AuditBasics Informationsunterlagen

Größe: px
Ab Seite anzeigen:

Download "AuditBasics Informationsunterlagen"

Transkript

1 AuditBasics Informationsunterlagen

2 Inhaltsverzeichnis 1. AuditBasics Flyer Die Software-Lösung für das systemübergreifende, dynamische Audit Seite 3 2. Flyer Einhaltung von Gesetzen und Richtlinien mit AuditBasics Seite 7 3. Überblick zu den IT-Sicherheits-Richtlinien und Gesetzen Seite Flyer AuditBasics-Einsatz im dynamischen Auditprozess auf Basis der IT-Grundschutzkataloge des BSI Seite AuditBasics-Policies Seite AuditBasics- Presseberichte Seite 51

3 1. AuditBasics Flyer Die Software-Lösung für das systemübergreifende, dynamische Audit

4 Die Software-Lösung für das systemübergreifende, dynamische IT-Audit Mit AuditBasics decken Sie kritische Zustände und Ereignisse in Ihren IT-Systemen auf und stellen eine kontinuierliche und dokumentierte Überwachung sicher. AuditBasics by DEMAL

5 Permanente Überwachung Ihrer IT-Sicherheit Die IT in ihrer Gesamtheit spielt in Unternehmen und Institutionen eine immer bedeutendere Rolle. Ausfälle und Störungen sind folgenreich. Entsprechend wichtig ist ein hohes Maß an Daten- und IT-Sicherheit. Datenflut bremst die IT-Sicherheit Pro Sekunde werden mehrere tausend Sicherheitsmeldungen durch die verschiedenen IT-Systeme protokolliert. Für die meisten IT-Abteilungen ist die Datenmenge jedoch viel zu groß, um sie sorgfältig sammeln, abgleichen, analysieren und Sicherheitsbedrohungen identifizie- ren zu können. Dabei liefert häufig erst der Überblick über alle Systeme die wichtigen Erkenntnisse. Gesetzliche Anforderungen nehmen zu Eine wachsende Zahl an nationalen und internationalen Gesetzen und Richtlinien stellt hohe Anforderungen an die IT-Sicherheit und das Berichtswesen. Gefordert werden unter anderem umfangreiche IT-Sicherheits-Audits. Bei Nichteinhaltung drohen persönliche Haftung (z.b. nach KonTraG), Marktzugangsbarrieren (z.b. nach SOX) oder auch Schwierigkeiten bei der Kreditaufnahme (z.b. wegen Basel II). AuditBasics Werkzeug für das dynamische IT-Audit aller Systeme AuditBasics ist eine systemübergreifende und plattformunabhängige Software-Lösung. Mit ihr werden strukturierte und unstrukturierte Daten der unterschiedlichsten Systeme permanent erfasst, überwacht und einheitlich ausgewertet. AuditBasics analysiert schnell und effizient Systeminformationen wie z.b. Event-Logs oder Config- Logs. Die Ergebnisse werden automatisch in Berichten aufbereitet und an die jeweils zuständigen Stellen versendet. AuditBasics ist somit im gesamten Auditprozess einsetzbar - von der Erstanalyse bis zur dauerhaften Überwachung. Zeit- und Kostenersparnis durch vordefinierte Policies Auswertungsvorschriften (Policies), welche die DEMAL mit Partnern aus der Wirtschaft und BSI-Auditoren entwickelt hat, bilden ein ideales Fundament für ein dynamisches Audit. Sie stehen für die Systeme z/os, Windows, UNIX und OS/400 zur Verfügung. Individuelle Policies, beispielsweise für interne Vorschriften, können nach Ihren spezifischen Anforderungen erstellt werden. Die Key Features auf einen Blick Graphical-Mask-Editor zum Import unstrukturiert erscheinender Daten System- und plattformunabhängiger Import Dateiverkettung, z.b. Import der Config-Logs einer ganzen Server-Farm in eine einzige Tabelle* Verknüpfte Auswertung und Abgleich mehrerer Dateien (Cross-Logfile-Analyse) Verfügbarkeit vordefinierter und individueller Auswertungen (Policies) Zeitgesteuerte, automatische Auswertungen/Batch- Verarbeitung (dynamisches Audit) Echtzeit-Benachrichtigung per SMS und * Revisionssichere Archivierung der Original-Rohdaten mit Zertifikat/Hashwert Benutzerverwaltung/Berechtigungssystem* Ergebnisse der Analysen als individualisierte Dokumente/Dateien Integriertes und kontextsensitives Hilfesystem Integrierte Hypersonic-SQL Datenbank Alternativ: Anbindung an externe Datenbank-Server* * nur in der Expert Version Effiziente Datenanalyse mit der 3-Step-Methode Mit der 3-Step-Methode von AuditBasics werden die gewünschten Dateien automatisiert ausgewertet. Alle hierzu erforderlichen Informationen bilden ein Auswertungsprojekt, das beliebig oft, auch zeitgesteuert, verarbeitet werden kann. Die Anzahl der Projekte ist nicht begrenzt. Import Die auszuwertenden Protokolldateien werden regelmäßig, z.b. täglich, von den erzeugenden Systemen mit Standardverfahren (z.b. FTP, SFTP) zum AuditBasics- Auswertungsrechner transferiert. Agentensysteme sind nicht notwendig. Die dort verfügbaren Dateien werden importiert und dadurch in SQL-Tabellen umgesetzt. Das Einlesen von strukturierten Dateien (Delimiter) ist selbstverständlich. Aber auch scheinbar völlig unstrukturierte Daten können mit dem Graphical-Mask-Editor mühelos importiert werden. Verarbeitung Unterstützt durch Formeleditor, Filter und grafische Tools werden Auswertungsvorschriften (Policies) definiert. Die konsolidierte Verarbeitung mehrerer Dateien stellt die Cross-Logfile-Analyse dar. Nur so können widersprüchliche Informationen erkannt werden, die bei Betrachtung der einzelnen Dateien unerkannt blieben. Export v q b Hier erfolgt die optische Aufbereitung und Corporate Design-Anpassung der Ergebnisse zur Weitergabe an die jeweils zuständigen Stellen wie z.b. Geschäftsleitung, IT- Leitung, Betriebsrat wahlweise in den Formaten HTML, RTF, PDF bzw. CSV oder XML. Bei kritischen Vorfällen, z.b. nicht autorisiertem Zugriff auf das CEO-Benutzerkonto, erfolgt die sofortige Benachrichtigung der zuständigen Stelle per SMS oder . AuditBasics by DEMAL

6 Anwendungsbeispiele Dateivergleiche Datenübernahme Analyse von Logfiles und IT-Konfigurationen Statische und dynamische Audits für die Datensicherheit Ihre Vorteile AuditBasics Effizientes Analysieren durch Verarbeitung beliebiger Protokollinformationen von unterschiedlichen Einzelsystemen Absicherung der unternehmenskritischen Daten durch umfassende Auswertung und Kontrolle aller Systeme und Anwendungen Einhaltung von nationalen und internationalen IT-Security- Richtlinien und -Gesetzen durch systemübergreifende Logfile-Analyse Sicherheitslücken erkennen durch Aufdecken kritischer Ereignisse und Schwachstellen Ihrer IT-Infrastruktur Datenschutzrechtliche Missbräuche eindämmen durch deutlich verkürzte Reaktionszeiten Permanente Aktualität durch fortwährende und lückenlose Auditierung Arbeitszeitersparnis durch automatisierte Auswertungen Effektives Richtlinien-Management durch vorgefertigte, praxisrelevante Policies Benutzerfreundlichkeit durch leicht lesbare Reports Kostenersparnis durch minimalen Installationsaufwand und maximale Systemkompatibilität Flexibilität durch universelle Einsetzbarkeit in allen Unternehmen und Unternehmensbereichen Erfolgssteigerung durch erhöhte Transparenz, Qualität und Vertrauen gegenüber Mitarbeitern, Kunden und Lieferanten by DEMAL DEMAL GmbH Hembacher Str. 2b Schwarzenbruck Tel: 09183/ Fax: 09183/ DEMAL

7 2. Flyer Einhaltung von Gesetzen und Richtlinien mit AuditBasics

8 International anerkannte Sicherheit für Ihre IT-Systeme Permanente Einhaltung von Richtlinien und Gesetzen durch ein dynamisches IT-Audit mit AuditBasics

9 DEMAL Vorgehensweise zur Einhaltung von Gesetzen und Richtlinien. Eine wachsende Zahl an internationalen und nationalen Gesetzen und Richtlinien stellen hohe Anforderungen an die IT- Sicherheit und das Berichtswesen der Unternehmen und Institutionen. Bei Nichteinhaltung drohen empfindliche Haftungsklagen (z.b. nach KonTraG), Marktzugangsbarrieren (z.b. nach SOX) oder auch Schwierigkeiten bei der Kreditaufnahme (z.b. wegen Basel II). Beispiel: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Verbindung mit dem Aktiengesetz (AktG) AktG 91 Organisation. Buchführung (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Über die Anforderungen hinaus beinhalten die einzelnen Normen jedoch meistens keine konkreten Vorgaben zur Umsetzung, sondern verweisen hier auf andere Regelwerke. Die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) bzw. der ISO Standard beinhalten dagegen konkrete Vorschläge (Maßnahmen) wie die IT- Sicherheit in Organisationen gewährleistet werden kann. Beispiel: IT-Grundschutz - Maßnahme 4.48 Passwortschutz unter Windows sollte als minimale Passwortlänge der Wert 8 eingetragen sein Die Passworthistorie sollte wenigstens 6 Passwörter umfassen. Diese Maßnahmen bilden die Basis für die Erstellung von standardisierten IT-Sicherheitspolicies, durch die ein großer Teil der Anforderungen abgedeckt werden kann. Für Anforderungen, die über die Standards hinaus gehen, können weitere, individuelle Policies erstellt werden. Mit AuditBasics steht Ihnen eine Software zur Verfügung, welche in individuell definierten Zeitabständen alle eingestellten Sicherheitspolicies überwacht und die Ergebnisse direkt in einfach lesbarer Form darstellt. das dynamische Audit AuditBasics Ergebnis: Policy 1: Minimale Passwortlänge Policy 3: Passworthistorie

10 Der Managementreport: Hier werden die Ergebnisse aller Policies, die auf den einzelnen Systemen ausgewertet wurden, kummuliert dargestellt. Durch die Reduktion von Detailergebnissen ist ein Überblick gewährleistet, der Schwachstellen und positive Resultate in der gesamten IT-Landschaft aufzeigt. DEMAL GmbH Hembacher Str. 2b Schwarzenbruck Fon: 09183/ Fax: 09183/

11 3. Übersicht zu den IT-Sicherheits- Gesetzen und -Richtlinien

12 Nationale und internationale Richtlinien und Gesetze zur Verbesserung der IT-Sicherheit Das Dokument enthält eine Übersicht zu relevanten Gesetzen und Vorgaben, die sich mit Schaffung und Kontrolle von IT-Sicherheit in Unternehmen und Institutionen befassen. Mit AuditBasics steht Ihnen eine Software-Lösung zur Verfügung, die durch das dynamische Audit maßgeblich zur Einhaltung der Anforderungen beiträgt. Dieses Dokument wird fortwährend erweitert und aktualisiert. Es erhebt keinen Anspruch auf Vollständigkeit. Stand:

13 Inhaltsverzeichnis I. Nach deutschem Recht Bundesdatenschutzgesetz (BDSG) Handelsgesetzbuch (HGB) GoBS (Grundsätze ordnungsgemäßer Buchführungssysteme) KonTraG Telekommunikationsgesetz (TKG) IT-Grundschutz-Kataloge Kreditwesengesetz (KWG) Basel II (MaRisk und SolvV) Solvency II IDW PS 330 (= ISA 401) (evtl.) Betriebsvereinbarung...13 II. Nach internationalen Vorschriften/ Standards Sarbanes-Oxley Act (SOX oder SOA) SAS COSO-Rahmenwerk International Standards of Auditing (ISAs) EU-Richtlinie (Euro-SOX) Common Criteria (CC ) und ITSEC (CC = IS 15408) IT Infrastructure Library (ITIL) (und MOF) ISO (= BS 15000) CObIT IS (British Standard Nr. 7799, Teil 1) ISO (British Standard Nr. 7799, Teil 2) ISO/TR ISO/TR ISO/TR NIST und HIPAA (Health Insurance Portability and Accountability Act)...33 Seite 2 von 34

14 I. Nach deutschem Recht 1. Bundesdatenschutzgesetz (BDSG) Zusammenfassung: Gesetz zum Schutz aller Arten von personenbezogener Daten, die im Unternehmen gespeichert oder bearbeitet werden. Betrifft wen? Alle deutschen Unternehmen und Organisation müssen die Regeln des BDSG zwingend einhalten (selbst dann, wenn sie so klein sind, dass sie keinen Datenschutzbeauftragten bestellen müssen). Für Unternehmen im EU-Ausland gelten ähnliche nationale Regeln. Art der Vorschrift/ Herausgeber: Bindendes Gesetz in der BRD (in anderen EU-Staaten gelten ähnliche Regeln aufgrund der inhaltlichen Vorgaben der EU-Datenschutzrichtlinie). Einschlägige Vorschrift: Nach 9 und Anlage zu 9 BDSG müssen technisch-organisatorische Maßnahmen getroffen werden, um den umfassenden Schutz von personenbezogenen Daten (z.b. von Mitarbeitern, Kunden) zu gewährleisten. Was ist zu tun? Es sollte eine möglichst beweissichere Logfile-Protokollierung bestehen um nachzuweisen, dass die technisch-organisatorischen Maßnahmen eingehalten werden. Außerdem treffen insbesondere folgende Vorschriften aus der Anlage zu 9 BDSG zu: Nr. 1 Zutrittskontrolle: Es ist zu gewährleisten, dass Unbefugte keinen räumlichen Zugang zu DV-Systemen erhalten => Überprüfung der Zutrittskontrollsysteme, falls vorhanden. Nr. 2 Zugangskontrolle: Es ist zu verhindern, dass Unbefugte an DV-Systemen arbeiten können => Kontrolle von Login und Passwort-Eingabe Nr. 3 Zugriffskontrolle: Es ist zu gewährleisten, dass Daten nicht unbefugt eingesehen oder bearbeitet werden können. Nr. 5 Eingabekontrolle: Es ist zu gewährleisten, dass nachträglich überprüft werden kann, wer welchen Datensatz eingegeben, verändert, entfernt hat. Wie hilft AuditBasics A dabei? All diese Kontrollen können automatisiert durchgeführt werden (sofern entsprechende System- Logfiles als Grundlage vorhanden sind). Außerdem werden diese Erkenntnisse und die zugrunde liegenden Logfiles jeweils so aufbereitet, dass sie revisionssicher gespeichert werden können und damit auch im Rechtsstreit als Beweismittel geeignet sind. Nachweis, dass Vorschrift eingehalten wird: Es bestehen diverse datenschutzrechtliche Dokumentationspflichten, die spätestens bei einer Seite 3 von 34

15 Überprüfung durch die Datenschutz-Aufsichtsbehörde vorgelegt werden müssen (z.b. 4g Abs. 2, 4e Abs. 1 BDSG). Folgen bei Verstoß: Neben einem Imageverlust bei öffentlichem Bekanntwerden von Datenschutzverstößen drohen bei Nichtbeachtung des BDSG Bußgelder bis zu oder in schweren Fällen Freiheitsstrafe bis zu zwei Jahren. 2. Handelsgesetzbuch (HGB) Zusammenfassung: Daten aus EDV-gestützten Buchführungssystemen müssen langfristig unveränderbar gespeichert werden (Journalfunktion durch Protokollierung). Betrifft ft wen? Alle deutschen Unternehmen, die Buchführung per EDV betreiben. Art der Vorschrift/ Herausgeber: Das HGB ist für in Deutschland ansässige Unternehmen ein bindendes Gesetz. Einschlägige Vorschrift: 239 Absatz 4 HGB: "... erforderlichen Aufzeichnungen können auch... auf Datenträgern geführt werden.... Bei... Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können...." Was ist zu tun? Es ist zu gewährleisten, dass anfallende EDV-Daten aus der Buchhaltung so gespeichert und aufbewahrt werden, dass sie auch langfristig unverändert sind. Eine Manipulation muss ausgeschlossen sein. Wie hilft AuditBasics dabei? Mithilfe von AuditBasics kann anhand der (Zugriffs-)Logfiles nachvollzogen werden, ob und wer an den Daten Veränderungen vorgenommen hat. Außerdem werden durch AuditBasics diese Erkenntnisse und die zugrunde liegenden Logfiles jeweils so aufbereitet, dass sie revisionssicher gespeichert werden können. Folgen bei Verstoß: Die Nichtbeachtung kann eine Verletzung der Buchführungspflicht darstellen, die nach 283b StGB mit Geldstrafe oder Freiheitsstrafe bis zu zwei Jahre geahndet werden kann. Seite 4 von 34

16 3. GoBS (Grundsätze ordnungsgemäßer Buchführungssysteme) Zusammenfassung: Technische Anforderungen, welche Finanzbehörden an die EDV-Buchhaltung in Unternehmen stellen. Betrifft wen? Betroffen sind alle buchführungspflichtigen Steuerzahler, die ihre Buchhaltung mittels EDV erledigen. Art der Vorschrift/ Herausgeber: Es handelt sich um Verwaltungsanweisungen des Bundesfinanzministeriums an die Finanzbehörden mit Erläuterungen zur Umsetzung von HGB und AO (Abgabenordnung) in Bezug auf die ordnungsmäßige Behandlung elektronischer Dokumente. Die Finanzbehörden achten wiederum bei den Steuerpflichtigen auf Einhaltung. Einschlägige Vorschriften: Die GoBS regeln recht allgemein die Pflichten bei EDV-Buchführung. In Tz. 5 werden Maßnahmen zur Datensicherheit gefordert hinsichtlich Sicherung (bezüglich Unauffindbarkeit, Vernichtung und Diebstahl) Schutz (auch gegen unberechtigte Kenntnisnahme) Wie hilft AuditBasics dabei? Individuelle Sicherungskonzepte, die aufgrund der GoBS erstellt werden, können mit AuditBasics umgesetzt und überwacht werden. 4. KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) Zusammenfassung: In großen Unternehmen ist ein internes Überwachungssystem einzurichten, um bestandsgefährdende Risiken rechtzeitig zu erkennen. Die leitenden Persönlichkeiten haften persönlich. Durch KonTraG wurden Vorschriften z.b. im Aktiengesetz, Handelsgesetzbuch (HGB) oder dem GmbH-Gesetz angepasst. Damit sollen Kontrolle und Transparenz in den Unternehmen verbessert werden. Betrifft wen? Vor allem AGs und GmbHs und ihre leitenden Persönlichkeiten (Haftungsfragen!). Art der Vorschrift/ Herausgeber: Bindende Gesetze in Deutschland Seite 5 von 34

17 Einschlägige Vorschriften: Vorschriften für Aktiengesellschaften: 91 II AktG: Der Vorstand einer AG hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit eine Entwicklung, die den Fortbestand der Gesellschaft gefährdet, früh erkannt werden kann. 116 AktG: Vorstand, Geschäftsführung und u.u. auch Aufsichtsrat haften ggf. persönlich (!) auf Schadensersatz. Vorschriften für GmbHs: Obige Vorschriften gelten entsprechend für Geschäftsführer einer GmbH ( 43 GmbHG i.v. m. 91 II AktG, 116 AktG) Vorschriften für OHG, KG und andere Personalgesellschaften sind ähnlich Was ist zu tun? Wirtschaftliche Kontrolle und Transparenz sollen erreicht werden durch die Einrichtung eines Überwachungssystems zur Früherkennung existenzgefährdender Entwicklungen (Risikomanagement, auch IT-Risikomanagement) die Verpflichtung der Geschäftsführung, ein unternehmensweites Risikomanagement zu implementieren inkl. persönlicher Haftung des Vorstandes, des Aufsichtsrat und der Geschäftsführer bei Verstößen. Zwar gibt es dagegen auch Versicherungen ( directors & officers liabilty Insurance"), diese greifen aber nicht bei Vorsatz oder einer wissentlichen Pflichtverletzung. Bei der praktischen Durchführung können die Maßnahmen der IT-Grundschutz-Kataloge des BSI als Anhaltspunkt dienen. Wie hilft AuditBasics dabei? Wenn individuelle Regeln für ein Risikomanagement entwickelt wurden, hilft AuditBasics bei dessen Umsetzung und Überwachung. Beispielsweise schlägt AuditBasics Alarm bei vorher definierten Verstößen. Folgen bei Verstoß: Außer dem Gesetzesverstoß kommen weitere, teils schwerwiegende Folgen in Betracht: Unternehmensverluste oder Insolvenz durch Ausfall der Systeme bei sehr hohen Schäden Ggf. Verlust von Versicherungsschutz des Unternehmens Verteuerung der Unternehmenskredite ( Basel II ) Imageschäden nach Verlust von personenbezogenen Daten aufgrund von Sicherheitslücken 5. Telekommunikationsgesetz (TKG) Zusammenfassung: Unternehmen müssen einen angemessenen Schutz ihrer Telekommunikationssysteme (Telefon, Internet) gewährleisten. Seite 6 von 34

18 Betrifft wen? Das TKG ist anzuwenden von allen Unternehmen mit Telefon-/ Internet-Anschluss, die ihren Mitarbeitern eine Nutzung zu privaten Zwecken erlauben oder dies zumindest dulden Unternehmen, die diese Dienste Fremden gegen Entgelt anbieten deutsche Telekommunikationsunternehmen Art der Vorschrift/ Herausgeber: Bindendes Gesetz in Deutschland Einschlägige Vorschrift: 109 TKG Technische Schutzmaßnahmen Abs. 1:... hat angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze... der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen. Was ist zu tun? Die Zugriffe auf die Telekommunikations- und Datenverarbeitungssysteme sind zu überwachen. Bei Verdacht auf Missbrauch sind geeignete Maßnahmen zu treffen. Bei der praktischen Durchführung können die Maßnahmen der IT-Grundschutz-Kataloge des BSI als Anhaltspunkt dienen. Wie hilft AuditBasics dabei? Durch Logfile-Analyse mit AuditBasics wird überprüft, ob ein Missbrauch stattfindet und wer ggf. auf die o.g. Daten zugreift. Folgen bei Verstoß: Telekommunikationsunternehmen, die kein Sicherheitskonzept erstellen, droht eine Geldbuße bis zu ( 149 Abs. 1 Nr. 21 TKG). 6. IT-Grundschutz-Kataloge Zusammenfassung: Methodik, nach der konkrete Sicherheitskonzepte für IT-Lösungen mittels Standardmaßnahmen erstellt oder geprüft werden; Nachweis möglich durch IT-Grundschutz-Zertifikat (enthält auch Anforderungen nach ISO und ISO 17799, s.u. II.) Sehr detaillierte Vorschläge des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wie die IT-Sicherheit konkret in Organisationen gewährleistet werden kann, um Schaden von vornherein abzuwenden. Der IT-Grundschutz ergänzt/ überschneidet sich teilweise mit dem BDSG. Seite 7 von 34

19 Betrifft wen? Deutsche Organisationen (Behörden, Institute und Unternehmen aller Größenordnungen), die ihre IT-Sicherheit verstärken/ überprüfen möchten. Ziel ist i.d.r. die Erlangung des IT-Grundschutz-Zertifikats oder eine entsprechende Selbsterklärung. Art der Vorschrift/ Herausgeber: Richtlinie (d.h. Einhaltung ist freiwillig), herausgegeben durch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) Grundsätzliche Prinzipien: Schwerpunkt der Prüfung ist in der Regel die gesamte IT in der Organisation. Die Maßnahmen des IT-Grundschutzes wurden von IT-Fachleuten verfasst und richten sich an IT-Fachleute. Mit der Einhaltung des IT-Grundschutzes werden nur Mindestvoraussetzungen an die IT- Sicherheit erfüllt. Deshalb genügt es, unabhängig vom tatsächlichen Schutzbedarf die vorgeschlagenen Ziele aus den Katalogen einzuhalten (daher der Begriff Grundschutz ). Bei einem höheren Schutzbedarf müssen im Einzelfall weitere Maßnahmen erfolgen (dies ist auch Voraussetzung für ein IT-Grundschutz-Zertifikat). Die erfolgreiche Umsetzung des IT-Grundschutzes nach dem BSI kann in drei Stufen nach außen dokumentiert werden: Selbsterklärung Einstiegsstufe Selbsterklärung Aufbaustufe IT-Grundschutz-Zertifikat (durch unabhängigen BSI-Auditor, gilt zwei Jahre; seit 2006 enthält das BSI-Zertifikat auch das internationale Zertifikat nach ISO 27001) Für die Durchführung des IT-Grundschutzes helfen BSI-Standards. Sie enthalten bewährte Methoden, Prozesse und Verfahren für Themen von grundsätzlicher Bedeutung: BSI-Standard Standard 100-1: 1: Managementsysteme für Informationssicherheit (ISMS) Er ist vollständig kompatibel zum ISO-Standard und berücksichtigt weiterhin die Empfehlungen der ISO-Standards und BSI-Standard Standard 100-2: IT-Grundschutz-Vorgehensweise Beschreibt Schritt für Schritt, wie IT-Sicherheitsmanagement in der Praxis aufgebaut und betrieben werden kann. Er interpretiert die allgemeinen Anforderungen der ISO-Standards 13335, und und gibt praktische Hilfe. BSI-Standard Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Standard zur Risikoanalyse auf der Basis von IT-Grundschutz Einschlägige Vorschriften: Relevante Normen in den IT-Grundschutz-Katalogen können z.b. sein: M 2.64: Kontrolle der Protokolldateien Auf welche Kriterien hin sind Logdateien zu untersuchen? (z.b. Häufung fehlerhafter Anmeldeversuche, An-/ Abmeldung außerhalb der Arbeitszeit, auffallend lange Verbindungszeiten in öffentliche Netze,...) Seite 8 von 34

20 G 2.22: Protokolldaten sind auszuwerten, um Sicherheitsverletzungen aufzuspüren M 5.9: Umfang der Protokollierung am Server M 2.110: Datenschutzaspekte bei der Protokollierung (Mindestanforderungen, Zweckbindung, Aufbewahrungsdauer, technisch-organisatorische Rahmenbedingungen) M 4.5 Protokollierung der TK-Administrationsarbeiten M 4.25 Einsatz der Protokollierung im Unix-System M 4.54 Protokollierung unter Windows NT Insgesamt sind die IT-Grundschutz-Kataloge sehr umfassend und enthalten für viele Bereiche der IT spezifische Vorschriften. Was ist zu tun? Anhand der tatsächlich vorhandenen Bestandteile der jeweils betrachteten IT-Landschaft wählt der Anwender geeignete Kapitel ( Bausteine ) aus den IT-Grundschutz-Katalogen aus und erstellt dadurch ein Modell seiner IT-Landschaft. Dann überprüft er, ob für jeden Baustein seines Modells die Vorgaben aus den IT-Grundschutz- Katalogen eingehalten sind oder wie dies gegebenenfalls erreicht werden kann. Wie hilft AuditBasics ics dabei? Sehr viele Anforderungen der IT-Grundschutz-Kataloge können über Auswertungen von Logfiles oder Konfigurationsdateien sichergestellt werden. AuditBasics bietet für die wichtigsten und häufigsten Anwendungsfälle des IT-Grundschutzes vorgefertigte Policies. Für weitere Anwendungsfälle können individuelle Policies erstellt werden. Mit ihnen kann die Einhaltung der Vorgaben dauerhaft überprüft werden. Nachweis, dass Vorschrift eingehalten wird: Die Einhaltung kann, aber muss nicht durch ein IT-Grundschutz-Zertifikat belegt werden. Dieses gilt für zwei Jahre und wird direkt durch das BSI erstellt. 7. Kreditwesengesetz (KWG) Zusammenfassung: Banken müssen über interne Kontrollverfahren verfügen. Betrifft wen? Banken und Kreditinstitute in Deutschland Art der Vorschrift/ Herausgeber: bindendes Gesetz in der BRD Einschlägige Vorschrift: 25a KWG - Besondere organisatorische Pflichten von Instituten (1) Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der von den Instituten zu beachtenden gesetzlichen Bestimmungen gewährleistet. Die in 1 Abs. 2 Satz 1 bezeichneten Personen sind für die ordnungsgemäße Seite 9 von 34

21 Geschäftsorganisation des Instituts verantwortlich. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere angemessene interne Kontrollverfahren, die aus einem internen Kontrollsystem und einer internen Revision bestehen; das interne Kontrollsystem umfasst insbesondere geeignete Regelungen zur Steuerung und Überwachung der Risiken; angemessene Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung;... Was ist zu tun? Eine ordnungsgemäße Geschäftsorganisation ist aufzubauen, falls noch nicht vorhanden. Dies umfasst insbesondere interne Kontrollen und ein IT-Sicherheitskonzept. Bei dessen Entwicklung und Durchführung können die Maßnahmen der IT-Grundschutz-Kataloge des BSI als Anhaltspunkt dienen. Wie hilft AuditBasics dabei? Ein IT-Sicherheitskonzept kann mittels AuditBasics konkret überwacht werden. 8. Basel II (MaRisk und SolvV) Zusammenfassung: Betrifft die Risikobewertung bei der Kapitalvergabe. Bei einer schlechten Risikobewertung (z.b. fehlendem IT-Sicherheitsmanagment) erhalten Kreditnehmer schlechtere Konditionen von den Banken. Betrifft wen? Basel II richtet direkt nur an Banken, mittelbar spüren jedoch auch ihre Kunden (Kreditnehmer) die Auswirkungen. Art der Vorschrift/ Herausgeber: Die Vorgaben wurden durch den Baseler Ausschuss für Bankenaufsicht erarbeitet. Verbindlich treten sie ab in den EU-Ländern in Kraft. In Deutschland werden sie umgesetzt durch: Mindestanforderungen an das Risikomanagement (MaRisk) durch die BaFin, als zweite Säule von Basel II Solvabilitätsverordnung (SolvV) durch das Bundesfinanzministerium, als erste und dritte Säule von Basel II Grundsätzliche Prinzipien: Die Basel II -Vorschriften betreffen zwar unmittelbar nur die Bank; diese wälzen jedoch die Risiken auf ihre Kunden ab. Das bedeutet, dass es auch für die Privat-Wirtschaft eine direkte Abhängigkeit zwischen den Konditionen für die Geldbeschaffung und den Kreditrisiken gibt. Bei einem schlechten Ranking (hohe Risiken) wird ein Kredit oder Darlehen verweigert, weil die Bank gemäß Basel II sonst mehr ihrer Eigenmittel bereitstellen müsste. Bei einem guten Ranking (geringe Risiken) steigen die Chancen auf bessere Konditionen, weil die Bank selbst Seite 10 von 34

22 weniger ihrer Eigenmittel unterlegen muss. Einschlägige Vorschrift: Basel II besteht aus drei sich gegenseitig ergänzenden Säulen: 1. Mindest-Eigenkapital-Anforderungen an Kreditnehmer (mittels Rating) 2. Überprüfung durch die Bankaufsicht 3. Erweiterte Offenlegung (Transparenz) Damit sollen einheitliche Wettbewerbsbedingungen sowohl für die Kreditvergabe als auch für den Kredithandel geschaffen werden. Was ist i zu tun? (Potentielle) Kreditnehmer müssen (auch) darauf achten, ein funktionierendes IT-Sicherheitsmanagement nachzuweisen. Wie hilft AuditBasics dabei? Mit AuditBasics kann ein IT-Sicherheitsmanagement durchgeführt und nachgewiesen werden. Folgen bei i Verstoß: Kredit-Interessierte erhalten gar kein Angebot oder schlechtere Konditionen von der Bank. 9. Solvency II Zusammenfassung: Zukünftige, europarechtlich einheitliche Regelungen über die Versicherungsaufsicht (ähnlich zu Basel II ). Auch auf das zukünftige Aufsichtskonzept über die Versicherungswirtschaft nehmen die internationalen Rechnungslegungsstandards Einfluss, denn ein einheitliches europäisches Aufsichtskonzept muss zwangsläufig auf einem einheitlichen Bewertungsmaßstab für Rückstellungen aufsetzen. Betrifft wen? Versicherungswirtschaft (und deren finanzielle Ausstattung) Art der Vorschrift/ Herausgeber: Im Juni 2007 will die EU-Kommission einen Richtlinienentwurf vorlegen. Nach dessen Verabschiedung müssen die EU-Mitgliedsstaaten die Regelungen in nationales Recht umsetzen, bevor sie endgültig in Kraft treten können (voraussichtlich zwischen 2008 bis 2010). Grundsätzliche Prinzipien: Solvency II basiert auf einem 3-Säulen-Modell (ähnlich wie Basel II ). Im Gegensatz zur Bankenbranche stehen in dem zukünftigen Modell aber weniger Einzelrisiken als vielmehr ein ganzheitliches System zur Gesamtsolvabilität im Mittelpunkt. Seite 11 von 34

23 Säule 1: Kapitalanforderungen (z.b. Mindestkapital) Säule 2: Risikomanagement und interne Kontrolle Säule 3: Marktdisziplin (erhöhte Transparenz gegenüber BaFin und Öffentlichkeit) Dadurch wird Solvency II auf nahezu alle Bereiche eines Versicherungsunternehmens Auswirkungen haben. Was ist zu tun? Die in Teilen schon sehr konkreten zukünftigen Anforderungen aus Solvency II werden komplex und umfangreich sein. Die endgültigen Regelungen treten zwar erst in einigen Jahren in Kraft, dennoch kann man sich schon heute darauf vorbereiten. Durch die Bemessung und Steuerung der versicherungstechnischen Risiken, Risiken aus Kapitalanlagen und den operationellen Risiken wird aufsichtsrechtlichen Anforderungen entsprochen. Wie hilft AuditBasics dabei? Mit AuditBasics kann ein IT-Sicherheitsmanagement (2. Säule) durchgeführt und nachgewiesen werden. 10. IDW PS 330 (= ISA 401) Zusammenfassung: Prüfungsstandard der Wirtschaftsprüfer für IT-Prüfungen im Rahmen von Abschlussprüfungen. Die Reichweite des IDW PS 330 wird voraussichtlich durch die internationalen ISAs (vgl. u.) zurückgedrängt werden. Betrifft wen? Wirtschaftsprüfer, die Unternehmen nach 316 HGB ( Pflicht zur Prüfung ) untersuchen. Art der Vorschrift/ Herausgeber: IDW PS 330 ist ein Vorschlag des Instituts der Wirtschaftsprüfer in Deutschland e.v. (IDW). Er stellt eine Berufsauffassung dar, welche von Wirtschaftsprüfern unbeschadet ihrer Eigenverantwortlichkeit im Rahmen von Abschlussprüfungen von IT-Systemprüfungen herangezogen werden kann. Rechtliche Basis des PS 330: 264 HGB: Der Jahresabschluss eines Unternehmens hat unter Beachtung der Grundsätze ordnungsgemäßer Buchführung ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage zu vermitteln. 317 HGB: Ein Wirtschaftsprüfer hat seine Prüfung so anzulegen, dass Unrichtigkeiten und Verstöße gegen diese Pflicht erkannt werden. Bei diesen Prüfungen dürfen IT-Systeme nicht außen vor bleiben. Dabei kann der Wirtschaftsprüfer auf IDW PS 330 zurückgreifen. PS 330 entspricht dem International Standard on Auditing (ISA) 401 Auditing in a Computer Information Systems Environment und geht darüber hinaus (Berücksichtigung neuer Seite 12 von 34

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Die Software Lösung für das dynamische IT-Audit in Ihrem Unternehmen

Die Software Lösung für das dynamische IT-Audit in Ihrem Unternehmen Die Software Lösung für das dynamische IT-Audit in Ihrem Unternehmen Wir über uns Die DEMAL GmbH ist ein 100-prozentiges Tochterunternehmen der Rummel AG die seit über 18 Jahren erfolgreich Software für

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

best OpenSystems Day Herbst 2005

best OpenSystems Day Herbst 2005 best OpenSystems Day Herbst 2005 Rechtsanwalt Dr. Michael Karger, München Unternehmerisches Handeln unter Sicherheitsanforderungen in der IT (KonTraG, SOX & Basel II) 2 Agenda: 1. Überblick: Rechtliche

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Nicht-technische Aspekte der IT-Sicherheit

Nicht-technische Aspekte der IT-Sicherheit Dipl.-Math. Wilfried Gericke Vortrag für das Rheinlandtreffen 2006 (07.-08.11.2006) Motivation Seite 2 www.decus.de 1 Inhalt: - IT-Sicherheit als Teil der Unternehmensführung - - IT-Sicherheitsrichtlinie

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer Wolfgang Straßer Geschäftsführer Dipl.-Kfm. IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Karsten U. Bartels LL.M. HK2 Rechtsanwälte 1 Meine Punkte Cloud Service Provider 2 IT-Outsourcing

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation Inhaltsverzeichnis zu Praxisbuch IT-Dokumentation von Georg und Manuela Reiss ISBN (Buch): 978-3-446-43780-7 ISBN (E-Book): 978-3-446-43833-0 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-43780-7

Mehr

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz Mittelstandsdialog Informationssicherheit 6. Mai 2010 Identity Management und Gesetz: Spannungsfeld Compliance Datenschutz RA Dr. Michael Karger Wendler Tremml Rechtsanwälte, München NIFIS e.v. Nationale

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

IXOS SOFTWARE AG - Hauptversammlung 3.12.2003. IXOS Corporate Governance. Peter Rau. Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG

IXOS SOFTWARE AG - Hauptversammlung 3.12.2003. IXOS Corporate Governance. Peter Rau. Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG IXOS SOFTWARE AG - Hauptversammlung 3.12.2003 IXOS Corporate Governance Peter Rau Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG Technopark 1 Bretonischer Ring 12 D-85630 Grasbrunn/München Tel.: +49.(0)89.4629.0

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Datenschutz. Nutzen oder Hemmschuh?

Datenschutz. Nutzen oder Hemmschuh? Datenschutz www.datenschutz-roemer.de Nutzen oder Hemmschuh? Impulsveranstaltung im Rahmen der Qualifizierungsoffensive Mittelhessen Weiterbildungsforum Europaviertel Gießen, 10. März 2006 Ilse Römer Datenschutz-Auditorin

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

IT-Compliance und Governance-Anforderungen an Unternehmen. Mag Stefan Werle, WP/StB

IT-Compliance und Governance-Anforderungen an Unternehmen. Mag Stefan Werle, WP/StB IT-Compliance und Governance-Anforderungen an Unternehmen Mag Stefan Werle, WP/StB IT-Compliance - Definition IT-Compliance beschreibt in der Unternehmensführung die Einhaltung der gesetzlichen, unternehmensinternen

Mehr

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Governance, Risk, Compliance (GRC) & SOA Identity Management 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Agenda Management von Identitäten IAM, GRC was ist das? SOA wo ist der Bezug? Seite 2 Die

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Über sieben Brücken musst Du gehen! Wie organisatorische Hindernisse eine Chance sein können

Über sieben Brücken musst Du gehen! Wie organisatorische Hindernisse eine Chance sein können Über sieben Brücken musst Du gehen! Wie organisatorische Hindernisse eine Chance sein können Agile Center D-IT-BVG2-E1 Christoph Weiss, Michael Schäfer Ausgangssituation Christian Sebastian Müller (CSM)

Mehr

Datenschutz-Leitlinie

Datenschutz-Leitlinie Datenschutz- Regelungsverantwortlich: Reinhard Schmid; SV 3 Version: 1.7.0 vom: 08.01.2015 Status: Gültig Dokumenttyp: Aktenzeichen: Schutzstufe: Zielgruppe: ggf. eingeben keine Schutzstufe Kunden, Dataport

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Hans Wieser Product Marketing Manager Sun Microsystems

Hans Wieser Product Marketing Manager Sun Microsystems Hans Wieser Product Marketing Manager Sun Microsystems Identity Management Szenarien Anforderungen durch Datenschutz und Betriebsverfassungsrecht* Andere Regulierungen und ihre Implikationen *Zitate von:

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

E-Mailarchivierung für den Mittelstand

E-Mailarchivierung für den Mittelstand E-Mailarchivierung für den Mittelstand SaaS-Lösung von PIRONET NDH PIRONET NDH Datacenter GmbH 1 E-Mailarchivierung Agenda: E-Mailarchivierung warum? Wer muss archivieren? Welche E-Mails sind zu archivieren?

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q053 MO (3. Modul) Termin: 01.12. 02.12.2015 (3. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Transparenz schafft Sicherheit

Transparenz schafft Sicherheit PwC Public Breakfast Transparenz schafft Sicherheit Graz 19. Mai 2010 Advisory Haben Sie einen Überblick darüber, welche Risiken in Ihrem Verantwortungsbereich bestehen und welche Kontrollen von Ihnen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q052 MO (2. Modul) Termin: 10.11. 12.11.2015 (2. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

IT-Sicherheit. Ergebnisse einer empirischen Untersuchung 16.11.2006

IT-Sicherheit. Ergebnisse einer empirischen Untersuchung 16.11.2006 IT-Sicherheit Ergebnisse einer empirischen Untersuchung 16.11.2006 Vorstellung TU Unternehmensberatung Einsatzgebiet Zielkunden Unser Anspruch Beraterstruktur* Netzwerk Deutschlandweit, mit Schwerpunkt

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten?

1.3.2.2 SOX 404 und IT-Sicherheit - was gilt es zu beachten? Dem Audit Committee obliegt es, die Wirtschaftsprüfer zu bestellen, aber auch als Anlaufstelle für Informationen über evtl. Beschwerden und Unregelmäßigkeiten der Rechnungslegung innerhalb des Unternehmens

Mehr

IT-Compliance. Ein kompakter Überblick präsentiert von. bitzer digital-media consulting. Köln 2006

IT-Compliance. Ein kompakter Überblick präsentiert von. bitzer digital-media consulting. Köln 2006 IT-Compliance präsentiert von bitzer digital-media consulting Köln 2006 bitzer digital-media consulting Venloerstr. 13-15 50672 Köln Tel: 0221-9520554 Mail: fb@bdcon.de Web: www.bdcon.de (c) bitzer digital-media

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

- Datenschutz im Unternehmen -

- Datenschutz im Unternehmen - - Datenschutz im Unternehmen - Wie schütze ich mein Unternehmen vor teuren Abmahnungen 1 Referenten Philipp Herold TÜV zertifizierter Datenschutzbeauftragter & Auditor Bachelor of Science (FH) 2 Inhaltsverzeichnis

Mehr

www.datenschutz-molter.com ERSTE INFORMATIONEN

www.datenschutz-molter.com ERSTE INFORMATIONEN 2014 ERSTE INFORMATIONEN Inhalt a) Externer Datenschutzbeauftragter b) Beispiel Vorgehensweise c) Datenschutzaudit d) Datenschutzeinweisung persönlich oder per elearning e) Empfohlen: Test zur Datenschutzeinweisung

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a)

gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a) Sicherheit gecheckt? Haftungsrisiken vermeiden, Compliance optimieren gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a) Mit dem gateprotect Sicherheitscheck verbessern Sie den Datenschutz

Mehr