IT - Compliance Alter Wein in neuen Schläuchen?

Größe: px
Ab Seite anzeigen:

Download "IT - Compliance Alter Wein in neuen Schläuchen?"

Transkript

1 IT Compliance Alter Wein in neuen Schläuchen? Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte DGRI Fachausschuss Vertragsrecht Frankfurt 8. Mai 2009

2 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 2

3 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 3

4 1. Begriff und rechtliche Grundlagen der IT Compliance (1) IT IT Compliance Compliance Befolgung Befolgung Einhaltung Einhaltung von von Gesetzen, Gesetzen, Richtlinien Richtlinien und und anderen anderen Verhaltensmaßregeln Verhaltensmaßregeln IT IT Compliance ITCompliance ITCompliance bedeutet bedeutet generell generell die die Einhaltung Einhaltung der der rechtlichen rechtlichen Anforderungen, Anforderungen, die die sich sich auf auf den den Einsatz Einsatz von von Informationstechnologie Informationstechnologie beziehen. beziehen. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 4

5 1. Begriff und rechtliche Grundlagen der IT Compliance (2) IT IT Compliance ist ist eine eine Querschnittsmaterie Gesetzliche Gesetzliche Grundlagen Grundlagen Z.B: Z.B: BDSG BDSG Datenschutzauditgesetz Datenschutzauditgesetz (Entwurf) (Entwurf) KonTraG KonTraG TMG TMG TKG TKG UWG UWG StGB StGB Abgabenordnung Abgabenordnung (AO) (AO) HGB HGB Verwaltungsvorschriften Verwaltungsvorschriften Z.B: Z.B: Ministerialerlasse, Ministerialerlasse, Verfügungen, Verfügungen, Richtlinien Richtlinien oder oder Anordnungen. Anordnungen. Z.B: Z.B: GoB, GoB, GoBS GoBS GDPdU GDPdU Rundschreiben/Verlautbarungen Rundschreiben/Verlautbarungen der der BaFin BaFin MaRisk, MaRisk, RS RS 05/ /2007 MaRisk MaRisk VA, VA, RS RS 03/ /2009 Richtlinien, Richtlinien, Standards Standards und und Referenzmodelle Referenzmodelle Z.B: Z.B: DIN, DIN, ISO ISO Normen. Normen. Z.B. Z.B. ISO ISO 2700x 2700x Reihe Reihe CobiT, CobiT, ITIL ITIL IDW IDW Prüfungsstandards Prüfungsstandards / / Stellungnahmen/Checklisten Stellungnahmen/Checklisten BSI BSI Standards Standards und und Grundschutzkataloge Grundschutzkataloge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 5

6 1. Begriff und rechtliche Grundlagen der IT Compliance (3) IT IT Compliance Anforderungen IT IT Compliance Compliance Anforderungen Anforderungen im im engeren engeren Sinn Sinn Regelkonforme Regelkonforme ITSysteme ITSysteme ITSysteme ITSysteme müssen müssen geltenden geltenden Vorgaben Vorgaben genügen genügen IT IT Compliance Compliance Anforderungen Anforderungen im im weiteren weiteren Sinn Sinn Compliance Compliance mit mit Hilfe Hilfe von von ITSystemen ITSystemen Abbildung Abbildung von von Unternehmensfunktionen Unternehmensfunktionen mit mit ITSystemen ITSystemen z.b: z.b: BDSG BDSG Datenschutzauditgesetz Datenschutzauditgesetz (Entwurf) (Entwurf) TMG, TMG, TKG TKG StGB StGB GDPdU, GDPdU, GoBS GoBS Nationale Nationale und und internationale internationale Qualitätsstandards Qualitätsstandards (CobiT, (CobiT, ITIL, ITIL, ISO ISO etc.) etc.) BSI BSI Grundschutzkataloge Grundschutzkataloge Basel Basel II II Solvency Solvency II II SarbanesOxley SarbanesOxley Act Act Abs.3 Abs.3 Nr. Nr. 6 AktG 6 AktG 239, 239, HGB HGB AO AO z.b: z.b: Übergreifende Anforderung: 91 Abs. 2 AktG DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 6

7 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 7

8 2. Warum IT Compliance? (1) / Haftungsrisiken Haftungsrisiken der Unternehmensleitung bei mangelhafter IT Compliance Die Verpflichtung rechtskonform zu handeln trifft zunächst das Unternehmen als solches Aber: Darüber hinaus gem. 93 Abs. 1 AktG und 43 Abs. 1 GmbHG auch die Unternehmensleitung Pflichtverletzung kann zu Schadensersatz führen, 93 Abs. 2 AktG, 43 Abs. 2 GmbHG Bei 93 Abs. 2 AktG ggf. Beweislastumkehr Strengere Rechtsprechung zu 93 Abs. 2, 116 S.1 AktG seit BGH: ARAG / Garmenbeck, in NJW 1997, 1966 ff. Pflicht zur Durchsetzung von Ansprüchen der Gesellschaft gegen die Geschäftsführung, falls erfolgversprechend) Aktuell: Telekom fordert von Zumwinkel und Ricke Schadensersatz wegen Spitzelaffäre Siemens fordert Schadensersatz von ehemaligen Vorständen, darunter Ex Siemens Chef Heinrich von Pierer DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 8

