Datenverlust und Informationsmanagement. Risiken und Lösungsansätze

Größe: px
Ab Seite anzeigen:

Download "Datenverlust und Informationsmanagement. Risiken und Lösungsansätze"

Transkript

1 Datenverlust und Informationsmanagement Risiken und Lösungsansätze

2

3 Editorial Die Chancen und Risiken neuer Informationstechnologien zeigen sich wohl in keiner Branche deutlicher als in der Finanzindustrie. Heute wird eine kaum überschaubare Datenmenge verarbeitet und zwischen verschiedenen Stellen innerhalb und ausserhalb des Unternehmens transferiert. Publik gewordene Fälle von Datenverlusten machen klar, welche Bedrohungen mit den neuen Technologien verbunden sind: Mitarbeitende benutzen Facebook, Twitter oder Blogs für die Verbreitung von vertraulichen oder gefälschten Informationen; Konkurrenten verwenden Informationstechnologien zur Wirtschaftsspionage; vertrauliche Informationen werden entwendet und gegen Entgelt an Dritte verkauft, wobei auch Staaten als Interessenten auftreten. Mit dem Anstieg der Risiken von Datenverlusten wachsen auch die regulatorischen Anforderungen. Es ist damit zu rechnen, dass ein wirksames Informationsmanagement aus Branchensicht wie auch für die Aufsichtsbehörden in absehbarer Zeit zu den Mindestanforderungen zählt. Informationen gehören zu den wertvollsten Ressourcen in jedem Unternehmen. Doch trotz der Bedrohungen haben selbst grössere Banken Schwierigkeiten, sich wirksam gegen Datenverluste zu wappnen. Umfragen zeigen zum Beispiel, dass nur ein Viertel der Unternehmen über einen ausreichenden Schutz vor Informationsmissbrauch verfügt. Mit der vorliegenden Publikation machen wir den Handlungsbedarf deutlich. Und wir zeigen, mit welchen konkreten Schritten sich der Schutz kritischer Daten und Informationen verbessern lässt. Die neuen Bedrohungen gehören zwingend auf die Risk Map von Geschäftsleitung und Verwaltungsrat und sind im Rahmen des Risk Reporting laufend zu überprüfen. Informationsmanagement ist eine prioritäre strategische Aufgabe des obersten Managements und darf nicht an IT-Spezialisten delegiert werden. Die heute verfügbaren Mittel der Informationsverarbeitung sind dabei gut auf Prozesse und Personen abzustimmen und laufend weiterzuentwickeln, hinsichtlich präventiver wie forensischer Massnahmen. Auf diesem Weg einen wirksamen und effizienten Datenschutz zu etablieren, beansprucht Zeit und Ressourcen, weshalb es sinnvoll ist, externe Fachleute einzubeziehen. Wir wünschen Ihnen eine anregende Lektüre. Wenn Sie uns Fragen stellen oder einzelne Aspekte in einem Gespräch vertiefen möchten, kontaktieren Sie bitte ein Mitglied unseres Teams. Wir freuen uns darauf. Jürg Brun Partner Advisory Services Dr. Michael W. Faske Partner Fraud Investigation & Dispute Services

4 Inhaltsverzeichnis 1 Executive Summary 5 2 Gefährdete Informationssicherheit 6 3 Wachsende regulatorische Anforderungen 8 4 Grosse Risiken ungenügender Schutz 10 5 Präventive Lösungsansätze 14 6 Forensische Lösungsansätze 20

5 1 Executive Summary Gefährdete Informationssicherheit Die technologische Entwicklung hat die Risiken von Verlust und Missbrauch kritischer Informationen deutlich erhöht. Über 90 Prozent der Informationen werden inzwischen in digitaler Form gespeichert. Mit den heute verfügbaren Mitteln lässt sich ein Missbrauch einfach und ohne grosse Kosten durchführen. Politische und gesellschaftliche Veränderungen begünstigen den kriminellen Einsatz solcher Instrumente. Zudem kann der fahrlässige Umgang mit Kommunikationsmitteln und Datenträgern einem Unternehmen, gerade bei Banken und Versicherungen, erheblichen Schaden zufügen. Wachsende regulatorische Anforderungen Gesetzgeber rund um den Globus erhöhen die Vorschriften zum Schutz kritischer Informationen. Gleichzeitig verstärken neue Aufsichtsgesetze und Erwartungshaltungen von Behörden den Druck auf die regulierten Unternehmen. Wohin diese Entwicklung führt und welche Kosten sie verursacht, ist zurzeit kaum absehbar. Sicher ist, dass die Risiken zunehmen, wenn Institute die neuen Anforderungen nicht einhalten. Nachlässigkeit führt zu grossen Schäden Die meisten Unternehmen sind nur ungenügend vor Angriffen geschützt. Die Folgen dieser Nachlässigkeit zeigen sich im beträchtlichen Ausmass von Datenverlusten: Seit 2005 sind weltweit über 250 Millionen Kundendaten mit sensitiven oder vertraulichen Informationen im Bankenbereich verloren gegangen oder gestohlen worden. Missbräuchliche Veröffentlichungen von Informationen im Internet, die zu beobachten sind, zeigen weitere Schwachstellen auf. Informationsmanagement und Risikomanagement als strategische Aufgaben Informationsmanagement ist angesichts des Bedrohungspotentials eine prioritäre strategische Aufgabe des obersten Managements. Die Risiken durch Datenverluste gehören zwingend auf die Risk Map von Geschäftsleitung und Verwaltungsrat und sind regelmässig zu überprüfen (Risk Reporting). Massgeschneiderte Lösungen Für modernes Informationsmanagement gibt es keine auf sämtliche Bedrohungen passenden Standardlösungen. Jedes Konzept muss auf die Erfordernisse des Instituts und das Risikoprofil abgestimmt werden. Bei jeder Lösung stehen die Informationen und die dazugehörigen Daten und Datenverarbeitungsmedien sowie die Personen und Prozesse im Zentrum. Auf diese müssen präventive und detektive Schutzmassnahmen ausgerichtet sein. Forensische Massnahmen Den totalen Schutz sensitiver Daten gibt es nicht. Werden Missbräuche mit kritischen Informationen festgestellt, müssen unverzüglich forensische Massnahmen ergriffen werden, um weiteren Schaden zu vermeiden oder zu minimieren und Beweise zu sichern. Eine vollständige Aufklärung ist nicht nur aus regulatorischer Sicht erforderlich, sondern auch um Schwachstellen zu beheben und künftige Schäden zu vermeiden. Dazu kommt vielfach der öffentliche Druck, Missbräuche aufzudecken und Schuldige zur Verantwortung zu ziehen. Ernst & Young Datenverlust und Informationsmanagement 5

6 2 Gefährdete Informationssicherheit Jede Unternehmung verfügt über Informationen, die geschützt werden müssen. In besonderem Mass gilt dies für den Finanzbereich, besitzt dieser mit den Kundendaten doch umfangreiche sensitive Informationen (in der Publikation ist nachfolgend meist vereinfachend von Banken die Rede, die Aussagen treffen aber allgemein auf Finanzintermediäre zu). Entsprechend gross sind die Risiken, falls solche Daten in falsche Hände geraten. Die technologische Entwicklung trägt massgeblich zu den wachsenden Risiken bei. Heute lassen sich immer mehr Bankapplikationen an unterschiedlichen Orten abwickeln, die Verarbeitung ist dezentralisiert, Banken verfügen über lokale Datenbestände. Gleichzeitig steigt die Verbreitung mobiler Geräte, bei denen in regelmässigen Abständen neue Sicherheitslücken entdeckt werden. Facebook, Twitter, Blogs und andere Internet-Medien führen zu einer freiwilligen «gläsernen Intimität», können aber auch für kriminelle Zwecke missbraucht werden. Die Grenze zwischen dem Mitteilen persönlicher Informationen und dem Verbreiten vertraulicher Daten aus dem Arbeitsumfeld wird verwischt. Solcher Verrat kann fahrlässig oder missbräuchlich geschehen, immer geht ihm der Zugriff und Transport von Daten voraus. Diese angemessen zu schützen und zu überwachen, sind wichtige Elemente des Informationsmanagements, die unter dem Begriff Data Leakage Prevention zusammengefasst werden. Data Leakage Prevention (DLP) Die auch als Data Loss Prevention bezeichneten Massnahmen umfassen Instrumente und Prozesse, um sensitive Daten oder Informationen zu identifizieren, zu überwachen und zu schützen. DLP konzentriert sich auf zwei Dinge: dass gewisse Daten nicht aus einer Unternehmen abfliessen und dass unautorisierte Zugriffe oder Übermittlung von sensitiven Daten frühzeitig entdeckt werden. 6 Ernst & Young Datenverlust und Informationsmanagement

7 Vielfältige Gefahren für die Informationssicherheit Der Verlust sensitiver Daten kann unterschiedliche Ursachen haben, wie die Beispiele in der Übersicht zeigen. Verlust von Notebooks, portablen Speichermedien (z.b. USB-Sticks, CDs) oder Backup-Bändern Diebstahl von geistigem Eigentum oder Daten durch enttäuschte Mitarbeiter Publikation von Falschinformationen im Internet (Kursmanipulation, Rufschädigung) Angestellte, die sensitive oder unangemessene Informationen ungeschützt per versenden Gefahren für die Informationssicherheit bei Finanzinstituten Organisiertes Verbrechen, das auf die Kunden abzielt und zu finanziellem Schaden führt (z.b. Phishing-Attacken) Verlust von Papierdokumenten mit sensitiven Daten (z.b. Kundenoutput von Banken) Unangemessene Zugriffsrechte auf Systeme, die zu Betrugsfällen führen Verlust von Kreditkartendetails Ernst & Young Datenverlust und Informationsmanagement 7

8 3 Wachsende regulatorische Anforderungen Neben den Regeln zu Kredit- und Marktrisiken haben Gesetzgeber und Aufsichtsbehörden im Lauf der letzten Jahre auch die Vorgaben für das Management operationeller Risiken verschärft (z.b. Sarbanes- Oxley, IKS). So wie die Finanzkrise zusätzliche Vorschriften verursacht, sind auch konkrete Fälle von Informationsmissbrauch und Datendiebstahl Auslöser dafür, dass Regulatoren die Anforderungen an den Datenschutz erhöhen. Diese Vorgaben verstärken den Druck zu umfassenden präventiven Lösungen gegen Datenverlust und -diebstahl (Data Leakage Prevention). Der IT-Analyst Gartner geht davon aus, dass diese Instrumente in Europa bis 2015 ein unverzichtbares Element der guten Geschäftsführung (Code of Practice) sind. Bereits heute haben zahlreiche staatliche und überstaatliche Regulierungen direkten oder indirekten Einfluss auf den Schutz von Daten und damit auf das Informationsmanagement, wie die Beispiele in der folgenden Übersicht zeigen: Straf- und Wettbewerbsgesetze Banken- und Börsengesetze Regulierung zum Informationsmanagement Regulierung zur Erhöhung der Steuertransparenz (OECD, USA und weitere) Datenschutzgesetze Datenschutzrichtlinie der EU Vorschriften zu Outsourcing und Offshoring 8 Ernst & Young Datenverlust und Informationsmanagement

9 Verletzung des Berufsgeheimnisses: Banken- und Börsengesetze verankern das Berufsgeheimnis. Wer Geheimnisse offenbart, die ihm in seiner Eigenschaft als Organ, Angestellter oder Beauftragter eines Instituts anvertraut worden sind, muss Freiheits- oder Geldstrafen gewärtigen. Verletzung des Fabrikations- oder Geschäftsgeheimnisses: Die Verletzung des Fabrikations- oder des Geschäftsgeheimnisses ist in Strafgesetzen geregelt. Wer eine gesetzliche oder vertragliche Pflicht zur Wahrung dieser Geheimnisse hat und diese verletzt, kann mit Freiheitsentzug oder Geldstrafe bestraft werden. Wettbewerbsgesetze regeln den Fall, dass jemand unrechtmässig erfahrene Geschäftsgeheimnisse verwertet oder andern mitteilt. Solche Verstösse gegen die Regeln des lauteren Wettbewerbs werden strafrechtlich verfolgt. Datenschutz: Nationale Datenschutzgesetze konkretisieren den Datenschutz und schreiben vor, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten zu schützen sind. Governance und Haftungsrisiko Sind die Vorgaben an das Informationsmanagement einmal fester Bestandteil guter Geschäftsführung, so müssen sich Banken zwingend an die Auflagen halten. Das führt dazu, dass die Institute dafür verantwortlich gemacht werden können. Geraten Daten in unautorisierte Hände, so kommt zum materiellen Schaden und dem Imageverlust das Haftungsrisiko hinzu. Das heisst, dass Institute und Verantwortliche der Bank für Datenverluste entsprechend belangt werden können. Damit rückt die Governance in den Vordergrund. Schon heute ist absehbar, dass ein grosser Teil dieser neuen Aufgaben auf den Schultern von Geschäftsleitung und Verwaltungsrat lastet. Die obersten Führungsgremien müssen die nötigen Schritte unternehmen, um den Anforderungen zu entsprechen. In Kapitel 5 wird ausgeführt, mit welchen Massnahmen sich Banken für die sich stellenden Aufgaben fit machen können. Outsourcing und Offshoring: Spezifische Outsourcing-Vorschriften halten die Grundsätze fest, die bei der Auslagerung von Funktionen und Prozessen eingehalten werden müssen. Dazu zählen unter anderem die Wahrung von Geschäftsgeheimnis und Datenschutz. Die Verantwortlichkeit für Informationssicherheit verbleibt bei Outsourcing in aller Regel bei der auslagernden Bank. Beim Offshoring hat eine Bank grundsätzlich die gleichen Datenschutzregeln zu befolgen wie beim Outsourcing. Grenzüberschreitender Datenaustausch: Die verstärkte Internationalisierung hat dazu geführt, dass Daten vermehrt über Landesgrenzen transferiert werden. Verschiedene Gesetze regeln deshalb die Art und Weise, wie grenzüberschreitende Transaktionen abzuwickeln sind. Von Bedeutung sind dabei vor allem die Aufbewahrung und die Archivierung von Daten, unter anderem im Zusammenhang mit Geldwäscherei und Terrorismusbekämpfung. Internationaler Kontext: Auf überstaatlicher Ebene von Belang ist die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) der Europäischen Union. Im internationalen Kontext ebenfalls relevant sind die Verschärfungen der Steuergesetzgebung, welche zahlreiche Staaten und überstaatliche Organisationen wie die OECD im Kampf gegen die Steuerhinterziehung erlassen haben. Zu nennen ist auch die in den USA und Deutschland eingeführte Informationspflicht für den Fall, dass sensitive Daten verloren gehen. Ernst & Young Datenverlust und Informationsmanagement 9

10 4 Grosse Risiken ungenügender Schutz Das Ausmass von Datenverlusten ist beträchtlich. Das Privacy Rights Clearinghouse hat errechnet, dass seit 2005, seit Vorfälle mit Datenübertretungen (Data Breach) aufgezeichnet werden, weltweit über 250 Millionen Kundendaten mit sensitiven oder vertraulichen Informationen verloren gingen oder gestohlen wurden. Wie häufig sensible Daten abhanden kommen, zeigt auch eine Studie des Computerherstellers Dell. Im Jahr 2008 hat Dell die wichtigsten hundert amerikanischen Flughäfen untersucht und festgestellt, dass auf diesen pro Woche rund Laptops verloren gehen. Nur 30 Prozent davon werden wieder gefunden. Allein in Los Angeles kommen pro Woche 1200 Computer abhanden. Dell hat daraus den Schluss gezogen, dass deutlich mehr Geräte verloren gehen, als dies von Unternehmen angegeben wird. Aufschlussreich ist in diesem Zusammenhang die Tatsache, dass rund die Hälfte der befragten Geschäftsreisenden angab, ihre Laptops würden Kundendaten oder andere vertrauliche Geschäftsinformationen enthalten. Was die Gefahr externer Angriffe betrifft, so weiss man aus den publik gewordenen Fällen, dass sich grössere Organisationen vermehrt zu eigentlichen Netzwerken zusammenschliessen, um an Informationen zu gelangen. Das Ausmass dieser organisierten Kriminalität lässt sich auch daran abschätzen, dass im Internet ein reger Handel betrieben wird mit gestohlenen Kundendaten, Kreditkartennummern und Zugangsberechtigungen. Die erforderliche Software, um solche Daten auszuspähen, wird ebenfalls angeboten. Mangelhafte Sicherheitsvorkehrungen Der Global Information Security Survey von Ernst & Young aus dem Jahr 2009 macht deutlich, dass nur eine Minderheit von Finanzinstituten die verfügbaren Technologien und Prozesse einsetzt, um die Informationssicherheit zu verbessern. 10 Ernst & Young Datenverlust und Informationsmanagement

11 Content Monitoring und Filterprogramme 69 % 9 % 10 % 12 % «Data Leakage Prevention»-Instrumente 25 % 22 % 28 % 25 % Desktop-Verschlüsselung 15 % 12 % 34 % 39 % Digital Rights Management 14 % 10 % 31 % 45 % -Verschlüsselung 35 % 15 % 25 % 25 % Verschlüsselung von mobilen Medien 25 % 19 % 29 % 27 % Laptop-Verschlüsselung 41 % 17 % 23 % 19 % Technologie derzeit eingesetzt in 1 Jahr geplant in Evaluation nicht eingesetzt Quelle: 2009 EY Global Information Security Survey Nur ein Viertel der befragten Unternehmen setzt Instrumente zur Verhinderung von Datenverlusten ein. Drei von vier Firmen sind somit ungenügend geschützt. Bemerkenswert ist auch die Tatsache, dass heute nur 41 % der Unternehmen Laptops verschlüsseln, obwohl die nötige Technologie zu erschwinglichen Preisen vorhanden ist. Noch am Anfang steckt das Digital Rights Management, der Schutz der Urheberrechte im digitalen Bereich. Damit kann zum Beispiel sichergestellt werden, dass nur jene Mitarbeitenden Zugriff auf digitale Informationen haben, die die entsprechenden Rechte besitzen. Die Klassifizierung von Informationen und Dokumenten ist dazu eine wichtige Vorbedingung. Immerhin erkennen die Unternehmen den Handlungsbedarf. Einige der Instrumente sollen gemäss Umfrage innerhalb eines Jahres eingeführt oder evaluiert werden. Das wachsende Bewusstsein zeigt sich auch in der Frage nach den drei wichtigsten Sicherheitsaspekten des kommenden Jahres. 47 % geben an, das Risikomanagement bei der Informationssicherheit zu verbessern, 40 % wollen Technologien zur Data Leakage Prevention einsetzen oder verbessern, 39 % wollen das Personal sensibilisieren und schulen. Ernst & Young Datenverlust und Informationsmanagement 11

12 Vielfältige Gefahren Zusammenfassend werden nachfolgend verschiedene reale Fälle dargestellt, die für diese Publikation anonymisiert wurden. Die Tabelle macht deutlich, welchen Risiken Institute ausgesetzt sind. Die Übersicht zeigt das Spektrum möglicher Datenverluste. Ein bestimmtes Mass an krimineller Energie vorausgesetzt, scheint es möglich, jede Art von Daten abzuzweigen. Bemerkenswert ist auch die Tatsache, dass es dazu nicht in jedem Fall ausgeklügelte Verfahren von IT-Spezialisten braucht, sondern dass oft Standardverfahren oder selbst einfache Screenshots für einen Datendiebstahl genügen. Umfeld Daten Täter Gelegenheit Vorgehen Nicht angemessene Zugangsrechte zu Applikationen mit sensitiven Daten Daten zur Kundenidentifizierung Frustrierter Mitarbeiter Export sensitiver Daten in ein File, das auf eine CD kopiert wurde. Standardverfahren zum Datenexport. Systementwicklung oder Migration Vollständige Tabellen mit sensitiven Daten Software-Entwickler Der Täter hatte im Rahmen seiner regulären Arbeit autorisierten Zugang zu sensitiven Kundendaten. Datenbanktabellen wurden in Files kopiert, bevor diese auf das neue System geladen wurden. Ausnützen von Schwächen in der Entwicklungsumgebung einer Datenbank Kontonummern von Kunden, Namen und andere Informationen zur Identifikation Datenbank-Administrator mit Verständnis der Testabläufe Der Algorithmus zur Anonymisierung von Daten wurde so verändert, dass Daten in eine versteckte Tabelle flossen. Datenbankskript zum Lesen der Daten wurde ausgeführt, während die angeblich anonymisierten Daten übermittelt wurden. Vertrauensbruch zwischen Entwicklern Transaktionsdaten von Kunden Erfahrener IT-Entwickler Unerfahrener IT-Entwickler, der den Täter um Unterstützung bat; der Täter erhielt privilegierten Zugang zu einem geschützten System. Die Kombination von unerlaubt eingesehenen Verlinkungsdaten mit anonymisierten Daten, auf die der Täter regulären Zugriff hatte, führte zum Verlust vertraulicher Daten. Datenverlust im Front office Screenshots von Banksystemen Mitarbeiter des Callcenters war Teil eines Betrügerrings Täter war unbeobachtet und arbeitete am Wochenende. Screenshots wurden auf einem USB-Stick gespeichert. Abfangen von Daten bei zwischengeschalteten Systemen Kundenauszüge IT-Contractor eines untergeordneten IT-Systems Daten wurden beim Drucken von Auszügen und bei Systemvorbereitungen abgefangen. Daten wurden von einem ungesicherten Proxy-Server abgezweigt. Annahmen bezüglich Daten-Sensitivität Informationen zur Kundenidentifikation Frustrierter Mitarbeiter Angeblich nicht-sensitive Daten wurden in ein System mit schwächeren Kontrollen eingegeben. Die Identität der Kunden konnte mit einfachen Rückschlüssen erraten werden. Standardverfahren zum Datenexport. 12 Ernst & Young Datenverlust und Informationsmanagement

13

14 5 Präventive Lösungsansätze Es gibt keine standardisierten schlüsselfertigen Lösungen für Data Leakage Prevention. Die Massnahmen, die sich zum Schutz ergreifen lassen, sind so vielfältig wie die möglichen Angriffe auf die Datensicherheit. Dazu gehören zum einen präventive Schritte, um Angriffe wirksam zu verhindern. Zum andern sind reaktive Instrumente von Belang, wenn es zu einem Verlust von Daten gekommen ist; diese forensischen Massnahmen werden in Kapitel 6 eingehender behandelt. Das von Ernst & Young entwickelte Datensicherheitsmodell hat sich bewährt, die verschiedenen Instrumente zum Datenschutz aufeinander abzustimmen und auf die individuellen Erfordernisse eines Instituts masszuschneidern. Das Modell wird nach dem Grundsatz eingesetzt, die im Unternehmen bereits bestehenden und geeigneten Sicherheitsmassnahmen zu nutzen und diese konsequent thematisch auf die Bedürfnisse des Informationsmanagements auszurichten. Datensicherheitsmodell Komponenten des Datenschutzprogramms IT Relevante Organisationseinheiten Human Ressource interne und externe Kommunikation Komponenten des Datenschutzprogramms Datenschutz- Governance Bewegte Daten Zugangskontrolle Perimetersicherheit Data Leakage Prevention -Verschlüsselung Auditing & Monitoring Personenschutz Bearbeitete Daten Schutz von System und Daten Sensibilisierung & Training Schutz der Urheberrechte Data Leakage Prevention Verwaltung von Identität und Zugriff Auditing & Monitoring Notfallmassnahmenplan Verschlüsselungsverfahren Datenaufbereitung Datenverschleierung Verschlüsselung Datenschutz Gespeicherte Daten Physischer Schutz Konfigurationsverwaltung Datenbank- Verschlüsselung Verschlüsselung gespeicherter Daten Verschlüsselung bewegter Daten Data Leakage Prevention Auditing & Monitoring Notstandsverfahren Klassifikation der Daten Datenmanagement; Monitoring; Auditing & Reporting Daten-Governance; Compliance 14 Ernst & Young Datenverlust und Informationsmanagement

15 Die Basis des Modells bilden die Daten. Dazu gehört zum einen ihre Klassifikation. Eine Bank muss wissen, welche Daten sensitiv sind und welche nicht. Das Volumen der anfallenden Informationen ist zu gross, als dass für alle die höchsten Sicherheitsanforderungen erfüllt werden können. Zum Fundament des Modells gehören darüber hinaus datenorientiertes Management, Auditing und Reporting sowie Daten-Governance und Compliance. Im Zentrum des Modells stehen die Daten. Diese liegen zum überwiegenden Teil in elektronischer Form vor: Unternehmen speichern über 90 Prozent der Informationen digital. Dabei lassen sich drei Arten unterscheiden: bewegte Daten, bearbeitete Daten und gespeicherte Daten. Für jede dieser Gruppen sind spezifische Instrumente von Bedeutung. Lösungsdimensionen Die Massnahmen zum Schutz kritischer Informationen betreffen verschiedene Dimensionen: Datensicherheitsmodell: ermöglicht die Abstimmung sämtlicher präventiver und reaktiver Instrumente Risikomanagement: die Risiken durch Data Leakage müssen identifiziert und laufend überwacht werden (z.b. Risk Map, Risk Reporting) Top-Down: garantiert einen ganzheitlichen Ansatz, um die Bereiche Personen, Prozesse und Technologie aufeinander abzustimmen Diese Instrumente werden ergänzt durch allgemeine Datenschutzprogramme. Zu deren Komponenten gehören unter anderem Richtlinien, Zugriffskontrollen und Schulungsprogramme. Besonders Augenmerk ist auf drei Organisationseinheiten zu richten: auf den IT-Bereich, Human Ressources sowie auf die interne und externe Kommunikation. Diese Bereiche arbeiten mit hochsensitiven Daten, weshalb hier die korrekte Umsetzung der Massnahmen zum Informationsmanagement absolut zentral ist. Ernst & Young Datenverlust und Informationsmanagement 15

16 Risikoidentifikation und Risikobewertung Nur wenn eine Bank die Bedrohungen im Informationsmanagement genau kennt, kann sie die richtigen Vorkehrungen treffen. Umso wichtiger ist deshalb eine gründliche Analyse der Risiken. Deshalb gehören die Bedrohungen durch Datenverluste zwingend auf die Risk Map von Geschäftsleitung und Verwaltungsrat und sind regelmässig zu überprüfen (Risk Reporting). Folgende fünf Risikodimensionen lassen sich dabei unterscheiden: Reputationsrisiko: Gelangen vertrauliche Kundendaten durch Diebstahl, Verlust oder Offenlegung in die falschen Händen, kann dies dem Image einer Bank erheblich zusetzen. Rechtliche Risiken: Werden rechtliche Vorgaben missachtet, so eröffnet dies die Möglichkeit verschiedener rechtlicher Schritte. Zu nennen sind Schadenersatzklagen durch geschädigte Bankkunden, Klagen von Aufsichtsbehörden sowie strafrechtliche Klagen. Davon betroffen können die Unternehmen wie auch die involvierten Organe sein. Systeminhärente Risiken: Die Entwicklung der Informations- und Kommunikationstechnologie birgt erhebliche operationelle Risiken, zum einen durch die elektronische Speicherung und Übermittlung vertraulicher Kundendaten, zum andern durch mögliche technische Defekte und Schwachstellen. Risikofaktor Mensch: Bei fahrlässigen oder vorsätzlichen Datenverlusten sind meist Mitarbeitende involviert. Nebst persönlichen Sachverhalten wird ihr Verhalten durch Personalpolitik und Anstellungsverhältnis sowie Kontrolle und Überwachung beeinflusst. Finanzielle Risiken: Werden sensitive Daten missbraucht, ist dies mit erheblichen Kosten für das betroffene Institut verbunden. Zu den Einbussen aufgrund von Imageverlust und Schadenersatzleistungen kommen die Kosten für die Aufarbeitung und Abwicklung des Vorfalls. Der Risikobewertung dient ein Self Assessment. Diese Methode macht deutlich, wo eine Bank hinsichtlich Data Leakage Prevention steht. Dabei werden in der Regel Maturitätsmodelle eingesetzt, um Aussagen über die Qualität der bereits ergriffenen Massnahmen machen zu können. 16 Ernst & Young Datenverlust und Informationsmanagement

17 Ganzheitliches Vorgehen Will ein Institut die Herausforderung Data Leakage ganzheitlich angehen, ist ein Top-Down-Ansatz unerlässlich. Verantwortliche dürfen sich nicht der Illusion hingeben, Informationsmanagement sei eine technische Aufgabe, die sich an den IT-Bereich delegieren lasse. Vielmehr ist das aktive Engagement des obersten Managements verlangt, um Bedrohungen frühzeitig zu erkennen (Risikomanagement) und das ganze Unternehmen für die Aufgabe zu sensibilisieren. Drei Bereiche sind von Bedeutung: Personen, Prozesse und Technologie. Nur wenn diese Bereiche adressiert und die Massnahmen aufeinander abgestimmt werden, lässt sich ein nachhaltiger Schutz sensitiver Daten erreichen. Personen Rollen Governance Kommunikation Top-Down-Ansatz Prozesse Strategie Prozeduren Infrastruktur Zugangskontrollen Sicherheit beim Endbenutzer Datenklassifikation Notfallmassnahmenplan Audit und Monitoring Technologie Netzwerk-basiert Host-basiert Ernst & Young Datenverlust und Informationsmanagement 17

18 Zeitplan Vieles deutet darauf hin, dass Data Leakage Prevention bis zum Jahr 2015 eine Voraussetzung für gutes Geschäftsgebahren ist und dass die Regulatoren diese Anforderungen übernehmen werden. Eine frühzeitige Auseinandersetzung mit der Herausforderung Data Leakage ist notwendig, weil Analyse, Evaluation und Einführung der nötigen Massnahmen Zeit und Ressourcen in Anspruch nehmen. Driver und Hürden identifizieren weitere Informationen Daten verstehen Risk Assessment Review geltender DLP-Massnahmen Analyse der Wirtschaftlichkeit Strategie festlegen DLP-Technologie auswählen Implementierung Sofort In einem Monat In 6 Monaten In einem Jahr Mindestens 18 Monate 18 Ernst & Young Datenverlust und Informationsmanagement

19 Sofort: Am Anfang steht ein Self Assessment, was Datenverlust und Datenschutz betrifft. Ebenfalls sofort sind die treibenden Kräfte für DLP wie auch die Hürden zu identifizieren. Bei diesen Analysen sind zudem weitere Informationen einzubeziehen, von den Bereichen Legal, IT und Audit über die Stakeholder bis zu Lieferanten und Mitbewerbern. Innerhalb eines Monats: Das Topmanagement muss sämtliche anfallende Daten verstehen. Dazu gehören die Sensitivität wie auch die Prozesse der Verarbeitung, Speicherung und Übermittlung (Lebenszyklus). Im gleichen Zeitraum hat ein Risk Assessment zu erfolgen, hinsichtlich Personen, Prozesse und Technologie. Vorliegende DLP-Programme sind zu überprüfen. In den nächsten sechs Monaten: Als nächster Schritt gilt es, eine Wirtschaftlichkeitsanalyse zu erstellen. Dann lassen sich Strategie und Handlungsplan aufstellen. Noch vor der Technologie ist das Augenmerk auf die Personen und die Prozesse zu richten. Innerhalb eines Jahres: Erst wenn eine Bank diese Schritte durchlaufen und eine klare Strategie definiert hat, sollen Anbieter von DLP-Technologien identifiziert und gründlich evaluiert werden. Weitere 18 Monate: Für die Implementierung der ausgewählten DLP-Massnahmen muss genügend Zeit eingerechnet werden. Um die Prozesse anzupassen und das Personal zu schulen, sind zudem die erforderlichen internen und externen Ressourcen bereitzustellen. Ernst & Young Datenverlust und Informationsmanagement 19

20 6 Forensische Lösungsansätze Den absoluten Schutz sensitiver Daten gibt es nicht. Grobe Fahrlässigkeit oder kriminelle Energie von Mitarbeitenden oder Externen vorausgesetzt, bleibt ein Restrisiko für Datenverluste bestehen. Deshalb ist es entscheidend, dass eine Bank in einem solchen Fall die richtigen Schritte unternimmt, um den Schaden zu begrenzen und den Sachverhalt aufzuklären. Oftmals ziehen solche Fälle ziviloder strafrechtliche Verfahren (Schadenersatzklage, Strafanzeige, Arbeitsverfahren etc.) oder hoheitliche Ermittlungen (z.b. Untersuchung von Aufsichtsbehörden oder Staatsanwaltschaften) nach sich. Aus diesem Grund muss ein betroffenes Institut nicht nur genau wissen, was passiert ist, sondern dies auch mit den entsprechenden Beweisen darlegen können. Dies gelingt ausschliesslich mithilfe forensischer Massnahmen. Methodisch lassen sich vier Gruppen von Instrumenten unterscheiden: erstens die Aufbereitung und Wiederherstellung von Daten (Computer Forensics), zweitens die Auswertung unstrukturierter Daten, zum Beispiel -Korrespondenz (ediscovery), drittens die Analyse von Zugangsberechtigungen (Records Management) und schliesslich viertens die Auswertung strukturierter Daten, etwa von Kunden oder aus SAP-Systemen (Forensic Data Analytics). Die in der jüngeren Vergangenheit publik gewordenen Fälle von Datendiebstahl gleichen sich in einem Punkt: Die betroffenen Institute waren nicht ausreichend darauf vorbereitet. Mangelnde Kenntnis sowie ungenügende Methoden führten dazu, dass weitere Daten abfliessen konnten und Beweismittel zerstört wurden, wodurch sich der erlittene Schaden noch vergrösserte. Annäherung in vier Schritten Eine der grössten Schwierigkeiten bei Datenverlusten liegt darin, dass eine betroffene Bank oft erst von den Behörden oder den Medien erfährt, dass ein solcher Fall aufgetreten ist. Zu diesem Zeitpunkt weiss die Bank nicht, an welcher Stelle welche Daten abgeflossen sind. Eine gründliche Untersuchung schafft Klarheit. Sie läuft in vier Phasen ab, wie die folgende Grafik zeigt: Phase I Kick-off des Projekts Projekt-Setup Beweissicherung Informationssuche Vorbereitung des Systems Phase IV Chronologie der Ereignisse Interviews Kontrolle der Dokumente Informationen konsolidieren Untersuchung Fakten erarbeiten Datenanalyse Szenarios erstellen Szenarios testen Phase II Verbesserungen Täterprofil erstellen Interviews Analyse möglicher Absprachen Hintergrund abklären -Analyse Phase III 20 Ernst & Young Datenverlust und Informationsmanagement

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Aktuelle Änderungen des Bundesdatenschutzgesetzes vom 3.7.2009. July 2009 WP-DE-20-07-2009 Einführung Die am 3. Juli 2009

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks IT-Sicherheit und Compliance Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss Data Loss Prevention Rechtliche Herausforderungen beim Kampf gegen Datenabfluss Dr. Lukas Feiler, SSCP Baker & McKenzie Diwok Hermann Petsche Rechtsanwälte TOPICS 1. Gesetzliche Pflichten zur Implementierung

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Rechtliche Herausforderungen für IT-Security-Verantwortliche

Rechtliche Herausforderungen für IT-Security-Verantwortliche Rechtliche Herausforderungen für IT-Security-Verantwortliche lic. iur. David Rosenthal ETH Life 2 Handelsblatt 3 SDA 4 5 20 Minuten/Keystone Die Folgen - Image- und Vertrauensschaden - Umsatzausfälle -

Mehr

Data Leakage Prevention

Data Leakage Prevention Data Leakage Prevention Einleitung Schutz vor dem unerwünschten Abfluss von wertvollen Informationen aus Politik, Handel, Militär etc. dürfte die gesamte Geschichte der Menschheit begleitet haben. Die

Mehr

Rheinischer Unternehmertag 12. Juli 2011

Rheinischer Unternehmertag 12. Juli 2011 www.pwc.de Der notwendige Datenschutz nicht nur in Großunternehmen Rheinischer Unternehmertag 12. Juli 2011 Agenda 1. Gesellschaft und Politik messen dem Thema Datenschutz mehr Bedeutung zu 2. Datenschutz

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Erfolgsfaktoren der Archivierung unter Berücksichtigung rechtlicher Rahmenbedingungen. Mag. Andreas Niederbacher, CISA Linz, 21.

Erfolgsfaktoren der Archivierung unter Berücksichtigung rechtlicher Rahmenbedingungen. Mag. Andreas Niederbacher, CISA Linz, 21. Erfolgsfaktoren der Archivierung unter Berücksichtigung rechtlicher Rahmenbedingungen Mag. Andreas Niederbacher, CISA Linz, 21. Mai 2014 Deloitte Global Deloitte ist eine der größten Wirtschaftsprüfungs-

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

AUFTRAG (Outsourcing)

AUFTRAG (Outsourcing) Autorité cantonale de surveillance en matière de protection des données Kantonale Aufsichtsbehörde für Datenschutz CANTON DE FRIBOURG / KANTON FREIBURG La Préposée Die Beauftragte Merkblatt Nr. 5 Grand-Rue

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Compliance Rechtliche Anforderungen

Compliance Rechtliche Anforderungen Schnittstellen- und Datenschutz Einfach und Sicher Compliance Rechtliche Anforderungen PCI HIPPA MiFID ITIL EU Dataprotection COBIT GLBA ISO 17799 California Senate Bill 1386 KonTraG BASEL II DriveLock

Mehr

Haben wir unsere Daten im Griff? Data Loss/Leakage Prevention - DLP

Haben wir unsere Daten im Griff? Data Loss/Leakage Prevention - DLP Haben wir unsere Daten im Griff? Data Loss/Leakage Prevention - DLP Um was geht es? Schweiz = Dienstleistungs- und Wissensgesellschaft Das Kapital sind die Menschen und deren Wissen Schweiz ist Nr. 3 weltweit

Mehr

Mobile Sicherheit & Schutz von konvergierten Daten

Mobile Sicherheit & Schutz von konvergierten Daten Mobile Sicherheit & Schutz von konvergierten Daten Sichere mobile Lösungen mit Die Datenrevolution bewältigen Die mobilen Geräte haben die Arbeitsweise der Unternehmen und ihrer Mitarbeiter revolutioniert.

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Die goldenen Regeln der Data Loss Prevention

Die goldenen Regeln der Data Loss Prevention Die goldenen Regeln der Data Loss Prevention ISSS Zürcher Tagung 2010 1.6.2010, WIDDER Hotel, Zürich Johann Petschenka Channel Manager für internationale Sales Partner, SECUDE IT Security GmbH Information

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Data Loss Prevention (DLP) Überlegungen zum praktischen Einsatz

Data Loss Prevention (DLP) Überlegungen zum praktischen Einsatz Heinz Johner, IBM Schweiz AG 30. November 2009 Data Loss Prevention (DLP) Überlegungen zum praktischen Einsatz Agenda, Inhalt Begriff und Definition Umfang einer DLP-Lösung Schutz-Szenarien Typische Fragestellungen

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4

MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 MUSTERLÖSUNGEN, H.P. KÖNIGS, SPRINGER VIEWEG IT-RISIKOMANAGEMENT MIT SYSTEM, 4. AUFLAGE KONTROLLFRAGEN UND AUFGABEN ZU KAPITEL 4 Lösung zu Frage 1 Das St. Galler Management-Modell unterscheidet die drei

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

silicon mountains DATENDIEBSTAHL IN GROSSEN UNTERNEHMEN

silicon mountains DATENDIEBSTAHL IN GROSSEN UNTERNEHMEN silicon mountains DATENDIEBSTAHL IN GROSSEN UNTERNEHMEN Ziele der Präsentation 1 2 Bedrohung welche Daten sind betroffen Welche Daten sind betroffen, wie findet der Angriff statt, warum kommt die Gefahr

Mehr

BayerONE. Allgemeine Nutzungsbedingungen

BayerONE. Allgemeine Nutzungsbedingungen BayerONE Allgemeine Nutzungsbedingungen INFORMATIONEN ZU IHREN RECHTEN UND PFLICHTEN UND DEN RECHTEN UND PFLICHTEN IHRES UNTERNEHMENS SOWIE GELTENDE EINSCHRÄNKUNGEN UND AUSSCHLUSSKLAUSELN. Dieses Dokument

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Zur Informationspflicht nach 42a Bundesdatenschutzgesetz (BDSG)

Zur Informationspflicht nach 42a Bundesdatenschutzgesetz (BDSG) DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Zur Informationspflicht nach 42a Bundesdatenschutzgesetz (BDSG) (einschließlich einer Checkliste für die Mitteilung an die Aufsichtsbehörde) - Stand: 12. Dezember

Mehr

ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG FIT VOM UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld. lic.

ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG FIT VOM UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld. lic. ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG VOM FIT FÜR DIE ZUKUNFT UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld lic. iur. Barbara Widmer, LL.M./CIA REFERAT IM KONTEXT DES TAGUNGSTHEMAS

Mehr

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung

Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Zahlungsabwicklung Kaspersky Fraud Prevention-Plattform: eine umfassende Lösung für die sichere Bankkunden von heute können die meisten ihrer Finanztransaktionen online durchführen. Laut einer weltweiten Umfrage unter Internetnutzern,

Mehr

Cyber Crime und seine rechtlichen Folgen für betroffene Unternehmen

Cyber Crime und seine rechtlichen Folgen für betroffene Unternehmen Cyber Crime und seine rechtlichen Folgen für betroffene Unternehmen Dr. Lukas Feiler, SSCP Associate, Wolf Theiss Rechtsanwälte GmbH Cyber Crime und seine rechtlichen Folgen, IT-SeCX, 11. November 2011

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Cybersecurity Insurance Versicherbare rechtliche Cyber-Risiken

Cybersecurity Insurance Versicherbare rechtliche Cyber-Risiken Versicherbare rechtliche Cyber-Risiken RA Dr. Lukas Feiler, SSCP, CIPP/E Security Forum 2015 23. April 2015 Topics I. Zentrale rechtliche Cybersecurity-Risiken a. Persönliche Haftung der Geschäftsleitung

Mehr

Unternehmensdaten in Mobile Devices: Umgang mit den rechtlichen Risiken

Unternehmensdaten in Mobile Devices: Umgang mit den rechtlichen Risiken Unternehmensdaten in Mobile Devices: Umgang mit den rechtlichen Risiken Unternehmensdaten ausser Haus Immer mehr Mitarbeitende von Unternehmungen verwenden Mobile Devices wie PDA Handys, Smartphones, etc.

Mehr

Datensicherheit aus rechtlicher Sicht: Alles cloud(y)?

Datensicherheit aus rechtlicher Sicht: Alles cloud(y)? Datensicherheit aus rechtlicher Sicht: Alles cloud(y)? Hans Kristoferitsch Karin Lehner 1 Aktuelle Fälle - Deutsche Bundesländer kaufen CDs mit Daten deutscher Steuerbetrüger in der Schweiz und Liechtenstein.

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

Sorgfaltspflichten der Führungskräfte in der Verwaltung im Umgang mit datenschutzrelevanten Informationen

Sorgfaltspflichten der Führungskräfte in der Verwaltung im Umgang mit datenschutzrelevanten Informationen Sorgfaltspflichten der Führungskräfte in der Verwaltung im Umgang mit datenschutzrelevanten Informationen Lukas Fässler Rechtsanwalt & Informatikexperte Inhaltsverzeichnis 1. Informationsmanagement in

Mehr

Rechtliche Aspekte von Informationssicherheitsmessungen

Rechtliche Aspekte von Informationssicherheitsmessungen iimt information security brush-up workshop 11/02/2003 measuring information security state of the art and best practices Rechtliche Aspekte von Informationssicherheitsmessungen Dr. Wolfgang Straub Überblick

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

Fraud Prevention. Intelligente Bekämpfung von Betrug in Finanzinstituten

Fraud Prevention. Intelligente Bekämpfung von Betrug in Finanzinstituten Intelligente Bekämpfung von Betrug in Finanzinstituten Frankfurt, Ausgangssituation Wieso rückt das Thema Betrug immer mehr in den Fokus? In den vergangenen Jahren wurden Fragen nach dem Risikomanagement

Mehr

Cyber (-Data) Risks: Herausforderung 2014. 2. Lloyd's Cyber Risks Veranstaltung in Frankfurt 12. Februar 2014

Cyber (-Data) Risks: Herausforderung 2014. 2. Lloyd's Cyber Risks Veranstaltung in Frankfurt 12. Februar 2014 Cyber (-Data) Risks: Herausforderung 2014 2. Lloyd's Cyber Risks Veranstaltung in Frankfurt 12. Februar 2014 Anfällige Branchen Ponemon-Studie für Deutschland 2013 2 Bedrohungsszenarien: einige Fakten!

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Sie können uns auch über unsere Postadresse kontaktieren: Engelbrecht Medizin- und Labortechnik GmbH, Postfach 10, 34293 Edermünde.

Sie können uns auch über unsere Postadresse kontaktieren: Engelbrecht Medizin- und Labortechnik GmbH, Postfach 10, 34293 Edermünde. Datenschutzerklärung Engelbrecht Medizin- und Labortechnik GmbH respektiert das Recht auf Privatsphäre Ihrer Online-Besucher und ist verpflichtet, die von Ihnen erhobenen Daten zu schützen. In dieser Datenschutzerklärung

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

1. IT-Grundschutztag 2012. Data Loss Prevention

1. IT-Grundschutztag 2012. Data Loss Prevention INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH 1. IT-Grundschutztag 2012 Data Loss Prevention Dr. Detlef Zimmer Bonn, 09. Februar 2012 GmbH 2012 S. 1, 09.02.2012 INFORMATIKZENTRUM DER SPARKASSEN-

Mehr

BIG DATA Herausforderungen für den Handel

BIG DATA Herausforderungen für den Handel BIG DATA Herausforderungen für den Handel RA Adrian Süess, LL.M., Zürich Bühlmann Rechtsanwälte AG www.br-legal.ch 1 2 1 Überblick Worum geht s. Big Data. Was ist Big Data. Beschaffung und Bearbeitung

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Informationssicherheit ist Chefsache

Informationssicherheit ist Chefsache Informationssicherheit ist Chefsache Information Rights Management ist Risikomanagement - ein Anwenderbericht - Expertenwissen kompakt 2011, Frankfurt am Main 6. April 2011 Was ist überhaupt Information

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

BIG DATA. Herausforderungen für den Handel. RA Adrian Süess, LL.M., Zürich Bühlmann Rechtsanwälte AG www.br-legal.ch

BIG DATA. Herausforderungen für den Handel. RA Adrian Süess, LL.M., Zürich Bühlmann Rechtsanwälte AG www.br-legal.ch BIG DATA Herausforderungen für den Handel RA Adrian Süess, LL.M., Zürich Bühlmann Rechtsanwälte AG www.br-legal.ch 1 2 Überblick Worum geht s. Was ist Big Data. Beschaffung und Bearbeitung von Datensätzen.

Mehr

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 1: 10.4.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 1: 10.4.2015 Sommersemester 2015 h_da, Lehrbeauftragter Nachklausur IT- und Medientechnik Freitag, 24. April 2015 12.15 13.45 Uhr Raum A10/001 Allgemeines zur Vorlesung die Folien

Mehr

Neueste IDG-Studie: Cyber Defense Maturity Report 2014

Neueste IDG-Studie: Cyber Defense Maturity Report 2014 Medienkontakt: Susanne Sothmann / Erna Kornelis Kafka Kommunikation 089 74 74 70 580 ssothmann@kafka-kommunikation.de ekornelis@kafka-kommunikation.de Neueste IDG-Studie: Cyber Defense Maturity Report

Mehr

Der beste Plan für Office 365 Archivierung.

Der beste Plan für Office 365 Archivierung. Der beste Plan für Office 365 Archivierung. Der Einsatz einer externen Archivierungslösung wie Retain bietet Office 365 Kunden unabhängig vom Lizenzierungsplan viele Vorteile. Einsatzszenarien von Retain:

Mehr

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Datenblatt: Endpoint Security Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Überblick Mit minimieren Unternehmen das Gefährdungspotenzial der ITRessourcen,

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

Willkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger!

Willkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Willkommen bei DATEV it-sa 2013: Forum Rot PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Wer ist DATEV? Softwarehaus und IT-Dienstleister mit über 40 Jahren Erfahrung mit Software, Services und

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

"IT-Forensik Überblick und Möglichkeiten" Martin Wundram

IT-Forensik Überblick und Möglichkeiten Martin Wundram "IT-Forensik Überblick und Möglichkeiten" wundram@digitrace.de Seite: 1 Agenda (25 Minuten inkl. Fragezeit) I. Was ist IT-Forensik? II.Möglichkeiten der IT-Forensik III.Im Ernstfall IV. Fragen? Seite:

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Risk Management für Unternehmen

Risk Management für Unternehmen Risk Management für Unternehmen Überlassen Sie nichts dem Zufall RM- Risk Management für Unternehmen methodisch vorgehen Dem Risk Management (RM) liegt ein dauernder, sich stets verändernder Prozess im

Mehr

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Profilrichtungen Englische Übersetzung Beschreibung Informationssicherheit Information Security Diese Profilrichtung behandelt

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Big Data Was ist erlaubt - wo liegen die Grenzen?

Big Data Was ist erlaubt - wo liegen die Grenzen? Big Data Was ist erlaubt - wo liegen die Grenzen? mag. iur. Maria Winkler Themen Kurze Einführung ins Datenschutzrecht Datenschutzrechtliche Bearbeitungsgrundsätze und Big Data Empfehlungen für Big Data

Mehr

Ediscovery bei Compliance Reviews und internen Untersuchungen

Ediscovery bei Compliance Reviews und internen Untersuchungen Ediscovery bei Compliance Reviews und internen Untersuchungen Helmut Sauro, Senior Consultant 24. Juni 2015 Kroll Ontrack international North America Europe Asia Pacific Rechenzentrum Datenrettung/Forensik

Mehr

Herzlich willkommen! 25.4. Bad Homburg 27.4. Hamburg 04.5. München

Herzlich willkommen! 25.4. Bad Homburg 27.4. Hamburg 04.5. München Herzlich willkommen! 25.4. Bad Homburg 27.4. Hamburg 04.5. München Storage Security Agenda: Storage Security vergessene Priorität höchstes Potential Storage Security Anforderungen Technologien Prozesse

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Executive Briefing. Big Data und Business Analytics für Kunden und Unternehmen. In Zusammenarbeit mit. Executive Briefing. In Zusammenarbeit mit

Executive Briefing. Big Data und Business Analytics für Kunden und Unternehmen. In Zusammenarbeit mit. Executive Briefing. In Zusammenarbeit mit Big Data und Business Analytics für Kunden und Unternehmen Umfangreiche und ständig anwachsende Datenvolumen verändern die Art und Weise, wie in zahlreichen Branchen Geschäfte abgewickelt werden. Da immer

Mehr

ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing

ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing ACE Risikoforum Wie manage ich Cyberrisiken? RAin Dr. Gunbritt Kammerer-Galahn, Partnerin Taylor Wessing Frankfurt am Main, 19. März 2015 01 > Risikoanalyse eines Industrieunternehmens Wer ist Risikoquelle?

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

IT SECURITY IN THE HYBRID CLOUD

IT SECURITY IN THE HYBRID CLOUD IT SECURITY IN THE HYBRID CLOUD Hybrid Clouds Rechtliche Herausforderungen Carmen De la Cruz Böhringer DIE REFERENTEN Carmen De la Cruz Böhringer Carmen De la Cruz Böhringer RA lic. iur. Eidg. dipl. Wirtschaftsinformatikerin

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M. Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931

Mehr