IT - Compliance Alter Wein in neuen Schläuchen?

Größe: px
Ab Seite anzeigen:

Download "IT - Compliance Alter Wein in neuen Schläuchen?"

Transkript

1 IT Compliance Alter Wein in neuen Schläuchen? Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte DGRI Fachausschuss Vertragsrecht Frankfurt 8. Mai 2009

2 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 2

3 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 3

4 1. Begriff und rechtliche Grundlagen der IT Compliance (1) IT IT Compliance Compliance Befolgung Befolgung Einhaltung Einhaltung von von Gesetzen, Gesetzen, Richtlinien Richtlinien und und anderen anderen Verhaltensmaßregeln Verhaltensmaßregeln IT IT Compliance ITCompliance ITCompliance bedeutet bedeutet generell generell die die Einhaltung Einhaltung der der rechtlichen rechtlichen Anforderungen, Anforderungen, die die sich sich auf auf den den Einsatz Einsatz von von Informationstechnologie Informationstechnologie beziehen. beziehen. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 4

5 1. Begriff und rechtliche Grundlagen der IT Compliance (2) IT IT Compliance ist ist eine eine Querschnittsmaterie Gesetzliche Gesetzliche Grundlagen Grundlagen Z.B: Z.B: BDSG BDSG Datenschutzauditgesetz Datenschutzauditgesetz (Entwurf) (Entwurf) KonTraG KonTraG TMG TMG TKG TKG UWG UWG StGB StGB Abgabenordnung Abgabenordnung (AO) (AO) HGB HGB Verwaltungsvorschriften Verwaltungsvorschriften Z.B: Z.B: Ministerialerlasse, Ministerialerlasse, Verfügungen, Verfügungen, Richtlinien Richtlinien oder oder Anordnungen. Anordnungen. Z.B: Z.B: GoB, GoB, GoBS GoBS GDPdU GDPdU Rundschreiben/Verlautbarungen Rundschreiben/Verlautbarungen der der BaFin BaFin MaRisk, MaRisk, RS RS 05/ /2007 MaRisk MaRisk VA, VA, RS RS 03/ /2009 Richtlinien, Richtlinien, Standards Standards und und Referenzmodelle Referenzmodelle Z.B: Z.B: DIN, DIN, ISO ISO Normen. Normen. Z.B. Z.B. ISO ISO 2700x 2700x Reihe Reihe CobiT, CobiT, ITIL ITIL IDW IDW Prüfungsstandards Prüfungsstandards / / Stellungnahmen/Checklisten Stellungnahmen/Checklisten BSI BSI Standards Standards und und Grundschutzkataloge Grundschutzkataloge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 5

6 1. Begriff und rechtliche Grundlagen der IT Compliance (3) IT IT Compliance Anforderungen IT IT Compliance Compliance Anforderungen Anforderungen im im engeren engeren Sinn Sinn Regelkonforme Regelkonforme ITSysteme ITSysteme ITSysteme ITSysteme müssen müssen geltenden geltenden Vorgaben Vorgaben genügen genügen IT IT Compliance Compliance Anforderungen Anforderungen im im weiteren weiteren Sinn Sinn Compliance Compliance mit mit Hilfe Hilfe von von ITSystemen ITSystemen Abbildung Abbildung von von Unternehmensfunktionen Unternehmensfunktionen mit mit ITSystemen ITSystemen z.b: z.b: BDSG BDSG Datenschutzauditgesetz Datenschutzauditgesetz (Entwurf) (Entwurf) TMG, TMG, TKG TKG StGB StGB GDPdU, GDPdU, GoBS GoBS Nationale Nationale und und internationale internationale Qualitätsstandards Qualitätsstandards (CobiT, (CobiT, ITIL, ITIL, ISO ISO etc.) etc.) BSI BSI Grundschutzkataloge Grundschutzkataloge Basel Basel II II Solvency Solvency II II SarbanesOxley SarbanesOxley Act Act Abs.3 Abs.3 Nr. Nr. 6 AktG 6 AktG 239, 239, HGB HGB AO AO z.b: z.b: Übergreifende Anforderung: 91 Abs. 2 AktG DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 6

7 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 7

8 2. Warum IT Compliance? (1) / Haftungsrisiken Haftungsrisiken der Unternehmensleitung bei mangelhafter IT Compliance Die Verpflichtung rechtskonform zu handeln trifft zunächst das Unternehmen als solches Aber: Darüber hinaus gem. 93 Abs. 1 AktG und 43 Abs. 1 GmbHG auch die Unternehmensleitung Pflichtverletzung kann zu Schadensersatz führen, 93 Abs. 2 AktG, 43 Abs. 2 GmbHG Bei 93 Abs. 2 AktG ggf. Beweislastumkehr Strengere Rechtsprechung zu 93 Abs. 2, 116 S.1 AktG seit BGH: ARAG / Garmenbeck, in NJW 1997, 1966 ff. Pflicht zur Durchsetzung von Ansprüchen der Gesellschaft gegen die Geschäftsführung, falls erfolgversprechend) Aktuell: Telekom fordert von Zumwinkel und Ricke Schadensersatz wegen Spitzelaffäre Siemens fordert Schadensersatz von ehemaligen Vorständen, darunter Ex Siemens Chef Heinrich von Pierer DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 8

