Warum es wichtig ist
Compliance ist zunehmend Voraussetzung, um Geschäfte zu machen. Enterprise-Kunden verlangen SOC-2-Berichte vor Vertragsabschluss. Zahlungsdienstleister erzwingen PCI DSS. Gesundheitsanbieter können nicht ohne HIPAA-Kontrollen arbeiten. Datenschutzbehörden verhängen Multimillionen-Bußgelder bei DSGVO-Verstößen (Meta hat über 2 Mrd. € kumulierte Strafen gezahlt).
Für Cybersecurity-Profis ist Compliance die Lingua franca, die technische Kontrollen mit rechtlichem, finanziellem und operativem Risiko verbindet. Ein starkes Programm beseitigt Risiken nicht, etabliert aber Verantwortung, Dokumentation und strukturierte Umsetzung, von denen reife Sicherheitsorganisationen abhängen.
Wesentliche Frameworks
| Framework | Geltungsbereich | Audit-Typ |
|---|---|---|
| SOC 2 | Dienstleister | Type 1/2 Bestätigung |
| ISO 27001 | Internationales ISMS | Zertifizierung |
| PCI DSS v4.0 | Kartendaten | QSA-Prüfung |
| HIPAA | US-Gesundheitswesen | Selbstbewertung + OCR |
| DSGVO | EU-Personendaten | Aufsichtsbehörden |
| FedRAMP | US-Bundes-Cloud | 3PAO-Prüfung |
| CMMC 2.0 | US-DoD-Auftragnehmer | C3PAO-Prüfung |
| NIS2 | EU kritische Sektoren | Nationale Aufsicht |
| DORA | EU-Finanzdienste | Nationale Aufsicht |
| BSI IT-Grundschutz | DE öffentliche Stellen | BSI-Zertifizierung |
Mapping Compliance ↔ Sicherheit
Die meisten Frameworks teilen gemeinsame Kontrolldomänen:
- Zugriffssteuerung und Identitätsmanagement
- Verschlüsselung und Schlüsselmanagement
- Logging, Monitoring, Incident Response
- Schwachstellen- und Patch-Management
- Lieferanten- und Drittparteienrisiko
- Business Continuity und Disaster Recovery
- Awareness-Schulungen
- Asset-Inventar und Change-Management
Ein gut implementiertes Set kann mehrere Frameworks gleichzeitig abdecken. Crosswalks (z. B. NIST CSF zu ISO 27001 zu SOC 2) reduzieren Doppelaufwand.
Aufbau eines Programms
Phase 1: Grundlagen
- Anwendbare Frameworks identifizieren (Kunden, Geografie, Branche)
- Inventar von Assets, Datenfluessen, Drittparteien
- Kernframework (NIST CSF, ISO 27001) als Rueckgrat
Phase 2: Umsetzung
- Richtlinien und Verfahren dokumentieren
- Technische Kontrollen (MFA, Logs, Verschluesselung)
- Governance-Gremien etablieren
Phase 3: Betrieb
- Kontrollen ausfuehren (Zugriffsreviews, Scans, Schulung)
- Belege kontinuierlich sammeln
- Kennzahlen ueberwachen
Phase 4: Audit
- Vor-Audit-Bewertung
- Externer Auditor
- Findings beheben, Zertifizierung erlangen
Phase 5: Kontinuierliche Verbesserung
- Frameworks bei Wachstum erweitern
- Kontrollen anhand von Bedrohungen verfeinern
Tools
Moderne Compliance-Automatisierungsplattformen reduzieren manuelle Belegsammlung:
- GRC: ServiceNow GRC, Archer, OneTrust, LogicGate
- Compliance-Automatisierung: Vanta, Drata, Secureframe, Hyperproof
- Log-Aggregation: cloudnative Dienste und SIEM
- Policy-Management: integriert oder spezialisiert
Best Practices
- Einheitliches Kontroll-Framework und Mapping zu Anforderungen.
- Belegsammlung automatisieren.
- Richtlinien als lebende Dokumente, nicht als Schubladenware.
- Auditoren früh einbinden über Pre-Assessments.
- Compliance-Kennzahlen an Executive-Reporting koppeln.
- Regulatorische Änderungen verfolgen.
Verwandte Konzepte
Wie wir Compliance unterrichten
In unserem Cybersecurity Bootcamp lernen Sie nicht nur Compliance in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.
Behandelt in:
Modul 11: Sicherheitstechnik und Neue Technologien
360+ Stunden Expertentraining • CompTIA Security+ inklusive