Ethical Hacking bezeichnet in der IT-Sicherheit einen simulierten Angriff auf ein IT-System mit dem Ziel, Schwachstellen zu identifizieren. Übertragen auf Compliance Management Systeme (CMS) bedeutet dies: Die gezielte Anwendung krimineller Denk- und Vorgehensweisen innerhalb eines kontrollierten Rahmens, um die Grenzen der Wirksamkeit bestehender Compliance-Maßnahmen bewusst zu überschreiten. Im Unterschied zu traditionellen Risikoanalysen, die sich häufig auf subjektive Einschätzungen interner Risikoeigner zur Bewertung des Nettorisikos stützen, ermöglicht Ethical Hacking eine Perspektivverschiebung: Die Resilienz eines CMS wird nicht abstrakt, sondern aus der Sicht potenzieller (Innen-)Täter realitätsnah betrachtet. Ziel ist es, die tatsächliche Wirksamkeitsgrenze eines CMS sichtbar und daraufhin für das Leitungsorgan diskutierbar zu machen. Erst deren „Verortung“ schafft die Grundlage für eine sachgerechte Beurteilung, ob und in welchem Umfang zusätzliche Compliance-Maßnahmen unter Zumutbarkeitsgesichtspunkten zu implementieren sind. In dieser Session erfahren Sie,

• Wie man das Konzept des Ethical Hackings aus der IT-Sicherheit sinnvoll auf Compliance-Management-Systeme übertragen kann;
• Was man unter der „Wirksamkeitsgrenze“ eines CMS versteht – und wie sich diese im Wege des Ethical Hackings objektiviert identifizieren lässt;
• Warum klassische Risikoanalysen nicht ausreichen, um die tatsächliche Wirksamkeit eines CMS zu bewerten – und welche Rolle dabei subjektive Verzerrungen der Risikoeigner spielen.