Psychologische Aspekte im Risikomanagement

Größe: px
Ab Seite anzeigen:

Download "Psychologische Aspekte im Risikomanagement"

Transkript

1 6/2012 ISSN ZKZ Risikomanagement in Projekten Eine kritische Analyse der Prozessabläufe in Risk-Projekten Risk Case Analysis Risikomanagement erfolgreich in Business Cases intergrieren Bandbreiten- bzw. Korridorplanung Integration von Risikomanagement und Unternehmensplanung Themenschwerpunkt: Psychologische Aspekte im Risikomanagement Praxis, Methoden & Dialog

2 Security Information und Event Management SIEM-Technologien als Risikomanagementsysteme zum Schutz von Daten, Wissen und Know-how in Unternehmen. Daten, Wissen und Know-how repräsentieren einen wesentlichen Teil des Unternehmenswertes. Unerlaubte Zugriffe, Sabotage, Manipulation und Spionage bergen erhebliche Finanz- und Reputationsrisiken und führen nicht selten zur Existenzgefährdung. Nur wenig diskutiert sind unerlaubte Zugriffe auf Daten und Wissen durch Mitarbeiter und Geschäftspartner. Mögliche Risikoszenarien, aktuelle Herausforderungen und automatisierte Schutzmöglichkeiten sowie forensische Analysen durch spezialisierte IT-Systeme, sogenannte SIEM-Systeme (Security Information and Event Management) werden in diesem Fachbeitrag diskutiert. 1. Einführung und Risikosituation Die Sensibilisierung in deutschen Unternehmen für Cyber-Angriffe von außerhalb kann mittlerweile überwiegend als hoch eingestuft werden. Angriffe durch Hacker mit dem Zweck der Kompromittierung von IT-Systemen oder der Spionage relevanter Daten und Wissen sind in der potenziellen Risikolandschaft der Unternehmung fest verankert. Entsprechend stark sind Maßnahmen zur Risikoabwehr implementiert. Eine in 2011 durchgeführte Studie des Vereins Deutschland sicher im Netz e. V. (DsiN) bei rund Unternehmen zeigt beispielhaft Maßnahmen zur Absicherung der Internetzugänge das in Abbildung 1 zusammengefasste Bild. 1 Standardsicherungssysteme gegen externe Angriffe wie Virenscanner, Spamfilter und Firewall werden von einer Mehrzahl der befragten Unternehmen bereits heute eingesetzt. Komplexere Sicherheitssysteme unter Verwendung von VPNs 1 DsiN e.v.: IT-Sicherheitslage im Mittelstand 2011: Eine Studie von Deutschland sicher im Netz. Online-Befragung von rd Unternehmen verschiedener Größenordnungen von Ein-Personen-Unternehmen bis mehr als 500 Mitarbeiter. Abbildung 1: Absicherung Internetzugänge 32 Risk, Compliance & Audit 6/2012