9 2. Warum IT Compliance? (2) Imageschäden des Unternehmens Evtl. erhöhte Kosten bei Nichtbeachtung; Ratingrisiko bei Finanzierung (Basel II) Bei Nichtbeachtung unter Umständen Versagung des Wirtschaftsprüfertestats Nichteinhaltung der IDW Prüfungsstandards Gem. 317 Abs. 4 HGB bzgl. Frühwarnsystem bei börsennotierter AG Schätzung der Besteuerungsgrundlagen durch Finanzbehörden ( 162 AO) Evtl. strafrechtliche Folgen ITbezogene Straftatbestände im StGB: Ausspähen/Unterdrücken von Daten ( 202a StGB), besondere Geheimhaltungspflichten ( 203 StGB), Datenveränderung ( 303a StGB), Verletzung von Buchführungspflichten ( 283 b StGB) weitere Straftatbestände z.b. im BDSG ( 44), KWG ( 54 ff.), AktG ( 399 ff.), HGB ( 331 ff.); insbesondere unrichtige Darstellung, Überschuldung Vorliegen einer Ordnungswidrigkeit (z.b. 43 BDSG) Nach der geplanten BDSG Novelle Bußgeldhöhe nunmehr: Im Fall von 43 Abs. 1 BDSG max Im Fall von 43 Abs. 2 BDSG max DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 9

10 2. Warum IT Compliance? (3) Aufsichtsrechtliche Maßnahmen möglich BaFin: z.b. 6 Abs. 3 KWG: Anordnungsbefugnis; 35 KWG : Aufhebung der Erlaubnis; 36 KWG: Abberufung des Geschäftsleiters Maßnahmen der Datenschutzbehörden gem. 38 Abs. 5 BDSG (Anordnungsbefugnis) Der Ausschluss von der Vergabe öffentlicher Aufträge droht ITStandards, Zertifizierungen werden immer häufiger als Wertungskriterien und Vertragsbestandteile verwendet Dadurch faktische Bindungswirkung Gesetzliche und vertragliche Obliegenheiten Verhaltensnormen, die bei Nichtbeachtung zum Rechtsverlust führen können (z. B. 254 BGB) Insbesondere im Versicherungsvertragsrecht (VVG): z.b. Pflicht, bedeutende Umstände anzuzeigen, 19 VVG z.b. Pflicht, keine Gefahrerhöhung nach Vertragsschluss vorzunehmen oder dies zuzulassen, 23 VVG Verletzung von Obliegenheit kann zu Verlust von Versicherungsschutz führen DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 10

11 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 11

12 Abs. 2 AktG: Einrichtung eines Überwachungssystems Risikofrüherkennung ist Teil des gesamten Risikomanagementsystems Risikofrüherkennung beinhaltet: Definition/Erkennung von möglichen Risiken Analyse der Risiken (Beurteilung der Tragweite der erkannten Risiken) Rolle der IT bei Risikofrüherkennung? Maßnahmen bestimmen sich nach Rolle der IT im Unternehmen: IT lediglich zur Unterstützung (MS Office / ERP) IT zur Steuerung von Geschäfts/Produktionsprozessen (produzierende Industrie/ Banken, Finanzdienstleister) IT als Geschäftsgegenstand (ITDienstleister) IT als Mittel für Risikofrüherkennungssystem Schaffung/Fortentwicklung eines Risikobewusstseins Berichtswesen, Kommunikation (wer wird wann wie über welche Risiken informiert) Eskalationsprozesse 317 Abs. 4 HGB: Abschlussprüfer hat das Vorhandensein eines geeigneten Überwachungssystems zu prüfen (Dokumentation! Siehe LG München, Urt. v , CR 2007, 423 f.) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 12

13 3.2. MaRisk und MaRisk VA (1) Mindestanforderungen an Risikomanagement (MaRisk) Rundschreiben 05/2007 v Mindestanforderungen an das Risikomanagement in deutschen Versicherungsunternehmen (MaRisk VA) Rundschreiben 03/2009 v MaRisk enthalten: flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements Präzisierung der Anforderungen an ordnungsgemäße Geschäftsorganisation für ausgelagerte Prozesse Adressaten: Kredit und Finanzdienstleistungsinstitute ( 1 Abs. 1b KWG, 53 Abs. 1 KWG) Für Versicherungsunternehmen: MaRisk VA ( 64a, 104s VAG) Aber: Anforderungen lassen sich teilweise unter dem Aspekt ordnungsgemäßer Geschäftsführung auf andere Unternehmen übertragen Übertragbarkeit gilt insbesondere für Vorgaben zur Ausstattung von ITSystemen (MaRisk AT 7.2) und Notfallvorsorge (MaRisk AT 7.3), sowie entsprechend bei MaRisk VA für betriebliche Anreizsysteme und Ressourcen (MaRisk VA Nr. 3, Nr. 4) und Notfallplanung (MaRisk VA 9.) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 13

14 3.2. MaRisk und MaRisk VA (2) MaRisk AT 7.2 ( Technischorganisatorische Ausstattung ) / MaRisk VA Nr. 3, Nr. 4 ( Betriebliche Anreizsysteme und Ressourcen ): ITSysteme und zugehörige ITProzesse müssen die Integrität, die Verfügbarkeit, die Authentizität, sowie die Vertraulichkeit der Daten sicherstellen Bei der Ausgestaltung der ITSysteme und der zugehörigen ITProzesse ist grds. auf gängige Standards abzustellen (ITGrundschutzkataloge des BSI, Normenreihe ISO 2700x, etc.) Maßnahmen, die sicherstellen, dass ITSysteme vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen von den technisch zuständigen Mitarbeitern abzunehmen sind Trennung von Produktions und Testumgebung MaRisk AT 7.3 ( Notfallkonzept ) / MaRisk VA 9. ( Notfallplanung ): Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept) Maßnahmen müssen geeignet sein, das Ausmaß möglicher Schäden zu reduzieren Notfallkonzept muss Geschäftsfortführungs und Wiederanlaufpläne umfassen; abhängig von Bedeutung der IT Regelmäßige Überprüfung durch Notfalltests Bei Outsourcing aufeinander abgestimmte Notfallkonzepte (nur MaRisk AT 7.3) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 14

15 3.3. Datenschutzauditgesetz (RegE v ) Hintergrund Erfüllung der Ankündigung eines Datenschutzauditgesetzes in 9a S.2 BDSG Datenskandale mit Fällen des rechtswidrigen Handels mit personenbezogenen Daten Gesetzgeberische Intention Förderung des Datenschutzes in Unternehmen allgemein Wettbewerbsvorteil derjenigen Unternehmen, die sich einem Datenschutzaudit unterziehen Dadurch Marktorientierung zugunsten datenschutzgerechter Produkte, bzw. Dienstleistungen Wesentlicher Regelungsgehalt Einführung eines freiwilligen, gesetzlich geregelten Datenschutzaudits Verantwortliche Stellen (nichtöffentliche Stellen) können ihr Datenschutzkonzept sowie Anbieter von DV Anlagen und Programmen (informationstechnische Einrichtungen) durch zugelassene Prüfunternehmen auditieren lassen. Datenschutzauditierung erfolgt durch private Kontrollstellen Bildung eines Datenschutzauditausschusses, welcher die zu erfüllenden Richtlinien zur Verbesserung des Datenschutzes erlässt Reaktionen Ziel des Gesetzes wird weitgehend begrüßt Aber: Teilweise erhebliche Kritik; siehe bspw. Kritik des unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) https://www.datenschutzzentrum.de/bdsauditg/ stellungnahmedsage.html DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 15

16 3.4. Richtlinien, Standards, Referenzmodelle (1) Gesetzliche IT Compliance Anforderungen sind teils vage und legen das WAS und WIE nicht genau fest Im ITBereich i.d.r. keine technische Gesetzgebung, anders z.b. im Bauordnungsrecht Richtlinien, Standards, Referenzmodelle sind teilweise wesentlich konkreter haben keinen unmittelbaren Rechtscharakter und sind nicht unmittelbar durchsetzbar können bei der Ausgestaltung des WAS und des WIE helfen und als Orientierungshilfe dienen Ausgewählte Richtlinien, Standards, Referenzmodelle: 6. IDW Prüfungsstandards Checklisten und Stellungnahmen 1. ISO IT Grundschutz & 3. BSI Standards 5. CobiT Ausgewählte Standards, Richtlinien und Referenzmodelle 4. ITIL DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 16

17 3.4. Richtlinien, Standards, Referenzmodelle (2) 1. ISO (Information technology Security techniques Information security management systems Requirements ) ISO wurde entwickelt, um eine Anleitung für den Aufbau und den Betrieb eines Informationssicherheits Managementsystems (ISMS) bereitzustellen Die Norm wurde aus dem britischen Standard BS 77992:2002 entwickelt und als internationale Norm erstmals am veröffentlicht Die Einhaltung von ISO kann durch entsprechend akkreditierte Unternehmen geprüft und zertifiziert werden 2. IT Grundschutzkataloge des BSI Sammlung von Dokumenten des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), die der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in ITUmgebungen dienen ITGrundschutz geht von einer üblichen generalisierten Gefährdungslage aus, die in 80 % der Fälle zutreffend ist und empfiehlt hierzu adäquate Gegenmaßnahmen BSI ITGrundschutz umfasst StandardSicherheitsmaßnahmen für typische ITSysteme mit normalem Schutzbedarf DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 17

18 3.4. Richtlinien, Standards, Referenzmodelle (3) Aufbau der IT Grundschutzkataloge Aufbau der IT Grundschutzkataloge Bausteine Gefährdungskataloge Maßnahmenkataloge Übergeordnete Aspekte der der IT IT Sicherheit Höhere Gewalt Höhere Gewalt Infrastruktur Sicherheit der Infrastruktur Sicherheit der Infrastruktur Organisatorische Mängel Organisatorische Mängel Organisation Sicherheit der IT Systeme Sicherheit der IT Systeme Menschliche Fehlhandlungen Personal Sicherheit im Netz Sicherheit im Netz Technisches Versagen Technisches Versagen Hard und Software Hard und Software Sicherheit in Anwendungen Sicherheit in Anwendungen Vorsätzliche Handlungen Vorsätzliche Handlungen Kommunikation Notfallvorsorge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 18

19 3.4. Richtlinien, Standards, Referenzmodelle (4) 3. BSI Standards Enthalten Empfehlungen des Bundesamts für Sicherheit in der Informationstechnologie (BSI) zu Methoden, Prozessen und Verfahren, sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit BSI Standards BSI Standards BSI Standard Managementsysteme für für Informationssicherheit (ISMS) Definiert allg. allg. Anforderungen an an ein ein ISMS Kompatibel zu zu ISO ISO Berücksichtig ferner die die Empfehlungen der der anderen ISO ISO Standards BSI Standard IT IT Grundschutz Vorgehensweise beschreibt wie wie ein ein ISMS in in der der Praxis aufgebaut und und betrieben werden kann kann be Sicherheitsmanagement und und der der Aufbau von von Organisationsstrukturen für für IT IT Sicherheitwerden erörtert heit BSI Standard Risikoanalyse auf auf der der Basis von von IT IT Grundschutz Richtet sich sich an an Anwender die die mit mit dem dem IT IT Grundschutz Ansatsatzarbeiten Standard zur zurrisikoanalyse auf auf der der Basis von von ITGrundschutz An BSI Standard Notfallmanagement Zeigt Zeigt einen systematischen Weg Weg auf, auf, wie wie ein ein Notfallmanagement in in einer einer Behörde oder oder einem Unternehmen aufzubauen ist, ist, um um Be die die Kontinuität des des Geschäftsbetriebs sicherzustellen Ge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 19

20 3.4. Richtlinien, Standards, Referenzmodelle (5) 4. ITIL (IT Infrastructure Library) Sammlung von Best Practice Ansätzen im Hinblick auf ITProzesse Seit Mai 2007 überarbeiteten Version (ITIL V3), die sich am sog. Lebenszyklus von Services orientiert (Strategie/Design/Überführung/Operations/Verbesserung, Stilllegung) Verbreitung: Laut einer von der Materna GmbH in Auftrag gegebenen Studie griffen bereits im Jahr % aller befragten Unternehmen in Deutschland Ansätze von ITIL auf Nach einer weiteren Studie aus dem Jahr 2008, welche von Dimension Data in Auftrag gegeben wurde, setzen 87 % der Unternehmen mit über Mitarbeitern ITIL bereits ein, während es bei Unternehmen mit weniger als 100 Mitarbeitern laut dieser Studie kaum Beachtung findet Bedeutung bei ITVerträgen: wachsende Bedeutung bei Erstellung von Leistungsbeschreibungen (z. B. Change Management, Service Desk, Incident Management, Problem Management); Aber: häufig uneinheitliche Verwendung von Definitionen im Vertragswerk, mangelnde Abstimmung zwischen technisch getriebenen Begriffen von ITIL und rechtlich getriebenen Begriffen des übrigen Vertragswerks DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 20

21 3.4. Richtlinien, Standards, Referenzmodelle (6) Aufbau von ITIL V3 ITIL V3 V3 Publikationen Service Strategy Service Strategy Service Design Service Design Service Transition Service Transition Service Operation Service Operation Continual Service Improvement (CSI) Zugehörige Prozesse: Strategy Generation Financial Management Service Portfolio Management Demand Management Zugehörige Prozesse: Service Level Managemenment Service Catalogue Management Information Security Management Supplier Management IT IT Service Continuity Management Availability Managemenment Capacity Management Zugehörige Prozesse: Knowledge Managemenment Change Management Service Asset and and Configuration Management Transition Planning and and Con Support Release and and DeploymentManagement Service Validation and and ment Testing Evaluation Funktionen: Service Desk Technical Management IT IT Operations Management Application Managemenment Incident Management Request Fullfillment Event Management Access Management Problem Management The The7Step ImprovementProcess Service Reporting Measurement Business Questions for for ment CSI CSI Return on on Investment for for CSI CSI DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 21

22 3.4. Richtlinien, Standards, Referenzmodelle (7) 5. CobiT (Control Objectives for Information and Related Technologies) Framework zur ITGovernance; gliedert sich in Prozesse und Control Objectives Ursprünglich Prüfungstools für ITAuditoren, heute Steuerungstool für Unternehmensführung Weniger Definition des WIE, als vielmehr Definition des WAS CobiT definiert für jeden ITProzess sowohl die Geschäftsziele, die durch diesen Prozess unterstützt werden sollen, als auch die Kontroll und Steuerungsziele für diesen Prozess Bindeglied zw. allgemeinen ProzessFrameworks und spez. ITModellen (ITIL, ISO 2700xReihe) 6. IDW Prüfungsstandards, Stellungnahmen und Checklisten IDW PS 330 (Prüfungsstandard zur Abschlussprüfung bei Einsatz von Informationstechnologie) IDW PH (Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie) IDW PS 340 (Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB) IDW PS 850 (Projektbegleitende Prüfung bei Einsatz von IT) IDW PS 880 (Erteilung und Verwendung von Softwarebescheinigungen) IDW RS FAIT 1 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von IT) IDW RS FAIT 2 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Electronic Commerce) IDW RS FAIT 3 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz elektronischer Archivierungsverfahren) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 22

23 3.4. Richtlinien, Standards, Referenzmodelle (8) Die praktische Bedeutung von IT Compliance Standards für Juristen (1): IT Verträge: Standards sind meist gut strukturiert und übersichtlich Standards liefern wichtige Hinweise für die praktische Umsetzung von IT Compliance Anforderungen Damit können sie zu einer höheren Qualität und Präzision beitragen Aber:» Kein Ersatz für eine detaillierte und präzise Leistungsbeschreibung im Vertrag, da Standards meist keine konkreten vertraglichen Regelungen treffen (bsp. ITIL), sondern Prozessabläufe und Mindeststandards definieren» Sind in der Regel generalisierend; Analyse des Einzelfalls bleibt weiterhin ratsam» Zertifizierungen sind zudem i.d.r. stichtagsbezogen => Änderungen werden ggf. nicht ausreichend berücksichtigt Bestimmung des Sorgfaltsmaßstabes: Standards können den Sorgfaltsmaßstab bestimmen, BGH Urteil v , NJW RR 2005, 386 ff; BGHZ 103, 341; BGHZ 139, 17 DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 23

24 3.4. Richtlinien, Standards, Referenzmodelle (9) Die praktische Bedeutung von IT Compliance Standards für Juristen (2): Haftung Die Abweichung von Standards führt zu einer Umkehr der Beweislast. Für DINNormen = BGH Urteil v , BB 1991, 1149; OLG München Urteil v , NJW RR 1992, 1523 ff. Objektiver Fehlerbegriff Die Abweichung von Standards wie bsp. DIN Normen, kann einen Sachmangel darstellen, muss dies aber nicht. Es kommt vorwiegend auf die konkreten Vereinbarungen zwischen den Parteien an, OLG München Urteil v , NJWRR 1992, 1523 Ausfüllen von lückenhaften Leistungsbeschreibungen Mangels Pflichtenheft oder anderer konkreter Absprachen ist ein Ergebnis geschuldet, das dem Stand der Technik bei einem mittleren Ausführungsstandard entspricht, BGH Urteil v , CR 1992, 543 f. ( Zugangskontrollsystem, das vergessene Pflichtenheft ) Ausschreibungen Bei Nichterfüllung bzw. Nichtbeachtung droht der Ausschluss von öffentlichen Ausschreibungen Zumindest für den Bieter entfalten Standards dadurch einen faktischen Bindungszwang DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 24

25 3.5. Das neue IT Grundrecht des BVerfG (1) BVerfG, Urteil vom , NJW 2008, 822 ff. Begründung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ; Herleitung aus dem allgemeinen Persönlichkeitsrecht (Art. 2 I i.v.m. Art. 1 I GG.) Neues Grundrecht ist subsidiär zu Fernmeldegeheimnis (Art. 10 GG), Unverletzlichkeit der Wohnung (Art. 13 GG) und Recht auf informationelle Selbstbestimmung (Art. 2 I i.v.m. Art. 1 I GG) Anwendungsbereich lückenschließende Gewährleistung, um den neuartigen Gefährdungen durch tech. Fortschritt/ Wandel der Lebensverhältnisse zu begegnen. wenn Zugriff auf ITSysteme es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild zu erhalten. (Gefahr der Profilbildung) Weites Verständnis von informationstechnischen Systemen, Zugriff (muss wohl nicht heimlich sein) Einschränkung durch Gesetz in engen Grenzen und nur unter Richtervorbehalt möglich. Erforderlich sind a) tatsächliche Anhaltspunkte einer konkreten Gefahr für b) überragend wichtiges Rechtsgut. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 25