9 2. Warum IT Compliance? (2) Imageschäden des Unternehmens Evtl. erhöhte Kosten bei Nichtbeachtung; Ratingrisiko bei Finanzierung (Basel II) Bei Nichtbeachtung unter Umständen Versagung des Wirtschaftsprüfertestats Nichteinhaltung der IDW Prüfungsstandards Gem. 317 Abs. 4 HGB bzgl. Frühwarnsystem bei börsennotierter AG Schätzung der Besteuerungsgrundlagen durch Finanzbehörden ( 162 AO) Evtl. strafrechtliche Folgen ITbezogene Straftatbestände im StGB: Ausspähen/Unterdrücken von Daten ( 202a StGB), besondere Geheimhaltungspflichten ( 203 StGB), Datenveränderung ( 303a StGB), Verletzung von Buchführungspflichten ( 283 b StGB) weitere Straftatbestände z.b. im BDSG ( 44), KWG ( 54 ff.), AktG ( 399 ff.), HGB ( 331 ff.); insbesondere unrichtige Darstellung, Überschuldung Vorliegen einer Ordnungswidrigkeit (z.b. 43 BDSG) Nach der geplanten BDSG Novelle Bußgeldhöhe nunmehr: Im Fall von 43 Abs. 1 BDSG max Im Fall von 43 Abs. 2 BDSG max DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 9

10 2. Warum IT Compliance? (3) Aufsichtsrechtliche Maßnahmen möglich BaFin: z.b. 6 Abs. 3 KWG: Anordnungsbefugnis; 35 KWG : Aufhebung der Erlaubnis; 36 KWG: Abberufung des Geschäftsleiters Maßnahmen der Datenschutzbehörden gem. 38 Abs. 5 BDSG (Anordnungsbefugnis) Der Ausschluss von der Vergabe öffentlicher Aufträge droht ITStandards, Zertifizierungen werden immer häufiger als Wertungskriterien und Vertragsbestandteile verwendet Dadurch faktische Bindungswirkung Gesetzliche und vertragliche Obliegenheiten Verhaltensnormen, die bei Nichtbeachtung zum Rechtsverlust führen können (z. B. 254 BGB) Insbesondere im Versicherungsvertragsrecht (VVG): z.b. Pflicht, bedeutende Umstände anzuzeigen, 19 VVG z.b. Pflicht, keine Gefahrerhöhung nach Vertragsschluss vorzunehmen oder dies zuzulassen, 23 VVG Verletzung von Obliegenheit kann zu Verlust von Versicherungsschutz führen DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 10

11 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 11

12 Abs. 2 AktG: Einrichtung eines Überwachungssystems Risikofrüherkennung ist Teil des gesamten Risikomanagementsystems Risikofrüherkennung beinhaltet: Definition/Erkennung von möglichen Risiken Analyse der Risiken (Beurteilung der Tragweite der erkannten Risiken) Rolle der IT bei Risikofrüherkennung? Maßnahmen bestimmen sich nach Rolle der IT im Unternehmen: IT lediglich zur Unterstützung (MS Office / ERP) IT zur Steuerung von Geschäfts/Produktionsprozessen (produzierende Industrie/ Banken, Finanzdienstleister) IT als Geschäftsgegenstand (ITDienstleister) IT als Mittel für Risikofrüherkennungssystem Schaffung/Fortentwicklung eines Risikobewusstseins Berichtswesen, Kommunikation (wer wird wann wie über welche Risiken informiert) Eskalationsprozesse 317 Abs. 4 HGB: Abschlussprüfer hat das Vorhandensein eines geeigneten Überwachungssystems zu prüfen (Dokumentation! Siehe LG München, Urt. v , CR 2007, 423 f.) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 12

13 3.2. MaRisk und MaRisk VA (1) Mindestanforderungen an Risikomanagement (MaRisk) Rundschreiben 05/2007 v Mindestanforderungen an das Risikomanagement in deutschen Versicherungsunternehmen (MaRisk VA) Rundschreiben 03/2009 v MaRisk enthalten: flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements Präzisierung der Anforderungen an ordnungsgemäße Geschäftsorganisation für ausgelagerte Prozesse Adressaten: Kredit und Finanzdienstleistungsinstitute ( 1 Abs. 1b KWG, 53 Abs. 1 KWG) Für Versicherungsunternehmen: MaRisk VA ( 64a, 104s VAG) Aber: Anforderungen lassen sich teilweise unter dem Aspekt ordnungsgemäßer Geschäftsführung auf andere Unternehmen übertragen Übertragbarkeit gilt insbesondere für Vorgaben zur Ausstattung von ITSystemen (MaRisk AT 7.2) und Notfallvorsorge (MaRisk AT 7.3), sowie entsprechend bei MaRisk VA für betriebliche Anreizsysteme und Ressourcen (MaRisk VA Nr. 3, Nr. 4) und Notfallplanung (MaRisk VA 9.) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 13