3 (Virtual Private Network) setzen bis zu 42 Prozent der Unternehmen ein. Mit einer einseitigen Fokussierung auf die Risikoabwehr gegen Angriffe von Unbekannten oder Unternehmensfremden setzten sich Unternehmen jedoch zumeist unbewusst einem weit größeren Schadenspotenzial aus: Angriffe auf IT-Systeme und Spionage von Daten und Wissen welche durch eigene Mitarbeiter oder Geschäftspartner verursacht sind! Die Schäden der deutschen Wirtschaft durch Industriespionage belaufen sich jährlich auf 4,2 Milliarden Euro, so eine Studie der Corporate Trust aus Dies entspricht im Vergleich zu einer Erhebung aus dem Jahr 2007 einer Steigerung von 50 Prozent. Besonders bemerkenswert ist hierbei der Umstand, dass eigene Mitarbeiter in rund 50 Prozent der Fälle für den Informationsabfluss bzw. den Datendiebstahl verantwortlich zeichnen. Zählt man die Angriffsmethoden des Social Engineerings hinzu, bei denen Mitarbeiter instrumentalisiert und zur Weitergabe interner Daten eingesetzt werden, so zieht Corporate Trust durch Untersuchungen folgendes Fazit: Mitarbeiter sind in über 70 Prozent der Fälle an Industriespionage beteiligt. Daten / Wissen Kundendaten Mandantendaten Absatzdaten Angebotsdaten Ausschreibungsdaten Mitarbeiterdaten Bewerberdaten Alumni-Daten Finanzdaten Bilanz-Daten GuV-Daten Risikoberichte Forschungsergebnisse Entwicklungspläne Produktinnovationen Produktionspläne Fertigungsabläufe Konstruktionspläne Notfallpläne Lieferantendaten Beschaffungsdaten Kalkulationen (Preis, Marge, etc.) Risikoorte in Unternehmen (beispielhaft) Vertriebsabteilung Vertriebssteuerung Marketing HR-Abteilung Finanzwesen Controlling Rechnungswesen Stabsabteilungen F&E-Abteilungen Produktionsplanung- und steuerung Konstruktion/Arbeitsvorbereitung Logistikabteilung Supply-Chain-Management 2 Corporate Trust (2012): Studie Industriespionage 2012, aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar. Daten / Wissen Mitgliederdaten Ermittlungsdaten Bürgerdaten Daten Gesundheitswesen Risikoorte in Behörden/ Organisationen Ämter Ermittlungsbehörden Vereine Krankenkassen Tabelle 1: Sensible Datenbestände/Wissen und Risikoorte (beispielhaft) Der Schutz von Daten und Know-how nimmt kaum eine Branche aus und ist unabhängig von der Unternehmensgröße. In Tabelle 1 sind exemplarisch sensible Datenbestände/Wissen und Risikoorte beschrieben. Dies gilt gleichermaßen für Global Player, mittelständische Unternehme und lokal agierende Firmen: So genießen etwa die Kunden- und Transaktionsdaten weltweit agierender Finanzdienstleister einen besonderen Vertrauensschutz. Reputation und Handlungsfähigkeit des Unternehmens hängen in besonderem Maße von der Vertraulichkeit und Integrität dieser Daten ab. Das gleiche gilt auch für kleinere mittelständische Unternehmen aus der Automobilzuliefererbranche. Entwicklungs- und Forschungs-Knowhow, das mit hohen Investitionen und Entwicklungsaufwänden als Unternehmenswert geschaffen wurden, sichert häuft die Alleinstellung und den Wettbewerbsvorsprung. Ein Verlust oder eine Veröffentlichung dieses Wissens hätte verheerende Auswirkungen auf das Unternehmen. Lokal agierende Unternehmen, deren Kundendatenbanken einen besonderen Wert darstellen sehen sich ebenfalls Risiken durch Spionage ausgesetzt. Einen Zugriff durch Wettbewerber auf diese Daten würden Marktanteile und Kundenbeziehungen erheblich gefährden können. Als Fazit gilt es hier festzustellen, dass Unternehmenswerte in Form digitaler Daten einer zunehmenden internen Gefährdung ausgesetzt sind. Die Motivation für den Zugriff auf diese Daten durch Interne bleibt übrigens nicht auf Spionagezwecke beschränkt. Immer wieder sind Fälle dokumentiert, in denen Mitarbeiter aus unterschiedlichen Beweggründen die Vernichtung oder bewusste Sabotage von Wissen und Daten angestrebt und auch erreicht haben. 2. Motivation Risikomanagementsystem Die Motivation zur Begegnung der Risiken liegen auf der Hand, sind aber vielschichtig und gerade vor dem Hintergrund neuer Gesetzgebungen zunehmend komplex. Vordergründige und meistgenannte Motivation ist die Abwehr von mittelbaren oder unmittelbaren Schäden vom Unternehmen. Die Abwehr von Sabotage und Spionage, führt zur Vermeidung oder Abschwächung zumeist signifikanter finanzieller Schäden oder Reputationsrisiken. Zusammenfassend soll die Integrität der Risk, Compliance & Audit 6/

4 Unternehmung und die nachhaltige Existenzsicherung betrieben werden. Ungeachtet der zuvor beschriebenen Motivation lassen sich Gründe für Unternehmen ableiten, Risikomanagementsysteme im Bezug auf Daten und Wissen zwingend implementieren zu müssen. Diese liegen in gesetzlichen oder quasi-gesetzlichen Strukturen verankert und können mit der Überschrift Legalitätspflicht umschrieben werden. Aus dieser Legalitätspflicht wird für Geschäftsleiter die Aufgabe (Pflicht) abgeleitet, Schaden von der Gesellschaft fernzuhalten. 3 Diese Pflicht erstreckt sich nicht nur auf die Rechtstreue des Managers sondern kann die Legalitätskontrolle untergeordneter Mitarbeiter inkludieren. 3. Risikomanagementsysteme zur internen Gefahrenabwehr Die Implementierung effektiver Risikomanagementsysteme mit dem Ziel einer dauerhaften internen Gefahrenabwehr für Daten und Know-how ist ein komplexes Unterfangen. Die Einführung dieser Systeme ist zumeist noch mit Widerständen verbunden, da häufig, gerade in mittelständischen Unternehmen, die in Abbildung 2 zusammengefassten Situationen anzutreffen ist. Erfolgreiche Einführungen in der Praxis zeigen, dass ein strukturiertes Vorgehen bei der Einführung wesentliche Vorbehalte abbauen kann und durch Einbeziehung relevanter Wissensträger im Unternehmen auch rechtliche Möglichkei- 3 Thüsing, Gregor (2010): Arbeitnehmerdatenschutz & Compliance: Effektive Compliance im Spannungsfeld von reformiertem BDSG, Persönlichkeitsschutz und betrieblicher Mitbestimmung, München ten und Grenzen ausreichend untersucht werden können. In jedem Falle empfiehlt es sich die Einführung eines Risikomanagementsystems 4 als eigenständiges Vorhaben im Zuge eines Projektes zu realisieren. Fokussiert man insbesondere auf die operativen Aufgaben 5 zur Einführung eines Risikomanagementsystems, so kann für die interne Gefahrenabwehr der in Tabelle 2 beispielhaft skizzierte und grundlegende Fragenkatalog herangezogen werden. 4. Aktuelle Herausforderungen im Unternehmen Der Schutz von internen Daten und Know-how stellt Unternehmen aktuell vor besondere Herausforderungen, die mehr oder weniger einer technologischen Weiterentwicklung der internen IT-Infrastruktur geschuldet ist. Einige dieser Entwicklungen werde hier beispielhaft skizziert: 1) Durchdringung von PC-Arbeitsplätzen und Vernetzung 2) Bring your own Device 3) Mobilität von Daten und Endgeräten 4) Cloud Computing 5) Big Data 6) Datenschutz. 4 Als weiterführende Literatur sei hier empfohlen: Romeike, Frank/Hager, Peter (2009): Erfolgsfaktor Risiko-Management 2.0, 2. Auflage, Wiesbaden 2009 [Anfang 2013 wird eine dritte und komplett überarbeitete Auflage unter dem Titel Erfolgsfaktor Risiko-Management 3.0 erscheinen.] 5 Die Beachtung normativer Risikomanagementaufgaben wie etwa die Gestaltung einer grundsätzlichen Risikokultur einer Unternehmung bzw. strategischer Aufgaben wie die Ausgestaltung der Risikopolitik, Risikoziele und Risikoorganisation einer Unternehmung werden nicht in diesem Fachartikel diskutiert. Empfohlen sei hierzu Denk/Exner-Merkelt/Ruthner (2008): Corporate Risk Management, 2. Auflage, Linde Verlag Rollen & Prozesse Compliance Rollen, Prozesse und Funktionen einer Compliance-Struktur sind kaum oder nicht ausgeprägt. Risikobewusstsein Risikobewusstsein aufgrund nur geringer oder nicht aufgetretener Schadensfälle ist noch nicht gegeben. Legalitätspflicht Mögliche Konsequenzen aus der Legalitätspflicht werden unterschätzt oder sind unbekannt. Return on Investment Der betriebswirtschaftliche Return on Investment des Risikomanagementsystems kann nicht ausreichend dargestellt werden. Know-how Know-how in den IT-Abteilungen und Fachabteilung für Risikoaudits und zur Einführung von Überwachungssystemen sind nicht ausreichend vorhanden. Persönlichkeitsrechte Vorbehalte und Ängste, dass automatisierte Risikomanagementsysteme Persönlichkeitsrechte der Mitarbeiter und damit Gesetze verletzen. Abbildung 2: Situationsanalyse vor Einführung Risikomanagementsystem 34 Risk, Compliance & Audit 6/2012

5 Aufgaben Auditfragen (exemplarisch, nicht erschöpfend): 1. Risikoidentifikation Welche sensiblen Datenbestände / bzw. Wissen ist zu schützen? Welche Mitarbeiter haben Zugriff auf sensible Daten? Welche Mitarbeiter können sich Zugriff verschaffen? Welche IT-Systeme (Server, Netzwerke, Applikationen, Datenbanken, etc. ) sind involviert und zu schützen? Welche Risiken können automatisiert identifiziert werden? 2. Risikobewertung Welche Risiken können effektiv aus Sabotage oder Spionage von Daten entstehen? Welche Risiken können effektiv aus Sabotage oder Spionage von involvierten IT-Systemen entstehen? Welches quantifizierte Bruttorisiko (Schadenshöhe X Eintrittswahrscheinlichkeit) weisen die einzelnen Risiken auf? Welche Risiken können automatisiert bewertet werden? 3. Risikosteuerung Welche Risiken können (aufgrund geringen Bruttorisikos) vernachlässigt werden? Welche Risiken bedürfen einer aktiven Steuerung? Welche Risiken sind aufgrund hohen Bruttorisikos zuerst zu steuern? Welche konkreten Steuerungsmaßnahmen sind zu implementieren? Welche Risiken können automatisiert gesteuert werden? 4. Risikoüberwachung Welche Veränderungen treten bei den Risiken auf? Welche Risiken kommen laufend aufgrund neuer Aufgaben, Geschäftsprozesse, Geschäftspartner, Geschäftsbeziehungen etc. hinzu? Welche Risiken sind eingetreten? Wie effektiv sind die Risikosteuerungsmaßnahmen? Welche ergänzenden Maßnahmen sind bei der Risikosteuerung zu beachten? Wie können Risiken automatisiert überwacht werden? Tabelle 2: Beispielhafte Auditfragen zur Einführung eines Risikomanagementsystems Die Durchdringung der PC-Arbeitsplätze mit Zugriff auf Unternehmensnetzwerke, Daten und Wissen hat in den vergangenen Jahren sehr stark zugenommen. Vielfältige betriebliche Funktionen und Geschäftsprozesse nutzen moderne Informationstechnologien und erhalten damit direkt oder indirekt Zugriff über Netzwerke auf sensible Datenbestände oder Kernwissen der Unternehmung. Häufig erfolgen noch undifferenzierte Genehmigungen des Zugriffs auf Datenbestände und Wissen außerhalb des notwendigen Funktionsbereichs. Die erlaubte oder unerlaubte Nutzung eigener privater Endgeräte wie Smartphones, Pads oder Tablet-PCs wird zusammenfassend unter dem Begriff BYOD (Bring Your Own Device) subsummiert. Die Vernetzung dieser Geräte etwa durch WLAN zur privaten oder betrieblichen Nutzung führt dazu, dass das Überwachungsspektrum unerlaubter Zugriffe erheblich an Komplexität zunimmt. Die Überwachung der Zugriffe auf Daten und Wissen erstreckt sich durch die zunehmende Mobilisierung zunehmend auf Bereiche außerhalb des Unternehmens oder abgegrenzter Betriebsstätten. So sind heute Konstellationen nicht mehr unüblich, bei denen etwa ein Außendienstvertreter für Finanzdienstleistungen von beliebigen Orten via Laptop und VPN-Zugriff auf alle Kunden- und Transaktionsdaten seines Unternehmens hat. Ein weiterer Megatrend, der die Überwachung von Zugriffen auf Daten und Wissen der Unternehmung deutlich erschweren dürfte sind Entwicklungen im Cloud Computing. Die skalierbare, in der Regel kosteneffiziente und flexible Bereitstellung von Diensten (Infrastruktur, Plattformen, Software, Datenbanken) durch Cloud Service-Provider bedeuten zumindest eine deutliche Erweiterung des Überwachungsfeldes. Ferner kann ein erhebliches Anwachsen der Datenmengen in nahezu allen Unternehmen festgestellt werden. Das Volumen dieser Datenmengen übersteigt die gemeinhin bekannten Mega- und Giga-Byte-Dimensionen und wir aktuell in Teraund Petabyte-Dimensionen diskutiert. Im Hinblick auf die in diesem Fachartikel diskutierte Thematik haben diese Big-Data zumindest zwei verschiedene Perspektiven. Zum einen ist der Umfang der schützenwerten Daten, auch durch notwendige Archivierungen immer häufiger in einem Big-Data-Bereich anzusiedeln. Darüber hinaus erfordert die Überwachung der Zugriffe in einem real-time-modus die Verarbeitung von Big- Data. Risk, Compliance & Audit 6/

