top of page

🎖️⚖️ Cyber Security und Compliance: Zwei Seiten einer Medaille?

  • Autorenbild: Daniel Eberhorn
    Daniel Eberhorn
  • vor 6 Tagen
  • 4 Min. Lesezeit
A sleek digital illustration featuring a coin at the center, split into two sides. The left side is labeled 'Cyber Security,' with symbols of digital locks and shields, while the right side is labeled 'Compliance,' showcasing scales and checkmarks. The background is a gradient of blue and gray, reflecting a high-tech and professional design. The image emphasizes the interconnected nature of cyber security and compliance.

Bild generiert durch OpenAI's DALL·E


Cyber Security und Compliance – zwei Begriffe, die oft im selben Atemzug genannt werden. Einige Unternehmen sind der Meinung, dass die Einhaltung von Compliance-Vorgaben ausreicht, um ihre Systeme und Daten vor Cyberangriffen zu schützen. Doch die Realität zeigt ein anderes Bild: Immer wieder erfüllen Unternehmen alle regulatorischen Anforderungen, werden aber dennoch Opfer von Ransomware-Angriffen oder Datenlecks.


Ein Vorfall im Jahr 2020 bei der Europäischen Arzneimittel-Agentur (EMA) verdeutlicht, dass die bloße Einhaltung von Compliance-Vorgaben wie der DSGVO oder ISO 27001 nicht ausreicht, um Unternehmen vor Cyberangriffen zu schützen. Trotz hoher Sicherheitsstandards und der Umsetzung umfassender Compliance-Maßnahmen gelang es Angreifern, unrechtmäßig Dokumente im Zusammenhang mit dem COVID-19-Impfstoff von Pfizer und BioNTech abzurufen.


Die Pressemitteilung von Pfizer unterstreicht, wie wichtig es ist, über die Erfüllung von Compliance-Anforderungen hinauszugehen und proaktive Sicherheitsmaßnahmen zu implementieren, um sich gegen die ständig weiterentwickelnden Bedrohungen im Cyberraum zu schützen.



Warum Cyber Security und Compliance oft gleichgesetzt werden

Cyber Security und Compliance werden häufig als gleichbedeutend betrachtet, obwohl sie unterschiedliche Ansätze und Ziele verfolgen. Dies liegt daran, dass beide Konzepte den Schutz von Daten und Systemen anstreben, was den Eindruck erweckt, sie seien deckungsgleich. Doch während Cyber Security darauf abzielt, Bedrohungen proaktiv abzuwehren und Sicherheitsmaßnahmen flexibel an neue Herausforderungen anzupassen, konzentriert sich Compliance auf die Einhaltung gesetzlicher und regulatorischer Vorgaben.


Ein häufiges Hindernis bei der effektiven Umsetzung beider Ansätze ist die sogenannte „Checkbox-Mentalität“. Viele Unternehmen betrachten Compliance lediglich als Liste von Anforderungen, die es zu erfüllen gilt, ohne den tatsächlichen Sicherheitsnutzen der Maßnahmen zu hinterfragen. Laut einer Studie des Ponemon Institute haben 60 % der Unternehmen in den letzten 24 Monaten zwei oder mehr geschäftsstörende Cybervorfälle erlebt. Dennoch zeigen Berichte aus der Praxis, dass selbst bei vollständiger Einhaltung aller Vorgaben schwerwiegende Sicherheitsvorfälle auftreten können.


Beispiele aus der Praxis verdeutlichen diesen Punkt:



Unterschiede zwischen Cyber Security und Compliance

Der wichtigste Unterschied zwischen Cyber Security und Compliance liegt in ihrer Zielsetzung. Compliance sorgt dafür, dass Unternehmen gesetzliche und regulatorische Anforderungen erfüllen. Cyber Security hingegen verfolgt das Ziel, Bedrohungen in Echtzeit abzuwehren und Schäden zu minimieren.


Während Compliance oft statisch ist und an feste Rahmenwerke wie die DSGVO, ISO 27001 oder das IT-Sicherheitsgesetz gebunden ist, erfordert Cyber Security einen dynamischen Ansatz. Cyberangriffe entwickeln sich ständig weiter, und Sicherheitsmaßnahmen müssen flexibel darauf reagieren. Beispielsweise war die Einführung von Multi-Faktor-Authentifizierung (MFA) vor wenigen Jahren noch eine Ausnahme, ist es heute in mehreren Rahmenwerken als MUSS Kriterium festgelegt.


Ein weiterer Unterschied zeigt sich in der Verantwortung: Compliance wird oft von rechtlichen Abteilungen oder externen Prüfern gesteuert, während Cyber Security in den Händen der IT- und Sicherheitsteams liegt. Dies führt nicht selten zu Spannungen, wenn Compliance-Anforderungen Sicherheitsmaßnahmen einschränken – etwa durch strenge Vorgaben zur Datenaufbewahrung.



