Psychologische Aspekte im Risikomanagement

Größe: px
Ab Seite anzeigen:

Download "Psychologische Aspekte im Risikomanagement"

Transkript

1 6/2012 ISSN ZKZ Risikomanagement in Projekten Eine kritische Analyse der Prozessabläufe in Risk-Projekten Risk Case Analysis Risikomanagement erfolgreich in Business Cases intergrieren Bandbreiten- bzw. Korridorplanung Integration von Risikomanagement und Unternehmensplanung Themenschwerpunkt: Psychologische Aspekte im Risikomanagement Praxis, Methoden & Dialog

2 Security Information und Event Management SIEM-Technologien als Risikomanagementsysteme zum Schutz von Daten, Wissen und Know-how in Unternehmen. Daten, Wissen und Know-how repräsentieren einen wesentlichen Teil des Unternehmenswertes. Unerlaubte Zugriffe, Sabotage, Manipulation und Spionage bergen erhebliche Finanz- und Reputationsrisiken und führen nicht selten zur Existenzgefährdung. Nur wenig diskutiert sind unerlaubte Zugriffe auf Daten und Wissen durch Mitarbeiter und Geschäftspartner. Mögliche Risikoszenarien, aktuelle Herausforderungen und automatisierte Schutzmöglichkeiten sowie forensische Analysen durch spezialisierte IT-Systeme, sogenannte SIEM-Systeme (Security Information and Event Management) werden in diesem Fachbeitrag diskutiert. 1. Einführung und Risikosituation Die Sensibilisierung in deutschen Unternehmen für Cyber-Angriffe von außerhalb kann mittlerweile überwiegend als hoch eingestuft werden. Angriffe durch Hacker mit dem Zweck der Kompromittierung von IT-Systemen oder der Spionage relevanter Daten und Wissen sind in der potenziellen Risikolandschaft der Unternehmung fest verankert. Entsprechend stark sind Maßnahmen zur Risikoabwehr implementiert. Eine in 2011 durchgeführte Studie des Vereins Deutschland sicher im Netz e. V. (DsiN) bei rund Unternehmen zeigt beispielhaft Maßnahmen zur Absicherung der Internetzugänge das in Abbildung 1 zusammengefasste Bild. 1 Standardsicherungssysteme gegen externe Angriffe wie Virenscanner, Spamfilter und Firewall werden von einer Mehrzahl der befragten Unternehmen bereits heute eingesetzt. Komplexere Sicherheitssysteme unter Verwendung von VPNs 1 DsiN e.v.: IT-Sicherheitslage im Mittelstand 2011: Eine Studie von Deutschland sicher im Netz. Online-Befragung von rd Unternehmen verschiedener Größenordnungen von Ein-Personen-Unternehmen bis mehr als 500 Mitarbeiter. Abbildung 1: Absicherung Internetzugänge 32 Risk, Compliance & Audit 6/2012

3 (Virtual Private Network) setzen bis zu 42 Prozent der Unternehmen ein. Mit einer einseitigen Fokussierung auf die Risikoabwehr gegen Angriffe von Unbekannten oder Unternehmensfremden setzten sich Unternehmen jedoch zumeist unbewusst einem weit größeren Schadenspotenzial aus: Angriffe auf IT-Systeme und Spionage von Daten und Wissen welche durch eigene Mitarbeiter oder Geschäftspartner verursacht sind! Die Schäden der deutschen Wirtschaft durch Industriespionage belaufen sich jährlich auf 4,2 Milliarden Euro, so eine Studie der Corporate Trust aus Dies entspricht im Vergleich zu einer Erhebung aus dem Jahr 2007 einer Steigerung von 50 Prozent. Besonders bemerkenswert ist hierbei der Umstand, dass eigene Mitarbeiter in rund 50 Prozent der Fälle für den Informationsabfluss bzw. den Datendiebstahl verantwortlich zeichnen. Zählt man die Angriffsmethoden des Social Engineerings hinzu, bei denen Mitarbeiter instrumentalisiert und zur Weitergabe interner Daten eingesetzt werden, so zieht Corporate Trust durch Untersuchungen folgendes Fazit: Mitarbeiter sind in über 70 Prozent der Fälle an Industriespionage beteiligt. Daten / Wissen Kundendaten Mandantendaten Absatzdaten Angebotsdaten Ausschreibungsdaten Mitarbeiterdaten Bewerberdaten Alumni-Daten Finanzdaten Bilanz-Daten GuV-Daten Risikoberichte Forschungsergebnisse Entwicklungspläne Produktinnovationen Produktionspläne Fertigungsabläufe Konstruktionspläne Notfallpläne Lieferantendaten Beschaffungsdaten Kalkulationen (Preis, Marge, etc.) Risikoorte in Unternehmen (beispielhaft) Vertriebsabteilung Vertriebssteuerung Marketing HR-Abteilung Finanzwesen Controlling Rechnungswesen Stabsabteilungen F&E-Abteilungen Produktionsplanung- und steuerung Konstruktion/Arbeitsvorbereitung Logistikabteilung Supply-Chain-Management 2 Corporate Trust (2012): Studie Industriespionage 2012, aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar. Daten / Wissen Mitgliederdaten Ermittlungsdaten Bürgerdaten Daten Gesundheitswesen Risikoorte in Behörden/ Organisationen Ämter Ermittlungsbehörden Vereine Krankenkassen Tabelle 1: Sensible Datenbestände/Wissen und Risikoorte (beispielhaft) Der Schutz von Daten und Know-how nimmt kaum eine Branche aus und ist unabhängig von der Unternehmensgröße. In Tabelle 1 sind exemplarisch sensible Datenbestände/Wissen und Risikoorte beschrieben. Dies gilt gleichermaßen für Global Player, mittelständische Unternehme und lokal agierende Firmen: So genießen etwa die Kunden- und Transaktionsdaten weltweit agierender Finanzdienstleister einen besonderen Vertrauensschutz. Reputation und Handlungsfähigkeit des Unternehmens hängen in besonderem Maße von der Vertraulichkeit und Integrität dieser Daten ab. Das gleiche gilt auch für kleinere mittelständische Unternehmen aus der Automobilzuliefererbranche. Entwicklungs- und Forschungs-Knowhow, das mit hohen Investitionen und Entwicklungsaufwänden als Unternehmenswert geschaffen wurden, sichert häuft die Alleinstellung und den Wettbewerbsvorsprung. Ein Verlust oder eine Veröffentlichung dieses Wissens hätte verheerende Auswirkungen auf das Unternehmen. Lokal agierende Unternehmen, deren Kundendatenbanken einen besonderen Wert darstellen sehen sich ebenfalls Risiken durch Spionage ausgesetzt. Einen Zugriff durch Wettbewerber auf diese Daten würden Marktanteile und Kundenbeziehungen erheblich gefährden können. Als Fazit gilt es hier festzustellen, dass Unternehmenswerte in Form digitaler Daten einer zunehmenden internen Gefährdung ausgesetzt sind. Die Motivation für den Zugriff auf diese Daten durch Interne bleibt übrigens nicht auf Spionagezwecke beschränkt. Immer wieder sind Fälle dokumentiert, in denen Mitarbeiter aus unterschiedlichen Beweggründen die Vernichtung oder bewusste Sabotage von Wissen und Daten angestrebt und auch erreicht haben. 2. Motivation Risikomanagementsystem Die Motivation zur Begegnung der Risiken liegen auf der Hand, sind aber vielschichtig und gerade vor dem Hintergrund neuer Gesetzgebungen zunehmend komplex. Vordergründige und meistgenannte Motivation ist die Abwehr von mittelbaren oder unmittelbaren Schäden vom Unternehmen. Die Abwehr von Sabotage und Spionage, führt zur Vermeidung oder Abschwächung zumeist signifikanter finanzieller Schäden oder Reputationsrisiken. Zusammenfassend soll die Integrität der Risk, Compliance & Audit 6/

4 Unternehmung und die nachhaltige Existenzsicherung betrieben werden. Ungeachtet der zuvor beschriebenen Motivation lassen sich Gründe für Unternehmen ableiten, Risikomanagementsysteme im Bezug auf Daten und Wissen zwingend implementieren zu müssen. Diese liegen in gesetzlichen oder quasi-gesetzlichen Strukturen verankert und können mit der Überschrift Legalitätspflicht umschrieben werden. Aus dieser Legalitätspflicht wird für Geschäftsleiter die Aufgabe (Pflicht) abgeleitet, Schaden von der Gesellschaft fernzuhalten. 3 Diese Pflicht erstreckt sich nicht nur auf die Rechtstreue des Managers sondern kann die Legalitätskontrolle untergeordneter Mitarbeiter inkludieren. 3. Risikomanagementsysteme zur internen Gefahrenabwehr Die Implementierung effektiver Risikomanagementsysteme mit dem Ziel einer dauerhaften internen Gefahrenabwehr für Daten und Know-how ist ein komplexes Unterfangen. Die Einführung dieser Systeme ist zumeist noch mit Widerständen verbunden, da häufig, gerade in mittelständischen Unternehmen, die in Abbildung 2 zusammengefassten Situationen anzutreffen ist. Erfolgreiche Einführungen in der Praxis zeigen, dass ein strukturiertes Vorgehen bei der Einführung wesentliche Vorbehalte abbauen kann und durch Einbeziehung relevanter Wissensträger im Unternehmen auch rechtliche Möglichkei- 3 Thüsing, Gregor (2010): Arbeitnehmerdatenschutz & Compliance: Effektive Compliance im Spannungsfeld von reformiertem BDSG, Persönlichkeitsschutz und betrieblicher Mitbestimmung, München ten und Grenzen ausreichend untersucht werden können. In jedem Falle empfiehlt es sich die Einführung eines Risikomanagementsystems 4 als eigenständiges Vorhaben im Zuge eines Projektes zu realisieren. Fokussiert man insbesondere auf die operativen Aufgaben 5 zur Einführung eines Risikomanagementsystems, so kann für die interne Gefahrenabwehr der in Tabelle 2 beispielhaft skizzierte und grundlegende Fragenkatalog herangezogen werden. 4. Aktuelle Herausforderungen im Unternehmen Der Schutz von internen Daten und Know-how stellt Unternehmen aktuell vor besondere Herausforderungen, die mehr oder weniger einer technologischen Weiterentwicklung der internen IT-Infrastruktur geschuldet ist. Einige dieser Entwicklungen werde hier beispielhaft skizziert: 1) Durchdringung von PC-Arbeitsplätzen und Vernetzung 2) Bring your own Device 3) Mobilität von Daten und Endgeräten 4) Cloud Computing 5) Big Data 6) Datenschutz. 4 Als weiterführende Literatur sei hier empfohlen: Romeike, Frank/Hager, Peter (2009): Erfolgsfaktor Risiko-Management 2.0, 2. Auflage, Wiesbaden 2009 [Anfang 2013 wird eine dritte und komplett überarbeitete Auflage unter dem Titel Erfolgsfaktor Risiko-Management 3.0 erscheinen.] 5 Die Beachtung normativer Risikomanagementaufgaben wie etwa die Gestaltung einer grundsätzlichen Risikokultur einer Unternehmung bzw. strategischer Aufgaben wie die Ausgestaltung der Risikopolitik, Risikoziele und Risikoorganisation einer Unternehmung werden nicht in diesem Fachartikel diskutiert. Empfohlen sei hierzu Denk/Exner-Merkelt/Ruthner (2008): Corporate Risk Management, 2. Auflage, Linde Verlag Rollen & Prozesse Compliance Rollen, Prozesse und Funktionen einer Compliance-Struktur sind kaum oder nicht ausgeprägt. Risikobewusstsein Risikobewusstsein aufgrund nur geringer oder nicht aufgetretener Schadensfälle ist noch nicht gegeben. Legalitätspflicht Mögliche Konsequenzen aus der Legalitätspflicht werden unterschätzt oder sind unbekannt. Return on Investment Der betriebswirtschaftliche Return on Investment des Risikomanagementsystems kann nicht ausreichend dargestellt werden. Know-how Know-how in den IT-Abteilungen und Fachabteilung für Risikoaudits und zur Einführung von Überwachungssystemen sind nicht ausreichend vorhanden. Persönlichkeitsrechte Vorbehalte und Ängste, dass automatisierte Risikomanagementsysteme Persönlichkeitsrechte der Mitarbeiter und damit Gesetze verletzen. Abbildung 2: Situationsanalyse vor Einführung Risikomanagementsystem 34 Risk, Compliance & Audit 6/2012

5 Aufgaben Auditfragen (exemplarisch, nicht erschöpfend): 1. Risikoidentifikation Welche sensiblen Datenbestände / bzw. Wissen ist zu schützen? Welche Mitarbeiter haben Zugriff auf sensible Daten? Welche Mitarbeiter können sich Zugriff verschaffen? Welche IT-Systeme (Server, Netzwerke, Applikationen, Datenbanken, etc. ) sind involviert und zu schützen? Welche Risiken können automatisiert identifiziert werden? 2. Risikobewertung Welche Risiken können effektiv aus Sabotage oder Spionage von Daten entstehen? Welche Risiken können effektiv aus Sabotage oder Spionage von involvierten IT-Systemen entstehen? Welches quantifizierte Bruttorisiko (Schadenshöhe X Eintrittswahrscheinlichkeit) weisen die einzelnen Risiken auf? Welche Risiken können automatisiert bewertet werden? 3. Risikosteuerung Welche Risiken können (aufgrund geringen Bruttorisikos) vernachlässigt werden? Welche Risiken bedürfen einer aktiven Steuerung? Welche Risiken sind aufgrund hohen Bruttorisikos zuerst zu steuern? Welche konkreten Steuerungsmaßnahmen sind zu implementieren? Welche Risiken können automatisiert gesteuert werden? 4. Risikoüberwachung Welche Veränderungen treten bei den Risiken auf? Welche Risiken kommen laufend aufgrund neuer Aufgaben, Geschäftsprozesse, Geschäftspartner, Geschäftsbeziehungen etc. hinzu? Welche Risiken sind eingetreten? Wie effektiv sind die Risikosteuerungsmaßnahmen? Welche ergänzenden Maßnahmen sind bei der Risikosteuerung zu beachten? Wie können Risiken automatisiert überwacht werden? Tabelle 2: Beispielhafte Auditfragen zur Einführung eines Risikomanagementsystems Die Durchdringung der PC-Arbeitsplätze mit Zugriff auf Unternehmensnetzwerke, Daten und Wissen hat in den vergangenen Jahren sehr stark zugenommen. Vielfältige betriebliche Funktionen und Geschäftsprozesse nutzen moderne Informationstechnologien und erhalten damit direkt oder indirekt Zugriff über Netzwerke auf sensible Datenbestände oder Kernwissen der Unternehmung. Häufig erfolgen noch undifferenzierte Genehmigungen des Zugriffs auf Datenbestände und Wissen außerhalb des notwendigen Funktionsbereichs. Die erlaubte oder unerlaubte Nutzung eigener privater Endgeräte wie Smartphones, Pads oder Tablet-PCs wird zusammenfassend unter dem Begriff BYOD (Bring Your Own Device) subsummiert. Die Vernetzung dieser Geräte etwa durch WLAN zur privaten oder betrieblichen Nutzung führt dazu, dass das Überwachungsspektrum unerlaubter Zugriffe erheblich an Komplexität zunimmt. Die Überwachung der Zugriffe auf Daten und Wissen erstreckt sich durch die zunehmende Mobilisierung zunehmend auf Bereiche außerhalb des Unternehmens oder abgegrenzter Betriebsstätten. So sind heute Konstellationen nicht mehr unüblich, bei denen etwa ein Außendienstvertreter für Finanzdienstleistungen von beliebigen Orten via Laptop und VPN-Zugriff auf alle Kunden- und Transaktionsdaten seines Unternehmens hat. Ein weiterer Megatrend, der die Überwachung von Zugriffen auf Daten und Wissen der Unternehmung deutlich erschweren dürfte sind Entwicklungen im Cloud Computing. Die skalierbare, in der Regel kosteneffiziente und flexible Bereitstellung von Diensten (Infrastruktur, Plattformen, Software, Datenbanken) durch Cloud Service-Provider bedeuten zumindest eine deutliche Erweiterung des Überwachungsfeldes. Ferner kann ein erhebliches Anwachsen der Datenmengen in nahezu allen Unternehmen festgestellt werden. Das Volumen dieser Datenmengen übersteigt die gemeinhin bekannten Mega- und Giga-Byte-Dimensionen und wir aktuell in Teraund Petabyte-Dimensionen diskutiert. Im Hinblick auf die in diesem Fachartikel diskutierte Thematik haben diese Big-Data zumindest zwei verschiedene Perspektiven. Zum einen ist der Umfang der schützenwerten Daten, auch durch notwendige Archivierungen immer häufiger in einem Big-Data-Bereich anzusiedeln. Darüber hinaus erfordert die Überwachung der Zugriffe in einem real-time-modus die Verarbeitung von Big- Data. Risk, Compliance & Audit 6/

6 Weiterhin kann konstatiert werden, dass die Datenschutz- Thematik sehr stark an Bedeutung gewonnen hat. Eine zunehmende Sensibilisierung der Unternehmen für den gesetzeskonformen Umgang mit schutzwürdigen, personenbezogen Daten ist festzustellen. Vor diesem Hintergrund hat auch die Auswahl und Entscheidung für eine bestimmte SIEM-Technologie zu erfolgen: Diese hat wie weiter unten ausgeführt wird, die Datenschutzbestimmung bei der Realisierung des funktionalen Leistungsspektrums zwingend zu berücksichtigen. Zusammenfassend kann hier festgestellt werden dass bedingt durch dynamische technologische Veränderungen der universelle, zeit- und ortsunabhängige Zugriff auf schützenswerte Daten und Wissen heute im Grundsatz einfacher möglich ist. Eine manuelle Überwachung durch Menschen auf Basis von Arbeitsanweisungen und Regelwerken wird heute in vielen Unternehmen nicht mehr alleine ausreichend sein, Missbrauch, Manipulation, Spionage und Sabotage von Daten etwa durch Mitarbeiter zu verhindern. Zunehmend wird daher nach IT-gestützten Lösungen gesucht, welche Zugriffe auf Daten, Know-how und Wissen durch Mitarbeiter überwachen können, ohne deren Persönlichkeitsrechte wie beispielsweise Datenschutz zu verletzen. Unter dem Stichwort SIEM (Security Information und Event Management) werden IT-Technologien subsummiert, die sich dieser Herausforderung stellen. Im Folgenden werden Wesen, Funktionsweise, Nutzen und Grenzen dieser Risikomanagementsysteme dargestellt. 5. Begriff und Funktionsweise SIEM-Systeme Unter dem Begriff Security Information und Event Management-Technologien (SIEM) können Informationssysteme subsummiert, welche Daten aus zumeist unternehmensinternen Quellen sammeln um daraus Rückschlüsse auf bestimmte (Sicherheits-)Ereignisse zu treffen. Zu den Quellen können bspw. Informationen aus dem Netzwerk, Applikationen, Clients (Benutzern), Servern und Datenbanken gezählt werden. Folgende wesentlichen Funktionalitäten repräsentieren als integrale Bestandteile eine Prozesskette moderner SIEM-Technologien (vgl. Abbildung 3). Initialer und wesentlicher Bestandteil der SIEM-Prozesskette ist die Sammlung relevanter Informationen (Collecting). Welche Informationen gesammelt werden ist unternehmensindividuell festzulegen und in einem Monitoringsystem zu hinterlegen. Informationen können etwa Nutzerzugriffe auf Datenbanken sein, Speicherung von Daten auf USB-Sticks oder Start und Beendigung von Programmen (Applikationen). Wesentlich ist hierbei, dass jede Information auf einen Nutzer oder Anwender zurückgeführt werden kann, was im Falle von Missbrauch gerade mit strafrechtlichem Hintergrund forensische Analysen möglich macht. Information einer Quelle können als Event verstanden werden. Anhand eines Regelwerks werden Events bewertet. Einzelne kritische Events (Beispiel: Ein Sachbearbeiter in der Buchhaltung greift auf PPS-Daten zu und brennt aktuelle Fertigungs- und Produktionspläne auf eine CD) oder eine Häufung von Events in einer bestimmten Zeitperiode (Beispiel: ein Sachbearbeiter eines Kreditinstituts fragt innerhalb eines Tages Kundendatensätze ab) führen zu einem Offence. Ein Offence ist ein Vergehen gegen eine Rule (Regel) des Regelwerks. Regelwerke sind inhärente Bestandteile der SIEM-Technologie und sind ebenso unternehmensindividuell anzupassen. Erfolgt ein Offence, so wird eine sogenannte Alarmfunktion aktiviert (Alerting). Die Alarmfunktion stellt sicher, dass ein zuvor definierter Personenkreis über das Offence informiert wird. Leistungsfähige SIEM-Produkte stellen Abbildung 3: Integrierter SIEM-Prozess mit Monitoring und Ticketingsystem 36 Risk, Compliance & Audit 6/2012

7 sicher, dass die Alarmfunktion zeitgleich zum Offence passiert. Grundsätzlich werden alle Events gespeichert und sind damit dokumentiert (Storage). Nach verschiedenen Berichtsebenen differenziert, können Events und Offences zu Reports konsolidiert werden und periodisch oder regelbasiert erstellt und verteilt werden. Ticketsysteme stellen sicher, dass auffällige Ereignisse (Offences) einem vorstrukturierten Prozess (Processing) sicher durchlaufen. Hier wird definiert, wer bei welchen Offences informiert wird und welche ggf. automatisierten Routinen zu durchlaufen sind (Sperrung Datenbank, Sperrung Zugriff auf Produktivsystem ). Zusammenfassend kann festgestellt werden, dass SIEM-Systeme die automatisierte Identifikation, Bewertung, Steuerung und Überwachung von Risken beim Zugriff auf Datenbestände, Wissen und Know-How sehr gut unterstützen können. Die Automatisierung wird dann durch SIEM-Systeme sehr gut funktionieren, wenn die zuvor Definierten Informationen, Events, Offences und Rules präzise formuliert und in den jeweiligen Systemen, auch im Monitoring und Ticketingsystem hinterlegt sind. 6. Fazit und Vorgehen bei der Einführung von SIEM-Technologien Die Daten und das Wissen eines Unternehmens sind besonders schützenswert. Da wie festgestellt Sabotage, Manipulation und Spionage sehr häufig durch unternehmensinterne oder unternehmensnahe Personen nachgewiesen werden (Mitarbeiter bzw. Geschäftspartner) sind hier besondere Risikokonzepte notwendig. Die manuelle Identifikation, Bewertung, Steuerung und Überwachung des Datenverkehrs ist heute aufgrund vielfältiger Komplexität involvierter IT-Systeme und Hardware kaum mehr möglich. Integrierte SIEM-Systeme bieten in der Regel zuverlässige automatisierte Unterstützung. Die Implementierung dieser Systeme zum Schutz der Daten benötigt spezifisches Know-how, das nicht in jedem Unternehmen vorgehalten werden kann. Die Eignung von IT-Dienstleistern und Softwareanbieter auf dem Gebiet der SIEM-Technologien sind auf die in Tabelle 3 zusammengefassten Fragestellungen hin zu überprüfen. Autoren: Prof. Dr. Stefan Ruf ist Professor für Informationsmanagement an der Hochschule Albstadt-Sigmaringen. Hans- Baldung Luley ist Geschäftsführer der Netzwerk GmbH in Filderstadt bei Stuttgart. Marcel Bartetzki ist Senior Consultant bei der Netzwerk GmbH in Filderstadt bei Stuttgart. Entscheidungsfragen? Welche Referenzen hat der Anbieter/Dienstleister? Welche spezifische Kompetenzen kann der Anbieter/Dienstleister nachweisen? Welche Funktionalitäten weisen die SIEM-Lösungen des Anbieters auf? Sind die Überwachungs- und Kontrollfunktionen in Übereinstimmung mit Gesetzen, Betriebsvereinbarungen konzipiert oder konzipierbar? Konkretisierung! Existieren funktionsfähige Installationen? Welche Funktionen wurden genau realisiert? Gibt es Referenzgeber in derselben Branche? Risikomanagement IT-System- und Infrastrukturmanagement Geschäftsprozessmanagement Incident-Management (Notfall-Management) Ticketing-System-Management Netzwerkmanagement, Client-Management Big-Data-Management (Handling großer Datenmengen) Incident- und Eventmanagementfunktionen Feinjustierbare Regelsysteme für Offences ggf. mit Korrelationsfunktionen/Heuristiken Monitoringfunktion Reportingfunktion Pseudonymisierungsfunktionen von Personendaten Werden relevante Gesetze bei der Speicherung personenbezogener Daten eingehalten? Existieren Datenschutzkonzepte? Erfolgt die notwendige Pseudonymisierung von Informationen, Events, Offences? Existieren externe Gutachten (Nachweise) über die Compliance der Lösung? Existieren Einführungskonzepte die alle relevanten Stakeholder involvieren (Unternehmensführung, IT-Security-Manager, Datenschutzbeauftragte, Personalrat)? Tabelle 3: Kriterienkatalog für die Anbieterauswahl von SIEM-Systemen Risk, Compliance & Audit 6/

Enterprise Mobility Marktüberblick und Trends STEFAN KÜHLE DIPLOM-INGENIEUR (FH) BUSINESS DEVELOPMENT MANAGER

Enterprise Mobility Marktüberblick und Trends STEFAN KÜHLE DIPLOM-INGENIEUR (FH) BUSINESS DEVELOPMENT MANAGER Enterprise Mobility Marktüberblick und Trends STEFAN KÜHLE DIPLOM-INGENIEUR (FH) BUSINESS DEVELOPMENT MANAGER AGENDA SEVEN PRINCIPLES Enterprise Mobility: Trends und Einflüsse Herausforderungen Enterprise

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Datenschutz und Informationssicherheit 03.09.2015

Datenschutz und Informationssicherheit 03.09.2015 Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand

Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Moderne Arbeitsstile im Unternehmen Faktor Mensch vs. Moderne Technik? Frank Roth - Vorstand Was versteht man unter modernen Arbeitsstilen? Moderne Arbeitsstile erhöhen Mitarbeiterproduktivität und zufriedenheit

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones. Matthias Klocke. Bildquelle: CC-BY-3Gstore.

Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones. Matthias Klocke. Bildquelle: CC-BY-3Gstore. Herausforderungen bei der Mobilisierung von Unternehmensprozessen mit Hilfe von Tablets und Smartphones Matthias Klocke Bildquelle: CC-BY-3Gstore.de Lynx in Fakten 1989 gründet Hans-Joachim Rosowski das

Mehr

Grundlagen des Risikomanagements im Unternehmen ebook

Grundlagen des Risikomanagements im Unternehmen ebook Grundlagen des Risikomanagements im Unternehmen ebook von Werner Gleißner 1. Auflage Grundlagen des Risikomanagements im Unternehmen ebook Gleißner wird vertrieben von beck-shop.de Thematische Gliederung:

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund T.I.S.P. Community Meeting 2013 ISMS: Arbeitsplatz der Zukunft Chancen, Potentiale, Risiken, Strategien Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund so könnte der Arbeitsplatz der

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Mobile-Device-Management (MDM)

Mobile-Device-Management (MDM) Mobile-Device-Management (MDM) Mobile-Device-Management (MDM; deutsch Mobilgeräteverwaltung) steht für die zentralisierte Verwaltung und Überwachung der mobilen Infrastruktur eines Unternehmens (Oganisation)

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück Datenschutz bei mobilen Endgeräten Vortrag am 27.11.2012 Sutthauser Straße 285 49080 Osnabrück GmbH Datenschutz und IT - Sicherheit Telefon: 0541 600 79 296 Fax: 0541 600 79 297 E-Mail: Internet: datenschutz@saphirit.de

Mehr

Industriespionage im Mittelstand

Industriespionage im Mittelstand Industriespionage im Mittelstand Die Sicherheitsbranche hat für die neue Art dieser Bedrohung den Fachterminus Advanced Persistent Threats (APTs) geprägt. Darunter versteht sie die fortwährende und fortgeschrittene

Mehr

Prof. Dr. Rainer Elschen

Prof. Dr. Rainer Elschen Risikomanagement II - Vorlesung 4 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 66 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Master-Thesis (m/w) für unseren Standort Stuttgart

Master-Thesis (m/w) für unseren Standort Stuttgart Master-Thesis (m/w) für unseren Standort Abschlussarbeit im Bereich Business Process Management (BPM) Effizienzsteigerung von Enterprise Architecture Management durch Einsatz von Kennzahlen Braincourt

Mehr

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Profilrichtungen Englische Übersetzung Beschreibung Informationssicherheit Information Security Diese Profilrichtung behandelt

Mehr

Big Data Herausforderungen und Chancen für Controller. ICV Jahrestagung, 19.05.2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC

Big Data Herausforderungen und Chancen für Controller. ICV Jahrestagung, 19.05.2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC Big Data Herausforderungen und Chancen für Controller ICV Jahrestagung, 19.05.2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC BARC: Expertise für datengetriebene Organisationen Beratung Strategie

Mehr

Risiko-Controlling. für den Mittelstand. Stand und Ausgestaltung in mittelständischen Unternehmen. Wesentliche Risiken erkennen, bewerten und steuern

Risiko-Controlling. für den Mittelstand. Stand und Ausgestaltung in mittelständischen Unternehmen. Wesentliche Risiken erkennen, bewerten und steuern Prof. Dr. Thomas Reichmann DCC Seminare Technische Universität Dortmund Institut für Controlling Gesellschaft für Controlling e.v. (GfC) Risiko-Controlling für den Mittelstand Stand und Ausgestaltung in

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP SIEM Wenn Sie wüssten, was Ihre Systeme wissen Marcus Hock, Consultant, CISSP SIEM was ist das? Security Information Event Monitoring System zur Echtzeitanalyse von Ereignissen, die durch Hardware- oder

Mehr

Ris ik o Wirtsc haftskrimin alität Innerbetrieblicher Widerstand gegen Compliance 10.05.2011 Corporate Trust Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher

Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher Risikomanagement bei zertifizierten österreichischen Unternehmen Hedwig Pintscher Umfrage Risikomanagement Im Sommer 2010 wurde in Zusammenarbeit von Quality Austria und Mag. Hedwig Pintscher eine Umfrage

Mehr

GrECo JLT Risk Consulting GmbH

GrECo JLT Risk Consulting GmbH www.greco.eu GrECo JLT Risk Consulting GmbH Ihr unabhängiger Partner für Operatives Risikomanagement Januar 2013 Über GrECo JLT Risk Consulting GrECo JLT Risk Consulting ist eine eigenständige Gesellschaft

Mehr

Bedeutung der IT-Sicherheit bei mobilen Geschäftsanwendungen

Bedeutung der IT-Sicherheit bei mobilen Geschäftsanwendungen Bedeutung der IT-Sicherheit bei mobilen Geschäftsanwendungen Dr.-Ing. Kpatcha M. Bayarou SimoBIT-Talk bei der Hessen-IT-Preisverleihung Mobil gewinnt 22. September 2010 Mathematikum, Gießen Agenda Motivation:

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

Wirtschaftspionage heute. Wolfram Nötzel Business Manager IT Security & Datacenter Services

Wirtschaftspionage heute. Wolfram Nötzel Business Manager IT Security & Datacenter Services Wirtschaftspionage heute Wolfram Nötzel Business Manager IT Security & Datacenter Services Wirtschaftsspionage NRW Inhaber- oder familiengeführte Unternehmen setzen bei ihren Mitarbeitern auf das Vertrauensprinzip.

Mehr

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Enterprise Risikomanagement nach ISO 31000 MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Basis des operativen Risikomanagement Was ist unter dem Begriff Risiko zu verstehen? GEFAHR? Begutachtung

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

Vom Intranet zum Knowledge Management

Vom Intranet zum Knowledge Management Vom Intranet zum Knowledge Management Die Veränderung der Informationskultur in Organisationen von Martin Kuppinger, Michael Woywode 1. Auflage Hanser München 2000 Verlag C.H. Beck im Internet: www.beck.de

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Sicherheit für Ihre Daten. Security Made in Germany

Sicherheit für Ihre Daten. Security Made in Germany Sicherheit für Ihre Daten Security Made in Germany Auf einen Blick. Die Sicherheitslösung, auf die Sie gewartet haben. Sicherheitslösungen müssen transparent sein; einfach, aber flexibel. DriveLock bietet

Mehr

Pressemitteilung: Innovationen im Zertifikatsmanagement mit Cert n Key und die Auswirkungen auf die Sicherheit der IT-Infrastruktur und die Compliance

Pressemitteilung: Innovationen im Zertifikatsmanagement mit Cert n Key und die Auswirkungen auf die Sicherheit der IT-Infrastruktur und die Compliance Pressemitteilung: Innovationen im Zertifikatsmanagement mit Cert n Key und die Auswirkungen auf die Sicherheit der IT-Infrastruktur und die Compliance Zertifikate bestimmen innerhalb der IT die Vertrauensbeziehungen.

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Virtual Roundtable: Business Intelligence - Trends

Virtual Roundtable: Business Intelligence - Trends Virtueller Roundtable Aktuelle Trends im Business Intelligence in Kooperation mit BARC und dem Institut für Business Intelligence (IBI) Teilnehmer: Andreas Seufert Organisation: Institut für Business Intelligence

Mehr

Geschäftsprozessmanagement in der Praxis

Geschäftsprozessmanagement in der Praxis Geschäftsprozessmanagement in der Praxis Kunden zufrieden stellen - Produktivität steigern - Wert erhöhen von Hermann J. Schmelzer, Wolfgang Sesselmann 7., überarbeitete und erweiterte Auflage 2010 Hanser

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Erfolgsfaktoren der Hidden Champions

Erfolgsfaktoren der Hidden Champions Erfolgsfaktoren der Hidden Champions Management von KMUs Wachstum - Innovation - Internationalisierung 4. - 5. September 009 Alpen-Adria Universität Klagenfurt University of Applied Sciences Erfolgsfaktoren

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos

Bring Your Own Device. Roman Schlenker Senior Sales Engineer Sophos Bring Your Own Device Roman Schlenker Senior Sales Engineer Sophos Der Smartphone Markt Marktanteil 2011 Marktanteil 2015 Quelle: IDC http://www.idc.com Tablets auf Höhenflug 3 Bring Your Own Device Definition

Mehr

Vortrag. Systembasiertes Risiko-Controlling für den Mittelstand. 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth

Vortrag. Systembasiertes Risiko-Controlling für den Mittelstand. 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth Vortrag Systembasiertes Risiko-Controlling für den Mittelstand Dr. Klaus Blättchen Geschäftsführer syscon Copyright - syscon Unternehmensberatung GmbH syscon

Mehr

Cloud Services - Innovationspotential für Unternehmen

Cloud Services - Innovationspotential für Unternehmen Cloud Services - Innovationspotential für Unternehmen Oliver Möcklin Geschäftsführer ORGATEAM GmbH Beratung auf Augenhöhe Was macht ORGATEAM BSI Compliance IT Strategie Rechenzentrumsplanung Chancen- und

Mehr

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

Technische Umsetzung eines Modells zur Quantifizierung operationeller Risiken. 13. Juni 2013 Marion Hoffstetter

Technische Umsetzung eines Modells zur Quantifizierung operationeller Risiken. 13. Juni 2013 Marion Hoffstetter Technische Umsetzung eines Modells zur Quantifizierung operationeller Risiken 13. Juni 2013 Marion Hoffstetter I. Dr. Peter & Company AG II. Modell zur Quantifizierung von OpRisk III. Entwicklung eines

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Wenn komplexe Systeme sicher sein müssen...

Wenn komplexe Systeme sicher sein müssen... Wenn komplexe Systeme sicher sein müssen... IT-Services Schleupen.Mobility Management IT-Security www.schleupen.de Effiziente IT-Lösungen für die Energiewirtschaft Die Situation Ohne IT funktioniert heutzutage

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

IT-Herausforderungen für den Mittelstand Hat Ihr Unternehmen eine digitale Agenda? Christoph Plass Vorstand UNITY, Büren

IT-Herausforderungen für den Mittelstand Hat Ihr Unternehmen eine digitale Agenda? Christoph Plass Vorstand UNITY, Büren IT-Herausforderungen für den Mittelstand Hat Ihr Unternehmen eine digitale Agenda? Christoph Plass Vorstand UNITY, Büren Managementberatung für zukunftsorientierte Unternehmensgestaltung UNITY-Beratungsansatz

Mehr

Vertrauen und Sicherheit im Banking 2.0

Vertrauen und Sicherheit im Banking 2.0 Ole Petersen Partner, IBM Global Business Services Executive, IBM Deutschland GmbH Vertrauen und Sicherheit im Banking 2.0 Frankfurt, 16. November 2010 im Rahmen der Euro Finance Week 2010 / Retail Banking

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

inxire Enterprise Content Management White Paper

inxire Enterprise Content Management White Paper inxire Enterprise Content Management White Paper inxire Enterprise Content Management Einleitung Die Informationstechnologie spielt eine zentrale Rolle für den Informationsaustausch und die Zusammenarbeit

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes Vorlesung im Sommersemester 2009 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

CLOUD COMPUTING IN DEUTSCHLAND 2013

CLOUD COMPUTING IN DEUTSCHLAND 2013 Fallstudie: Dimension Data IDC Multi-Client-Projekt CLOUD COMPUTING IN DEUTSCHLAND 2013 Business-anforderungen und Geschäftsprozesse mit Hilfe von Cloud services besser unterstützen Dimension Data Fallstudie:

Mehr

IT ist kein Glücksspiel! mit TIBCO LogLogic verborgene Informationen nutzen. DICOS GmbH Kommunikationssysteme

IT ist kein Glücksspiel! mit TIBCO LogLogic verborgene Informationen nutzen. DICOS GmbH Kommunikationssysteme IT ist kein Glücksspiel! mit TIBCO LogLogic verborgene Informationen nutzen DICOS GmbH Kommunikationssysteme Freundliche Grüße aus Koblenz Unser Geschäft ist das Glücksspiel. Da wir es uns in der IT nicht

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

www.pwc.de Zentrum für Wissenschaftsmanagement (ZWM) 18. und 19. Juni 2012 Dresden

www.pwc.de Zentrum für Wissenschaftsmanagement (ZWM) 18. und 19. Juni 2012 Dresden www.pwc.de Zentrum für Wissenschaftsmanagement (ZWM) 18. und 19. Juni 2012 Dresden www.pwc.com Risikomanagementsysteme aus der Sicht des Wirtschaftsprüfers WP StB Michael Windisch Übersicht Was ist Risikomanagement?

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

COSYNUS Enterprise Mobility 2012 Produktstrategie Lösungen für Unternehmenskunden

COSYNUS Enterprise Mobility 2012 Produktstrategie Lösungen für Unternehmenskunden COSYNUS Enterprise Mobility 2012 Produktstrategie Lösungen für Unternehmenskunden Michael Reibold, Geschäftsführer 3. COSYNUS Partner Roadshow 2011 Silber-Sponsor 3. COSYNUS Partner Roadshow 2011 Bronze-Sponsoren

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT

IT-Service IT-Security IT-Infrastruktur Internet. Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT IT-Service IT-Security IT-Infrastruktur Internet Herzlich Willkommen zu unserem BARBECUE-On.NET Schatten-IT Woran haben wir heute gedacht? Quelle: www. badische-zeitung.de Vorstellung der heutigen Themen

Mehr

Maßnahmen von Banken in Deutschland zur Umsetzung der 3. EU-Geldwäscherichtlinie

Maßnahmen von Banken in Deutschland zur Umsetzung der 3. EU-Geldwäscherichtlinie Maßnahmen von Banken in Deutschland zur Umsetzung der 3. EU-Geldwäscherichtlinie Kernthema Business Risk Management Steria Mummert Consulting AG Maßnahmen von Banken in Deutschland zur Umsetzung der 3.

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Cyber-Sicherheits-Exposition

Cyber-Sicherheits-Exposition BSI-Veröffentlichungen zur Cyber-Sicherheit EMPFEHLUNG: MANAGEMENT Cyber-Sicherheits-Exposition Voraussetzung für eine wirksame Absicherung von Netzen und IT-Systemen in Unternehmen, Behörden und anderen

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Best Practise Kundenbeispiel forcont factory FX Personalakte

Best Practise Kundenbeispiel forcont factory FX Personalakte 1 Best Practise Kundenbeispiel forcont factory FX Personalakte Robin Lucas forcont Wolfgang Löffelsender T-Systems forcont business technology gmbh Nonnenstraße 39 04229 Leipzig Wittestraße 30 E 13509

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Willkommen bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Was nutzen Sie heute schon in der Cloud? Mobil Privat-PC Gmail Deutsche Bank Flickr Wikipedia

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Big Data: Nutzen und Anwendungsszenarien. CeBIT 2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC

Big Data: Nutzen und Anwendungsszenarien. CeBIT 2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC Big Data: Nutzen und Anwendungsszenarien CeBIT 2014 Dr. Carsten Bange, Gründer und Geschäftsführer BARC Big Data steht für den unaufhaltsamen Trend, dass immer mehr Daten in Unternehmen anfallen und von

Mehr