14 3.2. MaRisk und MaRisk VA (2) MaRisk AT 7.2 ( Technischorganisatorische Ausstattung ) / MaRisk VA Nr. 3, Nr. 4 ( Betriebliche Anreizsysteme und Ressourcen ): ITSysteme und zugehörige ITProzesse müssen die Integrität, die Verfügbarkeit, die Authentizität, sowie die Vertraulichkeit der Daten sicherstellen Bei der Ausgestaltung der ITSysteme und der zugehörigen ITProzesse ist grds. auf gängige Standards abzustellen (ITGrundschutzkataloge des BSI, Normenreihe ISO 2700x, etc.) Maßnahmen, die sicherstellen, dass ITSysteme vor ihrem erstmaligen Einsatz und nach wesentlichen Veränderungen von den technisch zuständigen Mitarbeitern abzunehmen sind Trennung von Produktions und Testumgebung MaRisk AT 7.3 ( Notfallkonzept ) / MaRisk VA 9. ( Notfallplanung ): Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept) Maßnahmen müssen geeignet sein, das Ausmaß möglicher Schäden zu reduzieren Notfallkonzept muss Geschäftsfortführungs und Wiederanlaufpläne umfassen; abhängig von Bedeutung der IT Regelmäßige Überprüfung durch Notfalltests Bei Outsourcing aufeinander abgestimmte Notfallkonzepte (nur MaRisk AT 7.3) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 14

15 3.3. Datenschutzauditgesetz (RegE v ) Hintergrund Erfüllung der Ankündigung eines Datenschutzauditgesetzes in 9a S.2 BDSG Datenskandale mit Fällen des rechtswidrigen Handels mit personenbezogenen Daten Gesetzgeberische Intention Förderung des Datenschutzes in Unternehmen allgemein Wettbewerbsvorteil derjenigen Unternehmen, die sich einem Datenschutzaudit unterziehen Dadurch Marktorientierung zugunsten datenschutzgerechter Produkte, bzw. Dienstleistungen Wesentlicher Regelungsgehalt Einführung eines freiwilligen, gesetzlich geregelten Datenschutzaudits Verantwortliche Stellen (nichtöffentliche Stellen) können ihr Datenschutzkonzept sowie Anbieter von DV Anlagen und Programmen (informationstechnische Einrichtungen) durch zugelassene Prüfunternehmen auditieren lassen. Datenschutzauditierung erfolgt durch private Kontrollstellen Bildung eines Datenschutzauditausschusses, welcher die zu erfüllenden Richtlinien zur Verbesserung des Datenschutzes erlässt Reaktionen Ziel des Gesetzes wird weitgehend begrüßt Aber: Teilweise erhebliche Kritik; siehe bspw. Kritik des unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) https://www.datenschutzzentrum.de/bdsauditg/ stellungnahmedsage.html DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 15

16 3.4. Richtlinien, Standards, Referenzmodelle (1) Gesetzliche IT Compliance Anforderungen sind teils vage und legen das WAS und WIE nicht genau fest Im ITBereich i.d.r. keine technische Gesetzgebung, anders z.b. im Bauordnungsrecht Richtlinien, Standards, Referenzmodelle sind teilweise wesentlich konkreter haben keinen unmittelbaren Rechtscharakter und sind nicht unmittelbar durchsetzbar können bei der Ausgestaltung des WAS und des WIE helfen und als Orientierungshilfe dienen Ausgewählte Richtlinien, Standards, Referenzmodelle: 6. IDW Prüfungsstandards Checklisten und Stellungnahmen 1. ISO IT Grundschutz & 3. BSI Standards 5. CobiT Ausgewählte Standards, Richtlinien und Referenzmodelle 4. ITIL DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 16

17 3.4. Richtlinien, Standards, Referenzmodelle (2) 1. ISO (Information technology Security techniques Information security management systems Requirements ) ISO wurde entwickelt, um eine Anleitung für den Aufbau und den Betrieb eines Informationssicherheits Managementsystems (ISMS) bereitzustellen Die Norm wurde aus dem britischen Standard BS 77992:2002 entwickelt und als internationale Norm erstmals am veröffentlicht Die Einhaltung von ISO kann durch entsprechend akkreditierte Unternehmen geprüft und zertifiziert werden 2. IT Grundschutzkataloge des BSI Sammlung von Dokumenten des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), die der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in ITUmgebungen dienen ITGrundschutz geht von einer üblichen generalisierten Gefährdungslage aus, die in 80 % der Fälle zutreffend ist und empfiehlt hierzu adäquate Gegenmaßnahmen BSI ITGrundschutz umfasst StandardSicherheitsmaßnahmen für typische ITSysteme mit normalem Schutzbedarf DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 17

18 3.4. Richtlinien, Standards, Referenzmodelle (3) Aufbau der IT Grundschutzkataloge Aufbau der IT Grundschutzkataloge Bausteine Gefährdungskataloge Maßnahmenkataloge Übergeordnete Aspekte der der IT IT Sicherheit Höhere Gewalt Höhere Gewalt Infrastruktur Sicherheit der Infrastruktur Sicherheit der Infrastruktur Organisatorische Mängel Organisatorische Mängel Organisation Sicherheit der IT Systeme Sicherheit der IT Systeme Menschliche Fehlhandlungen Personal Sicherheit im Netz Sicherheit im Netz Technisches Versagen Technisches Versagen Hard und Software Hard und Software Sicherheit in Anwendungen Sicherheit in Anwendungen Vorsätzliche Handlungen Vorsätzliche Handlungen Kommunikation Notfallvorsorge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 18

19 3.4. Richtlinien, Standards, Referenzmodelle (4) 3. BSI Standards Enthalten Empfehlungen des Bundesamts für Sicherheit in der Informationstechnologie (BSI) zu Methoden, Prozessen und Verfahren, sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit BSI Standards BSI Standards BSI Standard Managementsysteme für für Informationssicherheit (ISMS) Definiert allg. allg. Anforderungen an an ein ein ISMS Kompatibel zu zu ISO ISO Berücksichtig ferner die die Empfehlungen der der anderen ISO ISO Standards BSI Standard IT IT Grundschutz Vorgehensweise beschreibt wie wie ein ein ISMS in in der der Praxis aufgebaut und und betrieben werden kann kann be Sicherheitsmanagement und und der der Aufbau von von Organisationsstrukturen für für IT IT Sicherheitwerden erörtert heit BSI Standard Risikoanalyse auf auf der der Basis von von IT IT Grundschutz Richtet sich sich an an Anwender die die mit mit dem dem IT IT Grundschutz Ansatsatzarbeiten Standard zur zurrisikoanalyse auf auf der der Basis von von ITGrundschutz An BSI Standard Notfallmanagement Zeigt Zeigt einen systematischen Weg Weg auf, auf, wie wie ein ein Notfallmanagement in in einer einer Behörde oder oder einem Unternehmen aufzubauen ist, ist, um um Be die die Kontinuität des des Geschäftsbetriebs sicherzustellen Ge DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 19

20 3.4. Richtlinien, Standards, Referenzmodelle (5) 4. ITIL (IT Infrastructure Library) Sammlung von Best Practice Ansätzen im Hinblick auf ITProzesse Seit Mai 2007 überarbeiteten Version (ITIL V3), die sich am sog. Lebenszyklus von Services orientiert (Strategie/Design/Überführung/Operations/Verbesserung, Stilllegung) Verbreitung: Laut einer von der Materna GmbH in Auftrag gegebenen Studie griffen bereits im Jahr % aller befragten Unternehmen in Deutschland Ansätze von ITIL auf Nach einer weiteren Studie aus dem Jahr 2008, welche von Dimension Data in Auftrag gegeben wurde, setzen 87 % der Unternehmen mit über Mitarbeitern ITIL bereits ein, während es bei Unternehmen mit weniger als 100 Mitarbeitern laut dieser Studie kaum Beachtung findet Bedeutung bei ITVerträgen: wachsende Bedeutung bei Erstellung von Leistungsbeschreibungen (z. B. Change Management, Service Desk, Incident Management, Problem Management); Aber: häufig uneinheitliche Verwendung von Definitionen im Vertragswerk, mangelnde Abstimmung zwischen technisch getriebenen Begriffen von ITIL und rechtlich getriebenen Begriffen des übrigen Vertragswerks DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 20

21 3.4. Richtlinien, Standards, Referenzmodelle (6) Aufbau von ITIL V3 ITIL V3 V3 Publikationen Service Strategy Service Strategy Service Design Service Design Service Transition Service Transition Service Operation Service Operation Continual Service Improvement (CSI) Zugehörige Prozesse: Strategy Generation Financial Management Service Portfolio Management Demand Management Zugehörige Prozesse: Service Level Managemenment Service Catalogue Management Information Security Management Supplier Management IT IT Service Continuity Management Availability Managemenment Capacity Management Zugehörige Prozesse: Knowledge Managemenment Change Management Service Asset and and Configuration Management Transition Planning and and Con Support Release and and DeploymentManagement Service Validation and and ment Testing Evaluation Funktionen: Service Desk Technical Management IT IT Operations Management Application Managemenment Incident Management Request Fullfillment Event Management Access Management Problem Management The The7Step ImprovementProcess Service Reporting Measurement Business Questions for for ment CSI CSI Return on on Investment for for CSI CSI DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 21

22 3.4. Richtlinien, Standards, Referenzmodelle (7) 5. CobiT (Control Objectives for Information and Related Technologies) Framework zur ITGovernance; gliedert sich in Prozesse und Control Objectives Ursprünglich Prüfungstools für ITAuditoren, heute Steuerungstool für Unternehmensführung Weniger Definition des WIE, als vielmehr Definition des WAS CobiT definiert für jeden ITProzess sowohl die Geschäftsziele, die durch diesen Prozess unterstützt werden sollen, als auch die Kontroll und Steuerungsziele für diesen Prozess Bindeglied zw. allgemeinen ProzessFrameworks und spez. ITModellen (ITIL, ISO 2700xReihe) 6. IDW Prüfungsstandards, Stellungnahmen und Checklisten IDW PS 330 (Prüfungsstandard zur Abschlussprüfung bei Einsatz von Informationstechnologie) IDW PH (Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie) IDW PS 340 (Prüfung des Risikofrüherkennungssystems nach 317 Abs. 4 HGB) IDW PS 850 (Projektbegleitende Prüfung bei Einsatz von IT) IDW PS 880 (Erteilung und Verwendung von Softwarebescheinigungen) IDW RS FAIT 1 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von IT) IDW RS FAIT 2 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Electronic Commerce) IDW RS FAIT 3 (Stellungnahme zur Rechnungslegung: Grundsätze ordnungsgemäßer Buchführung bei Einsatz elektronischer Archivierungsverfahren) DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 22

23 3.4. Richtlinien, Standards, Referenzmodelle (8) Die praktische Bedeutung von IT Compliance Standards für Juristen (1): IT Verträge: Standards sind meist gut strukturiert und übersichtlich Standards liefern wichtige Hinweise für die praktische Umsetzung von IT Compliance Anforderungen Damit können sie zu einer höheren Qualität und Präzision beitragen Aber:» Kein Ersatz für eine detaillierte und präzise Leistungsbeschreibung im Vertrag, da Standards meist keine konkreten vertraglichen Regelungen treffen (bsp. ITIL), sondern Prozessabläufe und Mindeststandards definieren» Sind in der Regel generalisierend; Analyse des Einzelfalls bleibt weiterhin ratsam» Zertifizierungen sind zudem i.d.r. stichtagsbezogen => Änderungen werden ggf. nicht ausreichend berücksichtigt Bestimmung des Sorgfaltsmaßstabes: Standards können den Sorgfaltsmaßstab bestimmen, BGH Urteil v , NJW RR 2005, 386 ff; BGHZ 103, 341; BGHZ 139, 17 DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 23

24 3.4. Richtlinien, Standards, Referenzmodelle (9) Die praktische Bedeutung von IT Compliance Standards für Juristen (2): Haftung Die Abweichung von Standards führt zu einer Umkehr der Beweislast. Für DINNormen = BGH Urteil v , BB 1991, 1149; OLG München Urteil v , NJW RR 1992, 1523 ff. Objektiver Fehlerbegriff Die Abweichung von Standards wie bsp. DIN Normen, kann einen Sachmangel darstellen, muss dies aber nicht. Es kommt vorwiegend auf die konkreten Vereinbarungen zwischen den Parteien an, OLG München Urteil v , NJWRR 1992, 1523 Ausfüllen von lückenhaften Leistungsbeschreibungen Mangels Pflichtenheft oder anderer konkreter Absprachen ist ein Ergebnis geschuldet, das dem Stand der Technik bei einem mittleren Ausführungsstandard entspricht, BGH Urteil v , CR 1992, 543 f. ( Zugangskontrollsystem, das vergessene Pflichtenheft ) Ausschreibungen Bei Nichterfüllung bzw. Nichtbeachtung droht der Ausschluss von öffentlichen Ausschreibungen Zumindest für den Bieter entfalten Standards dadurch einen faktischen Bindungszwang DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 24

25 3.5. Das neue IT Grundrecht des BVerfG (1) BVerfG, Urteil vom , NJW 2008, 822 ff. Begründung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ; Herleitung aus dem allgemeinen Persönlichkeitsrecht (Art. 2 I i.v.m. Art. 1 I GG.) Neues Grundrecht ist subsidiär zu Fernmeldegeheimnis (Art. 10 GG), Unverletzlichkeit der Wohnung (Art. 13 GG) und Recht auf informationelle Selbstbestimmung (Art. 2 I i.v.m. Art. 1 I GG) Anwendungsbereich lückenschließende Gewährleistung, um den neuartigen Gefährdungen durch tech. Fortschritt/ Wandel der Lebensverhältnisse zu begegnen. wenn Zugriff auf ITSysteme es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild zu erhalten. (Gefahr der Profilbildung) Weites Verständnis von informationstechnischen Systemen, Zugriff (muss wohl nicht heimlich sein) Einschränkung durch Gesetz in engen Grenzen und nur unter Richtervorbehalt möglich. Erforderlich sind a) tatsächliche Anhaltspunkte einer konkreten Gefahr für b) überragend wichtiges Rechtsgut. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 25

26 3.5. Das neue IT Grundrecht des BVerfG (2) Auswirkungen auf einzelne IT Compliance Anforderungen 1. Beispiel: Bundesdatenschutzgesetz BDSG 9 9 BDSG BDSG Regelt Regelt die die Anforderungen Anforderungen an an die die erforderlichen erforderlichen technischorganisatorischetorischenmaßnahmen zur zur Datensicherheit technischorganisa Datensicherheit 9 9 S. S. 2 2 BDSG BDSG = = Abwägung Abwägung Maßnahmen Maßnahmen sind sind nur nur erforderlich, erforderlich, wenn wenn ihr ihr Aufwand Aufwand in in einem einem angemessenen angemessenen Verhältnis Verhältnis zum zum angestrebten angestrebten Schutzzweck Schutzzweck steht. steht Durch Durch das das IT IT Grundrecht Grundrecht ist ist der der Datensicherheit Datensicherheit ein ein größerer größerer Stellenwert Stellenwert beizumessen. beizumessen Das Das kann kann dazu dazu führen, führen, dass dass im im Rahmen Rahmen einer einer Abwägung Abwägung i.s.d. i.s.d. 9 S. 9 S. 2 BDSG 2 BDSG zukünftig zukünftig Maßnahmen Maßnahmen verhältnismäßig verhältnismäßig sind, sind, die die es es früher früher nicht nicht waren. waren. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 26

27 3.5. Das neue IT Grundrecht des BVerfG (3) 2. Beispiel: Private Nutzung am Arbeitsplatz VG Frankfurt, Urteil vom K 628/08 F.) Hintergrund» Möglichkeit des Zugriffs des Arbeitgebers auf s der Mitarbeiter bei zulässiger privater Nutzung des Firmenaccounts wegen 88 II TKG (Verletzung Fernmeldegeheimnis) strittig» VG Frankfurt hatte Fall zu entscheiden, in dem BaFin von einem Unternehmen E Mails herausverlangte, weil Verdacht auf Inssiderhandel vorlag» Besonderheit: Teilweise s betroffen, die Mitarbeiter selber archivieren/speichern konnten Entscheidung» BVerfG, Urt. v BvR 2099/04: Schutz des Fernmeldegeheimnisses endet in dem Moment, in dem die Nachricht bei dem Empfänger angekommen und der Übertragungsvorgang beendet ist» Spezifische Gefahren der räumlich distanzierten Kommunikation bestehen im Bereich des Empfängers, der eigene Schutzvorkehrungen treffen kann, nicht mehr» VG Frankfurt: basierend auf Urteil des BVerfG v Fernmeldegeheimnis nicht tangiert DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 27

28 3.5. Das neue IT Grundrecht des BVerfG (4) 2. Beispiel: Private Nutzung am Arbeitsplatz (2) Bewertung:» Mögliche Verletzung des neuen IT Grundrechts wurde nicht geprüft (!!!)» Unzulässigkeit des Zugriff auf private s auch bei Nichteingreifen des Fernmeldegeheimnisses wegen ITGrundrecht zumindest denkbar; Abwägungsfrage 3. Beispiel: Auswirkungen auf 91 Abs. 2 AktG? Drittwirkung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wirkt möglicherweise auch über 91 Abs. 2 AktG Nicht nur Vorkehrungen gegen wirtschaftliche Schäden und Risiken, sondern auch Vorkehrungen zur Gewährleistung der Vertraulichkeit und Integrität der IT Systeme (???) Aber: ursprünglicher Schutzzweck von 91 Abs. 2 AktG, ist der Schutz vor den Fortbestand der Gesellschaft gefährdenden Entwicklungen, also der Schutz vor bestandsgefährdenden und damit vorwiegend wirtschaftlichen Risiken DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 28

29 Übersicht 1. Begriff und rechtliche Grundlagen der IT Compliance 2. Warum IT Compliance? 3. Hot Spots IT Compliance Anforderungen Abs. 2 AktG: Einrichtung eines Überwachungssystems 3.2. MaRisk und MaRisk VA 3.3. Datenschutzauditgesetz 3.4. Richtlinien, Standards und Referenzmodelle 3.5. Das neue IT Grundrecht des BVerfG 4. Fazit und Ausblick DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 29

30 4. Fazit Zunehmende Regelungs und Regulierungsdichte, Komplexität: ITCompliance ist aufgrund der zunehmenden Regelungsdichte, sowie dem stetigen Wandel der Anforderungen komplexes Thema Insbesondere Auswirkungen des ITGrundrechts auf ITCompliance Anforderungen wirft spannende Fragen auf Komplexität erfordert eine kontinuierliche, enge Zusammenarbeit aller Einheiten des Unternehmens (und ggf. Externer), um eine möglichst umfassende Abdeckung des (rechtlich) Erforderlichen durch das (technisch) Machbare und (wirtschaftlich) Vernünftige zu gewährleisten Verstärkte Inanspruchnahme der Unternehmensleitung: Unternehmensleitung muss sich aufgrund der drohenden Nachteile mit Fragen der IT Compliance befassen (Chefsache) Zunehmende Bedeutung von (IT)Standards, Richtlinien, Referenzmodellen (IT)Standards, Richtlinien, Referenzmodelle erlauben eine systematische Vorgehensweise Aber: Hilfsmittel, kein Allheilmittel! DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 30

31 Literaturhinweise Thümmel, Persönliche Haftung von Managern und Aufsichtsräten, 3. Aufl Rodewald/Unger, Corporate Compliance Organisatorische Vorkehrungen zur Vermeidung von Haftungsfällen der Geschäftsleitung, BB 2006, 113 ff. Hauschka, Compliance: Geeignete Reaktion auf gestiegene Haftungsrisiken für Manager?, NJW 2004, 257 ff. Hauschka, Corporate Compliance Unternehmensorganisatorische Ansätze zur Erfüllung der Pflichten von Vorständen und Geschäftsführern, AG 2004, 461 ff. DSRI, ITCompliance als RisikomanagementInstrument, OlWIR Verlag Lensdorf/Steger, IT Compliance im Unternehmen, ITRB 2006, 206 ff. Lensdorf, ITCompliance Maßnahmen zur Reduzierung von Haftungsrisiken von IT Verantwortlichen, CR 2007, 413 ff. Nolte/Becker, ITCompliance, BB Special 5 (zu BB 2008, Heft 25), S. 23 BITKOM Kompass der ITSicherheitsstandards, Hrsg. BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v.) und DIN (Deutsches Institut der Normung e.v.), Version 3.0., 10/2007 Stögmüller, Vertraulichkeit und Integrität informationstechnischer Systeme in Unternehmen, CR 2008, 435 ff. Hoppen/Frank, ITIL Die IT Infrastructure Library, CR 2008, 199 ff. DGRI Fachausschuss Vertragsrecht / Frankfurt Vortrag am Seite 31

32 Vielen Dank! Kontakt: Dr. Lars Lensdorf Heymann & Partner Rechtsanwälte Taunusanlage Frankfurt am Main Tel

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance Seite 1 Inhaltsçbersicht 01 IT-Governance Strategische Unternehmensziele durch IT-Compliance optimal unterstçtzen 01200 IT Governance und IT Compliance die wichtigsten GW Normen und Regelwerke 01250 COBIT

Mehr

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert BCM im Überblick GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert consequa GmbH Unternehmensstandort Hamburg gegründet 1.4. 2005 langjährige Beratungserfahrungen Business Continuity / IT-Recovery Information

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Teil I Überblick... 25

Teil I Überblick... 25 Inhaltsverzeichnis Vorwort... 17 Motivation und Intention... 18 ITIL ist nicht nur reine Technik... 18 ITIL ist mehr... 19 ITIL ist auch ein Thema für die Organisation... 19 Zurück zum Thema Motivation...

Mehr

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb sverzeichnis Christian Wischki, Lutz Fröhlich ITIL & ISO/IEC 20000 für Oracle Datenbanken Praxisleitfaden für die Einführung und den Betrieb ISBN: 978-3-446-41978-0 Weitere Informationen oder Bestellungen

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 sverzeichnis Martin Beims IT-Service Management mit ITIL ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-43087-7

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

ITIL V3 Basis-Zertifizierung

ITIL V3 Basis-Zertifizierung Nadin Ebel ITIL V3 Basis-Zertifizierung Grundlagenwissen und Zertifizierungsvorbereitung für die ITIL Foundation-Prüfung ^- ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow,

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012 Empfehlungen von ITIL zu ITSM Einführung Jacqueline Batt, 12. Juni 2012 Wo ist das WIE in ITIL?! Service Strategy! Service Design! Service Transition! Service Operation! C. Service Improvement Kapitel

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL) Zertifikatslehrgang IT Service Management (ITIL) IHK-Lehrgang IT Service Management (ITIL) Termin: 01.06.2012 bis 16.06.2012 IT12090 Ort: Industrie- und Handelskammer Erfurt Arnstädter Str. 34 99096 Erfurt

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet Xpert.press ITIL Das IT-Servicemanagement Framework von Peter Köhler überarbeitet ITIL Köhler schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: SAP Springer

Mehr

Nicht-technische Aspekte der IT-Sicherheit

Nicht-technische Aspekte der IT-Sicherheit Dipl.-Math. Wilfried Gericke Vortrag für das Rheinlandtreffen 2006 (07.-08.11.2006) Motivation Seite 2 www.decus.de 1 Inhalt: - IT-Sicherheit als Teil der Unternehmensführung - - IT-Sicherheitsrichtlinie

Mehr

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg sverzeichnis Christian Wischki ITIL V2, ITIL V3 und ISO/IEC 20000 Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg ISBN: 978-3-446-41977-3 Weitere Informationen oder Bestellungen

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

ITIL Version 3. Kompakter Überblick. Mai 2007

ITIL Version 3. Kompakter Überblick. Mai 2007 ITIL Version 3 Kompakter Überblick Mai 2007 Inhalt Struktur der Version 3 Prozesse in der Version 3 Inhaltsstruktur der neuen Bücher Die neuen ITIL Bücher Service Strategy Service Design Service Transition

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

1 Die IT Infrastructure Library 1

1 Die IT Infrastructure Library 1 xix 1 Die IT Infrastructure Library 1 1.1 ITIL ein erster Überblick................................. 2 1.2 Service Management Grundlegende Begriffe.................. 5 1.2.1 Dienstleistungen (Services)..........................

Mehr

Vertragliche Regelungen

Vertragliche Regelungen Vertragliche Regelungen BCM als Bestandteil von IT-Outsourcing Verträgen Udo Steger Heymann & Partner Rechtsanwälte 2. Deutschsprachiger BCI Kongress 2007 Frankfurt am Main, 19. September 2007 Übersicht

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Inhaltsverzeichnis. Inhaltsverzeichnis

Inhaltsverzeichnis. Inhaltsverzeichnis 1 Qualitätssichernde Prozesse 1 1.1 Was war die alte ISO 9000:1994?... 3 1.2 ISO 9000:2000... 4 1.3 ITIL und ISO 9000: 2000... 10 1.4 Six Sigma (6)... 12 1.4.1 Fachbegriffe unter Six Sigma... 17 1.4.2

Mehr

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel FBCS

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel FBCS Compliance Cert-IT GmbH Am Bonner Bogen 6 53227 Bonn fon: +49(0)228 688 228 0 fax: +49(0)228 688 228 29 Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB 18119 /Geschäftsführer Thomas Michel

Mehr

Quo vadis Das neue IT-Sicherheitsgesetz

Quo vadis Das neue IT-Sicherheitsgesetz 0 Quo vadis Das neue IT-Sicherheitsgesetz Anforderungen an die IT Compliance München, den 11. November 2014 Marc Pussar, SKW Schwarz Rechtsanwälte 1 IT-Recht, Internet und E-Business Gestaltung und Betreuung

Mehr

Rechtliche Grundlagen und Pflichten

Rechtliche Grundlagen und Pflichten Rechtliche Grundlagen und Pflichten im Hinblick auf Business Continuity Management RA Udo Steger Heymann & Partner Rechtsanwälte BCI Kongress 2006, Hamburg 26.09.2006 Überblick 1. Business Continuity als

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer Wolfgang Straßer Geschäftsführer Dipl.-Kfm. IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche

Mehr

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

IT-Compliance im Unternehmen

IT-Compliance im Unternehmen IT-Compliance im Unternehmen RA Dr. Lars Lensdorf RA Udo Steger Heymann & Partner Rechtsanwälte Vortrag am 15.09.2006 Herbstakademie 2006 Übersicht 1. Zum Begriff IT-Compliance 2. Rechtliche Grundlagen

Mehr

best OpenSystems Day Herbst 2005

best OpenSystems Day Herbst 2005 best OpenSystems Day Herbst 2005 Rechtsanwalt Dr. Michael Karger, München Unternehmerisches Handeln unter Sicherheitsanforderungen in der IT (KonTraG, SOX & Basel II) 2 Agenda: 1. Überblick: Rechtliche

Mehr

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Frank Reiländer, Berater IT-Sicherheit/Datenschutz IT Security & Risk Management, INFODAS GmbH f.reilaender@infodas.de www.save-infodas.de

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Management Consulting

1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Management Consulting 1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Consulting Service Strategy Business Relationship der IT Demand Service Portfolio Financial Kundenbeziehungen Strategische

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz Mittelstandsdialog Informationssicherheit 6. Mai 2010 Identity Management und Gesetz: Spannungsfeld Compliance Datenschutz RA Dr. Michael Karger Wendler Tremml Rechtsanwälte, München NIFIS e.v. Nationale

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Vision: ITIL für den Mi1elstand. Dr. Michael Rietz

Vision: ITIL für den Mi1elstand. Dr. Michael Rietz Vision: ITIL für den Mi1elstand Dr. Michael Rietz Bringt ITIL etwas für den Mi1elstand? Gibt es einen Beitrag zu Umsatz? Rentabilität? Neukundengewinnung? Kundenbindung? Mitarbeiterzufriedenheit?... 14.11.12

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation Inhaltsverzeichnis zu Praxisbuch IT-Dokumentation von Georg und Manuela Reiss ISBN (Buch): 978-3-446-43780-7 ISBN (E-Book): 978-3-446-43833-0 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-43780-7

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

IT-Service-Management mit ITIL 2011 Edition

IT-Service-Management mit ITIL 2011 Edition Roland Böttcher IT-Service-Management mit ITIL 2011 Edition Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen 3., aktualisierte Auflage Heise Prof. Dr. Roland Böttcher roland.boettcher@hs-bochum.de

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

IT-Service Management

IT-Service Management IT-Service Management Der IT-Service wird im IT-Haus erbracht Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh Das IT-Haus ein Service-Punkt mit

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Aktuelle Entscheidungen der Rechtsprechung zum Internetrecht

Aktuelle Entscheidungen der Rechtsprechung zum Internetrecht Felix Banholzer Institut für Informations-, Telekommunikationsund Medienrecht, Lehrstuhl Prof. Dr. Hoeren Forschungsstelle Recht im Deutschen Forschungsnetz Übersicht 1. Online-Durchsuchung Das Bundesverfassungsgericht

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien

ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien Der heilige Gral des Service Management Was ist ein Standard? Was ist Best / Good Practice? Standard

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Datenschutz als Qualitäts- und Wettbewerbsfaktor

Datenschutz als Qualitäts- und Wettbewerbsfaktor Datenschutz als Qualitäts- und Wettbewerbsfaktor RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. Die GDD e.v. Die GDD e.v. tritt als gemeinnütziger Verein

Mehr

Maturity Assesment for Processes in IT

Maturity Assesment for Processes in IT Maturity Assesment for Processes in IT Was ist MAPIT? Maturity Assessment for Processes in IT Werkzeug zur Reifegradbestimmung von IT Service Management Prozessen hinsichtlich ihrer Performance und Qualität

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Veranstaltung Cybercrime 27.08.2015 Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Vorstellung DATATREE AG Beratung von Unternehmen und öffentlichen Stellen

Mehr

Bring Your Own Device (BYOD) - Rechtliche Aspekte

Bring Your Own Device (BYOD) - Rechtliche Aspekte Bring Your Own Device (BYOD) - Rechtliche Aspekte von Rechtsanwältin Dr. Jana Jentzsch 11.09.2012, Hotel Hafen Hamburg Vorab Dr. Jana Jentzsch Fachanwältin für IT-Recht in Hamburg Beratung u.a. im Bereich

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Einführung des IT-Service-Managements

Einführung des IT-Service-Managements Kassel, ITSMF-Jahreskongress Einführung des IT-Service-s Stadtwerke Düsseldorf Informationsmanagement Realisierung Meilensteine ISO 20000-Pre Assessment, Ausgangsniveau Prozessreife ITIL-Schulungen für

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Das ISO/IEC 20000 Management System & ITIL V3

Das ISO/IEC 20000 Management System & ITIL V3 Das ISO/IEC 20000 Management System & ITIL V3 Eine kleiner Vergleich Was ist ISO/IEC 20000? Was ist ITIL? ISO/IEC 20000!! Ein internationaler Qualitätsstandard, der einen integrierten Prozessansatzes für

Mehr

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite 1 itsmf Deutschland e.v. Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite Ben Martin, Glenfis AG Zürich 26.09.2012 Service Strategie und Sourcing

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr