AuditBasics Informationsunterlagen

Transkript

1 AuditBasics Informationsunterlagen

2 Inhaltsverzeichnis 1. AuditBasics Flyer Die Software-Lösung für das systemübergreifende, dynamische Audit Seite 3 2. Flyer Einhaltung von Gesetzen und Richtlinien mit AuditBasics Seite 7 3. Überblick zu den IT-Sicherheits-Richtlinien und Gesetzen Seite Flyer AuditBasics-Einsatz im dynamischen Auditprozess auf Basis der IT-Grundschutzkataloge des BSI Seite AuditBasics-Policies Seite AuditBasics- Presseberichte Seite 51

3 1. AuditBasics Flyer Die Software-Lösung für das systemübergreifende, dynamische Audit

4 Die Software-Lösung für das systemübergreifende, dynamische IT-Audit Mit AuditBasics decken Sie kritische Zustände und Ereignisse in Ihren IT-Systemen auf und stellen eine kontinuierliche und dokumentierte Überwachung sicher. AuditBasics by DEMAL

5 Permanente Überwachung Ihrer IT-Sicherheit Die IT in ihrer Gesamtheit spielt in Unternehmen und Institutionen eine immer bedeutendere Rolle. Ausfälle und Störungen sind folgenreich. Entsprechend wichtig ist ein hohes Maß an Daten- und IT-Sicherheit. Datenflut bremst die IT-Sicherheit Pro Sekunde werden mehrere tausend Sicherheitsmeldungen durch die verschiedenen IT-Systeme protokolliert. Für die meisten IT-Abteilungen ist die Datenmenge jedoch viel zu groß, um sie sorgfältig sammeln, abgleichen, analysieren und Sicherheitsbedrohungen identifizie- ren zu können. Dabei liefert häufig erst der Überblick über alle Systeme die wichtigen Erkenntnisse. Gesetzliche Anforderungen nehmen zu Eine wachsende Zahl an nationalen und internationalen Gesetzen und Richtlinien stellt hohe Anforderungen an die IT-Sicherheit und das Berichtswesen. Gefordert werden unter anderem umfangreiche IT-Sicherheits-Audits. Bei Nichteinhaltung drohen persönliche Haftung (z.b. nach KonTraG), Marktzugangsbarrieren (z.b. nach SOX) oder auch Schwierigkeiten bei der Kreditaufnahme (z.b. wegen Basel II). AuditBasics Werkzeug für das dynamische IT-Audit aller Systeme AuditBasics ist eine systemübergreifende und plattformunabhängige Software-Lösung. Mit ihr werden strukturierte und unstrukturierte Daten der unterschiedlichsten Systeme permanent erfasst, überwacht und einheitlich ausgewertet. AuditBasics analysiert schnell und effizient Systeminformationen wie z.b. Event-Logs oder Config- Logs. Die Ergebnisse werden automatisch in Berichten aufbereitet und an die jeweils zuständigen Stellen versendet. AuditBasics ist somit im gesamten Auditprozess einsetzbar - von der Erstanalyse bis zur dauerhaften Überwachung. Zeit- und Kostenersparnis durch vordefinierte Policies Auswertungsvorschriften (Policies), welche die DEMAL mit Partnern aus der Wirtschaft und BSI-Auditoren entwickelt hat, bilden ein ideales Fundament für ein dynamisches Audit. Sie stehen für die Systeme z/os, Windows, UNIX und OS/400 zur Verfügung. Individuelle Policies, beispielsweise für interne Vorschriften, können nach Ihren spezifischen Anforderungen erstellt werden. Die Key Features auf einen Blick Graphical-Mask-Editor zum Import unstrukturiert erscheinender Daten System- und plattformunabhängiger Import Dateiverkettung, z.b. Import der Config-Logs einer ganzen Server-Farm in eine einzige Tabelle* Verknüpfte Auswertung und Abgleich mehrerer Dateien (Cross-Logfile-Analyse) Verfügbarkeit vordefinierter und individueller Auswertungen (Policies) Zeitgesteuerte, automatische Auswertungen/Batch- Verarbeitung (dynamisches Audit) Echtzeit-Benachrichtigung per SMS und * Revisionssichere Archivierung der Original-Rohdaten mit Zertifikat/Hashwert Benutzerverwaltung/Berechtigungssystem* Ergebnisse der Analysen als individualisierte Dokumente/Dateien Integriertes und kontextsensitives Hilfesystem Integrierte Hypersonic-SQL Datenbank Alternativ: Anbindung an externe Datenbank-Server* * nur in der Expert Version Effiziente Datenanalyse mit der 3-Step-Methode Mit der 3-Step-Methode von AuditBasics werden die gewünschten Dateien automatisiert ausgewertet. Alle hierzu erforderlichen Informationen bilden ein Auswertungsprojekt, das beliebig oft, auch zeitgesteuert, verarbeitet werden kann. Die Anzahl der Projekte ist nicht begrenzt. Import Die auszuwertenden Protokolldateien werden regelmäßig, z.b. täglich, von den erzeugenden Systemen mit Standardverfahren (z.b. FTP, SFTP) zum AuditBasics- Auswertungsrechner transferiert. Agentensysteme sind nicht notwendig. Die dort verfügbaren Dateien werden importiert und dadurch in SQL-Tabellen umgesetzt. Das Einlesen von strukturierten Dateien (Delimiter) ist selbstverständlich. Aber auch scheinbar völlig unstrukturierte Daten können mit dem Graphical-Mask-Editor mühelos importiert werden. Verarbeitung Unterstützt durch Formeleditor, Filter und grafische Tools werden Auswertungsvorschriften (Policies) definiert. Die konsolidierte Verarbeitung mehrerer Dateien stellt die Cross-Logfile-Analyse dar. Nur so können widersprüchliche Informationen erkannt werden, die bei Betrachtung der einzelnen Dateien unerkannt blieben. Export v q b Hier erfolgt die optische Aufbereitung und Corporate Design-Anpassung der Ergebnisse zur Weitergabe an die jeweils zuständigen Stellen wie z.b. Geschäftsleitung, IT- Leitung, Betriebsrat wahlweise in den Formaten HTML, RTF, PDF bzw. CSV oder XML. Bei kritischen Vorfällen, z.b. nicht autorisiertem Zugriff auf das CEO-Benutzerkonto, erfolgt die sofortige Benachrichtigung der zuständigen Stelle per SMS oder . AuditBasics by DEMAL

6 Anwendungsbeispiele Dateivergleiche Datenübernahme Analyse von Logfiles und IT-Konfigurationen Statische und dynamische Audits für die Datensicherheit Ihre Vorteile AuditBasics Effizientes Analysieren durch Verarbeitung beliebiger Protokollinformationen von unterschiedlichen Einzelsystemen Absicherung der unternehmenskritischen Daten durch umfassende Auswertung und Kontrolle aller Systeme und Anwendungen Einhaltung von nationalen und internationalen IT-Security- Richtlinien und -Gesetzen durch systemübergreifende Logfile-Analyse Sicherheitslücken erkennen durch Aufdecken kritischer Ereignisse und Schwachstellen Ihrer IT-Infrastruktur Datenschutzrechtliche Missbräuche eindämmen durch deutlich verkürzte Reaktionszeiten Permanente Aktualität durch fortwährende und lückenlose Auditierung Arbeitszeitersparnis durch automatisierte Auswertungen Effektives Richtlinien-Management durch vorgefertigte, praxisrelevante Policies Benutzerfreundlichkeit durch leicht lesbare Reports Kostenersparnis durch minimalen Installationsaufwand und maximale Systemkompatibilität Flexibilität durch universelle Einsetzbarkeit in allen Unternehmen und Unternehmensbereichen Erfolgssteigerung durch erhöhte Transparenz, Qualität und Vertrauen gegenüber Mitarbeitern, Kunden und Lieferanten by DEMAL DEMAL GmbH Hembacher Str. 2b Schwarzenbruck Tel: 09183/ Fax: 09183/ DEMAL

7 2. Flyer Einhaltung von Gesetzen und Richtlinien mit AuditBasics

8 International anerkannte Sicherheit für Ihre IT-Systeme Permanente Einhaltung von Richtlinien und Gesetzen durch ein dynamisches IT-Audit mit AuditBasics

9 DEMAL Vorgehensweise zur Einhaltung von Gesetzen und Richtlinien. Eine wachsende Zahl an internationalen und nationalen Gesetzen und Richtlinien stellen hohe Anforderungen an die IT- Sicherheit und das Berichtswesen der Unternehmen und Institutionen. Bei Nichteinhaltung drohen empfindliche Haftungsklagen (z.b. nach KonTraG), Marktzugangsbarrieren (z.b. nach SOX) oder auch Schwierigkeiten bei der Kreditaufnahme (z.b. wegen Basel II). Beispiel: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Verbindung mit dem Aktiengesetz (AktG) AktG 91 Organisation. Buchführung (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Über die Anforderungen hinaus beinhalten die einzelnen Normen jedoch meistens keine konkreten Vorgaben zur Umsetzung, sondern verweisen hier auf andere Regelwerke. Die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) bzw. der ISO Standard beinhalten dagegen konkrete Vorschläge (Maßnahmen) wie die IT- Sicherheit in Organisationen gewährleistet werden kann. Beispiel: IT-Grundschutz - Maßnahme 4.48 Passwortschutz unter Windows sollte als minimale Passwortlänge der Wert 8 eingetragen sein Die Passworthistorie sollte wenigstens 6 Passwörter umfassen. Diese Maßnahmen bilden die Basis für die Erstellung von standardisierten IT-Sicherheitspolicies, durch die ein großer Teil der Anforderungen abgedeckt werden kann. Für Anforderungen, die über die Standards hinaus gehen, können weitere, individuelle Policies erstellt werden. Mit AuditBasics steht Ihnen eine Software zur Verfügung, welche in individuell definierten Zeitabständen alle eingestellten Sicherheitspolicies überwacht und die Ergebnisse direkt in einfach lesbarer Form darstellt. das dynamische Audit AuditBasics Ergebnis: Policy 1: Minimale Passwortlänge Policy 3: Passworthistorie

10 Der Managementreport: Hier werden die Ergebnisse aller Policies, die auf den einzelnen Systemen ausgewertet wurden, kummuliert dargestellt. Durch die Reduktion von Detailergebnissen ist ein Überblick gewährleistet, der Schwachstellen und positive Resultate in der gesamten IT-Landschaft aufzeigt. DEMAL GmbH Hembacher Str. 2b Schwarzenbruck Fon: 09183/ Fax: 09183/

11 3. Übersicht zu den IT-Sicherheits- Gesetzen und -Richtlinien

12 Nationale und internationale Richtlinien und Gesetze zur Verbesserung der IT-Sicherheit Das Dokument enthält eine Übersicht zu relevanten Gesetzen und Vorgaben, die sich mit Schaffung und Kontrolle von IT-Sicherheit in Unternehmen und Institutionen befassen. Mit AuditBasics steht Ihnen eine Software-Lösung zur Verfügung, die durch das dynamische Audit maßgeblich zur Einhaltung der Anforderungen beiträgt. Dieses Dokument wird fortwährend erweitert und aktualisiert. Es erhebt keinen Anspruch auf Vollständigkeit. Stand:

13 Inhaltsverzeichnis I. Nach deutschem Recht Bundesdatenschutzgesetz (BDSG) Handelsgesetzbuch (HGB) GoBS (Grundsätze ordnungsgemäßer Buchführungssysteme) KonTraG Telekommunikationsgesetz (TKG) IT-Grundschutz-Kataloge Kreditwesengesetz (KWG) Basel II (MaRisk und SolvV) Solvency II IDW PS 330 (= ISA 401) (evtl.) Betriebsvereinbarung...13 II. Nach internationalen Vorschriften/ Standards Sarbanes-Oxley Act (SOX oder SOA) SAS COSO-Rahmenwerk International Standards of Auditing (ISAs) EU-Richtlinie (Euro-SOX) Common Criteria (CC ) und ITSEC (CC = IS 15408) IT Infrastructure Library (ITIL) (und MOF) ISO (= BS 15000) CObIT IS (British Standard Nr. 7799, Teil 1) ISO (British Standard Nr. 7799, Teil 2) ISO/TR ISO/TR ISO/TR NIST und HIPAA (Health Insurance Portability and Accountability Act)...33 Seite 2 von 34

14 I. Nach deutschem Recht 1. Bundesdatenschutzgesetz (BDSG) Zusammenfassung: Gesetz zum Schutz aller Arten von personenbezogener Daten, die im Unternehmen gespeichert oder bearbeitet werden. Betrifft wen? Alle deutschen Unternehmen und Organisation müssen die Regeln des BDSG zwingend einhalten (selbst dann, wenn sie so klein sind, dass sie keinen Datenschutzbeauftragten bestellen müssen). Für Unternehmen im EU-Ausland gelten ähnliche nationale Regeln. Art der Vorschrift/ Herausgeber: Bindendes Gesetz in der BRD (in anderen EU-Staaten gelten ähnliche Regeln aufgrund der inhaltlichen Vorgaben der EU-Datenschutzrichtlinie). Einschlägige Vorschrift: Nach 9 und Anlage zu 9 BDSG müssen technisch-organisatorische Maßnahmen getroffen werden, um den umfassenden Schutz von personenbezogenen Daten (z.b. von Mitarbeitern, Kunden) zu gewährleisten. Was ist zu tun? Es sollte eine möglichst beweissichere Logfile-Protokollierung bestehen um nachzuweisen, dass die technisch-organisatorischen Maßnahmen eingehalten werden. Außerdem treffen insbesondere folgende Vorschriften aus der Anlage zu 9 BDSG zu: Nr. 1 Zutrittskontrolle: Es ist zu gewährleisten, dass Unbefugte keinen räumlichen Zugang zu DV-Systemen erhalten => Überprüfung der Zutrittskontrollsysteme, falls vorhanden. Nr. 2 Zugangskontrolle: Es ist zu verhindern, dass Unbefugte an DV-Systemen arbeiten können => Kontrolle von Login und Passwort-Eingabe Nr. 3 Zugriffskontrolle: Es ist zu gewährleisten, dass Daten nicht unbefugt eingesehen oder bearbeitet werden können. Nr. 5 Eingabekontrolle: Es ist zu gewährleisten, dass nachträglich überprüft werden kann, wer welchen Datensatz eingegeben, verändert, entfernt hat. Wie hilft AuditBasics A dabei? All diese Kontrollen können automatisiert durchgeführt werden (sofern entsprechende System- Logfiles als Grundlage vorhanden sind). Außerdem werden diese Erkenntnisse und die zugrunde liegenden Logfiles jeweils so aufbereitet, dass sie revisionssicher gespeichert werden können und damit auch im Rechtsstreit als Beweismittel geeignet sind. Nachweis, dass Vorschrift eingehalten wird: Es bestehen diverse datenschutzrechtliche Dokumentationspflichten, die spätestens bei einer Seite 3 von 34

15 Überprüfung durch die Datenschutz-Aufsichtsbehörde vorgelegt werden müssen (z.b. 4g Abs. 2, 4e Abs. 1 BDSG). Folgen bei Verstoß: Neben einem Imageverlust bei öffentlichem Bekanntwerden von Datenschutzverstößen drohen bei Nichtbeachtung des BDSG Bußgelder bis zu oder in schweren Fällen Freiheitsstrafe bis zu zwei Jahren. 2. Handelsgesetzbuch (HGB) Zusammenfassung: Daten aus EDV-gestützten Buchführungssystemen müssen langfristig unveränderbar gespeichert werden (Journalfunktion durch Protokollierung). Betrifft ft wen? Alle deutschen Unternehmen, die Buchführung per EDV betreiben. Art der Vorschrift/ Herausgeber: Das HGB ist für in Deutschland ansässige Unternehmen ein bindendes Gesetz. Einschlägige Vorschrift: 239 Absatz 4 HGB: "... erforderlichen Aufzeichnungen können auch... auf Datenträgern geführt werden.... Bei... Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können...." Was ist zu tun? Es ist zu gewährleisten, dass anfallende EDV-Daten aus der Buchhaltung so gespeichert und aufbewahrt werden, dass sie auch langfristig unverändert sind. Eine Manipulation muss ausgeschlossen sein. Wie hilft AuditBasics dabei? Mithilfe von AuditBasics kann anhand der (Zugriffs-)Logfiles nachvollzogen werden, ob und wer an den Daten Veränderungen vorgenommen hat. Außerdem werden durch AuditBasics diese Erkenntnisse und die zugrunde liegenden Logfiles jeweils so aufbereitet, dass sie revisionssicher gespeichert werden können. Folgen bei Verstoß: Die Nichtbeachtung kann eine Verletzung der Buchführungspflicht darstellen, die nach 283b StGB mit Geldstrafe oder Freiheitsstrafe bis zu zwei Jahre geahndet werden kann. Seite 4 von 34

16 3. GoBS (Grundsätze ordnungsgemäßer Buchführungssysteme) Zusammenfassung: Technische Anforderungen, welche Finanzbehörden an die EDV-Buchhaltung in Unternehmen stellen. Betrifft wen? Betroffen sind alle buchführungspflichtigen Steuerzahler, die ihre Buchhaltung mittels EDV erledigen. Art der Vorschrift/ Herausgeber: Es handelt sich um Verwaltungsanweisungen des Bundesfinanzministeriums an die Finanzbehörden mit Erläuterungen zur Umsetzung von HGB und AO (Abgabenordnung) in Bezug auf die ordnungsmäßige Behandlung elektronischer Dokumente. Die Finanzbehörden achten wiederum bei den Steuerpflichtigen auf Einhaltung. Einschlägige Vorschriften: Die GoBS regeln recht allgemein die Pflichten bei EDV-Buchführung. In Tz. 5 werden Maßnahmen zur Datensicherheit gefordert hinsichtlich Sicherung (bezüglich Unauffindbarkeit, Vernichtung und Diebstahl) Schutz (auch gegen unberechtigte Kenntnisnahme) Wie hilft AuditBasics dabei? Individuelle Sicherungskonzepte, die aufgrund der GoBS erstellt werden, können mit AuditBasics umgesetzt und überwacht werden. 4. KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) Zusammenfassung: In großen Unternehmen ist ein internes Überwachungssystem einzurichten, um bestandsgefährdende Risiken rechtzeitig zu erkennen. Die leitenden Persönlichkeiten haften persönlich. Durch KonTraG wurden Vorschriften z.b. im Aktiengesetz, Handelsgesetzbuch (HGB) oder dem GmbH-Gesetz angepasst. Damit sollen Kontrolle und Transparenz in den Unternehmen verbessert werden. Betrifft wen? Vor allem AGs und GmbHs und ihre leitenden Persönlichkeiten (Haftungsfragen!). Art der Vorschrift/ Herausgeber: Bindende Gesetze in Deutschland Seite 5 von 34

17 Einschlägige Vorschriften: Vorschriften für Aktiengesellschaften: 91 II AktG: Der Vorstand einer AG hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit eine Entwicklung, die den Fortbestand der Gesellschaft gefährdet, früh erkannt werden kann. 116 AktG: Vorstand, Geschäftsführung und u.u. auch Aufsichtsrat haften ggf. persönlich (!) auf Schadensersatz. Vorschriften für GmbHs: Obige Vorschriften gelten entsprechend für Geschäftsführer einer GmbH ( 43 GmbHG i.v. m. 91 II AktG, 116 AktG) Vorschriften für OHG, KG und andere Personalgesellschaften sind ähnlich Was ist zu tun? Wirtschaftliche Kontrolle und Transparenz sollen erreicht werden durch die Einrichtung eines Überwachungssystems zur Früherkennung existenzgefährdender Entwicklungen (Risikomanagement, auch IT-Risikomanagement) die Verpflichtung der Geschäftsführung, ein unternehmensweites Risikomanagement zu implementieren inkl. persönlicher Haftung des Vorstandes, des Aufsichtsrat und der Geschäftsführer bei Verstößen. Zwar gibt es dagegen auch Versicherungen ( directors & officers liabilty Insurance"), diese greifen aber nicht bei Vorsatz oder einer wissentlichen Pflichtverletzung. Bei der praktischen Durchführung können die Maßnahmen der IT-Grundschutz-Kataloge des BSI als Anhaltspunkt dienen. Wie hilft AuditBasics dabei? Wenn individuelle Regeln für ein Risikomanagement entwickelt wurden, hilft AuditBasics bei dessen Umsetzung und Überwachung. Beispielsweise schlägt AuditBasics Alarm bei vorher definierten Verstößen. Folgen bei Verstoß: Außer dem Gesetzesverstoß kommen weitere, teils schwerwiegende Folgen in Betracht: Unternehmensverluste oder Insolvenz durch Ausfall der Systeme bei sehr hohen Schäden Ggf. Verlust von Versicherungsschutz des Unternehmens Verteuerung der Unternehmenskredite ( Basel II ) Imageschäden nach Verlust von personenbezogenen Daten aufgrund von Sicherheitslücken 5. Telekommunikationsgesetz (TKG) Zusammenfassung: Unternehmen müssen einen angemessenen Schutz ihrer Telekommunikationssysteme (Telefon, Internet) gewährleisten. Seite 6 von 34

18 Betrifft wen? Das TKG ist anzuwenden von allen Unternehmen mit Telefon-/ Internet-Anschluss, die ihren Mitarbeitern eine Nutzung zu privaten Zwecken erlauben oder dies zumindest dulden Unternehmen, die diese Dienste Fremden gegen Entgelt anbieten deutsche Telekommunikationsunternehmen Art der Vorschrift/ Herausgeber: Bindendes Gesetz in Deutschland Einschlägige Vorschrift: 109 TKG Technische Schutzmaßnahmen Abs. 1:... hat angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze... der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen. Was ist zu tun? Die Zugriffe auf die Telekommunikations- und Datenverarbeitungssysteme sind zu überwachen. Bei Verdacht auf Missbrauch sind geeignete Maßnahmen zu treffen. Bei der praktischen Durchführung können die Maßnahmen der IT-Grundschutz-Kataloge des BSI als Anhaltspunkt dienen. Wie hilft AuditBasics dabei? Durch Logfile-Analyse mit AuditBasics wird überprüft, ob ein Missbrauch stattfindet und wer ggf. auf die o.g. Daten zugreift. Folgen bei Verstoß: Telekommunikationsunternehmen, die kein Sicherheitskonzept erstellen, droht eine Geldbuße bis zu ( 149 Abs. 1 Nr. 21 TKG). 6. IT-Grundschutz-Kataloge Zusammenfassung: Methodik, nach der konkrete Sicherheitskonzepte für IT-Lösungen mittels Standardmaßnahmen erstellt oder geprüft werden; Nachweis möglich durch IT-Grundschutz-Zertifikat (enthält auch Anforderungen nach ISO und ISO 17799, s.u. II.) Sehr detaillierte Vorschläge des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wie die IT-Sicherheit konkret in Organisationen gewährleistet werden kann, um Schaden von vornherein abzuwenden. Der IT-Grundschutz ergänzt/ überschneidet sich teilweise mit dem BDSG. Seite 7 von 34

19 Betrifft wen? Deutsche Organisationen (Behörden, Institute und Unternehmen aller Größenordnungen), die ihre IT-Sicherheit verstärken/ überprüfen möchten. Ziel ist i.d.r. die Erlangung des IT-Grundschutz-Zertifikats oder eine entsprechende Selbsterklärung. Art der Vorschrift/ Herausgeber: Richtlinie (d.h. Einhaltung ist freiwillig), herausgegeben durch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) Grundsätzliche Prinzipien: Schwerpunkt der Prüfung ist in der Regel die gesamte IT in der Organisation. Die Maßnahmen des IT-Grundschutzes wurden von IT-Fachleuten verfasst und richten sich an IT-Fachleute. Mit der Einhaltung des IT-Grundschutzes werden nur Mindestvoraussetzungen an die IT- Sicherheit erfüllt. Deshalb genügt es, unabhängig vom tatsächlichen Schutzbedarf die vorgeschlagenen Ziele aus den Katalogen einzuhalten (daher der Begriff Grundschutz ). Bei einem höheren Schutzbedarf müssen im Einzelfall weitere Maßnahmen erfolgen (dies ist auch Voraussetzung für ein IT-Grundschutz-Zertifikat). Die erfolgreiche Umsetzung des IT-Grundschutzes nach dem BSI kann in drei Stufen nach außen dokumentiert werden: Selbsterklärung Einstiegsstufe Selbsterklärung Aufbaustufe IT-Grundschutz-Zertifikat (durch unabhängigen BSI-Auditor, gilt zwei Jahre; seit 2006 enthält das BSI-Zertifikat auch das internationale Zertifikat nach ISO 27001) Für die Durchführung des IT-Grundschutzes helfen BSI-Standards. Sie enthalten bewährte Methoden, Prozesse und Verfahren für Themen von grundsätzlicher Bedeutung: BSI-Standard Standard 100-1: 1: Managementsysteme für Informationssicherheit (ISMS) Er ist vollständig kompatibel zum ISO-Standard und berücksichtigt weiterhin die Empfehlungen der ISO-Standards und BSI-Standard Standard 100-2: IT-Grundschutz-Vorgehensweise Beschreibt Schritt für Schritt, wie IT-Sicherheitsmanagement in der Praxis aufgebaut und betrieben werden kann. Er interpretiert die allgemeinen Anforderungen der ISO-Standards 13335, und und gibt praktische Hilfe. BSI-Standard Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Standard zur Risikoanalyse auf der Basis von IT-Grundschutz Einschlägige Vorschriften: Relevante Normen in den IT-Grundschutz-Katalogen können z.b. sein: M 2.64: Kontrolle der Protokolldateien Auf welche Kriterien hin sind Logdateien zu untersuchen? (z.b. Häufung fehlerhafter Anmeldeversuche, An-/ Abmeldung außerhalb der Arbeitszeit, auffallend lange Verbindungszeiten in öffentliche Netze,...) Seite 8 von 34

20 G 2.22: Protokolldaten sind auszuwerten, um Sicherheitsverletzungen aufzuspüren M 5.9: Umfang der Protokollierung am Server M 2.110: Datenschutzaspekte bei der Protokollierung (Mindestanforderungen, Zweckbindung, Aufbewahrungsdauer, technisch-organisatorische Rahmenbedingungen) M 4.5 Protokollierung der TK-Administrationsarbeiten M 4.25 Einsatz der Protokollierung im Unix-System M 4.54 Protokollierung unter Windows NT Insgesamt sind die IT-Grundschutz-Kataloge sehr umfassend und enthalten für viele Bereiche der IT spezifische Vorschriften. Was ist zu tun? Anhand der tatsächlich vorhandenen Bestandteile der jeweils betrachteten IT-Landschaft wählt der Anwender geeignete Kapitel ( Bausteine ) aus den IT-Grundschutz-Katalogen aus und erstellt dadurch ein Modell seiner IT-Landschaft. Dann überprüft er, ob für jeden Baustein seines Modells die Vorgaben aus den IT-Grundschutz- Katalogen eingehalten sind oder wie dies gegebenenfalls erreicht werden kann. Wie hilft AuditBasics ics dabei? Sehr viele Anforderungen der IT-Grundschutz-Kataloge können über Auswertungen von Logfiles oder Konfigurationsdateien sichergestellt werden. AuditBasics bietet für die wichtigsten und häufigsten Anwendungsfälle des IT-Grundschutzes vorgefertigte Policies. Für weitere Anwendungsfälle können individuelle Policies erstellt werden. Mit ihnen kann die Einhaltung der Vorgaben dauerhaft überprüft werden. Nachweis, dass Vorschrift eingehalten wird: Die Einhaltung kann, aber muss nicht durch ein IT-Grundschutz-Zertifikat belegt werden. Dieses gilt für zwei Jahre und wird direkt durch das BSI erstellt. 7. Kreditwesengesetz (KWG) Zusammenfassung: Banken müssen über interne Kontrollverfahren verfügen. Betrifft wen? Banken und Kreditinstitute in Deutschland Art der Vorschrift/ Herausgeber: bindendes Gesetz in der BRD Einschlägige Vorschrift: 25a KWG - Besondere organisatorische Pflichten von Instituten (1) Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der von den Instituten zu beachtenden gesetzlichen Bestimmungen gewährleistet. Die in 1 Abs. 2 Satz 1 bezeichneten Personen sind für die ordnungsgemäße Seite 9 von 34

21 Geschäftsorganisation des Instituts verantwortlich. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere angemessene interne Kontrollverfahren, die aus einem internen Kontrollsystem und einer internen Revision bestehen; das interne Kontrollsystem umfasst insbesondere geeignete Regelungen zur Steuerung und Überwachung der Risiken; angemessene Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung;... Was ist zu tun? Eine ordnungsgemäße Geschäftsorganisation ist aufzubauen, falls noch nicht vorhanden. Dies umfasst insbesondere interne Kontrollen und ein IT-Sicherheitskonzept. Bei dessen Entwicklung und Durchführung können die Maßnahmen der IT-Grundschutz-Kataloge des BSI als Anhaltspunkt dienen. Wie hilft AuditBasics dabei? Ein IT-Sicherheitskonzept kann mittels AuditBasics konkret überwacht werden. 8. Basel II (MaRisk und SolvV) Zusammenfassung: Betrifft die Risikobewertung bei der Kapitalvergabe. Bei einer schlechten Risikobewertung (z.b. fehlendem IT-Sicherheitsmanagment) erhalten Kreditnehmer schlechtere Konditionen von den Banken. Betrifft wen? Basel II richtet direkt nur an Banken, mittelbar spüren jedoch auch ihre Kunden (Kreditnehmer) die Auswirkungen. Art der Vorschrift/ Herausgeber: Die Vorgaben wurden durch den Baseler Ausschuss für Bankenaufsicht erarbeitet. Verbindlich treten sie ab in den EU-Ländern in Kraft. In Deutschland werden sie umgesetzt durch: Mindestanforderungen an das Risikomanagement (MaRisk) durch die BaFin, als zweite Säule von Basel II Solvabilitätsverordnung (SolvV) durch das Bundesfinanzministerium, als erste und dritte Säule von Basel II Grundsätzliche Prinzipien: Die Basel II -Vorschriften betreffen zwar unmittelbar nur die Bank; diese wälzen jedoch die Risiken auf ihre Kunden ab. Das bedeutet, dass es auch für die Privat-Wirtschaft eine direkte Abhängigkeit zwischen den Konditionen für die Geldbeschaffung und den Kreditrisiken gibt. Bei einem schlechten Ranking (hohe Risiken) wird ein Kredit oder Darlehen verweigert, weil die Bank gemäß Basel II sonst mehr ihrer Eigenmittel bereitstellen müsste. Bei einem guten Ranking (geringe Risiken) steigen die Chancen auf bessere Konditionen, weil die Bank selbst Seite 10 von 34

22 weniger ihrer Eigenmittel unterlegen muss. Einschlägige Vorschrift: Basel II besteht aus drei sich gegenseitig ergänzenden Säulen: 1. Mindest-Eigenkapital-Anforderungen an Kreditnehmer (mittels Rating) 2. Überprüfung durch die Bankaufsicht 3. Erweiterte Offenlegung (Transparenz) Damit sollen einheitliche Wettbewerbsbedingungen sowohl für die Kreditvergabe als auch für den Kredithandel geschaffen werden. Was ist i zu tun? (Potentielle) Kreditnehmer müssen (auch) darauf achten, ein funktionierendes IT-Sicherheitsmanagement nachzuweisen. Wie hilft AuditBasics dabei? Mit AuditBasics kann ein IT-Sicherheitsmanagement durchgeführt und nachgewiesen werden. Folgen bei i Verstoß: Kredit-Interessierte erhalten gar kein Angebot oder schlechtere Konditionen von der Bank. 9. Solvency II Zusammenfassung: Zukünftige, europarechtlich einheitliche Regelungen über die Versicherungsaufsicht (ähnlich zu Basel II ). Auch auf das zukünftige Aufsichtskonzept über die Versicherungswirtschaft nehmen die internationalen Rechnungslegungsstandards Einfluss, denn ein einheitliches europäisches Aufsichtskonzept muss zwangsläufig auf einem einheitlichen Bewertungsmaßstab für Rückstellungen aufsetzen. Betrifft wen? Versicherungswirtschaft (und deren finanzielle Ausstattung) Art der Vorschrift/ Herausgeber: Im Juni 2007 will die EU-Kommission einen Richtlinienentwurf vorlegen. Nach dessen Verabschiedung müssen die EU-Mitgliedsstaaten die Regelungen in nationales Recht umsetzen, bevor sie endgültig in Kraft treten können (voraussichtlich zwischen 2008 bis 2010). Grundsätzliche Prinzipien: Solvency II basiert auf einem 3-Säulen-Modell (ähnlich wie Basel II ). Im Gegensatz zur Bankenbranche stehen in dem zukünftigen Modell aber weniger Einzelrisiken als vielmehr ein ganzheitliches System zur Gesamtsolvabilität im Mittelpunkt. Seite 11 von 34

23 Säule 1: Kapitalanforderungen (z.b. Mindestkapital) Säule 2: Risikomanagement und interne Kontrolle Säule 3: Marktdisziplin (erhöhte Transparenz gegenüber BaFin und Öffentlichkeit) Dadurch wird Solvency II auf nahezu alle Bereiche eines Versicherungsunternehmens Auswirkungen haben. Was ist zu tun? Die in Teilen schon sehr konkreten zukünftigen Anforderungen aus Solvency II werden komplex und umfangreich sein. Die endgültigen Regelungen treten zwar erst in einigen Jahren in Kraft, dennoch kann man sich schon heute darauf vorbereiten. Durch die Bemessung und Steuerung der versicherungstechnischen Risiken, Risiken aus Kapitalanlagen und den operationellen Risiken wird aufsichtsrechtlichen Anforderungen entsprochen. Wie hilft AuditBasics dabei? Mit AuditBasics kann ein IT-Sicherheitsmanagement (2. Säule) durchgeführt und nachgewiesen werden. 10. IDW PS 330 (= ISA 401) Zusammenfassung: Prüfungsstandard der Wirtschaftsprüfer für IT-Prüfungen im Rahmen von Abschlussprüfungen. Die Reichweite des IDW PS 330 wird voraussichtlich durch die internationalen ISAs (vgl. u.) zurückgedrängt werden. Betrifft wen? Wirtschaftsprüfer, die Unternehmen nach 316 HGB ( Pflicht zur Prüfung ) untersuchen. Art der Vorschrift/ Herausgeber: IDW PS 330 ist ein Vorschlag des Instituts der Wirtschaftsprüfer in Deutschland e.v. (IDW). Er stellt eine Berufsauffassung dar, welche von Wirtschaftsprüfern unbeschadet ihrer Eigenverantwortlichkeit im Rahmen von Abschlussprüfungen von IT-Systemprüfungen herangezogen werden kann. Rechtliche Basis des PS 330: 264 HGB: Der Jahresabschluss eines Unternehmens hat unter Beachtung der Grundsätze ordnungsgemäßer Buchführung ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage zu vermitteln. 317 HGB: Ein Wirtschaftsprüfer hat seine Prüfung so anzulegen, dass Unrichtigkeiten und Verstöße gegen diese Pflicht erkannt werden. Bei diesen Prüfungen dürfen IT-Systeme nicht außen vor bleiben. Dabei kann der Wirtschaftsprüfer auf IDW PS 330 zurückgreifen. PS 330 entspricht dem International Standard on Auditing (ISA) 401 Auditing in a Computer Information Systems Environment und geht darüber hinaus (Berücksichtigung neuer Seite 12 von 34