-Zugriffe auf Karteninhaberinformationen, nicht jedoch eine Prüfung von Datenänderungsereignissen
  • SOX – ist auf die Integrität der Finanzdaten von Aktiengesellschaften gerichtet und erfordert eine Prüfung aller Änderungen an regulierten Daten, nicht jedoch eine Prüfung von „Lese“-Ereignissen
Effiziente Audit-Lösungen ermöglichen fein abgestufte Audit-Richtlinien, automatisieren den Audit-Prozess, verwalten Prüfvorgänge zentral über heterogene Datensysteme hinweg und lassen sich skalieren, um Implementierungsanforderungen gerecht zu werden.

Überwachung privilegierter Nutzer
Die Überwachung privilegierter Nutzer stellt eine besondere Audit- und Sicherheitsherausforderung dar, weil diese Anwender einen unbeschränkten Zugriff auf Daten benötigen, um Ihre Aufgaben zu erfüllen. Sehr oft findet ein privilegierter Datenzugriff direkt auf Datensysteme statt und ist daher von außerhalb des Systems nicht sichtbar. Zu den wichtigsten Aspekten bei der Überwachung privilegierter Nutzer gehört die Trennung von Verantwortlichkeiten: Privilegierten Nutzern sollten keine Rechte über die Überwachungslösung eingeräumt werden, da sie diese Rechte nutzen könnten, um irreguläre Aktivitäten zu verschleiern.

Entwicklung und Wartung sicherer Webanwendungen
PCI DSS Requirement 6 richtet sich an die Implementierung von Kontrollen, um das Risiko von Sicherheitsschwachstellen in Systemen und Software zu verringern. Die Regulierung definiert Anforderungen an Software-Patches, die Schwachstellen-Identifizierung, die Entwicklung sicherer Software, das Änderungsmanagement und den Angriffsschutz. Einige Anforderungen sind relativ klar und einfach zu implementieren, die Anforderungen an Webanwendungs-, Datenbank- und Dateisicherheit stellen Unternehmen jedoch vor erhebliche technische und geschäftliche Herausforderungen.