26 3.5. Das neue IT Grundrecht des BVerfG (2) Auswirkungen auf einzelne IT Compliance Anforderungen 1. Beispiel: Bundesdatenschutzgesetz BDSG 9 9 BDSG BDSG Regelt Regelt die die Anforderungen Anforderungen an an die die erforderlichen erforderlichen technischorganisatorischetorischenmaßnahmen zur zur Datensicherheit technischorganisa Datensicherheit 9 9 S. S. 2 2 BDSG BDSG = = Abwägung Abwägung Maßnahmen Maßnahmen sind sind nur nur erforderlich, erforderlich, wenn wenn ihr ihr Aufwand Aufwand in in einem einem angemessenen angemessenen Verhältnis Verhältnis zum zum angestrebten angestrebten Schutzzweck Schutzzweck steht. steht Durch Durch das das IT IT Grundrecht Grundrecht ist ist der der Datensicherheit Datensicherheit ein ein größerer größerer Stellenwert Stellenwert beizumessen. beizumessen Das Das kann kann dazu dazu führen, führen, dass dass im im Rahmen Rahmen einer einer Abwägung Abwägung i.s.d. i.s.d. 9 S. 9 S. 2 BDSG 2 BDSG zukünftig zukünftig Maßnahmen Maßnahmen verhältnismäßig verhältnismäßig sind, sind, die die es es früher früher nicht nicht waren. waren. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 26

27 3.5. Das neue IT Grundrecht des BVerfG (3) 2. Beispiel: Private Nutzung am Arbeitsplatz VG Frankfurt, Urteil vom K 628/08 F.) Hintergrund» Möglichkeit des Zugriffs des Arbeitgebers auf s der Mitarbeiter bei zulässiger privater Nutzung des Firmenaccounts wegen 88 II TKG (Verletzung Fernmeldegeheimnis) strittig» VG Frankfurt hatte Fall zu entscheiden, in dem BaFin von einem Unternehmen E Mails herausverlangte, weil Verdacht auf Inssiderhandel vorlag» Besonderheit: Teilweise s betroffen, die Mitarbeiter selber archivieren/speichern konnten Entscheidung» BVerfG, Urt. v BvR 2099/04: Schutz des Fernmeldegeheimnisses endet in dem Moment, in dem die Nachricht bei dem Empfänger angekommen und der Übertragungsvorgang beendet ist» Spezifische Gefahren der räumlich distanzierten Kommunikation bestehen im Bereich des Empfängers, der eigene Schutzvorkehrungen treffen kann, nicht mehr» VG Frankfurt: basierend auf Urteil des BVerfG v Fernmeldegeheimnis nicht tangiert DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 27

28 3.5. Das neue IT Grundrecht des BVerfG (4) 2. Beispiel: Private Nutzung am Arbeitsplatz (2) Bewertung:» Mögliche Verletzung des neuen IT Grundrechts wurde nicht geprüft (!!!)» Unzulässigkeit des Zugriff auf private s auch bei Nichteingreifen des Fernmeldegeheimnisses wegen ITGrundrecht zumindest denkbar; Abwägungsfrage 3. Beispiel: Auswirkungen auf 91 Abs. 2 AktG? Drittwirkung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wirkt möglicherweise auch über 91 Abs. 2 AktG Nicht nur Vorkehrungen gegen wirtschaftliche Schäden und Risiken, sondern auch Vorkehrungen zur Gewährleistung der Vertraulichkeit und Integrität der IT Systeme (???) Aber: ursprünglicher Schutzzweck von 91 Abs. 2 AktG, ist der Schutz vor den Fortbestand der Gesellschaft gefährdenden Entwicklungen, also der Schutz vor bestandsgefährdenden und damit vorwiegend wirtschaftlichen Risiken DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 28

29 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 29

30 4. Fazit Zunehmende Regelungs und Regulierungsdichte, Komplexität: ITCompliance ist aufgrund der zunehmenden Regelungsdichte, sowie dem stetigen Wandel der Anforderungen komplexes Thema Insbesondere Auswirkungen des ITGrundrechts auf ITCompliance Anforderungen wirft spannende Fragen auf Komplexität erfordert eine kontinuierliche, enge Zusammenarbeit aller Einheiten des Unternehmens (und ggf. Externer), um eine möglichst umfassende Abdeckung des (rechtlich) Erforderlichen durch das (technisch) Machbare und (wirtschaftlich) Vernünftige zu gewährleisten Verstärkte Inanspruchnahme der Unternehmensleitung: Unternehmensleitung muss sich aufgrund der drohenden Nachteile mit Fragen der IT Compliance befassen (Chefsache) Zunehmende Bedeutung von (IT)Standards, Richtlinien, Referenzmodellen (IT)Standards, Richtlinien, Referenzmodelle erlauben eine systematische Vorgehensweise Aber: Hilfsmittel, kein Allheilmittel! DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 30

31 Literaturhinweise Thümmel, Persönliche Haftung von Managern und Aufsichtsräten, 3. Aufl Rodewald/Unger, Corporate Compliance Organisatorische Vorkehrungen zur Vermeidung von Haftungsfällen der Geschäftsleitung, BB 2006, 113 ff. Hauschka, Compliance: Geeignete Reaktion auf gestiegene Haftungsrisiken für Manager?, NJW 2004, 257 ff. Hauschka, Corporate Compliance Unternehmensorganisatorische Ansätze zur Erfüllung der Pflichten von Vorständen und Geschäftsführern, AG 2004, 461 ff. DSRI, ITCompliance als RisikomanagementInstrument, OlWIR Verlag Lensdorf/Steger, IT Compliance im Unternehmen, ITRB 2006, 206 ff. Lensdorf, ITCompliance Maßnahmen zur Reduzierung von Haftungsrisiken von IT Verantwortlichen, CR 2007, 413 ff. Nolte/Becker, ITCompliance, BB Special 5 (zu BB 2008, Heft 25), S. 23 BITKOM Kompass der ITSicherheitsstandards, Hrsg. BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v.) und DIN (Deutsches Institut der Normung e.v.), Version 3.0., 10/2007 Stögmüller, Vertraulichkeit und Integrität informationstechnischer Systeme in Unternehmen, CR 2008, 435 ff. Hoppen/Frank, ITIL Die IT Infrastructure Library, CR 2008, 199 ff. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 31

32 Vielen Dank! Kontakt: Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte Taunusanlage Frankfurt am Main Tel

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Teil I Überblick... 25

Teil I Überblick... 25 Inhaltsverzeichnis Vorwort... 17 Motivation und Intention... 18 ITIL ist nicht nur reine Technik... 18 ITIL ist mehr... 19 ITIL ist auch ein Thema für die Organisation... 19 Zurück zum Thema Motivation...

Mehr

ITIL 2011. Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert,

ITIL 2011. Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert, Martin Bucksteeg, Nadin Ebel, Frank Eggert, Justus Meier, Bodo Zurhausen ITIL 2011 - der Überblick Alles Wichtige für Einstieg und Anwendung ^- ADDISON-WESLEY An imprint of Pearson München Boston San Francisco

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb sverzeichnis Christian Wischki, Lutz Fröhlich ITIL & ISO/IEC 20000 für Oracle Datenbanken Praxisleitfaden für die Einführung und den Betrieb ISBN: 978-3-446-41978-0 Weitere Informationen oder Bestellungen

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

ITIL V3 Basis-Zertifizierung

ITIL V3 Basis-Zertifizierung Nadin Ebel ITIL V3 Basis-Zertifizierung Grundlagenwissen und Zertifizierungsvorbereitung für die ITIL Foundation-Prüfung ^- ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow,

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance Seite 1 Inhaltsçbersicht 01 IT-Governance Strategische Unternehmensziele durch IT-Compliance optimal unterstçtzen 01200 IT Governance und IT Compliance die wichtigsten GW Normen und Regelwerke 01250 COBIT

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Vorwort. 5 Event Management 39 5.1 Das Event Management unter ITIL 39. Bibliografische Informationen http://d-nb.info/998863858. digitalisiert durch

Vorwort. 5 Event Management 39 5.1 Das Event Management unter ITIL 39. Bibliografische Informationen http://d-nb.info/998863858. digitalisiert durch Vorwort XI 1 Einleitung 1 1.1 ITIL - IT Infrastructure Library 1 1.1.1 ITILV2 2 1.1.2 ITILV3 4 1.1.3 ITIL V3 im Vergleich zu ITIL V2 6 1.2 ISO20000 8 1.2.1 ISO20000 und ITIL 11 1.3 ITIL und ISO20000 für

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 sverzeichnis Martin Beims IT-Service Management mit ITIL ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-43087-7

Mehr

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert BCM im Überblick GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert consequa GmbH Unternehmensstandort Hamburg gegründet 1.4. 2005 langjährige Beratungserfahrungen Business Continuity / IT-Recovery Information

Mehr

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012 Empfehlungen von ITIL zu ITSM Einführung Jacqueline Batt, 12. Juni 2012 Wo ist das WIE in ITIL?! Service Strategy! Service Design! Service Transition! Service Operation! C. Service Improvement Kapitel

Mehr

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel FBCS

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel FBCS Compliance Cert-IT GmbH Am Bonner Bogen 6 53227 Bonn fon: +49(0)228 688 228 0 fax: +49(0)228 688 228 29 Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg sverzeichnis Christian Wischki ITIL V2, ITIL V3 und ISO/IEC 20000 Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg ISBN: 978-3-446-41977-3 Weitere Informationen oder Bestellungen

Mehr

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet Xpert.press ITIL Das IT-Servicemanagement Framework von Peter Köhler überarbeitet ITIL Köhler schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: SAP Springer

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Rollenspezifische Verhaltenstrainings

Rollenspezifische Verhaltenstrainings Rollenspezifische Verhaltenstrainings ITIL V3 EXPERT ALL-IN-1 (SS, SD, ST, SO, CSI, MALC) In nur 10 Arbeitstagen zum ITIL V3 Expert Der ITIL V3 Expert All-in-1 ist ideal für Manager, die schnell eine umfassende

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL) Zertifikatslehrgang IT Service Management (ITIL) IHK-Lehrgang IT Service Management (ITIL) Termin: 01.06.2012 bis 16.06.2012 IT12090 Ort: Industrie- und Handelskammer Erfurt Arnstädter Str. 34 99096 Erfurt

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und

Mehr

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten? 6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten? Europa: Entwurf einer Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Inhaltsverzeichnis. Inhaltsverzeichnis

Inhaltsverzeichnis. Inhaltsverzeichnis 1 Qualitätssichernde Prozesse 1 1.1 Was war die alte ISO 9000:1994?... 3 1.2 ISO 9000:2000... 4 1.3 ITIL und ISO 9000: 2000... 10 1.4 Six Sigma (6)... 12 1.4.1 Fachbegriffe unter Six Sigma... 17 1.4.2

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Rechtliche Barrieren für ehealth und wie sie überwunden werden können!

Rechtliche Barrieren für ehealth und wie sie überwunden werden können! Rechtliche Barrieren für ehealth und wie sie überwunden werden können! Session 4: IT-Compliance im Gesundheitssektor IT-Sicherheitsgesetz, Patientenrechte und Schweigepflicht 6. Mai 2014 Seite 2 1 2 3

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

IT Service Management

IT Service Management IT Service IT Service : Seminarvortrag von Annegret Schnell im Rahmen der Lehrveranstaltung Netzmanagement SS 2003, Prof. Dr. Leischner, FH-Bonn-Rhein-Sieg Annegret Schnell Seminar Netzmanagement 1 Vortrag

Mehr

IT-Service-Management mit ITIL 2011 Edition

IT-Service-Management mit ITIL 2011 Edition Roland Böttcher IT-Service-Management mit ITIL 2011 Edition Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen 3., aktualisierte Auflage Heise Prof. Dr. Roland Böttcher roland.boettcher@hs-bochum.de

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

«Zertifizierter» Datenschutz

«Zertifizierter» Datenschutz «Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Management Consulting

1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Management Consulting 1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Consulting Service Strategy Business Relationship der IT Demand Service Portfolio Financial Kundenbeziehungen Strategische

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

- Konsequenzen für ecommerce- und epayment-unternehmen

- Konsequenzen für ecommerce- und epayment-unternehmen Cybercrime Das neue IT-Sicherheitsgesetz und Hackerangriffe - Konsequenzen für ecommerce- und epayment-unternehmen Dr. Viola Bensinger Dr. Viola Bensinger G R E E N B E R G T R A U R I G G E R M A N Y,

Mehr

WAS VERLANGT DAS GESETZ?

WAS VERLANGT DAS GESETZ? Technischorganisatorische Maßnahmen??? Gesetzliche Grundlagen WAS VERLANGT DAS GESETZ? 1 Gesetzliche Grundlagen: 9 Technische und organisatorische Maßnahmen 1 Öffentliche und nicht-öffentliche Stellen,

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

Datenschutz Schnellcheck. Referent Jürgen Vischer

Datenschutz Schnellcheck. Referent Jürgen Vischer Datenschutz Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

IT-Aufsicht im Bankensektor

IT-Aufsicht im Bankensektor IT-Aufsicht im Bankensektor - Grundlagen - Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Josef Kokert BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken 29.10.2013 Seite 1

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Nischendisziplin Configuration Management?

Nischendisziplin Configuration Management? Nischendisziplin Configuration Management? Ergebnisse der itsmf-marktstudie Hans-Peter Fröschle itsmf Deutschland e.v. hans-peter.froeschle@itsmf.de 1 Gliederung 1. Definitionen und Stellenwert Configuration

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

ITSM Executive Studie 2007

ITSM Executive Studie 2007 ITSM Executive Studie 2007 Ergebnisse der Befragung in Österreich und Deutschland Patrick Schnebel Geschäftsführer Niederlassung Wien Telefon: +43 6410820-0 E-Mail: Patrick.Schnebel@materna.de Ines Gebel

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

GZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk

GZ: BA 17-K3106-2006/0001 Modernisierung der Outsourcing-Regelungen und Integration in die MaRisk E-Mail Outsourcing@bafin.de B30_MaRisk@bundesbank.de Bundesanstalt für Finanzdienstleistungsaufsicht Herrn Helmut Bauer Erster Direktor Bankenaufsicht Graurheindorfer Str. 108 53117 Bonn Bundesverband

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr