Psychologische Aspekte im Risikomanagement

Größe: px
Ab Seite anzeigen:

Download "Psychologische Aspekte im Risikomanagement"

Transkript

1 6/2012 ISSN ZKZ Risikomanagement in Projekten Eine kritische Analyse der Prozessabläufe in Risk-Projekten Risk Case Analysis Risikomanagement erfolgreich in Business Cases intergrieren Bandbreiten- bzw. Korridorplanung Integration von Risikomanagement und Unternehmensplanung Themenschwerpunkt: Psychologische Aspekte im Risikomanagement Praxis, Methoden & Dialog

2 Security Information und Event Management SIEM-Technologien als Risikomanagementsysteme zum Schutz von Daten, Wissen und Know-how in Unternehmen. Daten, Wissen und Know-how repräsentieren einen wesentlichen Teil des Unternehmenswertes. Unerlaubte Zugriffe, Sabotage, Manipulation und Spionage bergen erhebliche Finanz- und Reputationsrisiken und führen nicht selten zur Existenzgefährdung. Nur wenig diskutiert sind unerlaubte Zugriffe auf Daten und Wissen durch Mitarbeiter und Geschäftspartner. Mögliche Risikoszenarien, aktuelle Herausforderungen und automatisierte Schutzmöglichkeiten sowie forensische Analysen durch spezialisierte IT-Systeme, sogenannte SIEM-Systeme (Security Information and Event Management) werden in diesem Fachbeitrag diskutiert. 1. Einführung und Risikosituation Die Sensibilisierung in deutschen Unternehmen für Cyber-Angriffe von außerhalb kann mittlerweile überwiegend als hoch eingestuft werden. Angriffe durch Hacker mit dem Zweck der Kompromittierung von IT-Systemen oder der Spionage relevanter Daten und Wissen sind in der potenziellen Risikolandschaft der Unternehmung fest verankert. Entsprechend stark sind Maßnahmen zur Risikoabwehr implementiert. Eine in 2011 durchgeführte Studie des Vereins Deutschland sicher im Netz e. V. (DsiN) bei rund Unternehmen zeigt beispielhaft Maßnahmen zur Absicherung der Internetzugänge das in Abbildung 1 zusammengefasste Bild. 1 Standardsicherungssysteme gegen externe Angriffe wie Virenscanner, Spamfilter und Firewall werden von einer Mehrzahl der befragten Unternehmen bereits heute eingesetzt. Komplexere Sicherheitssysteme unter Verwendung von VPNs 1 DsiN e.v.: IT-Sicherheitslage im Mittelstand 2011: Eine Studie von Deutschland sicher im Netz. Online-Befragung von rd Unternehmen verschiedener Größenordnungen von Ein-Personen-Unternehmen bis mehr als 500 Mitarbeiter. Abbildung 1: Absicherung Internetzugänge 32 Risk, Compliance & Audit 6/2012

3 (Virtual Private Network) setzen bis zu 42 Prozent der Unternehmen ein. Mit einer einseitigen Fokussierung auf die Risikoabwehr gegen Angriffe von Unbekannten oder Unternehmensfremden setzten sich Unternehmen jedoch zumeist unbewusst einem weit größeren Schadenspotenzial aus: Angriffe auf IT-Systeme und Spionage von Daten und Wissen welche durch eigene Mitarbeiter oder Geschäftspartner verursacht sind! Die Schäden der deutschen Wirtschaft durch Industriespionage belaufen sich jährlich auf 4,2 Milliarden Euro, so eine Studie der Corporate Trust aus Dies entspricht im Vergleich zu einer Erhebung aus dem Jahr 2007 einer Steigerung von 50 Prozent. Besonders bemerkenswert ist hierbei der Umstand, dass eigene Mitarbeiter in rund 50 Prozent der Fälle für den Informationsabfluss bzw. den Datendiebstahl verantwortlich zeichnen. Zählt man die Angriffsmethoden des Social Engineerings hinzu, bei denen Mitarbeiter instrumentalisiert und zur Weitergabe interner Daten eingesetzt werden, so zieht Corporate Trust durch Untersuchungen folgendes Fazit: Mitarbeiter sind in über 70 Prozent der Fälle an Industriespionage beteiligt. Daten / Wissen Kundendaten Mandantendaten Absatzdaten Angebotsdaten Ausschreibungsdaten Mitarbeiterdaten Bewerberdaten Alumni-Daten Finanzdaten Bilanz-Daten GuV-Daten Risikoberichte Forschungsergebnisse Entwicklungspläne Produktinnovationen Produktionspläne Fertigungsabläufe Konstruktionspläne Notfallpläne Lieferantendaten Beschaffungsdaten Kalkulationen (Preis, Marge, etc.) Risikoorte in Unternehmen (beispielhaft) Vertriebsabteilung Vertriebssteuerung Marketing HR-Abteilung Finanzwesen Controlling Rechnungswesen Stabsabteilungen F&E-Abteilungen Produktionsplanung- und steuerung Konstruktion/Arbeitsvorbereitung Logistikabteilung Supply-Chain-Management 2 Corporate Trust (2012): Studie Industriespionage 2012, aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar. Daten / Wissen Mitgliederdaten Ermittlungsdaten Bürgerdaten Daten Gesundheitswesen Risikoorte in Behörden/ Organisationen Ämter Ermittlungsbehörden Vereine Krankenkassen Tabelle 1: Sensible Datenbestände/Wissen und Risikoorte (beispielhaft) Der Schutz von Daten und Know-how nimmt kaum eine Branche aus und ist unabhängig von der Unternehmensgröße. In Tabelle 1 sind exemplarisch sensible Datenbestände/Wissen und Risikoorte beschrieben. Dies gilt gleichermaßen für Global Player, mittelständische Unternehme und lokal agierende Firmen: So genießen etwa die Kunden- und Transaktionsdaten weltweit agierender Finanzdienstleister einen besonderen Vertrauensschutz. Reputation und Handlungsfähigkeit des Unternehmens hängen in besonderem Maße von der Vertraulichkeit und Integrität dieser Daten ab. Das gleiche gilt auch für kleinere mittelständische Unternehmen aus der Automobilzuliefererbranche. Entwicklungs- und Forschungs-Knowhow, das mit hohen Investitionen und Entwicklungsaufwänden als Unternehmenswert geschaffen wurden, sichert häuft die Alleinstellung und den Wettbewerbsvorsprung. Ein Verlust oder eine Veröffentlichung dieses Wissens hätte verheerende Auswirkungen auf das Unternehmen. Lokal agierende Unternehmen, deren Kundendatenbanken einen besonderen Wert darstellen sehen sich ebenfalls Risiken durch Spionage ausgesetzt. Einen Zugriff durch Wettbewerber auf diese Daten würden Marktanteile und Kundenbeziehungen erheblich gefährden können. Als Fazit gilt es hier festzustellen, dass Unternehmenswerte in Form digitaler Daten einer zunehmenden internen Gefährdung ausgesetzt sind. Die Motivation für den Zugriff auf diese Daten durch Interne bleibt übrigens nicht auf Spionagezwecke beschränkt. Immer wieder sind Fälle dokumentiert, in denen Mitarbeiter aus unterschiedlichen Beweggründen die Vernichtung oder bewusste Sabotage von Wissen und Daten angestrebt und auch erreicht haben. 2. Motivation Risikomanagementsystem Die Motivation zur Begegnung der Risiken liegen auf der Hand, sind aber vielschichtig und gerade vor dem Hintergrund neuer Gesetzgebungen zunehmend komplex. Vordergründige und meistgenannte Motivation ist die Abwehr von mittelbaren oder unmittelbaren Schäden vom Unternehmen. Die Abwehr von Sabotage und Spionage, führt zur Vermeidung oder Abschwächung zumeist signifikanter finanzieller Schäden oder Reputationsrisiken. Zusammenfassend soll die Integrität der Risk, Compliance & Audit 6/