Gemeinsamkeiten und Überschneidungen

Trotz ihrer Unterschiede gibt es auch Überschneidungen. Beide Konzepte zielen darauf ab, Risiken zu minimieren und das Vertrauen von Kunden, Partnern und Regulierungsbehörden zu sichern. Maßnahmen wie Verschlüsselung, Zugangskontrollen oder regelmäßige Schulungen tragen sowohl zur Einhaltung von Compliance-Vorgaben als auch zur Verbesserung der Sicherheitslage bei.


Ein Beispiel hierfür ist die DSGVO. Artikel 32 verlangt „angemessene technische und organisatorische Maßnahmen“, um personenbezogene Daten zu schützen. Unternehmen, die diese Vorgaben durch moderne Sicherheitslösungen wie Endpoint Detection and Response (EDR) oder Zero-Trust-Modelle umsetzen, verbessern gleichzeitig ihre Cyber Security.

Doch auch hier gibt es Grenzen. Compliance-Vorgaben geben häufig nur Mindeststandards vor. Ein Unternehmen kann alle Anforderungen erfüllen und dennoch anfällig sein, wenn es keine zusätzlichen Maßnahmen einführt werden.



Widersprüche und Spannungsfelder

In der Praxis entstehen immer wieder Spannungsfelder zwischen Compliance und Cyber Security. Ein häufiges Problem ist der Prioritätenkonflikt. Unternehmen stehen oft vor der Frage: Soll das Budget in die Erfüllung von Compliance-Vorgaben investiert werden, die bei Audits überprüft werden, oder in Sicherheitsmaßnahmen, die tatsächliche Bedrohungen abwehren?


Ein weiteres Spannungsfeld betrifft die Datenschutzanforderungen. Während Cyber Security oft umfangreiche Logging- und Überwachungsmaßnahmen erfordert, um Angriffe zu erkennen, schränken Datenschutzgesetze wie die DSGVO diese Möglichkeiten ein. Ein Beispiel: Ein Unternehmen möchte verdächtige Aktivitäten in Echtzeit analysieren, darf jedoch keine personenbezogenen Daten speichern, ohne die Zustimmung der Betroffenen einzuholen.



Lösungsansätze: Wie beide Ansätze kombiniert werden könnten

Um sowohl Compliance- als auch Sicherheitsanforderungen gerecht zu werden, benötigen Unternehmen eine ganzheitliche Strategie. Compliance sollte als Basis betrachtet werden, auf der eine proaktive Cyber-Security-Strategie aufbaut.


Risikobasierter Ansatz

Ein bewährtes Modell ist der risikobasierte Ansatz. Unternehmen bewerten zunächst die spezifischen Risiken für ihre Branche und ihre IT-Infrastruktur und leiten daraus Sicherheitsmaßnahmen ab, die über reine Compliance-Anforderungen hinausgehen. So kann ein Unternehmen, das häufig Ziel von Ransomware-Angriffen ist, verstärkt in Backup-Lösungen und Notfallpläne investieren.


Schulungen und Kommunikation

Die Integration von Compliance und Cyber Security erfordert auch eine enge Zusammenarbeit zwischen verschiedenen Abteilungen. Regelmäßige Schulungen und ein offener Austausch zwischen IT-Teams, Rechtsabteilungen und der Unternehmensführung können Spannungen abbauen und eine gemeinsame Sicherheitskultur fördern.


Technologische Unterstützung

Moderne Technologien wie Security Information and Event Management (SIEM) oder KI-basierte Sicherheitslösungen helfen, Sicherheits- und Compliance-Ziele zu vereinen. Ein SIEM-System kann beispielsweise sicherstellen, dass Compliance-Anforderungen wie Logging erfüllt werden, und gleichzeitig Echtzeit-Bedrohungserkennung ermöglichen.



Fazit

Compliance und Cyber Security sind zwei Seiten einer Medaille, die sich ergänzen, aber nicht ersetzen können. Compliance liefert die Basis und sorgt für Rechtssicherheit, während Cyber Security die dynamische Verteidigung gegen aktuelle und zukünftige Bedrohungen ermöglicht.


Unternehmen, die beide Ansätze strategisch kombinieren, sind besser gerüstet, um nicht nur gesetzliche Anforderungen zu erfüllen, sondern auch reale Sicherheitsrisiken effektiv zu managen.


Die Botschaft ist klar:

Compliance ist wichtig, aber ohne eine starke Sicherheitsstrategie bleibt sie ein Papiertiger.

Logo of SecurityWho - A fingerprint and the slogon IT-Security made simple

Contact me

über LinkedIN

© Daniel Eberhorn - SecurityWho

Impressum
Datenschutz
bottom of page