Datenverlust und Informationsmanagement. Risiken und Lösungsansätze

Größe: px
Ab Seite anzeigen:

Download "Datenverlust und Informationsmanagement. Risiken und Lösungsansätze"

Transkript

1 Datenverlust und Informationsmanagement Risiken und Lösungsansätze

2

3 Editorial Die Chancen und Risiken neuer Informationstechnologien zeigen sich wohl in keiner Branche deutlicher als in der Finanzindustrie. Heute wird eine kaum überschaubare Datenmenge verarbeitet und zwischen verschiedenen Stellen innerhalb und ausserhalb des Unternehmens transferiert. Publik gewordene Fälle von Datenverlusten machen klar, welche Bedrohungen mit den neuen Technologien verbunden sind: Mitarbeitende benutzen Facebook, Twitter oder Blogs für die Verbreitung von vertraulichen oder gefälschten Informationen; Konkurrenten verwenden Informationstechnologien zur Wirtschaftsspionage; vertrauliche Informationen werden entwendet und gegen Entgelt an Dritte verkauft, wobei auch Staaten als Interessenten auftreten. Mit dem Anstieg der Risiken von Datenverlusten wachsen auch die regulatorischen Anforderungen. Es ist damit zu rechnen, dass ein wirksames Informationsmanagement aus Branchensicht wie auch für die Aufsichtsbehörden in absehbarer Zeit zu den Mindestanforderungen zählt. Informationen gehören zu den wertvollsten Ressourcen in jedem Unternehmen. Doch trotz der Bedrohungen haben selbst grössere Banken Schwierigkeiten, sich wirksam gegen Datenverluste zu wappnen. Umfragen zeigen zum Beispiel, dass nur ein Viertel der Unternehmen über einen ausreichenden Schutz vor Informationsmissbrauch verfügt. Mit der vorliegenden Publikation machen wir den Handlungsbedarf deutlich. Und wir zeigen, mit welchen konkreten Schritten sich der Schutz kritischer Daten und Informationen verbessern lässt. Die neuen Bedrohungen gehören zwingend auf die Risk Map von Geschäftsleitung und Verwaltungsrat und sind im Rahmen des Risk Reporting laufend zu überprüfen. Informationsmanagement ist eine prioritäre strategische Aufgabe des obersten Managements und darf nicht an IT-Spezialisten delegiert werden. Die heute verfügbaren Mittel der Informationsverarbeitung sind dabei gut auf Prozesse und Personen abzustimmen und laufend weiterzuentwickeln, hinsichtlich präventiver wie forensischer Massnahmen. Auf diesem Weg einen wirksamen und effizienten Datenschutz zu etablieren, beansprucht Zeit und Ressourcen, weshalb es sinnvoll ist, externe Fachleute einzubeziehen. Wir wünschen Ihnen eine anregende Lektüre. Wenn Sie uns Fragen stellen oder einzelne Aspekte in einem Gespräch vertiefen möchten, kontaktieren Sie bitte ein Mitglied unseres Teams. Wir freuen uns darauf. Jürg Brun Partner Advisory Services Dr. Michael W. Faske Partner Fraud Investigation & Dispute Services

4 Inhaltsverzeichnis 1 Executive Summary 5 2 Gefährdete Informationssicherheit 6 3 Wachsende regulatorische Anforderungen 8 4 Grosse Risiken ungenügender Schutz 10 5 Präventive Lösungsansätze 14 6 Forensische Lösungsansätze 20

5 1 Executive Summary Gefährdete Informationssicherheit Die technologische Entwicklung hat die Risiken von Verlust und Missbrauch kritischer Informationen deutlich erhöht. Über 90 Prozent der Informationen werden inzwischen in digitaler Form gespeichert. Mit den heute verfügbaren Mitteln lässt sich ein Missbrauch einfach und ohne grosse Kosten durchführen. Politische und gesellschaftliche Veränderungen begünstigen den kriminellen Einsatz solcher Instrumente. Zudem kann der fahrlässige Umgang mit Kommunikationsmitteln und Datenträgern einem Unternehmen, gerade bei Banken und Versicherungen, erheblichen Schaden zufügen. Wachsende regulatorische Anforderungen Gesetzgeber rund um den Globus erhöhen die Vorschriften zum Schutz kritischer Informationen. Gleichzeitig verstärken neue Aufsichtsgesetze und Erwartungshaltungen von Behörden den Druck auf die regulierten Unternehmen. Wohin diese Entwicklung führt und welche Kosten sie verursacht, ist zurzeit kaum absehbar. Sicher ist, dass die Risiken zunehmen, wenn Institute die neuen Anforderungen nicht einhalten. Nachlässigkeit führt zu grossen Schäden Die meisten Unternehmen sind nur ungenügend vor Angriffen geschützt. Die Folgen dieser Nachlässigkeit zeigen sich im beträchtlichen Ausmass von Datenverlusten: Seit 2005 sind weltweit über 250 Millionen Kundendaten mit sensitiven oder vertraulichen Informationen im Bankenbereich verloren gegangen oder gestohlen worden. Missbräuchliche Veröffentlichungen von Informationen im Internet, die zu beobachten sind, zeigen weitere Schwachstellen auf. Informationsmanagement und Risikomanagement als strategische Aufgaben Informationsmanagement ist angesichts des Bedrohungspotentials eine prioritäre strategische Aufgabe des obersten Managements. Die Risiken durch Datenverluste gehören zwingend auf die Risk Map von Geschäftsleitung und Verwaltungsrat und sind regelmässig zu überprüfen (Risk Reporting). Massgeschneiderte Lösungen Für modernes Informationsmanagement gibt es keine auf sämtliche Bedrohungen passenden Standardlösungen. Jedes Konzept muss auf die Erfordernisse des Instituts und das Risikoprofil abgestimmt werden. Bei jeder Lösung stehen die Informationen und die dazugehörigen Daten und Datenverarbeitungsmedien sowie die Personen und Prozesse im Zentrum. Auf diese müssen präventive und detektive Schutzmassnahmen ausgerichtet sein. Forensische Massnahmen Den totalen Schutz sensitiver Daten gibt es nicht. Werden Missbräuche mit kritischen Informationen festgestellt, müssen unverzüglich forensische Massnahmen ergriffen werden, um weiteren Schaden zu vermeiden oder zu minimieren und Beweise zu sichern. Eine vollständige Aufklärung ist nicht nur aus regulatorischer Sicht erforderlich, sondern auch um Schwachstellen zu beheben und künftige Schäden zu vermeiden. Dazu kommt vielfach der öffentliche Druck, Missbräuche aufzudecken und Schuldige zur Verantwortung zu ziehen. Ernst & Young Datenverlust und Informationsmanagement 5

6 2 Gefährdete Informationssicherheit Jede Unternehmung verfügt über Informationen, die geschützt werden müssen. In besonderem Mass gilt dies für den Finanzbereich, besitzt dieser mit den Kundendaten doch umfangreiche sensitive Informationen (in der Publikation ist nachfolgend meist vereinfachend von Banken die Rede, die Aussagen treffen aber allgemein auf Finanzintermediäre zu). Entsprechend gross sind die Risiken, falls solche Daten in falsche Hände geraten. Die technologische Entwicklung trägt massgeblich zu den wachsenden Risiken bei. Heute lassen sich immer mehr Bankapplikationen an unterschiedlichen Orten abwickeln, die Verarbeitung ist dezentralisiert, Banken verfügen über lokale Datenbestände. Gleichzeitig steigt die Verbreitung mobiler Geräte, bei denen in regelmässigen Abständen neue Sicherheitslücken entdeckt werden. Facebook, Twitter, Blogs und andere Internet-Medien führen zu einer freiwilligen «gläsernen Intimität», können aber auch für kriminelle Zwecke missbraucht werden. Die Grenze zwischen dem Mitteilen persönlicher Informationen und dem Verbreiten vertraulicher Daten aus dem Arbeitsumfeld wird verwischt. Solcher Verrat kann fahrlässig oder missbräuchlich geschehen, immer geht ihm der Zugriff und Transport von Daten voraus. Diese angemessen zu schützen und zu überwachen, sind wichtige Elemente des Informationsmanagements, die unter dem Begriff Data Leakage Prevention zusammengefasst werden. Data Leakage Prevention (DLP) Die auch als Data Loss Prevention bezeichneten Massnahmen umfassen Instrumente und Prozesse, um sensitive Daten oder Informationen zu identifizieren, zu überwachen und zu schützen. DLP konzentriert sich auf zwei Dinge: dass gewisse Daten nicht aus einer Unternehmen abfliessen und dass unautorisierte Zugriffe oder Übermittlung von sensitiven Daten frühzeitig entdeckt werden. 6 Ernst & Young Datenverlust und Informationsmanagement

7 Vielfältige Gefahren für die Informationssicherheit Der Verlust sensitiver Daten kann unterschiedliche Ursachen haben, wie die Beispiele in der Übersicht zeigen. Verlust von Notebooks, portablen Speichermedien (z.b. USB-Sticks, CDs) oder Backup-Bändern Diebstahl von geistigem Eigentum oder Daten durch enttäuschte Mitarbeiter Publikation von Falschinformationen im Internet (Kursmanipulation, Rufschädigung) Angestellte, die sensitive oder unangemessene Informationen ungeschützt per versenden Gefahren für die Informationssicherheit bei Finanzinstituten Organisiertes Verbrechen, das auf die Kunden abzielt und zu finanziellem Schaden führt (z.b. Phishing-Attacken) Verlust von Papierdokumenten mit sensitiven Daten (z.b. Kundenoutput von Banken) Unangemessene Zugriffsrechte auf Systeme, die zu Betrugsfällen führen Verlust von Kreditkartendetails Ernst & Young Datenverlust und Informationsmanagement 7

8 3 Wachsende regulatorische Anforderungen Neben den Regeln zu Kredit- und Marktrisiken haben Gesetzgeber und Aufsichtsbehörden im Lauf der letzten Jahre auch die Vorgaben für das Management operationeller Risiken verschärft (z.b. Sarbanes- Oxley, IKS). So wie die Finanzkrise zusätzliche Vorschriften verursacht, sind auch konkrete Fälle von Informationsmissbrauch und Datendiebstahl Auslöser dafür, dass Regulatoren die Anforderungen an den Datenschutz erhöhen. Diese Vorgaben verstärken den Druck zu umfassenden präventiven Lösungen gegen Datenverlust und -diebstahl (Data Leakage Prevention). Der IT-Analyst Gartner geht davon aus, dass diese Instrumente in Europa bis 2015 ein unverzichtbares Element der guten Geschäftsführung (Code of Practice) sind. Bereits heute haben zahlreiche staatliche und überstaatliche Regulierungen direkten oder indirekten Einfluss auf den Schutz von Daten und damit auf das Informationsmanagement, wie die Beispiele in der folgenden Übersicht zeigen: Straf- und Wettbewerbsgesetze Banken- und Börsengesetze Regulierung zum Informationsmanagement Regulierung zur Erhöhung der Steuertransparenz (OECD, USA und weitere) Datenschutzgesetze Datenschutzrichtlinie der EU Vorschriften zu Outsourcing und Offshoring 8 Ernst & Young Datenverlust und Informationsmanagement

9 Verletzung des Berufsgeheimnisses: Banken- und Börsengesetze verankern das Berufsgeheimnis. Wer Geheimnisse offenbart, die ihm in seiner Eigenschaft als Organ, Angestellter oder Beauftragter eines Instituts anvertraut worden sind, muss Freiheits- oder Geldstrafen gewärtigen. Verletzung des Fabrikations- oder Geschäftsgeheimnisses: Die Verletzung des Fabrikations- oder des Geschäftsgeheimnisses ist in Strafgesetzen geregelt. Wer eine gesetzliche oder vertragliche Pflicht zur Wahrung dieser Geheimnisse hat und diese verletzt, kann mit Freiheitsentzug oder Geldstrafe bestraft werden. Wettbewerbsgesetze regeln den Fall, dass jemand unrechtmässig erfahrene Geschäftsgeheimnisse verwertet oder andern mitteilt. Solche Verstösse gegen die Regeln des lauteren Wettbewerbs werden strafrechtlich verfolgt. Datenschutz: Nationale Datenschutzgesetze konkretisieren den Datenschutz und schreiben vor, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten zu schützen sind. Governance und Haftungsrisiko Sind die Vorgaben an das Informationsmanagement einmal fester Bestandteil guter Geschäftsführung, so müssen sich Banken zwingend an die Auflagen halten. Das führt dazu, dass die Institute dafür verantwortlich gemacht werden können. Geraten Daten in unautorisierte Hände, so kommt zum materiellen Schaden und dem Imageverlust das Haftungsrisiko hinzu. Das heisst, dass Institute und Verantwortliche der Bank für Datenverluste entsprechend belangt werden können. Damit rückt die Governance in den Vordergrund. Schon heute ist absehbar, dass ein grosser Teil dieser neuen Aufgaben auf den Schultern von Geschäftsleitung und Verwaltungsrat lastet. Die obersten Führungsgremien müssen die nötigen Schritte unternehmen, um den Anforderungen zu entsprechen. In Kapitel 5 wird ausgeführt, mit welchen Massnahmen sich Banken für die sich stellenden Aufgaben fit machen können. Outsourcing und Offshoring: Spezifische Outsourcing-Vorschriften halten die Grundsätze fest, die bei der Auslagerung von Funktionen und Prozessen eingehalten werden müssen. Dazu zählen unter anderem die Wahrung von Geschäftsgeheimnis und Datenschutz. Die Verantwortlichkeit für Informationssicherheit verbleibt bei Outsourcing in aller Regel bei der auslagernden Bank. Beim Offshoring hat eine Bank grundsätzlich die gleichen Datenschutzregeln zu befolgen wie beim Outsourcing. Grenzüberschreitender Datenaustausch: Die verstärkte Internationalisierung hat dazu geführt, dass Daten vermehrt über Landesgrenzen transferiert werden. Verschiedene Gesetze regeln deshalb die Art und Weise, wie grenzüberschreitende Transaktionen abzuwickeln sind. Von Bedeutung sind dabei vor allem die Aufbewahrung und die Archivierung von Daten, unter anderem im Zusammenhang mit Geldwäscherei und Terrorismusbekämpfung. Internationaler Kontext: Auf überstaatlicher Ebene von Belang ist die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) der Europäischen Union. Im internationalen Kontext ebenfalls relevant sind die Verschärfungen der Steuergesetzgebung, welche zahlreiche Staaten und überstaatliche Organisationen wie die OECD im Kampf gegen die Steuerhinterziehung erlassen haben. Zu nennen ist auch die in den USA und Deutschland eingeführte Informationspflicht für den Fall, dass sensitive Daten verloren gehen. Ernst & Young Datenverlust und Informationsmanagement 9

10 4 Grosse Risiken ungenügender Schutz Das Ausmass von Datenverlusten ist beträchtlich. Das Privacy Rights Clearinghouse hat errechnet, dass seit 2005, seit Vorfälle mit Datenübertretungen (Data Breach) aufgezeichnet werden, weltweit über 250 Millionen Kundendaten mit sensitiven oder vertraulichen Informationen verloren gingen oder gestohlen wurden. Wie häufig sensible Daten abhanden kommen, zeigt auch eine Studie des Computerherstellers Dell. Im Jahr 2008 hat Dell die wichtigsten hundert amerikanischen Flughäfen untersucht und festgestellt, dass auf diesen pro Woche rund Laptops verloren gehen. Nur 30 Prozent davon werden wieder gefunden. Allein in Los Angeles kommen pro Woche 1200 Computer abhanden. Dell hat daraus den Schluss gezogen, dass deutlich mehr Geräte verloren gehen, als dies von Unternehmen angegeben wird. Aufschlussreich ist in diesem Zusammenhang die Tatsache, dass rund die Hälfte der befragten Geschäftsreisenden angab, ihre Laptops würden Kundendaten oder andere vertrauliche Geschäftsinformationen enthalten. Was die Gefahr externer Angriffe betrifft, so weiss man aus den publik gewordenen Fällen, dass sich grössere Organisationen vermehrt zu eigentlichen Netzwerken zusammenschliessen, um an Informationen zu gelangen. Das Ausmass dieser organisierten Kriminalität lässt sich auch daran abschätzen, dass im Internet ein reger Handel betrieben wird mit gestohlenen Kundendaten, Kreditkartennummern und Zugangsberechtigungen. Die erforderliche Software, um solche Daten auszuspähen, wird ebenfalls angeboten. Mangelhafte Sicherheitsvorkehrungen Der Global Information Security Survey von Ernst & Young aus dem Jahr 2009 macht deutlich, dass nur eine Minderheit von Finanzinstituten die verfügbaren Technologien und Prozesse einsetzt, um die Informationssicherheit zu verbessern. 10 Ernst & Young Datenverlust und Informationsmanagement

11 Content Monitoring und Filterprogramme 69 % 9 % 10 % 12 % «Data Leakage Prevention»-Instrumente 25 % 22 % 28 % 25 % Desktop-Verschlüsselung 15 % 12 % 34 % 39 % Digital Rights Management 14 % 10 % 31 % 45 % -Verschlüsselung 35 % 15 % 25 % 25 % Verschlüsselung von mobilen Medien 25 % 19 % 29 % 27 % Laptop-Verschlüsselung 41 % 17 % 23 % 19 % Technologie derzeit eingesetzt in 1 Jahr geplant in Evaluation nicht eingesetzt Quelle: 2009 EY Global Information Security Survey Nur ein Viertel der befragten Unternehmen setzt Instrumente zur Verhinderung von Datenverlusten ein. Drei von vier Firmen sind somit ungenügend geschützt. Bemerkenswert ist auch die Tatsache, dass heute nur 41 % der Unternehmen Laptops verschlüsseln, obwohl die nötige Technologie zu erschwinglichen Preisen vorhanden ist. Noch am Anfang steckt das Digital Rights Management, der Schutz der Urheberrechte im digitalen Bereich. Damit kann zum Beispiel sichergestellt werden, dass nur jene Mitarbeitenden Zugriff auf digitale Informationen haben, die die entsprechenden Rechte besitzen. Die Klassifizierung von Informationen und Dokumenten ist dazu eine wichtige Vorbedingung. Immerhin erkennen die Unternehmen den Handlungsbedarf. Einige der Instrumente sollen gemäss Umfrage innerhalb eines Jahres eingeführt oder evaluiert werden. Das wachsende Bewusstsein zeigt sich auch in der Frage nach den drei wichtigsten Sicherheitsaspekten des kommenden Jahres. 47 % geben an, das Risikomanagement bei der Informationssicherheit zu verbessern, 40 % wollen Technologien zur Data Leakage Prevention einsetzen oder verbessern, 39 % wollen das Personal sensibilisieren und schulen. Ernst & Young Datenverlust und Informationsmanagement 11

12 Vielfältige Gefahren Zusammenfassend werden nachfolgend verschiedene reale Fälle dargestellt, die für diese Publikation anonymisiert wurden. Die Tabelle macht deutlich, welchen Risiken Institute ausgesetzt sind. Die Übersicht zeigt das Spektrum möglicher Datenverluste. Ein bestimmtes Mass an krimineller Energie vorausgesetzt, scheint es möglich, jede Art von Daten abzuzweigen. Bemerkenswert ist auch die Tatsache, dass es dazu nicht in jedem Fall ausgeklügelte Verfahren von IT-Spezialisten braucht, sondern dass oft Standardverfahren oder selbst einfache Screenshots für einen Datendiebstahl genügen. Umfeld Daten Täter Gelegenheit Vorgehen Nicht angemessene Zugangsrechte zu Applikationen mit sensitiven Daten Daten zur Kundenidentifizierung Frustrierter Mitarbeiter Export sensitiver Daten in ein File, das auf eine CD kopiert wurde. Standardverfahren zum Datenexport. Systementwicklung oder Migration Vollständige Tabellen mit sensitiven Daten Software-Entwickler Der Täter hatte im Rahmen seiner regulären Arbeit autorisierten Zugang zu sensitiven Kundendaten. Datenbanktabellen wurden in Files kopiert, bevor diese auf das neue System geladen wurden. Ausnützen von Schwächen in der Entwicklungsumgebung einer Datenbank Kontonummern von Kunden, Namen und andere Informationen zur Identifikation Datenbank-Administrator mit Verständnis der Testabläufe Der Algorithmus zur Anonymisierung von Daten wurde so verändert, dass Daten in eine versteckte Tabelle flossen. Datenbankskript zum Lesen der Daten wurde ausgeführt, während die angeblich anonymisierten Daten übermittelt wurden. Vertrauensbruch zwischen Entwicklern Transaktionsdaten von Kunden Erfahrener IT-Entwickler Unerfahrener IT-Entwickler, der den Täter um Unterstützung bat; der Täter erhielt privilegierten Zugang zu einem geschützten System. Die Kombination von unerlaubt eingesehenen Verlinkungsdaten mit anonymisierten Daten, auf die der Täter regulären Zugriff hatte, führte zum Verlust vertraulicher Daten. Datenverlust im Front office Screenshots von Banksystemen Mitarbeiter des Callcenters war Teil eines Betrügerrings Täter war unbeobachtet und arbeitete am Wochenende. Screenshots wurden auf einem USB-Stick gespeichert. Abfangen von Daten bei zwischengeschalteten Systemen Kundenauszüge IT-Contractor eines untergeordneten IT-Systems Daten wurden beim Drucken von Auszügen und bei Systemvorbereitungen abgefangen. Daten wurden von einem ungesicherten Proxy-Server abgezweigt. Annahmen bezüglich Daten-Sensitivität Informationen zur Kundenidentifikation Frustrierter Mitarbeiter Angeblich nicht-sensitive Daten wurden in ein System mit schwächeren Kontrollen eingegeben. Die Identität der Kunden konnte mit einfachen Rückschlüssen erraten werden. Standardverfahren zum Datenexport. 12 Ernst & Young Datenverlust und Informationsmanagement

13

14 5 Präventive Lösungsansätze Es gibt keine standardisierten schlüsselfertigen Lösungen für Data Leakage Prevention. Die Massnahmen, die sich zum Schutz ergreifen lassen, sind so vielfältig wie die möglichen Angriffe auf die Datensicherheit. Dazu gehören zum einen präventive Schritte, um Angriffe wirksam zu verhindern. Zum andern sind reaktive Instrumente von Belang, wenn es zu einem Verlust von Daten gekommen ist; diese forensischen Massnahmen werden in Kapitel 6 eingehender behandelt. Das von Ernst & Young entwickelte Datensicherheitsmodell hat sich bewährt, die verschiedenen Instrumente zum Datenschutz aufeinander abzustimmen und auf die individuellen Erfordernisse eines Instituts masszuschneidern. Das Modell wird nach dem Grundsatz eingesetzt, die im Unternehmen bereits bestehenden und geeigneten Sicherheitsmassnahmen zu nutzen und diese konsequent thematisch auf die Bedürfnisse des Informationsmanagements auszurichten. Datensicherheitsmodell Komponenten des Datenschutzprogramms IT Relevante Organisationseinheiten Human Ressource interne und externe Kommunikation Komponenten des Datenschutzprogramms Datenschutz- Governance Bewegte Daten Zugangskontrolle Perimetersicherheit Data Leakage Prevention -Verschlüsselung Auditing & Monitoring Personenschutz Bearbeitete Daten Schutz von System und Daten Sensibilisierung & Training Schutz der Urheberrechte Data Leakage Prevention Verwaltung von Identität und Zugriff Auditing & Monitoring Notfallmassnahmenplan Verschlüsselungsverfahren Datenaufbereitung Datenverschleierung Verschlüsselung Datenschutz Gespeicherte Daten Physischer Schutz Konfigurationsverwaltung Datenbank- Verschlüsselung Verschlüsselung gespeicherter Daten Verschlüsselung bewegter Daten Data Leakage Prevention Auditing & Monitoring Notstandsverfahren Klassifikation der Daten Datenmanagement; Monitoring; Auditing & Reporting Daten-Governance; Compliance 14 Ernst & Young Datenverlust und Informationsmanagement

15 Die Basis des Modells bilden die Daten. Dazu gehört zum einen ihre Klassifikation. Eine Bank muss wissen, welche Daten sensitiv sind und welche nicht. Das Volumen der anfallenden Informationen ist zu gross, als dass für alle die höchsten Sicherheitsanforderungen erfüllt werden können. Zum Fundament des Modells gehören darüber hinaus datenorientiertes Management, Auditing und Reporting sowie Daten-Governance und Compliance. Im Zentrum des Modells stehen die Daten. Diese liegen zum überwiegenden Teil in elektronischer Form vor: Unternehmen speichern über 90 Prozent der Informationen digital. Dabei lassen sich drei Arten unterscheiden: bewegte Daten, bearbeitete Daten und gespeicherte Daten. Für jede dieser Gruppen sind spezifische Instrumente von Bedeutung. Lösungsdimensionen Die Massnahmen zum Schutz kritischer Informationen betreffen verschiedene Dimensionen: Datensicherheitsmodell: ermöglicht die Abstimmung sämtlicher präventiver und reaktiver Instrumente Risikomanagement: die Risiken durch Data Leakage müssen identifiziert und laufend überwacht werden (z.b. Risk Map, Risk Reporting) Top-Down: garantiert einen ganzheitlichen Ansatz, um die Bereiche Personen, Prozesse und Technologie aufeinander abzustimmen Diese Instrumente werden ergänzt durch allgemeine Datenschutzprogramme. Zu deren Komponenten gehören unter anderem Richtlinien, Zugriffskontrollen und Schulungsprogramme. Besonders Augenmerk ist auf drei Organisationseinheiten zu richten: auf den IT-Bereich, Human Ressources sowie auf die interne und externe Kommunikation. Diese Bereiche arbeiten mit hochsensitiven Daten, weshalb hier die korrekte Umsetzung der Massnahmen zum Informationsmanagement absolut zentral ist. Ernst & Young Datenverlust und Informationsmanagement 15

16 Risikoidentifikation und Risikobewertung Nur wenn eine Bank die Bedrohungen im Informationsmanagement genau kennt, kann sie die richtigen Vorkehrungen treffen. Umso wichtiger ist deshalb eine gründliche Analyse der Risiken. Deshalb gehören die Bedrohungen durch Datenverluste zwingend auf die Risk Map von Geschäftsleitung und Verwaltungsrat und sind regelmässig zu überprüfen (Risk Reporting). Folgende fünf Risikodimensionen lassen sich dabei unterscheiden: Reputationsrisiko: Gelangen vertrauliche Kundendaten durch Diebstahl, Verlust oder Offenlegung in die falschen Händen, kann dies dem Image einer Bank erheblich zusetzen. Rechtliche Risiken: Werden rechtliche Vorgaben missachtet, so eröffnet dies die Möglichkeit verschiedener rechtlicher Schritte. Zu nennen sind Schadenersatzklagen durch geschädigte Bankkunden, Klagen von Aufsichtsbehörden sowie strafrechtliche Klagen. Davon betroffen können die Unternehmen wie auch die involvierten Organe sein. Systeminhärente Risiken: Die Entwicklung der Informations- und Kommunikationstechnologie birgt erhebliche operationelle Risiken, zum einen durch die elektronische Speicherung und Übermittlung vertraulicher Kundendaten, zum andern durch mögliche technische Defekte und Schwachstellen. Risikofaktor Mensch: Bei fahrlässigen oder vorsätzlichen Datenverlusten sind meist Mitarbeitende involviert. Nebst persönlichen Sachverhalten wird ihr Verhalten durch Personalpolitik und Anstellungsverhältnis sowie Kontrolle und Überwachung beeinflusst. Finanzielle Risiken: Werden sensitive Daten missbraucht, ist dies mit erheblichen Kosten für das betroffene Institut verbunden. Zu den Einbussen aufgrund von Imageverlust und Schadenersatzleistungen kommen die Kosten für die Aufarbeitung und Abwicklung des Vorfalls. Der Risikobewertung dient ein Self Assessment. Diese Methode macht deutlich, wo eine Bank hinsichtlich Data Leakage Prevention steht. Dabei werden in der Regel Maturitätsmodelle eingesetzt, um Aussagen über die Qualität der bereits ergriffenen Massnahmen machen zu können. 16 Ernst & Young Datenverlust und Informationsmanagement

17 Ganzheitliches Vorgehen Will ein Institut die Herausforderung Data Leakage ganzheitlich angehen, ist ein Top-Down-Ansatz unerlässlich. Verantwortliche dürfen sich nicht der Illusion hingeben, Informationsmanagement sei eine technische Aufgabe, die sich an den IT-Bereich delegieren lasse. Vielmehr ist das aktive Engagement des obersten Managements verlangt, um Bedrohungen frühzeitig zu erkennen (Risikomanagement) und das ganze Unternehmen für die Aufgabe zu sensibilisieren. Drei Bereiche sind von Bedeutung: Personen, Prozesse und Technologie. Nur wenn diese Bereiche adressiert und die Massnahmen aufeinander abgestimmt werden, lässt sich ein nachhaltiger Schutz sensitiver Daten erreichen. Personen Rollen Governance Kommunikation Top-Down-Ansatz Prozesse Strategie Prozeduren Infrastruktur Zugangskontrollen Sicherheit beim Endbenutzer Datenklassifikation Notfallmassnahmenplan Audit und Monitoring Technologie Netzwerk-basiert Host-basiert Ernst & Young Datenverlust und Informationsmanagement 17

18 Zeitplan Vieles deutet darauf hin, dass Data Leakage Prevention bis zum Jahr 2015 eine Voraussetzung für gutes Geschäftsgebahren ist und dass die Regulatoren diese Anforderungen übernehmen werden. Eine frühzeitige Auseinandersetzung mit der Herausforderung Data Leakage ist notwendig, weil Analyse, Evaluation und Einführung der nötigen Massnahmen Zeit und Ressourcen in Anspruch nehmen. Driver und Hürden identifizieren weitere Informationen Daten verstehen Risk Assessment Review geltender DLP-Massnahmen Analyse der Wirtschaftlichkeit Strategie festlegen DLP-Technologie auswählen Implementierung Sofort In einem Monat In 6 Monaten In einem Jahr Mindestens 18 Monate 18 Ernst & Young Datenverlust und Informationsmanagement

19 Sofort: Am Anfang steht ein Self Assessment, was Datenverlust und Datenschutz betrifft. Ebenfalls sofort sind die treibenden Kräfte für DLP wie auch die Hürden zu identifizieren. Bei diesen Analysen sind zudem weitere Informationen einzubeziehen, von den Bereichen Legal, IT und Audit über die Stakeholder bis zu Lieferanten und Mitbewerbern. Innerhalb eines Monats: Das Topmanagement muss sämtliche anfallende Daten verstehen. Dazu gehören die Sensitivität wie auch die Prozesse der Verarbeitung, Speicherung und Übermittlung (Lebenszyklus). Im gleichen Zeitraum hat ein Risk Assessment zu erfolgen, hinsichtlich Personen, Prozesse und Technologie. Vorliegende DLP-Programme sind zu überprüfen. In den nächsten sechs Monaten: Als nächster Schritt gilt es, eine Wirtschaftlichkeitsanalyse zu erstellen. Dann lassen sich Strategie und Handlungsplan aufstellen. Noch vor der Technologie ist das Augenmerk auf die Personen und die Prozesse zu richten. Innerhalb eines Jahres: Erst wenn eine Bank diese Schritte durchlaufen und eine klare Strategie definiert hat, sollen Anbieter von DLP-Technologien identifiziert und gründlich evaluiert werden. Weitere 18 Monate: Für die Implementierung der ausgewählten DLP-Massnahmen muss genügend Zeit eingerechnet werden. Um die Prozesse anzupassen und das Personal zu schulen, sind zudem die erforderlichen internen und externen Ressourcen bereitzustellen. Ernst & Young Datenverlust und Informationsmanagement 19

20 6 Forensische Lösungsansätze Den absoluten Schutz sensitiver Daten gibt es nicht. Grobe Fahrlässigkeit oder kriminelle Energie von Mitarbeitenden oder Externen vorausgesetzt, bleibt ein Restrisiko für Datenverluste bestehen. Deshalb ist es entscheidend, dass eine Bank in einem solchen Fall die richtigen Schritte unternimmt, um den Schaden zu begrenzen und den Sachverhalt aufzuklären. Oftmals ziehen solche Fälle ziviloder strafrechtliche Verfahren (Schadenersatzklage, Strafanzeige, Arbeitsverfahren etc.) oder hoheitliche Ermittlungen (z.b. Untersuchung von Aufsichtsbehörden oder Staatsanwaltschaften) nach sich. Aus diesem Grund muss ein betroffenes Institut nicht nur genau wissen, was passiert ist, sondern dies auch mit den entsprechenden Beweisen darlegen können. Dies gelingt ausschliesslich mithilfe forensischer Massnahmen. Methodisch lassen sich vier Gruppen von Instrumenten unterscheiden: erstens die Aufbereitung und Wiederherstellung von Daten (Computer Forensics), zweitens die Auswertung unstrukturierter Daten, zum Beispiel -Korrespondenz (ediscovery), drittens die Analyse von Zugangsberechtigungen (Records Management) und schliesslich viertens die Auswertung strukturierter Daten, etwa von Kunden oder aus SAP-Systemen (Forensic Data Analytics). Die in der jüngeren Vergangenheit publik gewordenen Fälle von Datendiebstahl gleichen sich in einem Punkt: Die betroffenen Institute waren nicht ausreichend darauf vorbereitet. Mangelnde Kenntnis sowie ungenügende Methoden führten dazu, dass weitere Daten abfliessen konnten und Beweismittel zerstört wurden, wodurch sich der erlittene Schaden noch vergrösserte. Annäherung in vier Schritten Eine der grössten Schwierigkeiten bei Datenverlusten liegt darin, dass eine betroffene Bank oft erst von den Behörden oder den Medien erfährt, dass ein solcher Fall aufgetreten ist. Zu diesem Zeitpunkt weiss die Bank nicht, an welcher Stelle welche Daten abgeflossen sind. Eine gründliche Untersuchung schafft Klarheit. Sie läuft in vier Phasen ab, wie die folgende Grafik zeigt: Phase I Kick-off des Projekts Projekt-Setup Beweissicherung Informationssuche Vorbereitung des Systems Phase IV Chronologie der Ereignisse Interviews Kontrolle der Dokumente Informationen konsolidieren Untersuchung Fakten erarbeiten Datenanalyse Szenarios erstellen Szenarios testen Phase II Verbesserungen Täterprofil erstellen Interviews Analyse möglicher Absprachen Hintergrund abklären -Analyse Phase III 20 Ernst & Young Datenverlust und Informationsmanagement

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

» IT-Sicherheit nach Maß «

» IT-Sicherheit nach Maß « » IT-Sicherheit nach Maß « » Am Anfang steht der neutrale, unabhängige Blick auf die IT, am Ende das beruhigende Gefühl der Sicherheit. « IT-SICHERHEIT Die Lebensadern des Unternehmens schützen Die IT-Landschaften

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Die Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein.

Die Website oder unsere betreffenden Dienstleistungen können zeitweilig aus verschiedenen Gründen und ohne Vorankündigung nicht verfügbar sein. Nutzungsbedingungen Die Website Eislaufbörse ECZ-KLS (nachfolgend die "Website") gehört der Kunstlaufsektion ECZ (nachfolgend "KLS-ECZ.CH" oder "wir", "uns", etc.), welche sämtliche Rechte an der Website

Mehr

Rechtliche Herausforderungen für IT-Security-Verantwortliche

Rechtliche Herausforderungen für IT-Security-Verantwortliche Rechtliche Herausforderungen für IT-Security-Verantwortliche lic. iur. David Rosenthal ETH Life 2 Handelsblatt 3 SDA 4 5 20 Minuten/Keystone Die Folgen - Image- und Vertrauensschaden - Umsatzausfälle -

Mehr

Privacy trends 2011. Alfred Heiter. 10. Juni 2011

Privacy trends 2011. Alfred Heiter. 10. Juni 2011 Privacy trends 2011 Alfred Heiter 10. Juni 2011 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft Senior Manager bei Ernst & Young im Bereich Technology

Mehr

Datenschutz aktuell. Themenblock 5. Wirksames Risikomanagement im Datenschutz. mag. iur. Maria Winkler, 18. März 2014

Datenschutz aktuell. Themenblock 5. Wirksames Risikomanagement im Datenschutz. mag. iur. Maria Winkler, 18. März 2014 Datenschutz aktuell Themenblock 5 Wirksames Risikomanagement im Datenschutz mag. iur. Maria Winkler, 18. März 2014 Agenda Datenschutz in Projekten Typische Fälle von Datenverlust und Datendiebstahl Strafbare

Mehr

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks IT-Sicherheit und Compliance Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten

Mehr

Der IT Security Manager

Der IT Security Manager Edition kes Der IT Security Manager Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden Bearbeitet von Heinrich Kersten, Gerhard Klett 4. Auflage 2015.

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Die goldenen Regeln der Data Loss Prevention

Die goldenen Regeln der Data Loss Prevention Die goldenen Regeln der Data Loss Prevention ISSS Zürcher Tagung 2010 1.6.2010, WIDDER Hotel, Zürich Johann Petschenka Channel Manager für internationale Sales Partner, SECUDE IT Security GmbH Information

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss Data Loss Prevention Rechtliche Herausforderungen beim Kampf gegen Datenabfluss Dr. Lukas Feiler, SSCP Baker & McKenzie Diwok Hermann Petsche Rechtsanwälte TOPICS 1. Gesetzliche Pflichten zur Implementierung

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios

IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios Beat Meister Leiter Architektur Board, EJPD Aldo Rodenhäuser Senior IT Consultant, AdNovum 19. September 2012 2 Agenda Ausgangslage

Mehr

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Aktuelle Änderungen des Bundesdatenschutzgesetzes vom 3.7.2009. July 2009 WP-DE-20-07-2009 Einführung Die am 3. Juli 2009

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Internet- und E-Mail-Überwachung in Unternehmen und Organisationen

Internet- und E-Mail-Überwachung in Unternehmen und Organisationen Publiziert in SWITCHjournal 1/2004 Internet- und E-Mail-Überwachung in Unternehmen und Organisationen Dr. Ursula Widmer, Rechtsanwältin, Bern ursula.widmer@widmerpartners-lawyers.ch Die Nutzung von Internet

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

Fraud Prevention. Intelligente Bekämpfung von Betrug in Finanzinstituten

Fraud Prevention. Intelligente Bekämpfung von Betrug in Finanzinstituten Intelligente Bekämpfung von Betrug in Finanzinstituten Frankfurt, Ausgangssituation Wieso rückt das Thema Betrug immer mehr in den Fokus? In den vergangenen Jahren wurden Fragen nach dem Risikomanagement

Mehr

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER

DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER DASSAULT SYSTEMES GROUP DATENSCHUTZRICHTLINIE FÜR BEWERBER Bei ihrer Geschäftstätigkeit erheben Dassault Systèmes und seine Tochtergesellschaften (in ihrer Gesamtheit als 3DS bezeichnet) personenbezogene

Mehr

Umgang mit Interessenkonflikten - Deutsche Bank Gruppe. Deutsche Asset Management Deutschland

Umgang mit Interessenkonflikten - Deutsche Bank Gruppe. Deutsche Asset Management Deutschland Umgang mit Interessenkonflikten - Deutsche Bank Gruppe Deutsche Asset Management Deutschland Stand: 2012 Inhalt 1. LEITMOTIV... 3 2. EINFÜHRUNG... 3 3. ZIELSETZUNG... 3 4. ANWENDUNGSBEREICH... 3 5. REGELUNGEN

Mehr

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Ihre Informationen in guten. Bedarfsgerechte Lösungen für Ihr Informationsmanagement

Ihre Informationen in guten. Bedarfsgerechte Lösungen für Ihr Informationsmanagement Ihre Informationen in guten Händen. Mit Sicherheit. 4444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444444 Bedarfsgerechte Lösungen für Ihr Informationsmanagement

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Compliance Risk Assessment

Compliance Risk Assessment Compliance Risk Assessment Compliance Officer Lehrgang Modul 2 DDr. Alexander Petsche 22. September 2015 Compliance Management-Prozess Planning/Risk Assessment, Organization, Personnel Certification Awareness

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Post AG Charles-de-Gaulle-Straße 20 53250 Bonn für den Ende-zu-Ende-Verschlüsselungs-Service für

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

Studie: Datenschutz in der Versicherungsbranche Exemplar für. 5 Management Summary

Studie: Datenschutz in der Versicherungsbranche Exemplar für. 5 Management Summary 5 Management Summary Datenschutz ist als Aspekt der informationellen Selbstbestimmung im Grundgesetz verankert. Danach hat ein jeder Bürger das Recht, selbst zu entscheiden, wer über seine Daten verfügen

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

_Case Study Fraud-Quick-Check für eine renommierte Privatbank

_Case Study Fraud-Quick-Check für eine renommierte Privatbank _Case Study für eine renommierte Privatbank Verdeckte Gefahrenpotenziale und verschärfte regulatorische Vorgaben erfordern effektive Präventionsmaßnahmen gegen Betrugsdelikte Severn Consultancy GmbH, Hansa

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Der IT Security Manager

Der IT Security Manager Edition kes Der IT Security Manager Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden Bearbeitet von Heinrich Kersten, Gerhard Klett 4. Auflage 2015.

Mehr

Cybersecurity Insurance Versicherbare rechtliche Cyber-Risiken

Cybersecurity Insurance Versicherbare rechtliche Cyber-Risiken Versicherbare rechtliche Cyber-Risiken RA Dr. Lukas Feiler, SSCP, CIPP/E Security Forum 2015 23. April 2015 Topics I. Zentrale rechtliche Cybersecurity-Risiken a. Persönliche Haftung der Geschäftsleitung

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Absicherung von Cyber-Risiken

Absicherung von Cyber-Risiken Aon Risk Solutions Cyber Absicherung von Cyber-Risiken Schützen Sie Ihr Unternehmen vor den realen Gefahren in der virtuellen Welt. Risk. Reinsurance. Human Resources. Daten sind Werte Kundenadressen,

Mehr

Allgemeine Internet- Benutzungsrichtlinien der beecom AG. (Stand 30.06.2014)

Allgemeine Internet- Benutzungsrichtlinien der beecom AG. (Stand 30.06.2014) Allgemeine Internet- Benutzungsrichtlinien der beecom AG (Stand 30.06.2014) 1. ANWENDUNGSBEREICH... 3 2. SYSTEM- UND NETZWERK-SICHERHEIT... 4 3. EMAILS UND ANDERE ELEKTRONISCHE POST... 5 4. AHNDUNG VON

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Unternehmensdaten in Mobile Devices: Umgang mit den rechtlichen Risiken

Unternehmensdaten in Mobile Devices: Umgang mit den rechtlichen Risiken Unternehmensdaten in Mobile Devices: Umgang mit den rechtlichen Risiken Unternehmensdaten ausser Haus Immer mehr Mitarbeitende von Unternehmungen verwenden Mobile Devices wie PDA Handys, Smartphones, etc.

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Data Risks / Cyber Risks / Privacy the Lloyd s underwriters perspective

Data Risks / Cyber Risks / Privacy the Lloyd s underwriters perspective Data Risks / Cyber Risks / Privacy the Lloyd s underwriters perspective Jens Krickhahn, Underwriting Manager Technology Media und Telecommunication Hiscox Deutschland Agenda Aus der Presse Rechtlicher

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Gedanken zur Informationssicherheit und zum Datenschutz

Gedanken zur Informationssicherheit und zum Datenschutz Gedanken zur Informationssicherheit und zum Datenschutz Lesen Sie die fünf folgenden Szenarien und spielen Sie diese im Geiste einmal für Ihr Unternehmen durch: Fragen Sie einen beliebigen Mitarbeiter,

Mehr

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I:

I. Für Benutzer mit Wohnsitz in den Vereinigten Staaten von Amerika gelten die Bestimmungen dieses Absatzes I: Datenschutz- und Sicherheitsrichtlinien Schutz und Sicherheit von personen- und gesundheitsbezogenen Daten haben für Outcome Sciences, Inc. d/b/a Outcome ( Outcome ) höchste Priorität. Outcome behandelt

Mehr

Ris ik o Wirtsc haftskrimin alität Innerbetrieblicher Widerstand gegen Compliance 10.05.2011 Corporate Trust Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen Leistungen

Mehr

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Orientierungshilfe Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb Herausgegeben vom Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Wie wir kommen nicht (so schnell) an unsere Daten ran?

Wie wir kommen nicht (so schnell) an unsere Daten ran? Wie wir kommen nicht (so schnell) an unsere Daten ran? Damit Backups bei kartellrechtlichen und internen Untersuchungen nicht zum Problem werden. Helmut Sauro, Senior Consultant Was wir tun Wir sind spezialisiert

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

ISO 5500x-Normenfamilie

ISO 5500x-Normenfamilie ISO 5500x-Normenfamilie 5 Fakten zur ISO 5500x-Normenfamilie ISO 55000 - Overview, principles and terminology ISO 55001 - Requirements ISO 55002 - Guidelines on the application of ISO 55001 Generelles

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Cyber (-Data) Risks: Herausforderung 2014. 2. Lloyd's Cyber Risks Veranstaltung in Frankfurt 12. Februar 2014

Cyber (-Data) Risks: Herausforderung 2014. 2. Lloyd's Cyber Risks Veranstaltung in Frankfurt 12. Februar 2014 Cyber (-Data) Risks: Herausforderung 2014 2. Lloyd's Cyber Risks Veranstaltung in Frankfurt 12. Februar 2014 Anfällige Branchen Ponemon-Studie für Deutschland 2013 2 Bedrohungsszenarien: einige Fakten!

Mehr

Informationssicherheit. Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU

Informationssicherheit. Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl

Mehr

Big Data Was ist erlaubt - wo liegen die Grenzen?

Big Data Was ist erlaubt - wo liegen die Grenzen? Big Data Was ist erlaubt - wo liegen die Grenzen? mag. iur. Maria Winkler Themen Kurze Einführung ins Datenschutzrecht Datenschutzrechtliche Bearbeitungsgrundsätze und Big Data Empfehlungen für Big Data

Mehr

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

Rechtliche Aspekte von Informationssicherheitsmessungen

Rechtliche Aspekte von Informationssicherheitsmessungen iimt information security brush-up workshop 11/02/2003 measuring information security state of the art and best practices Rechtliche Aspekte von Informationssicherheitsmessungen Dr. Wolfgang Straub Überblick

Mehr

Computer Forensik Das digitale Detektivbüro

Computer Forensik Das digitale Detektivbüro Computer Forensik Das digitale Detektivbüro Referent: Name: Ernst Eder Position: CEO Kuert Datenrettung Deutschland GmbH E-mail Adresse: ernst.eder@datenambulanz.de IT-TRENDS Sicherheit 10. Mai 2006 Computer

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Neueste IDG-Studie: Cyber Defense Maturity Report 2014

Neueste IDG-Studie: Cyber Defense Maturity Report 2014 Medienkontakt: Susanne Sothmann / Erna Kornelis Kafka Kommunikation 089 74 74 70 580 ssothmann@kafka-kommunikation.de ekornelis@kafka-kommunikation.de Neueste IDG-Studie: Cyber Defense Maturity Report

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime www.s-con.de 1 Referent Michael J. Schöpf michael.schoepf@s-con.de +49 171 3241977 +49 511 27074450

Mehr