4 Unternehmung und die nachhaltige Existenzsicherung betrieben werden. Ungeachtet der zuvor beschriebenen Motivation lassen sich Gründe für Unternehmen ableiten, Risikomanagementsysteme im Bezug auf Daten und Wissen zwingend implementieren zu müssen. Diese liegen in gesetzlichen oder quasi-gesetzlichen Strukturen verankert und können mit der Überschrift Legalitätspflicht umschrieben werden. Aus dieser Legalitätspflicht wird für Geschäftsleiter die Aufgabe (Pflicht) abgeleitet, Schaden von der Gesellschaft fernzuhalten. 3 Diese Pflicht erstreckt sich nicht nur auf die Rechtstreue des Managers sondern kann die Legalitätskontrolle untergeordneter Mitarbeiter inkludieren. 3. Risikomanagementsysteme zur internen Gefahrenabwehr Die Implementierung effektiver Risikomanagementsysteme mit dem Ziel einer dauerhaften internen Gefahrenabwehr für Daten und Know-how ist ein komplexes Unterfangen. Die Einführung dieser Systeme ist zumeist noch mit Widerständen verbunden, da häufig, gerade in mittelständischen Unternehmen, die in Abbildung 2 zusammengefassten Situationen anzutreffen ist. Erfolgreiche Einführungen in der Praxis zeigen, dass ein strukturiertes Vorgehen bei der Einführung wesentliche Vorbehalte abbauen kann und durch Einbeziehung relevanter Wissensträger im Unternehmen auch rechtliche Möglichkei- 3 Thüsing, Gregor (2010): Arbeitnehmerdatenschutz & Compliance: Effektive Compliance im Spannungsfeld von reformiertem BDSG, Persönlichkeitsschutz und betrieblicher Mitbestimmung, München ten und Grenzen ausreichend untersucht werden können. In jedem Falle empfiehlt es sich die Einführung eines Risikomanagementsystems 4 als eigenständiges Vorhaben im Zuge eines Projektes zu realisieren. Fokussiert man insbesondere auf die operativen Aufgaben 5 zur Einführung eines Risikomanagementsystems, so kann für die interne Gefahrenabwehr der in Tabelle 2 beispielhaft skizzierte und grundlegende Fragenkatalog herangezogen werden. 4. Aktuelle Herausforderungen im Unternehmen Der Schutz von internen Daten und Know-how stellt Unternehmen aktuell vor besondere Herausforderungen, die mehr oder weniger einer technologischen Weiterentwicklung der internen IT-Infrastruktur geschuldet ist. Einige dieser Entwicklungen werde hier beispielhaft skizziert: 1) Durchdringung von PC-Arbeitsplätzen und Vernetzung 2) Bring your own Device 3) Mobilität von Daten und Endgeräten 4) Cloud Computing 5) Big Data 6) Datenschutz. 4 Als weiterführende Literatur sei hier empfohlen: Romeike, Frank/Hager, Peter (2009): Erfolgsfaktor Risiko-Management 2.0, 2. Auflage, Wiesbaden 2009 [Anfang 2013 wird eine dritte und komplett überarbeitete Auflage unter dem Titel Erfolgsfaktor Risiko-Management 3.0 erscheinen.] 5 Die Beachtung normativer Risikomanagementaufgaben wie etwa die Gestaltung einer grundsätzlichen Risikokultur einer Unternehmung bzw. strategischer Aufgaben wie die Ausgestaltung der Risikopolitik, Risikoziele und Risikoorganisation einer Unternehmung werden nicht in diesem Fachartikel diskutiert. Empfohlen sei hierzu Denk/Exner-Merkelt/Ruthner (2008): Corporate Risk Management, 2. Auflage, Linde Verlag Rollen & Prozesse Compliance Rollen, Prozesse und Funktionen einer Compliance-Struktur sind kaum oder nicht ausgeprägt. Risikobewusstsein Risikobewusstsein aufgrund nur geringer oder nicht aufgetretener Schadensfälle ist noch nicht gegeben. Legalitätspflicht Mögliche Konsequenzen aus der Legalitätspflicht werden unterschätzt oder sind unbekannt. Return on Investment Der betriebswirtschaftliche Return on Investment des Risikomanagementsystems kann nicht ausreichend dargestellt werden. Know-how Know-how in den IT-Abteilungen und Fachabteilung für Risikoaudits und zur Einführung von Überwachungssystemen sind nicht ausreichend vorhanden. Persönlichkeitsrechte Vorbehalte und Ängste, dass automatisierte Risikomanagementsysteme Persönlichkeitsrechte der Mitarbeiter und damit Gesetze verletzen. Abbildung 2: Situationsanalyse vor Einführung Risikomanagementsystem 34 Risk, Compliance & Audit 6/2012

5 Aufgaben Auditfragen (exemplarisch, nicht erschöpfend): 1. Risikoidentifikation Welche sensiblen Datenbestände / bzw. Wissen ist zu schützen? Welche Mitarbeiter haben Zugriff auf sensible Daten? Welche Mitarbeiter können sich Zugriff verschaffen? Welche IT-Systeme (Server, Netzwerke, Applikationen, Datenbanken, etc. ) sind involviert und zu schützen? Welche Risiken können automatisiert identifiziert werden? 2. Risikobewertung Welche Risiken können effektiv aus Sabotage oder Spionage von Daten entstehen? Welche Risiken können effektiv aus Sabotage oder Spionage von involvierten IT-Systemen entstehen? Welches quantifizierte Bruttorisiko (Schadenshöhe X Eintrittswahrscheinlichkeit) weisen die einzelnen Risiken auf? Welche Risiken können automatisiert bewertet werden? 3. Risikosteuerung Welche Risiken können (aufgrund geringen Bruttorisikos) vernachlässigt werden? Welche Risiken bedürfen einer aktiven Steuerung? Welche Risiken sind aufgrund hohen Bruttorisikos zuerst zu steuern? Welche konkreten Steuerungsmaßnahmen sind zu implementieren? Welche Risiken können automatisiert gesteuert werden? 4. Risikoüberwachung Welche Veränderungen treten bei den Risiken auf? Welche Risiken kommen laufend aufgrund neuer Aufgaben, Geschäftsprozesse, Geschäftspartner, Geschäftsbeziehungen etc. hinzu? Welche Risiken sind eingetreten? Wie effektiv sind die Risikosteuerungsmaßnahmen? Welche ergänzenden Maßnahmen sind bei der Risikosteuerung zu beachten? Wie können Risiken automatisiert überwacht werden? Tabelle 2: Beispielhafte Auditfragen zur Einführung eines Risikomanagementsystems Die Durchdringung der PC-Arbeitsplätze mit Zugriff auf Unternehmensnetzwerke, Daten und Wissen hat in den vergangenen Jahren sehr stark zugenommen. Vielfältige betriebliche Funktionen und Geschäftsprozesse nutzen moderne Informationstechnologien und erhalten damit direkt oder indirekt Zugriff über Netzwerke auf sensible Datenbestände oder Kernwissen der Unternehmung. Häufig erfolgen noch undifferenzierte Genehmigungen des Zugriffs auf Datenbestände und Wissen außerhalb des notwendigen Funktionsbereichs. Die erlaubte oder unerlaubte Nutzung eigener privater Endgeräte wie Smartphones, Pads oder Tablet-PCs wird zusammenfassend unter dem Begriff BYOD (Bring Your Own Device) subsummiert. Die Vernetzung dieser Geräte etwa durch WLAN zur privaten oder betrieblichen Nutzung führt dazu, dass das Überwachungsspektrum unerlaubter Zugriffe erheblich an Komplexität zunimmt. Die Überwachung der Zugriffe auf Daten und Wissen erstreckt sich durch die zunehmende Mobilisierung zunehmend auf Bereiche außerhalb des Unternehmens oder abgegrenzter Betriebsstätten. So sind heute Konstellationen nicht mehr unüblich, bei denen etwa ein Außendienstvertreter für Finanzdienstleistungen von beliebigen Orten via Laptop und VPN-Zugriff auf alle Kunden- und Transaktionsdaten seines Unternehmens hat. Ein weiterer Megatrend, der die Überwachung von Zugriffen auf Daten und Wissen der Unternehmung deutlich erschweren dürfte sind Entwicklungen im Cloud Computing. Die skalierbare, in der Regel kosteneffiziente und flexible Bereitstellung von Diensten (Infrastruktur, Plattformen, Software, Datenbanken) durch Cloud Service-Provider bedeuten zumindest eine deutliche Erweiterung des Überwachungsfeldes. Ferner kann ein erhebliches Anwachsen der Datenmengen in nahezu allen Unternehmen festgestellt werden. Das Volumen dieser Datenmengen übersteigt die gemeinhin bekannten Mega- und Giga-Byte-Dimensionen und wir aktuell in Teraund Petabyte-Dimensionen diskutiert. Im Hinblick auf die in diesem Fachartikel diskutierte Thematik haben diese Big-Data zumindest zwei verschiedene Perspektiven. Zum einen ist der Umfang der schützenwerten Daten, auch durch notwendige Archivierungen immer häufiger in einem Big-Data-Bereich anzusiedeln. Darüber hinaus erfordert die Überwachung der Zugriffe in einem real-time-modus die Verarbeitung von Big- Data. Risk, Compliance & Audit 6/

6 Weiterhin kann konstatiert werden, dass die Datenschutz- Thematik sehr stark an Bedeutung gewonnen hat. Eine zunehmende Sensibilisierung der Unternehmen für den gesetzeskonformen Umgang mit schutzwürdigen, personenbezogen Daten ist festzustellen. Vor diesem Hintergrund hat auch die Auswahl und Entscheidung für eine bestimmte SIEM-Technologie zu erfolgen: Diese hat wie weiter unten ausgeführt wird, die Datenschutzbestimmung bei der Realisierung des funktionalen Leistungsspektrums zwingend zu berücksichtigen. Zusammenfassend kann hier festgestellt werden dass bedingt durch dynamische technologische Veränderungen der universelle, zeit- und ortsunabhängige Zugriff auf schützenswerte Daten und Wissen heute im Grundsatz einfacher möglich ist. Eine manuelle Überwachung durch Menschen auf Basis von Arbeitsanweisungen und Regelwerken wird heute in vielen Unternehmen nicht mehr alleine ausreichend sein, Missbrauch, Manipulation, Spionage und Sabotage von Daten etwa durch Mitarbeiter zu verhindern. Zunehmend wird daher nach IT-gestützten Lösungen gesucht, welche Zugriffe auf Daten, Know-how und Wissen durch Mitarbeiter überwachen können, ohne deren Persönlichkeitsrechte wie beispielsweise Datenschutz zu verletzen. Unter dem Stichwort SIEM (Security Information und Event Management) werden IT-Technologien subsummiert, die sich dieser Herausforderung stellen. Im Folgenden werden Wesen, Funktionsweise, Nutzen und Grenzen dieser Risikomanagementsysteme dargestellt. 5. Begriff und Funktionsweise SIEM-Systeme Unter dem Begriff Security Information und Event Management-Technologien (SIEM) können Informationssysteme subsummiert, welche Daten aus zumeist unternehmensinternen Quellen sammeln um daraus Rückschlüsse auf bestimmte (Sicherheits-)Ereignisse zu treffen. Zu den Quellen können bspw. Informationen aus dem Netzwerk, Applikationen, Clients (Benutzern), Servern und Datenbanken gezählt werden. Folgende wesentlichen Funktionalitäten repräsentieren als integrale Bestandteile eine Prozesskette moderner SIEM-Technologien (vgl. Abbildung 3). Initialer und wesentlicher Bestandteil der SIEM-Prozesskette ist die Sammlung relevanter Informationen (Collecting). Welche Informationen gesammelt werden ist unternehmensindividuell festzulegen und in einem Monitoringsystem zu hinterlegen. Informationen können etwa Nutzerzugriffe auf Datenbanken sein, Speicherung von Daten auf USB-Sticks oder Start und Beendigung von Programmen (Applikationen). Wesentlich ist hierbei, dass jede Information auf einen Nutzer oder Anwender zurückgeführt werden kann, was im Falle von Missbrauch gerade mit strafrechtlichem Hintergrund forensische Analysen möglich macht. Information einer Quelle können als Event verstanden werden. Anhand eines Regelwerks werden Events bewertet. Einzelne kritische Events (Beispiel: Ein Sachbearbeiter in der Buchhaltung greift auf PPS-Daten zu und brennt aktuelle Fertigungs- und Produktionspläne auf eine CD) oder eine Häufung von Events in einer bestimmten Zeitperiode (Beispiel: ein Sachbearbeiter eines Kreditinstituts fragt innerhalb eines Tages Kundendatensätze ab) führen zu einem Offence. Ein Offence ist ein Vergehen gegen eine Rule (Regel) des Regelwerks. Regelwerke sind inhärente Bestandteile der SIEM-Technologie und sind ebenso unternehmensindividuell anzupassen. Erfolgt ein Offence, so wird eine sogenannte Alarmfunktion aktiviert (Alerting). Die Alarmfunktion stellt sicher, dass ein zuvor definierter Personenkreis über das Offence informiert wird. Leistungsfähige SIEM-Produkte stellen Abbildung 3: Integrierter SIEM-Prozess mit Monitoring und Ticketingsystem 36 Risk, Compliance & Audit 6/2012

