Compliance: Synergieaufgabe des Managements

Transkript

1 Compliance: Synergieaufgabe des Managements Zahlen, Daten, Fakten, etc. Träger: Kooperationspartner: Ulm Bodensee-Oberschwaben

2 Was wissen Vorstände, Geschäftsführer und Inhaber wirklich über IT?

3 ... aber sie haften

4 Agenda Was ist Compliance? Wer treibt das Thema? Was bedeutet Compliance? Was soll man tun?

5 Peter Stahlberg IT-Sicherheit, Compliance Einführung nach ISO/IEC 27001:2005 Auditierung nach ISO/IEC 27001:2005 Compliance-Beratung, Schulung Datenschutz externen Datenschutzbeauftragten Datenschutz-Audit IT-Sicherheits-Check (nach BDSG Anlage 9 Satz 1) Identitätsmanagement Beratung, Schulung Installation, Implementierung

6 Aus Projekten, für Projekte Aktueller Zwischenstand aus 24 Complianceprojekten im Mittelstand Zuzüglich den Ergebnissen aus fünfjähriger KECoS-Beratung im IT-Complianceumfeld Und fußend auf knapp 10 Jahren Netzwerk Elektronischer Geschäftsverkehr

7 Was ist Compliance? Compliance Was heißt das? IT-Trend (Modebegriff)? Virtualisierung? GreenIT? CO 2? Software Compliance 1.0?

8 Was ist Compliance? Wikipedia: Das Wort Compliance (englisch: Befolgung) bzw. Komplianz bezeichnet die Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien durch Unternehmen, siehe : Compliance (BWL) ein Maß für die Dehnbarkeit; siehe Compliance (Physiologie) eine Verhaltensänderung, siehe Soziopsychologische Compliance Komplianz (techn. Mechanik) = reziproke Steifigkeit

9 Was ist Compliance? Wikipedia: IT-Compliance beschreibt in der Unternehmensführung die Zusammenfassung der gesetzlichen und vertraglichen Regelungen im Bereich der IT-Landschaft. Die IT-Compliance ist im Zusammenhang mit der IT- Governance zu sehen, die das Thema um die Bereiche Controlling, Geschäftsprozesse und Management erweitert. Also: Synergieaufgabe des Managements

10 Was ist Compliance? Compliance ist ein Maß für den Erfüllungsgrad rechtskonformen Handelns im Unternehmen. IT-Compliance ist demzufolge der Erfüllungsgrad rechtskonformen Handelns in der Unternehmens-IT.

11 Wer treibt das Thema? Compliance als Chefsache? CIO vom 17. April 2008:

12 Wer treibt das Thema? Compliance als Chefsache? Lediglich ein Viertel der Unternehmer (26,2 Prozent) ist der Meinung, IT-Entscheidungen seien Chefsache.

13 Wer treibt das Thema? Compliance als Chefsache? Fast ein Drittel gab an, in der Vergangenheit durch Datenverluste Schäden erlitten zu haben. 29 Prozent berichteten von mindestens einem entstandenen Schaden von bis zu Euro. 14 Prozent erlitten Schäden von bis zu Euro und 6,5 Prozent sogar Schäden, die sie bis zu Euro kosteten.

14 Wer treibt das Thema? Compliance als Chefsache? Über 90% der betreuten Unternehmen haben keine Regelung zur IT-Nutzung Über 80 % haben keine kurz-, mittel und langfristige IT-Planung Über 60% sprechen von einer Lizenzierungsrate unter 100% Über 75% archivieren falsch oder gar nicht Über 70% haben keinen Datenschutzbeauftragten, obwohl sie bestellungspflichtig sind

15 Wer treibt das Thema? En détail: Gesellschaftsrecht 91 II AktG 43 GmbHG 116 AktG KonTraG 823, 1004, 280 BGB Handelsrecht 377 HGB 239 Abs. 4 HGB Strafrecht 85 II TKG i.v.m. 206 II Nr. 2 StGB oder 303 a StGB 202a, 303a, 303 b, 202b, 202c 106 bis 108a UrhG i.v.m. 23 Abs. 1 StGB Arbeitnehmerhaftung: 823 BGB leitenden Angestellte; 14 Abs. 2 StGB Organ: 14 Abs. 1 StGB Telekommunikationsrecht 88 TKG 206 II Nr. 2 StGB 1, 88, 89, 91ff TKG 1f, TMG 75, 80, 87, 88, 90 BetrVG 113a TKG Zivilrecht 280 I BGB 634 BGB 437 / 634 BGB Vorvertraglich ggf. 311, Abs. 2 BGB 823, Abs. 2 BGB 1004 BGB i.v.m. 40 TKG 611, 242 BGB Gesetz gegen unlauteren Wettbewerb 3, 4 Nr. 11 UWG 10 UWG Steuerrecht 146 Abs. 5 AO Urheberrecht 97 ff. i.v.m. 100 UrhG 106 UrhG 111a UrhG Datenschutzrecht 4f, 43, I und II BDSG 9 BDSG und Anlage zu BGB 7 BDSG 44 BDSG 4g, 38, Abs. 5 BDSG 1 II; 27 I BDSG TMG GG Art.2 i.v.m. Art.1 Sicherheitsüberprüfungsgesetz 2, 7-10 SüG

16 Wer treibt das Thema? Standards: Bekannte Standards zum Sicherheitsmanagement ISO (jetzt ISO 27002) Code of practice for information security management BS 7799 Britisch Standard 7799 ISO27001:2005 BSI IT-Grundschutz-Kataloge Standards mit Sicherheitsaspekten Cobit Control Objectives for Information and Related Technology ITIL IT Infrastructure Library Standards für spezifische Sicherheitsaspekte SP Generally Accepted Principles and Practices for Securing Information Technology Systems SP Engineering Principles for Information Technology Security (A Baseline for Achieving Security) IS Banking and related financial services information security guideline IS Guidelines for Management of IT- Security (GMITS) bzw. Management of information and communications technology security (MICTS) IS Information Security Incident Management SSE-CMM System Security Engineering Capability Maturity Model, auch ISO 21827

17 Wer treibt das Thema? Standards: Physikalische Sicherheit BSI 7500 Produkte für die materielle Sicherheit EN / -2 Wertbehältnisse - Klassifizierung und Methoden zur Prüfung des Widerstandes gegen Brand DIN 4102 Brandverhalten von Baustoffen und Bauteilen EN Schutzart durch Gehäuse EN Widerstandsgrad EN 1627 Fenster, Türen, Abschlüsse - Einbruchhemmung DIN Rauchschutztüren FIPS Security Requirements for Cryptographic Modules ITSEC Information Technology Security Evaluation Criteria CC Common Criteria Vorschriften, Gesetze KonTraG Basel II SOX Sarbanes-Oxley Act BDSG Bundesdatenschutzgesetz TMG AktG GmbHG GDPdU/GoBS, AO

18 Wer treibt das Thema? Sicherheitsmanagementstandards Nur zwei relevante Standards zum Sicherheitsmanagement BSI IT-Grundschutz-Kataloge Bis 2005 BSI IT-Grundschutz-Handbuch genannt ISO27001:2005 ISO Code of practice for information security management bzw. ISO27002:2007 (entspricht ISO17799)

19 Wer treibt das Thema? Phishing 2007: Phishing-Attacken mit Euro Schaden Die meisten Meldungen unterhalb des Mains.

20 Sie müssen die Dinge regeln! Private Nutzung Private Nutzung des dienstlichen Internetzugangs und des dienstlichen -Kontos Zitat Wirtschaftprüfer: IT-Organisation 3 Eine Schwachstelle sind die fehlenden schriftlichen IT- Organisationsunterlagen. [...] [...] PC-Benutzerrichlinie [..] Es wird dringend empfohlen, [...] unternehmensindividuelle Anweisungen aufzubauen.

21 Sie müssen die Dinge regeln! Private Nutzung Operativ: Dokumentierte, stichprobenartige Kontrolle der Log-Daten mehr als zweimal im Jahr Ein-eindeutige Benutzer- und Passwortregelung

22 Sie müssen die Dinge regeln! Private Nutzung Hilfen:

23 Sie müssen die Dinge regeln! IT-Sicherheit IT-Sicherheit Den Bedarf nach Sicherheit definieren Bezogen auf die Hauptprozesse Bezogen auf die Unternehmenswerte Die Risiken im Hinblick auf Werte, Prozesse und Verfahren Zitat Wirtschaftprüfer: IT-Sicherheit [...] folgende Unterlagen: IT-Leitlinie/IT-Richtlinie Datensicherungskonzept Notfallvorsorgekonzept Sicherheitshinweise für Administratoren und Benutzer Virenschutzkonzept Ein regelmäßiges Audit findet ebenfalls nicht statt.

24 Sie müssen die Dinge regeln! IT-Sicherheit Sicherheit nur bis Feierabend? Firewall ohne Netz? Virenschutz ohne Update? Bis zu 200 Spam-Mails täglich? 4 Trojaner auf einem Rechner?

25 Sie müssen die Dinge regeln! IT-Sicherheit Gefahren im World Wi(l)de Web

26 Sie müssen die Dinge regeln! IT-Sicherheit Verfassungsschutzbericht 2007: In Deutschland befinden sich Wirtschaft, Wissenschaft und Spitzentechnologien im Mittelpunkt der Ausspähungs- und Beschaffungsbemühungen fremder Nachrichtendienste, aber auch von konkurrierenden ausländischen Unternehmen.

27 Sie müssen die Dinge regeln! IT-Sicherheit Im Fokus der Ausspähungsaktivitäten stehen insbesondere: Automobilbau, erneuerbare und saubere Energien, Chemie, Kommunikationstechnologie, Optoelektronik, Röntgentechnologie, Rüstungstechnologie, Werkzeugmaschinen, insbesondere mit CNC-Technologie [...], Verbundwerkstoffe und Materialforschung.

28 Sie müssen die Dinge regeln! IT-Sicherheit Die Begehrlichkeiten fremder Nachrichtendienste, aber auch von Konkurrenten, richten sich nicht nur auf Großkonzerne, sondern auch auf eine Vielzahl innovativer klein- und mittelständischer Unternehmen. Neben dem Einsatz menschlicher Quellen gewinnen die neuen Technologien zur Informationsbeschaffung erkennbar an Bedeutung.

29 Sie müssen die Dinge regeln! IT-Sicherheit Die aktuell gefährlichste Bedrohung stellen internetgebundene Angriffe, so genannte electronic attacks, auf Netzwerke und Computersysteme deutscher Wirtschaftsunternehmen [...] dar. Die bisherigen Recherchen weisen auf einen staatlichen Ursprung dieser Attacken hin. [...] Zudem setzen die Qualität der genutzten Technik und die gut koordinierten Angriffe ein erhebliches finanzielles Potenzial und entsprechende personelle Ressourcen voraus [...].

30 Sind unsere (Innen)minister richtig beraten? Benutzername: Kennwort: Domain:

31 Sie müssen die Dinge regeln! IT-Sicherheit Hilfen:

32 Sie müssen die Dinge regeln! IT-Strategie IT-Strategie Lizenzen IT-Planung Zitat Wirtschaftprüfer: Versionskonzept [...] Übersicht Hardware Übersicht Betriebssysteme und Middleware Übersicht rechnungsrelevanter Anwendungen (Version) Übersicht verwendeter Datenbanken (Version) Changemanagement [...]

33 Sie müssen die Dinge regeln! IT-Strategie Operativ: Soft- und Hardware-Inventarisierungssoftware Installationsverbot fremder Software Upgrade- und Update-Strategie Soft- und Hardware-Standardisierung

34 Sie müssen die Dinge regeln! IT-Strategie Hilfen:

35 Sie müssen die Dinge regeln! IT-Strategie IT-Strategie Budget Kontrollmaßnahmen Zitat Wirtschaftprüfer: Beschaffungsverfahren für IT-Anwendungen und IT- Infrastruktur Notfallkonzept Testdokumentation und Freigaben bei Änderungen Prüfberichte interne Revision Selbsttest Penetrationstest [...] Zitat anderer Wirtschaftprüfer: IT-Risikobeurteilung und Maßnahmen

36 Sie müssen die Dinge regeln! IT-Strategie Hilfen:

37 Sie müssen die Dinge regeln! Datenschutz Datenschutz Verpflichtung nach 5 BDSG (Verschwiegenheit) Sensibilisierung (Schulung) der Mitarbeiter Vorabkontrolle Verfahrensverzeichnis Zitat Wirtschaftprüfer: Wir bitten um Bereitstellung folgender Unterlagen: 1. Berichte / Tätigkeitsberichte des bdsb Verpflichtungserklärungen der Mitarbeiter (Muster) 2. Wurden im Prüfungszeitraum der Datenschutzbeauftragte neu bestellt? 3. Welche Funktionen werden noch vom Datenschutzbeauftragten wahrgenommen?

38 Sie müssen die Dinge regeln! Datenschutz 4. Ergaben sich Veränderungen in der Qualifikation? Wenn ja: Bitte eine Kopie zum Seminar-/ Kompetenznachweis beifügen. 5. Wurden im Prüfungszeitraum neue Verfahren eingeführt, die eine Vorabkontrolle erforderlich machen? 6. Werden öffentlich zugängliche Räume videoüberwacht? - Art der Videoüberwachung (Band- / Digitalaufzeichnung) - Aufbewahrungsdauer - Zugriffsrechte 7. Wir bitten um Bereitstellung folgender Unterlagen: Berichte / Dokumentationen von Prüfungshandlungen i.s.d. 9 BDSG öffentliches Verfahrensverzeichnis Übersicht zum internen Verfahrensverzeichnis Übersicht der Auftragsdatenverarbeiter Zitat anderer Wirtschaftprüfer: Schulungsplan für die Schulung von Anwendern

39 Sie müssen die Dinge regeln! Datenschutz Bundesdatenschutzgesetz, das am meisten missachtete (unterschätzte) Gesetz? Quelle: Polizeiliche Kriminalstatistik 2007

40 Sie müssen die Dinge regeln! Datenschutz Hilfen:

41 Sie müssen die Dinge regeln! Steuer- und Handelsrecht GDPdU, GoBS Digitalisieren ist erlaubt, analogisieren verboten Aufbewahrungsfristen Revisionssicherheit Verfahrensverzeichnis Zitat Wirtschaftprüfer: Versionskonzept [...] Übersicht rechnungsrelevanter Anwendungen (Version) Übersicht verwendeter Datenbanken (Version) Changemanagement [...] Zitat anderer Wirtschaftprüfer: Wir bitten um Nennung der [...] Mitarbeiter für die Einhaltung der GDPdU.

42 Sie müssen die Dinge regeln! Steuer- und Handelsrecht Operativ: Verschlüsseltes, revisionssicheres digitales Archiv aller steuer- und handelsrelevanter Daten mit 10 bzw. 6 Jahren Aufbewahrungszeit Nachverschlüsselbar falls in der Zukunft stärkere Schlüssel gefordert sind Ein-eindeutige Benutzer- und Passwortregelung

43 Sie müssen die Dinge regeln! Steuer- und Handelsrecht

44 Sie müssen die Dinge regeln! Steuer- und Handelsrecht Hilfen:

45 Was kostet es? Datenverlust kostet pro verlorenem Datensatz $ 155,-- Quelle: Forrester Research, Inc.

46 Was kostet es? Datenverlust kostet pro verlorenem Datensatz $ 182,-- Quelle: Ponemon Institute, LLC

47 Was kostet es?

48 Was bringt es? Compliance als Haftungsvermeidungsstrategie D&O (Directors & Officers Liability) Versicherung. Diese Art der Vermögensschadenshaftpflichtversicherung haftet nur begrenzt Compliance bringt Imagegewinn Gelebte Compliance bringt mehr (Planungs-)Sicherheit Mitarbeiterschulung hebt das all. Sicherheitsniveau Schadenshöhe ist immer größer als Vorbeugekosten

49 Was soll (muss) man tun? Definieren Sie ihr Infomationssicherheitsbedürfnis Definieren Sie alle Werte die für ihr Unternehmen wichtig sind Entwickeln Sie eine Modell zur Risikobewertung Beseitigen Sie die größten Mängel sofort Planen Sie Investitionen in IT-Sicherheit im Rahmen eines IT-Budgets Schulen (Sensibilisieren) Sie ihre Mitarbeiter regelmäßig Überprüfen Sie regelmäßig ob ihre Maßnahmen noch aktuell sind Schreiben Sie das alles auf!

50 Was muss man tun? Verfahrensverzeichnis Datenschutz (BDSG) Verfahrensverzeichnis steuerrelevanter Daten (GDPdU/GoBS) Revisionssicheres Archiv für und steuerrelevante Unterlagen (HGB, Steuerrecht; Aufbewahrungsfrist 6-10 Jahr) Internes Kontrollsystem (Euro-SOX, Basel II, Wirtschaftsprüfer) Management-Skills, Schulungen (Basel II, KonTraG, BDSG) Richtlinie Internetnutzung (TKG,TMG) Richtlinie nutzung, Telefonnutzung (TKG,TMG) Sicherstellung des Geschäftsbetriebs (Business Continuity Plan); Notfallplan, DR, Wiederanfahrplan (KonTraG, GmbHG) Mitarbeiter regelmäßig schulen (Basel II, BDSG)

51 Fazit IT: Über Compliance argumentieren statt über technische Investitionen Dinge sollen richtig funktionieren, nicht schöner, besser oder schneller! Erschleichung von Geschäftsvorteilen durch Unterlassung ist keine gute Idee! Mitbewerber, Abmahnvereine, -kanzleien, Aufsichtsbehörden Wer schreibt, der bleibt

52 Zusammenfassung Schreiben Sie auf, was Sie tun und tun Sie, was Sie aufgeschrieben haben Nennen Sie, was Sie aufgeschrieben haben: Compliancekonzept, vergessen Sie dabei den Datenschutz nicht! Und sehen Sie entspannt: der Lohnsteueraußenprüfung, Umsatzsteuersonderprüfung, Wirtschaftsprüfung, Basel II-Rating und evt. der ISO27001-Zertifizierung entgegen.

53 Herzlichen Dank!