6 Weiterhin kann konstatiert werden, dass die Datenschutz- Thematik sehr stark an Bedeutung gewonnen hat. Eine zunehmende Sensibilisierung der Unternehmen für den gesetzeskonformen Umgang mit schutzwürdigen, personenbezogen Daten ist festzustellen. Vor diesem Hintergrund hat auch die Auswahl und Entscheidung für eine bestimmte SIEM-Technologie zu erfolgen: Diese hat wie weiter unten ausgeführt wird, die Datenschutzbestimmung bei der Realisierung des funktionalen Leistungsspektrums zwingend zu berücksichtigen. Zusammenfassend kann hier festgestellt werden dass bedingt durch dynamische technologische Veränderungen der universelle, zeit- und ortsunabhängige Zugriff auf schützenswerte Daten und Wissen heute im Grundsatz einfacher möglich ist. Eine manuelle Überwachung durch Menschen auf Basis von Arbeitsanweisungen und Regelwerken wird heute in vielen Unternehmen nicht mehr alleine ausreichend sein, Missbrauch, Manipulation, Spionage und Sabotage von Daten etwa durch Mitarbeiter zu verhindern. Zunehmend wird daher nach IT-gestützten Lösungen gesucht, welche Zugriffe auf Daten, Know-how und Wissen durch Mitarbeiter überwachen können, ohne deren Persönlichkeitsrechte wie beispielsweise Datenschutz zu verletzen. Unter dem Stichwort SIEM (Security Information und Event Management) werden IT-Technologien subsummiert, die sich dieser Herausforderung stellen. Im Folgenden werden Wesen, Funktionsweise, Nutzen und Grenzen dieser Risikomanagementsysteme dargestellt. 5. Begriff und Funktionsweise SIEM-Systeme Unter dem Begriff Security Information und Event Management-Technologien (SIEM) können Informationssysteme subsummiert, welche Daten aus zumeist unternehmensinternen Quellen sammeln um daraus Rückschlüsse auf bestimmte (Sicherheits-)Ereignisse zu treffen. Zu den Quellen können bspw. Informationen aus dem Netzwerk, Applikationen, Clients (Benutzern), Servern und Datenbanken gezählt werden. Folgende wesentlichen Funktionalitäten repräsentieren als integrale Bestandteile eine Prozesskette moderner SIEM-Technologien (vgl. Abbildung 3). Initialer und wesentlicher Bestandteil der SIEM-Prozesskette ist die Sammlung relevanter Informationen (Collecting). Welche Informationen gesammelt werden ist unternehmensindividuell festzulegen und in einem Monitoringsystem zu hinterlegen. Informationen können etwa Nutzerzugriffe auf Datenbanken sein, Speicherung von Daten auf USB-Sticks oder Start und Beendigung von Programmen (Applikationen). Wesentlich ist hierbei, dass jede Information auf einen Nutzer oder Anwender zurückgeführt werden kann, was im Falle von Missbrauch gerade mit strafrechtlichem Hintergrund forensische Analysen möglich macht. Information einer Quelle können als Event verstanden werden. Anhand eines Regelwerks werden Events bewertet. Einzelne kritische Events (Beispiel: Ein Sachbearbeiter in der Buchhaltung greift auf PPS-Daten zu und brennt aktuelle Fertigungs- und Produktionspläne auf eine CD) oder eine Häufung von Events in einer bestimmten Zeitperiode (Beispiel: ein Sachbearbeiter eines Kreditinstituts fragt innerhalb eines Tages Kundendatensätze ab) führen zu einem Offence. Ein Offence ist ein Vergehen gegen eine Rule (Regel) des Regelwerks. Regelwerke sind inhärente Bestandteile der SIEM-Technologie und sind ebenso unternehmensindividuell anzupassen. Erfolgt ein Offence, so wird eine sogenannte Alarmfunktion aktiviert (Alerting). Die Alarmfunktion stellt sicher, dass ein zuvor definierter Personenkreis über das Offence informiert wird. Leistungsfähige SIEM-Produkte stellen Abbildung 3: Integrierter SIEM-Prozess mit Monitoring und Ticketingsystem 36 Risk, Compliance & Audit 6/2012

7 sicher, dass die Alarmfunktion zeitgleich zum Offence passiert. Grundsätzlich werden alle Events gespeichert und sind damit dokumentiert (Storage). Nach verschiedenen Berichtsebenen differenziert, können Events und Offences zu Reports konsolidiert werden und periodisch oder regelbasiert erstellt und verteilt werden. Ticketsysteme stellen sicher, dass auffällige Ereignisse (Offences) einem vorstrukturierten Prozess (Processing) sicher durchlaufen. Hier wird definiert, wer bei welchen Offences informiert wird und welche ggf. automatisierten Routinen zu durchlaufen sind (Sperrung Datenbank, Sperrung Zugriff auf Produktivsystem ). Zusammenfassend kann festgestellt werden, dass SIEM-Systeme die automatisierte Identifikation, Bewertung, Steuerung und Überwachung von Risken beim Zugriff auf Datenbestände, Wissen und Know-How sehr gut unterstützen können. Die Automatisierung wird dann durch SIEM-Systeme sehr gut funktionieren, wenn die zuvor Definierten Informationen, Events, Offences und Rules präzise formuliert und in den jeweiligen Systemen, auch im Monitoring und Ticketingsystem hinterlegt sind. 6. Fazit und Vorgehen bei der Einführung von SIEM-Technologien Die Daten und das Wissen eines Unternehmens sind besonders schützenswert. Da wie festgestellt Sabotage, Manipulation und Spionage sehr häufig durch unternehmensinterne oder unternehmensnahe Personen nachgewiesen werden (Mitarbeiter bzw. Geschäftspartner) sind hier besondere Risikokonzepte notwendig. Die manuelle Identifikation, Bewertung, Steuerung und Überwachung des Datenverkehrs ist heute aufgrund vielfältiger Komplexität involvierter IT-Systeme und Hardware kaum mehr möglich. Integrierte SIEM-Systeme bieten in der Regel zuverlässige automatisierte Unterstützung. Die Implementierung dieser Systeme zum Schutz der Daten benötigt spezifisches Know-how, das nicht in jedem Unternehmen vorgehalten werden kann. Die Eignung von IT-Dienstleistern und Softwareanbieter auf dem Gebiet der SIEM-Technologien sind auf die in Tabelle 3 zusammengefassten Fragestellungen hin zu überprüfen. Autoren: Prof. Dr. Stefan Ruf ist Professor für Informationsmanagement an der Hochschule Albstadt-Sigmaringen. Hans- Baldung Luley ist Geschäftsführer der Netzwerk GmbH in Filderstadt bei Stuttgart. Marcel Bartetzki ist Senior Consultant bei der Netzwerk GmbH in Filderstadt bei Stuttgart. Entscheidungsfragen? Welche Referenzen hat der Anbieter/Dienstleister? Welche spezifische Kompetenzen kann der Anbieter/Dienstleister nachweisen? Welche Funktionalitäten weisen die SIEM-Lösungen des Anbieters auf? Sind die Überwachungs- und Kontrollfunktionen in Übereinstimmung mit Gesetzen, Betriebsvereinbarungen konzipiert oder konzipierbar? Konkretisierung! Existieren funktionsfähige Installationen? Welche Funktionen wurden genau realisiert? Gibt es Referenzgeber in derselben Branche? Risikomanagement IT-System- und Infrastrukturmanagement Geschäftsprozessmanagement Incident-Management (Notfall-Management) Ticketing-System-Management Netzwerkmanagement, Client-Management Big-Data-Management (Handling großer Datenmengen) Incident- und Eventmanagementfunktionen Feinjustierbare Regelsysteme für Offences ggf. mit Korrelationsfunktionen/Heuristiken Monitoringfunktion Reportingfunktion Pseudonymisierungsfunktionen von Personendaten Werden relevante Gesetze bei der Speicherung personenbezogener Daten eingehalten? Existieren Datenschutzkonzepte? Erfolgt die notwendige Pseudonymisierung von Informationen, Events, Offences? Existieren externe Gutachten (Nachweise) über die Compliance der Lösung? Existieren Einführungskonzepte die alle relevanten Stakeholder involvieren (Unternehmensführung, IT-Security-Manager, Datenschutzbeauftragte, Personalrat)? Tabelle 3: Kriterienkatalog für die Anbieterauswahl von SIEM-Systemen Risk, Compliance & Audit 6/

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT IT-Service IT-Security IT-Infrastruktur Internet Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT Woran haben wir heute gedacht? Quelle: www. badische-zeitung.de Vorstellung der heutigen Themen

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Enterprise Mobility Marktüberblick und Trends STEFAN KÜHLE DIPLOM-INGENIEUR (FH) BUSINESS DEVELOPMENT MANAGER

Enterprise Mobility Marktüberblick und Trends STEFAN KÜHLE DIPLOM-INGENIEUR (FH) BUSINESS DEVELOPMENT MANAGER Enterprise Mobility Marktüberblick und Trends STEFAN KÜHLE DIPLOM-INGENIEUR (FH) BUSINESS DEVELOPMENT MANAGER AGENDA SEVEN PRINCIPLES Enterprise Mobility: Trends und Einflüsse Herausforderungen Enterprise

Mehr

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Was versteht man unter modernen Arbeitsstilen? Moderne Arbeitsstile erhöhen Mitarbeiterproduktivität und zufriedenheit

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund T.I.S.P. Community Meeting 2013 ISMS: Arbeitsplatz der Zukunft Chancen, Potentiale, Risiken, Strategien Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund so könnte der Arbeitsplatz der

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück Datenschutz bei mobilen Endgeräten Vortrag am 27.11.2012 Sutthauser Straße 285 49080 Osnabrück GmbH Datenschutz und IT - Sicherheit Telefon: 0541 600 79 296 Fax: 0541 600 79 297 E-Mail: Internet: datenschutz@saphirit.de

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

IT Security / Mobile Security

IT Security / Mobile Security lcs ] Security computersyteme Lösungen für Unternehmen IT Security / Mobile Security Im Zuge der globalisierten Vernetzung und der steigenden Zahl mobiler Nutzer wird der Schutz der eigenen IT-Infrastruktur,

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Profilrichtungen Englische Übersetzung Beschreibung Informationssicherheit Information Security Diese Profilrichtung behandelt

Mehr

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte RABER & COLL. Rechtsanwälte INFO-Post Gerhart-Hauptmann-Straße 6 99096 Erfurt Telefon: (0361) 43 05 63 7 E-Mail: recht@raberundcoll.de Telefax: (0361) 43 05 63 99 www.raberundcoll.de 6/2013 Die anlasslose

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Big Data Herausforderungen und Chancen für Controller. ICV Jahrestagung, 19.05.2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC

Big Data Herausforderungen und Chancen für Controller. ICV Jahrestagung, 19.05.2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC Big Data Herausforderungen und Chancen für Controller ICV Jahrestagung, 19.05.2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC BARC: Expertise für datengetriebene Organisationen Beratung Strategie

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

inxire Enterprise Content Management White Paper

inxire Enterprise Content Management White Paper inxire Enterprise Content Management White Paper inxire Enterprise Content Management Einleitung Die Informationstechnologie spielt eine zentrale Rolle für den Informationsaustausch und die Zusammenarbeit

Mehr

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2014

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2014 Unternehmesdarstellung: Axios Systems IDC Multi-Client-Projekt IT SERVICE MANAGEMENT IN DEUTSCHLAND 2014 IT Service Management im Spannungsfeld von Cloud Computing und enterprise Mobility axios systems

Mehr

Master-Thesis (m/w) für unseren Standort Stuttgart

Master-Thesis (m/w) für unseren Standort Stuttgart Master-Thesis (m/w) für unseren Standort Abschlussarbeit im Bereich Business Process Management (BPM) Effizienzsteigerung von Enterprise Architecture Management durch Einsatz von Kennzahlen Braincourt

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Wenn komplexe Systeme sicher sein müssen...

Wenn komplexe Systeme sicher sein müssen... Wenn komplexe Systeme sicher sein müssen... IT-Services Schleupen.Mobility Management IT-Security www.schleupen.de Effiziente IT-Lösungen für die Energiewirtschaft Die Situation Ohne IT funktioniert heutzutage

Mehr

Operative Risiken eines Unternehmens unter. dem Aspekt der Umsetzung von Basel II

Operative Risiken eines Unternehmens unter. dem Aspekt der Umsetzung von Basel II Operative Risiken eines Unternehmens unter dem Aspekt der Umsetzung von Basel II Ziele von Basel II Die Ziele von Basel II sind: Förderung von Solidität und Stabilität des Finanzsystems Förderung gleicher

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Aktuelle Probleme der IT Sicherheit

Aktuelle Probleme der IT Sicherheit Aktuelle Probleme der IT Sicherheit DKE Tagung, 6. Mai 2015 Prof. Dr. Stefan Katzenbeisser Security Engineering Group & CASED Technische Universität Darmstadt skatzenbeisser@acm.org http://www.seceng.de

Mehr

Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones. Matthias Klocke. Bildquelle: CC-BY-3Gstore.

Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones. Matthias Klocke. Bildquelle: CC-BY-3Gstore. Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones Matthias Klocke Bildquelle: CC-BY-3Gstore.de Lynx in Fakten 1989 gründet Hans-Joachim Rosowski das

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Big Data: Nutzen und Anwendungsszenarien. CeBIT 2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC

Big Data: Nutzen und Anwendungsszenarien. CeBIT 2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC Big Data: Nutzen und Anwendungsszenarien CeBIT 2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC Big Data steht für den unaufhaltsamen Trend, dass immer mehr Daten in Unternehmen anfallen und von

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012

Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012 Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012 Über den Wolken. ist die Freiheit nicht grenzenlos: Eckpfeiler aktueller Rechtsfragen zur Cloud in der Verwaltung Klaus M. Brisch LL.M.

Mehr

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP SIEM Wenn Sie wüssten, was Ihre Systeme wissen Marcus Hock, Consultant, CISSP SIEM was ist das? Security Information Event Monitoring System zur Echtzeitanalyse von Ereignissen, die durch Hardware- oder

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Vorwort. Hermann J. Schmelzer, Wolfgang Sesselmann. Geschäftsprozessmanagement in der Praxis

Vorwort. Hermann J. Schmelzer, Wolfgang Sesselmann. Geschäftsprozessmanagement in der Praxis Vorwort Hermann J. Schmelzer, Wolfgang Sesselmann Geschäftsprozessmanagement in der Praxis Kunden zufrieden stellen - Produktivität steigern - Wert erhöhen ISBN (Buch): 978-3-446-43460-8 Weitere Informationen

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

Gefährden neue Kommunikationswege die nationale Sicherheit? GFF Science Forum, 13.11.2013

Gefährden neue Kommunikationswege die nationale Sicherheit? GFF Science Forum, 13.11.2013 Gefährden neue Kommunikationswege die nationale Sicherheit? GFF Science Forum, 13.11.2013 Systematik der SGI WETTBEWERB Energie, Telekom, Post, Verkehr, Justiz, Polizei, Militär, Verteidigung, Verwaltung,

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

1. Mobile Business. 2. Enterprise Mobility. 3. Enterprise Mobility Studie 2013. 4. Kriterien zur Einführung. 5. Beispiele

1. Mobile Business. 2. Enterprise Mobility. 3. Enterprise Mobility Studie 2013. 4. Kriterien zur Einführung. 5. Beispiele 1. Mobile Business 2. Enterprise Mobility 3. Enterprise Mobility Studie 2013 4. Kriterien zur Einführung 5. Beispiele Beginn der Mobilität Wikipedia: Mobile Business bezeichnet jede Art von geschäftlicher

Mehr

Technische Umsetzung eines Modells zur Quantifizierung operationeller Risiken. 13. Juni 2013 Marion Hoffstetter

Technische Umsetzung eines Modells zur Quantifizierung operationeller Risiken. 13. Juni 2013 Marion Hoffstetter Technische Umsetzung eines Modells zur Quantifizierung operationeller Risiken 13. Juni 2013 Marion Hoffstetter I. Dr. Peter & Company AG II. Modell zur Quantifizierung von OpRisk III. Entwicklung eines

Mehr

ikb Data Experten für sensible Daten

ikb Data Experten für sensible Daten ikb Data Experten für sensible Daten Die ikb Data GmbH gehört zu den führenden deutschen Dienstleistungsunternehmen im Bereich IT-Infrastruktur und Datensicherheit. Im Jahr 2004 als Shared-Service-Center

Mehr

Warum IT-Sicherheit ohne NAC scheitert

Warum IT-Sicherheit ohne NAC scheitert Warum IT-Sicherheit ohne NAC scheitert macmon secure GmbH Deutscher Hersteller der technologieführenden NAC-Lösung macmon Erfahrenes Team mit Entwicklung, Support und Beratung an zentraler Stelle in Berlin

Mehr

Datenkonvertierung & EDI

Datenkonvertierung & EDI Cloud Services Datenkonvertierung & EDI Geschäftsprozesse optimieren Ressourcen entlasten Kosten reduzieren www.signamus.de Geschäftsprozesse optimieren Mit der wachsenden Komplexität moderner Infrastrukturen

Mehr

SAP HANA Enterprise Cloud die Cloud für agile Echtzeit- Unternehmen

SAP HANA Enterprise Cloud die Cloud für agile Echtzeit- Unternehmen im Überblick SAP HANA Enterprise Cloud Herausforderungen SAP HANA Enterprise Cloud die Cloud für agile Echtzeit- Unternehmen In Echtzeit zum Echtzeit-Unternehmen In Echtzeit zum Echtzeit-Unternehmen Möchten

Mehr

Datenschutz und Datensicherung

Datenschutz und Datensicherung Datenschutz und Datensicherung UWW-Treff am 26. September 2011 Über die WorNet AG Datenschutz im Unternehmen Grundlagen der Datensicherung Backuplösungen WorNet AG 2011 / Seite 1 IT-Spezialisten für Rechenzentrums-Technologien

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security Informationssicherheit in der Praxis @-yet GmbH Hans-Peter Fries Business Security Risikoverantwortung und Know-How Schutz im Unternehmen @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16

Mehr

Compliance-Management leicht gemacht

Compliance-Management leicht gemacht Compliance-Management leicht gemacht Compliance-Management leicht gemacht Log- und Compliance- Management in einer Lösung Das Management der Security-Infrastruktur unter Einhaltung aller Compliance- Richtlinien

Mehr

Tablets im Business: Gadget oder sicheres Werkzeug?

Tablets im Business: Gadget oder sicheres Werkzeug? Tablets im Business: Gadget oder sicheres Werkzeug? Daten- und Policy-Management Renato Zanetti CSI Consulting AG, Partner 12.09.2012 Agenda Einleitung, Trends Einsatzkonzepte Anforderungen Lösungsvorschläge

Mehr

RITOP CLOUD. Leittechnik aus der Cloud hohe Servicequalität, passgenau dimensioniert

RITOP CLOUD. Leittechnik aus der Cloud hohe Servicequalität, passgenau dimensioniert RITOP CLOUD Leittechnik aus der Cloud hohe Servicequalität, passgenau dimensioniert «RITOP CLOUD STELLT IMMER DIE RICHTIGE INFRASTRUKTUR FÜR DIE LEITTECHNIK BEREIT. DAS BEWAHRT DIE FLEXIBILITÄT UND SPART

Mehr

Sozioökonomische Dienstleistungsinfrastrukturen

Sozioökonomische Dienstleistungsinfrastrukturen Das IT-Sicherheitsgesetz Am 12. Juni 2015 hat der deutsche Bundestag in 2. und 3. Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Die Zustimmung

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten

Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten Siemens Enterprise Communications Group Volker Burgers, Consultant Mobile Security Worauf Sie beim Einsatz von mobilen Geräten in Ihrem Unternehmen achten sollten Version 1 Seite 1 BS MS Consulting & Design

Mehr

CLOUD COMPUTING IN DEUTSCHLAND 2013

CLOUD COMPUTING IN DEUTSCHLAND 2013 Fallstudie: Dimension Data IDC Multi-Client-Projekt CLOUD COMPUTING IN DEUTSCHLAND 2013 Business-anforderungen und Geschäftsprozesse mit Hilfe von Cloud services besser unterstützen Dimension Data Fallstudie:

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Polizeipräsidium Mittelfranken Security by Design Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand Referent: Matthias Wörner (MW IT-Businesspartner) gepr. IT Sachverständiger Matthias

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Geschäftsprozessmanagement in der Praxis

Geschäftsprozessmanagement in der Praxis Geschäftsprozessmanagement in der Praxis Kunden zufrieden stellen - Produktivität steigern - Wert erhöhen von Hermann J. Schmelzer, Wolfgang Sesselmann 7., überarbeitete und erweiterte Auflage 2010 Hanser

Mehr

GrECo JLT Risk Consulting GmbH

GrECo JLT Risk Consulting GmbH www.greco.eu GrECo JLT Risk Consulting GmbH Ihr unabhängiger Partner für Operatives Risikomanagement Januar 2013 Über GrECo JLT Risk Consulting GrECo JLT Risk Consulting ist eine eigenständige Gesellschaft

Mehr

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten

Die Kunst, sicher die Effizienz zu steigern: Integration von smarten Endgeräten Die Kunst, sicher die Effizienz zu steigern: i GmbH Vorstellung des Unternehmens unabhängiges, privates Beratungsunternehmen seit 2002 Spezialisierung auf: Sicherheitsberatung Konzepterstellung und überprüfung

Mehr

Vom Intranet zum Knowledge Management

Vom Intranet zum Knowledge Management Vom Intranet zum Knowledge Management Die Veränderung der Informationskultur in Organisationen von Martin Kuppinger, Michael Woywode 1. Auflage Hanser München 2000 Verlag C.H. Beck im Internet: www.beck.de

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

Banken tun sich mit der Umsetzung von BCBS 239 schwer

Banken tun sich mit der Umsetzung von BCBS 239 schwer Banken tun sich mit der Umsetzung von BCBS 239 schwer Andreas Bruckner Das Baseler Komitee für Bankenaufsicht (BCBS) hat am 23. Januar 2015 den Bericht über den Umsetzungsstand der Grundsätze für die effektive

Mehr

TeleTrusT-interner Workshop. Nürnberg, 21./22.06.2012. Ammar Alkassar Sirrix AG/TeleTrusT

TeleTrusT-interner Workshop. Nürnberg, 21./22.06.2012. Ammar Alkassar Sirrix AG/TeleTrusT Der IT-Sicherheitsverband e.v. TeleTrusT-interner Workshop Nürnberg, 21./22.06.2012 Ammar Alkassar Sirrix AG/TeleTrusT Cyberwar, Bring Your Own Device, Big Data: Quo Vadis IT-Security? TeleTrusT Bundesverband

Mehr

Cyber Crime Fiktion oder Wirklichkeit

Cyber Crime Fiktion oder Wirklichkeit @-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Cyber Crime Fiktion oder Wirklichkeit add-yet GmbH Schloß Eicherhof D-42799 Leichlingen www.add-yet.de Firmenportrait Juni 2002 gegründet Sitz: Leichlingen/Rheinland

Mehr