7 sicher, dass die Alarmfunktion zeitgleich zum Offence passiert. Grundsätzlich werden alle Events gespeichert und sind damit dokumentiert (Storage). Nach verschiedenen Berichtsebenen differenziert, können Events und Offences zu Reports konsolidiert werden und periodisch oder regelbasiert erstellt und verteilt werden. Ticketsysteme stellen sicher, dass auffällige Ereignisse (Offences) einem vorstrukturierten Prozess (Processing) sicher durchlaufen. Hier wird definiert, wer bei welchen Offences informiert wird und welche ggf. automatisierten Routinen zu durchlaufen sind (Sperrung Datenbank, Sperrung Zugriff auf Produktivsystem ). Zusammenfassend kann festgestellt werden, dass SIEM-Systeme die automatisierte Identifikation, Bewertung, Steuerung und Überwachung von Risken beim Zugriff auf Datenbestände, Wissen und Know-How sehr gut unterstützen können. Die Automatisierung wird dann durch SIEM-Systeme sehr gut funktionieren, wenn die zuvor Definierten Informationen, Events, Offences und Rules präzise formuliert und in den jeweiligen Systemen, auch im Monitoring und Ticketingsystem hinterlegt sind. 6. Fazit und Vorgehen bei der Einführung von SIEM-Technologien Die Daten und das Wissen eines Unternehmens sind besonders schützenswert. Da wie festgestellt Sabotage, Manipulation und Spionage sehr häufig durch unternehmensinterne oder unternehmensnahe Personen nachgewiesen werden (Mitarbeiter bzw. Geschäftspartner) sind hier besondere Risikokonzepte notwendig. Die manuelle Identifikation, Bewertung, Steuerung und Überwachung des Datenverkehrs ist heute aufgrund vielfältiger Komplexität involvierter IT-Systeme und Hardware kaum mehr möglich. Integrierte SIEM-Systeme bieten in der Regel zuverlässige automatisierte Unterstützung. Die Implementierung dieser Systeme zum Schutz der Daten benötigt spezifisches Know-how, das nicht in jedem Unternehmen vorgehalten werden kann. Die Eignung von IT-Dienstleistern und Softwareanbieter auf dem Gebiet der SIEM-Technologien sind auf die in Tabelle 3 zusammengefassten Fragestellungen hin zu überprüfen. Autoren: Prof. Dr. Stefan Ruf ist Professor für Informationsmanagement an der Hochschule Albstadt-Sigmaringen. Hans- Baldung Luley ist Geschäftsführer der Netzwerk GmbH in Filderstadt bei Stuttgart. Marcel Bartetzki ist Senior Consultant bei der Netzwerk GmbH in Filderstadt bei Stuttgart. Entscheidungsfragen? Welche Referenzen hat der Anbieter/Dienstleister? Welche spezifische Kompetenzen kann der Anbieter/Dienstleister nachweisen? Welche Funktionalitäten weisen die SIEM-Lösungen des Anbieters auf? Sind die Überwachungs- und Kontrollfunktionen in Übereinstimmung mit Gesetzen, Betriebsvereinbarungen konzipiert oder konzipierbar? Konkretisierung! Existieren funktionsfähige Installationen? Welche Funktionen wurden genau realisiert? Gibt es Referenzgeber in derselben Branche? Risikomanagement IT-System- und Infrastrukturmanagement Geschäftsprozessmanagement Incident-Management (Notfall-Management) Ticketing-System-Management Netzwerkmanagement, Client-Management Big-Data-Management (Handling großer Datenmengen) Incident- und Eventmanagementfunktionen Feinjustierbare Regelsysteme für Offences ggf. mit Korrelationsfunktionen/Heuristiken Monitoringfunktion Reportingfunktion Pseudonymisierungsfunktionen von Personendaten Werden relevante Gesetze bei der Speicherung personenbezogener Daten eingehalten? Existieren Datenschutzkonzepte? Erfolgt die notwendige Pseudonymisierung von Informationen, Events, Offences? Existieren externe Gutachten (Nachweise) über die Compliance der Lösung? Existieren Einführungskonzepte die alle relevanten Stakeholder involvieren (Unternehmensführung, IT-Security-Manager, Datenschutzbeauftragte, Personalrat)? Tabelle 3: Kriterienkatalog für die Anbieterauswahl von SIEM-Systemen Risk, Compliance & Audit 6/

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Datenschutz und Informationssicherheit 03.09.2015

Datenschutz und Informationssicherheit 03.09.2015 Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Vom Intranet zum Knowledge Management

Vom Intranet zum Knowledge Management Vom Intranet zum Knowledge Management Die Veränderung der Informationskultur in Organisationen von Martin Kuppinger, Michael Woywode 1. Auflage Hanser München 2000 Verlag C.H. Beck im Internet: www.beck.de

Mehr

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Enterprise Risikomanagement nach ISO 31000 MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Basis des operativen Risikomanagement Was ist unter dem Begriff Risiko zu verstehen? GEFAHR? Begutachtung

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück Datenschutz bei mobilen Endgeräten Vortrag am 27.11.2012 Sutthauser Straße 285 49080 Osnabrück GmbH Datenschutz und IT - Sicherheit Telefon: 0541 600 79 296 Fax: 0541 600 79 297 E-Mail: Internet: datenschutz@saphirit.de

Mehr

Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones. Matthias Klocke. Bildquelle: CC-BY-3Gstore.

Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones. Matthias Klocke. Bildquelle: CC-BY-3Gstore. Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones Matthias Klocke Bildquelle: CC-BY-3Gstore.de Lynx in Fakten 1989 gründet Hans-Joachim Rosowski das

Mehr

Big Data Herausforderungen und Chancen für Controller. ICV Jahrestagung, 19.05.2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC

Big Data Herausforderungen und Chancen für Controller. ICV Jahrestagung, 19.05.2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC Big Data Herausforderungen und Chancen für Controller ICV Jahrestagung, 19.05.2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC BARC: Expertise für datengetriebene Organisationen Beratung Strategie

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Industriespionage im Mittelstand

Industriespionage im Mittelstand Industriespionage im Mittelstand Die Sicherheitsbranche hat für die neue Art dieser Bedrohung den Fachterminus Advanced Persistent Threats (APTs) geprägt. Darunter versteht sie die fortwährende und fortgeschrittene

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland Cloud Computing. Marktsituation in Deutschland. 30% 65% 90% Marktwachstum von 2015 auf 2016 Interviewte Personen:

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Verpasst der Mittelstand den Zug?

Verpasst der Mittelstand den Zug? Industrie 4.0: Verpasst der Mittelstand den Zug? SCHÜTTGUT Dortmund 2015 5.11.2015 Ergebnisse einer aktuellen Studie der Technischen Hochschule Mittelhessen 1 Industrie 4.0 im Mittelstand Ergebnisse einer

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

Enterprise Mobility Marktüberblick und Trends STEFAN KÜHLE DIPLOM-INGENIEUR (FH) BUSINESS DEVELOPMENT MANAGER

Enterprise Mobility Marktüberblick und Trends STEFAN KÜHLE DIPLOM-INGENIEUR (FH) BUSINESS DEVELOPMENT MANAGER Enterprise Mobility Marktüberblick und Trends STEFAN KÜHLE DIPLOM-INGENIEUR (FH) BUSINESS DEVELOPMENT MANAGER AGENDA SEVEN PRINCIPLES Enterprise Mobility: Trends und Einflüsse Herausforderungen Enterprise

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Was versteht man unter modernen Arbeitsstilen? Moderne Arbeitsstile erhöhen Mitarbeiterproduktivität und zufriedenheit

Mehr

Prof. Dr. Rainer Elschen

Prof. Dr. Rainer Elschen Risikomanagement II - Vorlesung 4 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 66 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund T.I.S.P. Community Meeting 2013 ISMS: Arbeitsplatz der Zukunft Chancen, Potentiale, Risiken, Strategien Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund so könnte der Arbeitsplatz der

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

COSYNUS Enterprise Mobility 2012 Produktstrategie Lösungen für Unternehmenskunden

COSYNUS Enterprise Mobility 2012 Produktstrategie Lösungen für Unternehmenskunden COSYNUS Enterprise Mobility 2012 Produktstrategie Lösungen für Unternehmenskunden Michael Reibold, Geschäftsführer 3. COSYNUS Partner Roadshow 2011 Silber-Sponsor 3. COSYNUS Partner Roadshow 2011 Bronze-Sponsoren

Mehr

Wenn komplexe Systeme sicher sein müssen...

Wenn komplexe Systeme sicher sein müssen... Wenn komplexe Systeme sicher sein müssen... IT-Services Schleupen.Mobility Management IT-Security www.schleupen.de Effiziente IT-Lösungen für die Energiewirtschaft Die Situation Ohne IT funktioniert heutzutage

Mehr

Pressemitteilung: Innovationen im Zertifikatsmanagement mit Cert n Key und die Auswirkungen auf die Sicherheit der IT-Infrastruktur und die Compliance

Pressemitteilung: Innovationen im Zertifikatsmanagement mit Cert n Key und die Auswirkungen auf die Sicherheit der IT-Infrastruktur und die Compliance Pressemitteilung: Innovationen im Zertifikatsmanagement mit Cert n Key und die Auswirkungen auf die Sicherheit der IT-Infrastruktur und die Compliance Zertifikate bestimmen innerhalb der IT die Vertrauensbeziehungen.

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland Operational Big Data effektiv nutzen TIBCO LogLogic Martin Ulmer, Tibco LogLogic Deutschland LOGS HINTERLASSEN SPUREN? Wer hat wann was gemacht Halten wir interne und externe IT Richtlinien ein Ist die

Mehr

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Willkommen bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Was nutzen Sie heute schon in der Cloud? Mobil Privat-PC Gmail Deutsche Bank Flickr Wikipedia

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Risiko-Controlling. für den Mittelstand. Stand und Ausgestaltung in mittelständischen Unternehmen. Wesentliche Risiken erkennen, bewerten und steuern

Risiko-Controlling. für den Mittelstand. Stand und Ausgestaltung in mittelständischen Unternehmen. Wesentliche Risiken erkennen, bewerten und steuern Prof. Dr. Thomas Reichmann DCC Seminare Technische Universität Dortmund Institut für Controlling Gesellschaft für Controlling e.v. (GfC) Risiko-Controlling für den Mittelstand Stand und Ausgestaltung in

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Grundlagen des Risikomanagements im Unternehmen ebook

Grundlagen des Risikomanagements im Unternehmen ebook Grundlagen des Risikomanagements im Unternehmen ebook von Werner Gleißner 1. Auflage Grundlagen des Risikomanagements im Unternehmen ebook Gleißner wird vertrieben von beck-shop.de Thematische Gliederung:

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP SIEM Wenn Sie wüssten, was Ihre Systeme wissen Marcus Hock, Consultant, CISSP SIEM was ist das? Security Information Event Monitoring System zur Echtzeitanalyse von Ereignissen, die durch Hardware- oder

Mehr

Vortrag. Systembasiertes Risiko-Controlling für den Mittelstand. 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth

Vortrag. Systembasiertes Risiko-Controlling für den Mittelstand. 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth Vortrag Systembasiertes Risiko-Controlling für den Mittelstand Dr. Klaus Blättchen Geschäftsführer syscon Copyright - syscon Unternehmensberatung GmbH syscon

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Erfolgsfaktoren der Hidden Champions

Erfolgsfaktoren der Hidden Champions Erfolgsfaktoren der Hidden Champions Management von KMUs Wachstum - Innovation - Internationalisierung 4. - 5. September 009 Alpen-Adria Universität Klagenfurt University of Applied Sciences Erfolgsfaktoren

Mehr

Anwendbarkeit und Umsetzung von. Risikomanagementsystemen auf. Compliance - Risiken im Unternehmen

Anwendbarkeit und Umsetzung von. Risikomanagementsystemen auf. Compliance - Risiken im Unternehmen Anwendbarkeit und Umsetzung von Risikomanagementsystemen auf Compliance - Risiken im Unternehmen Auswirkungen auf die Rolle des Syndikus im Unternehmen Inaugural-Dissertation zur Erlangung der Doktorwürde

Mehr

Master-Thesis (m/w) für unseren Standort Stuttgart

Master-Thesis (m/w) für unseren Standort Stuttgart Master-Thesis (m/w) für unseren Standort Abschlussarbeit im Bereich Business Process Management (BPM) Effizienzsteigerung von Enterprise Architecture Management durch Einsatz von Kennzahlen Braincourt

Mehr

Bewertung von Trends für die IT-Strategie am Beispiel von "Bring your own device" (BYOD)

Bewertung von Trends für die IT-Strategie am Beispiel von Bring your own device (BYOD) Fachbereich Informatik Bewertung von Trends für die IT-Strategie am Beispiel von "Bring your own device" (BYOD) Prof. Dr. Tilo Böhmann Universität Hamburg, Fachbereich für Informatik Arbeitsbereich IT-Management

Mehr

Ris ik o Wirtsc haftskrimin alität Innerbetrieblicher Widerstand gegen Compliance 10.05.2011 Corporate Trust Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Profilrichtungen Englische Übersetzung Beschreibung Informationssicherheit Information Security Diese Profilrichtung behandelt

Mehr

Implementierung eines steuerlichen Risikomanagementsystems

Implementierung eines steuerlichen Risikomanagementsystems Nora Mundschenk Implementierung eines steuerlichen Risikomanagementsystems Eine Analyse in ausgewählten Unternehmen und die Entwicklung eines Instruments zur Bewertung steuerlicher Risiken Verlag Dr. Kovac

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

Setzen. Spiel! FACT BOOK DAS NEUE ZEITALTER DER BESCHAFFUNG HAT BEREITS BEGONNEN

Setzen. Spiel! FACT BOOK DAS NEUE ZEITALTER DER BESCHAFFUNG HAT BEREITS BEGONNEN Setzen Sie Ihr Image Nicht auf s FACT BOOK Spiel! DAS NEUE ZEITALTER DER BESCHAFFUNG HAT BEREITS BEGONNEN Wirksam und dauerhaft erfolge sichern Wirkungsvolles Risk- und Compliance Management System Mittelständische

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

GrECo JLT Risk Consulting GmbH

GrECo JLT Risk Consulting GmbH www.greco.eu GrECo JLT Risk Consulting GmbH Ihr unabhängiger Partner für Operatives Risikomanagement Januar 2013 Über GrECo JLT Risk Consulting GrECo JLT Risk Consulting ist eine eigenständige Gesellschaft

Mehr

Sicherheit für Ihre Daten. Security Made in Germany

Sicherheit für Ihre Daten. Security Made in Germany Sicherheit für Ihre Daten Security Made in Germany Auf einen Blick. Die Sicherheitslösung, auf die Sie gewartet haben. Sicherheitslösungen müssen transparent sein; einfach, aber flexibel. DriveLock bietet

Mehr

Wir begleiten Sie in Sachen IT und Compliance

Wir begleiten Sie in Sachen IT und Compliance Wir begleiten Sie in Sachen IT und Compliance IHK Koblenz 14.03.2013 Netzwerk Netzwerkbetreuung und Netzwerkplanung Von der Konzeptphase über die Realisierung bis zur Nutzung Ihre Vorteile: Netzwerk zugeschnitten

Mehr

Bedeutung der IT-Sicherheit vor dem. Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken

Bedeutung der IT-Sicherheit vor dem. Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken Bedeutung der IT-Sicherheit vor dem Hintergrund europäischer Ziele Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken Europäische Union ein Binnenmarkt eine Währung mehr Lebensqualität 09.10.2014

Mehr

Realisierung der Anbindung an den Handelsplatz Koeln.de Leitfaden zur Projektplanung bei Lieferanten

Realisierung der Anbindung an den Handelsplatz Koeln.de Leitfaden zur Projektplanung bei Lieferanten Handelsplatz Köln.de Leitfaden zur Projektplanung bei en Realisierung der Anbindung an den Handelsplatz Koeln.de Leitfaden zur Projektplanung bei en Autor: Christoph Winkelhage Status: Version 1.0 Datum:

Mehr

Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher

Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher Umfrage Risikomanagement Im Sommer 2010 wurde in Zusammenarbeit von Quality Austria und Mag. Hedwig Pintscher eine Umfrage

Mehr

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

Leitfaden. Mobile Device Management. Stand: Dezember 2012 www.baymevbm.de/mobiledevice

Leitfaden. Mobile Device Management. Stand: Dezember 2012 www.baymevbm.de/mobiledevice Leitfaden Mobile Device Management Stand: Dezember 2012 www.baymevbm.de/mobiledevice Inhalt X Inhalt 1 Einleitung... 1 2 Datenschutzrechtliche Aspekte... 3 2.1 Anwendbarkeit des Datenschutzrechts... 3

Mehr

Best Practice: On-demand Lösungen bei der Software AG. Dr. Dirk Ventur CIO and Head of Global Support

Best Practice: On-demand Lösungen bei der Software AG. Dr. Dirk Ventur CIO and Head of Global Support Best Practice: On-demand Lösungen bei der Software AG Dr. Dirk Ventur CIO and Head of Global Support Software AG ist der weltweit größte unabhängige Anbieter von Infrastruktursoftware für Geschäftsprozesse

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Technische Umsetzung eines Modells zur Quantifizierung operationeller Risiken. 13. Juni 2013 Marion Hoffstetter

Technische Umsetzung eines Modells zur Quantifizierung operationeller Risiken. 13. Juni 2013 Marion Hoffstetter Technische Umsetzung eines Modells zur Quantifizierung operationeller Risiken 13. Juni 2013 Marion Hoffstetter I. Dr. Peter & Company AG II. Modell zur Quantifizierung von OpRisk III. Entwicklung eines

Mehr

Zugriff auf Unternehmensdaten über Mobilgeräte

Zugriff auf Unternehmensdaten über Mobilgeräte 1 Mobility meets IT Service Management 26. April 2012 in Frankfurt Zugriff auf Unternehmensdaten über Mobilgeräte Notwendigkeit und Risiken Ergebnisse einer europaweiten Anwenderstudie Norbert Pongratz,

Mehr

Sicheres Mobile Device Management. Christian Rückert, Business Development Manager Netlution GmbH

Sicheres Mobile Device Management. Christian Rückert, Business Development Manager Netlution GmbH Sicheres Mobile Device Management Christian Rückert, Business Development Manager Netlution GmbH Inhalt Die Flutwelle Was bedeutet das für die IT? Mobile Device Management Ein Teil der Lösung MDM Marktüberblick

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

Wir befinden uns inmitten einer Zeit des Wandels.

Wir befinden uns inmitten einer Zeit des Wandels. Wir befinden uns inmitten einer Zeit des Wandels. Geräte Apps Ein Wandel, der von mehreren Trends getrieben wird Big Data Cloud Geräte Mitarbeiter in die Lage versetzen, von überall zu arbeiten Apps Modernisieren

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

Strategische Umsetzung von Corporate. Mittelständigen Unternehmen in Bayern. unter besonderer Berücksichtigung der

Strategische Umsetzung von Corporate. Mittelständigen Unternehmen in Bayern. unter besonderer Berücksichtigung der Strategische Umsetzung von Corporate Social Responsibility in Klein- und Mittelständigen Unternehmen in Bayern unter besonderer Berücksichtigung der Herausforderungen der Internationalisierung Erik Lindner

Mehr

RISIKOMANAGEMENT IM UNTERNEHMEN

RISIKOMANAGEMENT IM UNTERNEHMEN RISIKOMANAGEMENT IM UNTERNEHMEN Studie zum Einsatz von Risikomanagement-Vorgehensweisen in Unternehmen Risikomanagement ist ein wesentlicher Bestandteil der Unternehmensführung. Aber in welchen Firmen

Mehr

Geschäftsprozessmanagement in der Praxis

Geschäftsprozessmanagement in der Praxis Geschäftsprozessmanagement in der Praxis Kunden zufrieden stellen - Produktivität steigern - Wert erhöhen von Hermann J. Schmelzer, Wolfgang Sesselmann 7., überarbeitete und erweiterte Auflage 2010 Hanser

Mehr

Sicherheits- & Management Aspekte im mobilen Umfeld

Sicherheits- & Management Aspekte im mobilen Umfeld Sicherheits- & Management Aspekte im mobilen Umfeld Einfach war gestern 1 2012 IBM Corporation Zielgerichtete Angriffe erschüttern Unternehmen und Behörden 2 Source: IBM X-Force 2011 Trend and Risk Report

Mehr

Strategische Unternehmenssteuerung immer in richtung Erfolg

Strategische Unternehmenssteuerung immer in richtung Erfolg Strategische Unternehmenssteuerung immer in richtung Erfolg cp-strategy ist ein Modul der corporate Planning Suite. StrAtEgiSchE UntErnEhMEnSStEUErUng Immer in Richtung Erfolg. Erfolgreiche Unternehmen

Mehr

Risiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken

Risiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken Katholische Stiftungsfachhochschule München, Abteilung München Risiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken Eingereicht als Diplom- und Prüfungsarbeit

Mehr

Banken tun sich mit der Umsetzung von BCBS 239 schwer

Banken tun sich mit der Umsetzung von BCBS 239 schwer Banken tun sich mit der Umsetzung von BCBS 239 schwer Andreas Bruckner Das Baseler Komitee für Bankenaufsicht (BCBS) hat am 23. Januar 2015 den Bericht über den Umsetzungsstand der Grundsätze für die effektive

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr