Audit der Cyber Risiken- Auditors grosse Herausforderung

Größe: px
Ab Seite anzeigen:

Download "Audit der Cyber Risiken- Auditors grosse Herausforderung"

Transkript

1 Audit der Cyber Risiken- Auditors grosse Herausforderung Von Jiri Cejka und Markus Martinides Die Audit-Methodik und der Prüfungsumfang müssen laufend den technologischen Veränderungen angepasst und erweitert werden, um die effektive Cyber-Sicherheit beim zu prüfenden Unternehmen wirksam beurteilen zu können. Hier kommt die Frage des Wie, da zurzeit keine Cyber-Gesetzte oder Regulationen existieren. Für den Auditor stellt dies eine sehr grosse Herausforderung dar, denn er muss die mit den enormen Veränderungen in der IT Entwicklung verbundenen Cyber-Risiken und Herausforderungen beim Vorgehen im Audit berücksichtigen. Obwohl das International Standard on Auditing ISA 315, Dezember 15, 2013 die Ausgangsschritte für das Vorgehen aufzeigt, muss der Auditor in der Lage sein, die technische Vielfalt der Angriffsmöglichkeiten, die neuen Methoden zur Erkennung der Angriffe, sowie die Verantwortlichen im Unternehmen (Management, Verwaltungsrat) in seinen Audit mit einzubeziehen. Das Cyber Audit Vorgehen basiert auf dem Austausch von Erfahrungen und Empfehlungen von Fachleuten im Bereich Audit und IT Audit sowie auf den angelehnten Prozessbeschreibungen, bspw. dem Cybersecurity Framework NIST (National Institute of Standards and Technology, Feb 2013). Der sich laufend ausweitende Einsatz des Cloud-Computings hat die Cyber-Risiken nochmals zusätzlich massiv verstärkt. 1. Entwicklung in IT und Geschäftsvorteile Die Entwicklungen in der IT haben im letzten Jahrzehnt ein schnelles Tempo erreicht: Mobile-Wireless und Netz-Technologie, Cloud-Computing, vernetzte und virtualisierte Plattformen oder Big-Data Anwendungen. Die Fortschritte ermöglichen strukturierte Veränderungen der IT Umgebung, wie Einführung alternativer Sourcing- Strukturen, Hosting oder Cloud-Computing. Diese Veränderungen haben für die Unternehmen grosse Kostenvorteile gebracht: Sie können ihre Anbindungen an die Dritt-Lieferanten und Kunden verbessern. Ein Beispiel dafür ist die Cloud-Lösung, welche wesentliche Kosteneinsparungen gegenüber der Verwaltung der Daten im eigenen Rechenzentrum bietet: Aus der strategischen Sicht ist das Unternehmen effizienter, dynamischer und unabhängiger von der IT- Investition. Aus der ökonomischen Sicht werden die globalen operativen Kosten reduziert, die Verfügbarkeit und Kapazität der Daten erhöht und der Einsatz neuer effektiverer IT-Produkte oder IT-Dienstleistungen ermöglicht. Folglich fragt das Management Wie schnell und wie kann vom Cloud-Einsatz profitiert werden? Der Auditor sollte aber die Frage stellen: Wie sicher ist die Geschäftsleitung, dass mit Ihren Cloud Plänen die Vorteile erreicht werden? Konkret sollte der Auditor das Management mit folgenden Fragen konfrontieren: Wie ist die strategische Geschäftsausrichtung mit der Informatik synchronisiert? Wie unterstützt die Informatik das Geschäft? Basieren die IT-Investment-Entscheide auf den Business-Anforderungen? Bleibt die Verantwortung für die Daten innerhalb der Firma, auch wenn sie von der Sicherheit der externen Systeme ausserhalb der Firma abhängig ist? 1.1 Verändertes Geschäftsumfeld generiert neue Bedrohung 1

2 Der Drang nach Geschäftsvorteilen aus der Entwicklung von neuen Informatik- und Telekommunikationstechnologien ist gross, kann jedoch auch erhebliche Risiken und Governance- Herausforderungen mit sich bringen. Zwar bringen diese Technologien viele Annehmlichkeiten bei der täglichen Arbeit mit der Informatik, gleichzeitig aber eröffnen sie Hackern, Betrügern und Virenprogrammierern unzählige Möglichkeiten, um Computersysteme anzugreifen und für den Benutzer nicht erkennbar dabei die Vollkontrolle des Computers zu übernehmen. Für das Unternehmen entsteht eine neue Bedrohung - die Cyber-Kriminalität. 2 Cyber-Kriminalität die Globale Bedrohung Bei den Cyber-Attacken können Kriminelle oder auch andere Interessengruppen (Konkurrenten, staatliche und private Organisationen, etc.) die bestehenden Schutzmassnahmen häufig einfach umgehen. Die existierenden Sicherheitsmassnahmen bspw. die Absicherung der logischen Schichten durch Firewalls mit Policies (Internet, Applikation-Server, Datenbank, Server) genügen nicht mehr um solche Angriffe mit Erfolg abzuwenden. Das bedeutet, dass sich das Cyber-Risiko auch auf die Unternehmen bezieht, welche keinen Einsatz neuer Technologien planen. Durch die weltweite Vernetzung praktisch aller Informatik-Systeme über das Internet haben Angreifer weltweit innerhalb von Bruchteilen von Sekunden Zugriff auf alle am Internet angeschlossenen Systeme. Dabei können unsere traditionellen Rechtssysteme praktisch beliebig umgangen werden. «Immer mehr Kriminelle nutzen die Geschwindigkeit, Gelegenheit und Anonymität des Internets, um unterschiedliche kriminelle Aktivitäten zu begehen, welche keine physischen oder virtuellen Grenzen kennen» - (Quelle: Interpol) Als Reaktion haben bereits 44 Staaten die Konvention über Cyber-Kriminalität ratifiziert und 9 Staaten unterzeichnet. Cyber-Kriminalität hat drei Bereiche: i) Attacke gegen Computer HW oder SW, Netzwerke, ii) Finanzdelikte iii) Personen und Firmen-Schädigung. 2.1 Aktuelle Situation im Bereich Cyber-Security in der Schweiz «Eines der grössten Probleme im Zusammenhang mit der Nutzung des Internets ist heute die Datensicherheit», erklärt Markus Martinides, Cyber-Experte von der im Bereich Sicherheitsanalysen spezialisierten Firma SUA Telenet GmbH. «Insbesondere für Firmen, die über vertrauliche Daten verfügen, aber auch für Private ist es wichtig, kontrollieren zu können, wer auf interne Daten zugreift und ob diese unerlaubt verändert oder sogar gelöscht werden.» Aus diesem Grund sind in der Schweiz nicht nur die grossen Institutionen wie Versicherungen, Banken oder Industrieunternehmen sondern auch KMU Betriebe wie Arztpraxen und Anwaltskanzleien ebenso wie Spitäler, Gemeinden und Kantone bedroht. Die gängigen Firewalls bieten dabei immer weniger Schutz. Denn sogenannte Zombies (Codes, die sich via Internet auf dem System installieren und dann Daten vom System nach aussen schicken), können sich oft völlig unbemerkt installieren und bleiben von Antivirenprogrammen und Firewalls vollkommen unerkannt. «Oftmals sind solche Programme lange Zeit aktiv und spionieren das Netzwerk aus, bevor sie bemerkt werden», so Markus Martinides. 2

3 Tür und Tor werden Viren und Hackern beispielsweise durch die Verwendung von z.b. nicht überprüfter USB- Sticks geöffnet. Ein weiteres Problem ist, dass immer mehr Angriffe über sehr komplexe Technologien wie Javascripts laufen die verstärkt im Bereich der Internet-Browser zum Einsatz gelangen. 3 Cyber-Governance ist Management Aufgabe Cyber-Kriminalität wächst und ist auf dem 4.Platz aller kriminellen Taten. Cyber-Kriminalität ist nicht das Technologie Problem, es ist das Business- und das Strategie-Problem. Quelle: PWC 2014 Crime-Survey Aus der Spezifikation der Management Aufgaben geht hervor, dass die Verantwortung für die Daten auf der Top-Ebene des Unternehmens bleibt: Die primäre Verantwortung des Verwaltungsrats und des Managements ist die Absicherung der Zukunft des Unternehmens. Dabei müssen neben offensichtlichen Ereignissen auch verstecke Ereignisse eines Cyber-Angriffs, die auf Grund fehlender Warnsysteme gar nicht erkannt werden können, berücksichtigt werden. In der Praxis wird ein schwerwiegender Datenverlust oft zu spät erkannt und hinterlässt dann bleibende wirtschaftliche Schäden am Unternehmen. Der Verwaltungsrat sollte sich deshalb bewusst sein, dass es Cyber-Risiken gibt. Konsequenterweise ist die Cyber Kriminalität ein Geschäftsthema, welches im Audit an Verwaltungsrat oder Management adressiert werden soll, z.b. mit der Frage: Wie wird die Cyber-Kriminalität im Unternehmen wahrgenommen? Dabei gibt es keinen Unterschied zwischen externem oder internem Audit, da das Ziel gleich ist, d.h. die Erkennung der Risiken und die Übernahme der Verantwortung. 3.1 Prinzipien für Corporate Governance Die Verbesserung der Aufsicht über die Cyber-Risiken kann in folgenden Schritten erzielt werden: 1. Der Verwaltungsrat soll das Vorgehen bei Cyber-Sicherheit als unternehmensweites Risk-Management positionieren nicht nur als IT-Risiko. 2. Der Verwaltungsrat soll die juristischen Konsequenzen der Cyber-Risiken verstehen, da sie sich auf unternehmens-spezifische Umstände beziehen. 3. Der Verwaltungsrat soll ausreichenden Zugriff zur Cyber-Sicherheit Expertise haben und die Diskussionen über Cyber-Risiko-Management sollten ausreichende Zeit auf seiner Agenda bekommen. 4. Der Verwaltungsrat sollte eine Richtlinie an das obere Management herausgeben, dass ein unternehmensweites Cyber-Risiko-Management-Framework aufgebaut wird mit genügend Personal und Budget. 5. Cyber-Risiken können nicht einfach durch den Abschluss einer Daten-Verlustversicherung gelöst werden. 6. Die Diskussion zwischen VR und Management sollte die Identifikation der tatsächlichen Cyber-Risiken und deren effektiven Abwehr durch organisatorische und technische Massnahmen beinhalten. 3.2 Audit Fragen an Verwaltungsräte Der Auditor soll folgende Fragen an die Verwaltungsräte stellen können: 1 Wendet das Unternehmen ein Sicherheitsframework an? 2 Welche sind die Top fünf Risiken im Unternehmen, welche auf Cyber-Sicherheit bezogen sind? 3 Wie sind sich die Angestellten bewusst über ihre Rolle in Bezug auf Cyber-Sicherheit? 4 Sind die externen und internen Bedrohungen bei der Planung des Cyber-Sicherheit Programms beachtet worden? 5 Wie ist die Sicherheits-Governance innerhalb des Unternehmens geregelt? 3

4 6 Gibt es einen konkreten Notfallplan im Falle einer Cyber-Attacke? 4 Cyber-Risiken 4.1 Neue Risiko Quellen verursachen grössere Cyber-Angriffsflächen Die Cyber-Kriminalität profitiert von den, durch IT-Fortschritt erzeugten, neuen Risiko Quellen, welche vor allem mit dem Cloud-Computing Einsatz, mit Konzepten wie Bring-Your-Own-Device (BYOD) mobilen Geräten und Applikationen sowie mit der Auslagerung der für Business kritischen IT-Bereichen, entstanden sind. Die neuen Risiko Quellen haben die Cyber-Angriffsflächen vergrössert: i) Schwachstellen in den Applikationen, ii) Remote-Zugriffe, iii) Nicht effektives Änderungs-Management, iv) Schwach implementierte Netzwerksicherheit, v) Mangelnde kontinuierliche Echtzeit Überwachung, vi) Schwachstellen/Risiken bei Drittfirmen vii) Fehlende Datenaufbewahrungs-Richtlinien. 4.3 Cyber-Risiken und Folgen Die Risiken der Cyber-Kriminalität sind: i) Datenverlust, ii) Bedrohungen im Datenschutz-Bereich, iii) Verlust der Kontrolle über Zugriff auf die Daten iv) Verlust der Verfügbarkeit der Daten im Betrieb. Die Folgen der Cyber-Attacke können dem Unternehmen weitreichenden Schaden zufügen wie: i) Verlust der Wettbewerbsfähigkeit, ii) grosse Kostenverluste, iii) Verlust der Reputation, iv) Ruf Schädigung, v) Compliance- Probleme. 4.4 Cyber-Situation Die Cyber-Bedrohung wird kritisch, da die Hacker sich auf den Missbrauch sensitiver oder finanziell wertvoller Information oder auf die Störung der wichtigen operativen Bereiche fokussieren. Dabei ist der Anstieg von Attacken dramatisch, da die Hacker-Bedrohungen und Sicherheits-Einbrüche nicht nur in der Anzahl exponentiell wachsen (siehe Bild 1), sondern ihre Methoden haben sich kontinuierlich weiterentwickelt und sind ausgeklügelter konstruiert. Quelle: Verizon 2014 Data Breach Investigation Report Bild 1: Wachsende Anzahl der Hacker Angriffe Weiterhin ist die heutige Lage in Bezug auf die Erkennung von Hacker-Attacken sehr schwierig: Es dauert durchschnittlich 229 Tage bis eine erfolgreiche Hacker-Attacke auf dem Netzwerk entdeckt wird. Quelle: Mandiant, IT-Sicherheitsunternehmen veröffentlicht im 2013 Bericht, indem China im direkten Zusammenhang mit Cyber-Spionage gestellt wurde. 4

5 Sehr viele Daten können in dieser Zeit vom Unternehmen unbemerkt ausgeforscht, verändert und gelöscht werden. Viele Angreifer richten sich einen versteckten Remote-Zugang ein, der es ermöglicht Informationen erst bei Bedarf als bezahlte Dienstleistung gegenüber Ihren Auftraggebern hochzuladen. 4.5 Massnahmen Die Massnahmen, mit welchen sich das Unternehmen gegen Cyber-Angriffe wehren kann, beziehen sich nicht nur auf die Einführung von technischen Abwehrmechanismen sondern beinhalten auch organisatorische und strukturelle Schritte: Aus der technischen Sicht müssen zuerst die geschäftskritischen und schutzrelevanten Daten von den Verantwortlichen klassifiziert werden, die IT Spezialisten können danach die Verarbeitung, Aufbewahrung sowie die Flüsse dieser Daten identifizieren. Welches sind wirklich die wichtigsten und wertvollsten Daten? Die Informationen mit Preisen, Verkaufszahlen, Kunden Datenbanken sind sehr oft weniger geschützt als Salär Daten. Mit der Identifikation und Klassifizierung der Daten wird erst die effektive Einführung der technischen Schutzmassnahmen (Sicherheit Tools, Netzwerk-Absicherung) ermöglicht. Auf der organisatorischen Seite müssen die Richtlinien sowie das Sensibilisierungs-Programm auf die neue Situation angepasst und eingeführt werden. Die Einführung der Schutz und Kontroll-Massnahmen sind mit dem Aufbau von Überwachungs- Methoden, Erweiterung der Organisation und der Kompetenzen verbunden. Die Recherchen bei den Sicherheitsorganisationen sind dabei sehr hilfreich. Folge für Audit und Revision: Das Audit Vorgehen und der Prüfungsumfang müssen erweitert werden, um die Cyber-Sicherheit bei Unternehmen beurteilen zu können. Da stellt sich die Frage Wie?, da zurzeit keine Cyber- Gesetze oder Regulationen existieren. 5 Cyber-Audit & Assurance 5.1 Cyber-Audit Aufbau Der Auditor muss mit der Analyse der Situation beginnen. Um die Themen und Aufgaben planen zu können, muss er dazu seine Experten-Kenntnisse ausbauen. Um die Rolle der Revision wahrnehmen zu können muss der Auditor ein komplettes Bild über das IT-Umfeld bekommen, d.h. welche Bereiche in den Audit Umfang gehören. Als Ausgangs-Basis dienen die bestehenden Audit-Standards und Vorgehens-Methoden, welche die internen Kontrollen und Risiken spezifizieren. 5.2 Themen & Aufgaben Der Audit der Cyber-Risiken erweitert sich um die Themen i) IT Governance und Assurance, ii) IT Sicherheitsstrategie inkl. Richtlinien und Vorgaben, iii) Implementierungen iv) Projekt Risk-Management. Zu den Aufgaben des Auditors gehören Beurteilung der Cyber-Bedrohungen und Risiken, der Kontrollprozesse inkl. ihrer Maturität und IST-SOLL Analyse sowie der Kommunikation mit Verwaltungsrat, Management, Geschäfts und IT Verantwortlichen. 5.3 Cyber-Sicherheit Assurance Expertise Welche Expertise muss erlangt werden um die Cyber-Risiken beurteilen zu können? In der Tabelle unten werden die erforderlichen Kenntnisse zusammenerfasst: 5

6 Bild 2: Erforderliche Kenntnisse 5.4 Cyber und Interne Kontrollen Die Ausgangbasis für den Cyber Audit ist bereits in dem Auditing Standard ISA 315 International Standard on Auditing, Dezember 15, 2013, der International Federation of Accountants (IFAC) vorhanden, wo klares Verständnis für Business und Interne Kontrollen spezifiziert ist: Bild 3: ISA 325 Standards 5.5 IT und interne Kontrollen Nutzen und Risiken IT hat grossen Nutzen für die internen Kontrollen indem es zuverlässige Resultate gewährleisten kann, erweitert die Basis an Informationen und ermöglicht die Verkleinerung der Kontroll-Risiken: Bild 4: IT Einsatz und Interne Kontrollen 6

7 Auf der anderen Seite stellt IT für die internen Kontrollen grosse Risiken dar: Bild 5: Interne Kontrollen und Risiken 5.6 IT-Cyber relevante IT-Umgebung Der Auditor muss sich zuerst eine Übersicht verschaffen im Unternehmen betreffend: IT-Organisation, IT- Infrastruktur und den assoziierten Risiken, wie die IT-Prozesse und Applikation gemanagt sind und welche Dienstleistungen aktuell an Drittfirmen ausgelagert sind. Dabei muss er in seinem Bericht die Risiken nachweisen und beurteilen können. Die Cyber relevante Umgebung hat folgende Bereiche Personen und Organisation Applikationen, Infrastruktur und IT-Prozesse Verständnis der IT Umgebung und der geplanten Änderungen Rolle der IT im Business Compliance Regeln und Verordnungen Für den Aufbau der Cyber-Sicherheit ist wichtig das Gesamtbild in einem Framework darzustellen, welche die Situation, Prozesse sowie Profile umfasst, damit das Vorgehen beim Audit mit dem Kunden festgelegt werden kann. 5.7 Cyber-Sicherheits-Framework Das Cybersecurity Framework NIST (National Institute of Standards and Technology, Feb 2014) hilft dem Auditor die Situation abgestimmt und transparent in Quervergleichen beurteilen zu können. Das Framework besteht aus drei Bereichen: 1. Basis Framework, 2. Implementierung in Schichten, 3. Framework Profile: 1. Basis Framework -beinhaltet Funktionen, Aktivitäten, Resultate und Referenzen, welche die Priorisierung der Cyber Sicherheit relevanten Entscheide ermöglichen. Im Basis Framework wird der Aufbau der Cyber Sicherheit als ein kontinuierlicher Prozess mit fünf Funktionen definiert: 7

8 Bild 6: Kontinuierlich laufende Funktionen im Basis Framework 2. Implementierung in Schichten beinhaltet vorhandene Cyber-Sicherheit Messwerte, mit welchen die Tiefe der erfüllten Vorgaben der Sicherheitsprozesse (Maturität) beurteilt werden kann: Bild 7: Schichten vermitteln die Qualität der Sicherheitsprozesse 3. Framework Profile - beinhaltet die Beurteilung der existierenden Position sowie die Spezifikation der zu erreichenden Ziele der Cyber-Sicherheit und somit wird die Erfüllung der Prioritäten und Festlegung der Roadmap ermöglicht. Bild 8: Roadmap für die Beurteilung der Fortschritte 5.8 Aufbau der Cyber-Sicherheit - Vorgehen Der Aufbau der Cyber-Sicherheit kann in sechs Schritten erfasst werden: 1. Priorisierung und Festlegung des Umfangs: Definition der Business Ziele, des organisatorischen Umfeldes und des Umfangs des Cyber-Security-Programms 2. Positionierung: Identifikation der Systeme, der Anforderungen, des Risiko-Ansatzes 8

9 Identifikation der Schwachstellen und Bedrohungen 3. Das Erstellen des Profils der aktuellen Situation sowie Bestimmen der Maturität der bestehenden Prozesse 4. Risk-Assessments: Durchführung der Risiko-Impact-Analyse, Bewertung der Ereignis-Eintritts- Wahrscheinlichkeit und die Bestimmung der Risiko-Eskalation 5. Das Erstellen des Ziel-Profils: Festlegung der geforderten Ziele unter Berücksichtigung der Business- Strategie 6. IST-SOLL Analyse und Priorisierung der Verbesserungs-Schritte: Bestimmen der Aktivitäten aus der IST-SOLL Analyse Überwachung der Projekt-Fortschritte 5.9 Bedeutung der dritten Linie im Three Lines of Defense Model Für den Audit der Cyber Sicherheit ist die dritte Schutz-Linie des von dem IIA (the Institute of Internal Auditors) spezifizierten Three Lines of Defense Models sehr wichtig: Das VR & Management bekommt die Informationen vom Externen Audit und von Internem Audit direkt, damit sie wissen, mit welcher Verantwortung die Risiken übernommen werden müssen: 5.10 Auditors Fokus Bild 9: Das Three Lines of Defence Model (IIA) Worauf sich der Auditor bei Cyber-Bedrohung fokussieren sollte: 1. Risiko Bereiche und die Risiken mit Top Prioritäten a. Cloud Computing, b. Mobile Applikationen c. Social-Engineering d. Umgang mit Social-Networks e. Eigene Angestellte f. externe Consultants 2. Erweiterung der Kenntnisse mit neuen Methoden, Techniken und Tools a. Analyse der Daten mit CAAT (Computer Assisted Auditing Techniques), b. Kontinuierliches Auditing c. Monitoring und Aufzeichnung (Logging) 9

10 3. Die Erkennung und die Prävention des Cyber-Betrugs im automatisierten Geschäftsumfeld sowie am Arbeitsplatz Auf welche Kriterien und Fragen sollte sich der Auditor fokussieren? Die Vorbereitung auf einen Cyber-Sicherheits-Audit sollte folgende Fragen beinhalten: 1. Bereich der IT-Infrastruktur, Applikationen, Systeme und Netzwerke: Welche geschäftskritischen Prozesse benutzen Mobile- und/oder Internet-Technologien? Welche Daten sind geschäftskritisch und wie/wo werden diese verarbeitet, transferiert und gespeichert? 2. Bereiche der Überwachung und Aufzeichnung von Transaktionen: Mit welcher Kontinuität (7x24x365) und Historie werden die Daten kontrolliert resp. ausgewertet? Wird das Daten- und Transaktions-Scanning und Monitoring für interne und externe Datenflüsse angewendet? Gibt es eine Zugriffskontrolle wer bzw. was auf welche Bereiche im IT-System Zugriff hat? Werden kritische Daten z.b. in der Cloud zusätzlich verschlüsselt und sind Passwörter und deren auf den Maschinen zwischengespeicherten Hashes, genügend gesichert? Wie funktioniert die Auswertung und Berichterstattung? 3. Wie wird die Einführung neuer Funktionen implementiert, inkl. Change-Management und Sicherheit? 4. Welche Qualität hat das Sicherheits-Framework? 5.13 Cyber-Audit-Programm Im Cyber-Audit-Programm werden zehn typische Bereiche für den Plan des Auditors aufgeführt: 1. Planung und Umfangsabschätzung des Audits was gehört zum Audit und was ist ausgeschlossen? 2. Kenntnisse und Verständnis der vorhandenen IT-Architektur. Sind diese bekannt? 3. Governance - Wie sollte die Governance für die Cyber-Kriminalität strukturiert werden? 4. Organisation - Wie ist VR & Management bei Cyber-Themen involviert und in welcher Rolle? 5. Richtlinien und Verordnungen welche sind spezifiziert und werden diese in der Praxis angewendet? 6. Geschäftsunterstützende Rolle in Cyber-Verbrechen Prävention wie ist die Business-Gruppe in der Prävention von der Cyber-Kriminalität involviert? 7. IT Management welches Know-How ist vorhanden und welche Massnahmen sind implementiert? 8. Störfallmanagement Richtlinien und Prozesse welche sind vorhanden und wurden getestet? 9. Störfallmanagement Implementierung welche Schutzmassnahmen sind eingeführt? 10. Krisenmanagement - wenn eine Cyber-Attacke passiert, wie ist die Organisation auf die Krisen Situation vorbereitet? 6 Audit-Cyber-Risiken beim Cloud Einsatz Beispiel Die im Kapitel 4 mit dem Cloud Einsatz erwähnten Cyber-Risiken stellen für den Auditor die grössten Herausforderungen dar. Die Cyber-Risiken sind das primär zu fokussierende Audit Thema: 1. Der Cloud-Einsatz erscheint im ersten Moment als eine sehr attraktive Kosteneinsparung in der IT und wird deshalb immer häufiger angewendet, 2. Der Cloud-Einsatz verursacht aber auch eine immer grössere Komplexität in der IT, durch sehr unterschiedliche Formen der Vernetzung von Clouds und einer damit steigenden Anzahl von Cyber- Angriffsmöglichkeiten 3. Die Risiken dieser neuen Entwicklung können gravierende Ausmasse annehmen bis zum totalen Verlust und/oder Diebstahl der Daten im Betrieb. Der Auditor sollte sich konzentrieren auf: i) Die Beurteilung der neuen Risiken 10

11 ii) Die effektive Einführung der zusätzlichen Kontrollen, iii) Die Synchronisation mit existierender Kontroll-Umgebung. 6.1 Risiken und Erfahrungen und positive und negative Aspekte beim Cloud Einsatz Im Bild unten sind die Praxis Erfahrungen mit den drei Haupt-Typen des Clouds aufgeführt: Quelle: IT Risk/Reward Barometer: Europe, 2012, ISACA Bild 10: Praxis-Erfahrungen mit den Cloud Typen Aus der Übersicht der positiven und negativen Aspekte ergibt sich die Komplexität und Anzahl möglicher Risiken, welche den Geschäftsvorteilen entgegenwirken und für den Auditor erkennbar: 6.2 Beurteilungs-Themen Quelle: Cloud Computing Market Maturity Study Results, ISACA & CSA Bild 11: Positive und negative Aspekte des Cloud Einsatzes Der Auditor, der den Cloud-Einsatz betreffend Cyber-Risiken bewertet, sollte folgende Haupt-Themen beinhalten: 1. Transparenz - Sind die Dienstleistungen klar definiert? 2. Vertraulichkeit Wie ist sie gewährleistet? 3. Compliance der Daten Kann die Gesetzes-Konformität nachgewiesen werden? 4. Grenzüberschreitender Datenfluss Bestehen länderspezifische Regeln beim grenzüberschreitenden Einsatz? 5. Qualitätssicherung des Cloud-Anbieters Ist er zertifiziert und nach welchen Normen? 6. Reputation des Cloud-Anbieters - welche Historie und Referenzen kann er nachweisen? 6.3 Governance Fragen zur Cloud 11

12 Die Governance Fragen, welche zur Vorbereitung des Audits der Cyber-Risiken beim Cloud Einsatz gehören, sind: 1. Besitzt das Management einen Plan für den Cloud-Computing Einsatz? 2. Wie unterstützt der Cloud Computing-Plan die Ziele des Unternehmens? 3. Beinhaltet die Management Cloud-Strategie ein Konzept zur: Berechnung der Return on Investment, inkl. der zusätzlichen Sicherheitsmassnahmen Beurteilung der damit verbundenen Risiken 4. Hat das Management den möglichen Verlust der Investments in der Cloud-Planung untersucht z:b wenn ein Anbieter plötzlich nicht mehr verfügbar ist und die vertraglich vereinbarten Services nicht mehr erbringen kann? 5. Hat sich das Management mit der organisatorischen Bereitschaft für die Veränderungen beschäftigt? 6. Kennt das Management die Erfahrungen aus dem Cloud-Einsatz in seinem Business-Bereich? 6.4 Assessment-Fragen an den Cloud-Anbieter Die Fragen, welche der Auditor an den Cloud-Anbieter vor dem Audit stellen soll, sind: 1. Welcher Typ hat die Cloud-Lösung? (IaaS, PaaS, SaaS) und wie sieht der Einfluss auf das bestehende Kontroll-Design des Unternehmens aus? 2. Wird die Virtualisierung angewendet und wurden dabei die vereinbarten Dienstleistungen definiert? 3. Nutzt der Cloud-Anbieter ein OSI (Open Systems Interconnection) Modell? 4. Sind Cyber-Risikovorsorge-Tools implementiert und wie unterstützen diese Governance und Sicherheits- Architekturen? 5. Welche Optionen für den Zugriff sowie für die Einhaltung des eigenen Identity-Managements bestehen? 6.5 Potentielle Schwachstellen Der Auditor soll beim Cloud-Anbieter folgende potentielle Schwachstellen untersuchen können: Quelle: Cloud Computing Market Maturity Study Results, ISACA & CSA Bild 12: Potentielle Schwachstellen des Cloud Anbieters 12

13 6.6 Risiken und Sicherheitsaspekte Die möglichen Risiken und Sicherheitsaspekte, welche der Auditor beim Cloud-Einsatz untersuchen soll sind: 1. Nachhaltigkeit des Cloud Anbieters 2. Wie ist das Vorgehen wenn vereinbarte Dienstleistungen nicht mehr geliefert werden? 3. Eruierung wo kritische Business-Informationen und -Prozesse vorhanden sind 4. Zugriff auf sensitive Daten durch externe Drittfirmen 5. Compliance Verordnungen und Gesetze in verschiedenen geographischen Regionen (Public Cloud) 6. Was passiert wenn Daten nicht mehr sofort geortet werden können? Quelle: Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives, ISACA 7. Zusammenfassung: Wichtige Schlüsse für den Audit der Cyber-Risiken Cyber-Governance hat Business-kritische Bedeutung. Das Management muss wissen, wo die Risiken liegen. Jede Organisation kann von Cyber-Attacken betroffen werden. Cyber-Sicherheit kann in der Organisation mit Hilfe des Frameworks aufgebaut werden. Auditors Fokus soll Kenntnis neuer Methoden und Erkennung der Cyber-Risiken im Geschäftsumfeld beinhalten. Vorbereitung für Cyber-Audit besteht aus Fragen/Programm zu neuer Technologie und geschäftskritischen Daten. Literatur Cybersecurity Framework NIST (National Institute of Standards and Technology, Feb 2014) Auditing Standards ISA 315 International Standard on Auditing, December 15, 2013, Cybersecurity What the Board of Directors Needs to Ask, 2014, IIARF Research Report Transforming cybersecurity using COBIT5, 2013, ISACA US cybercrime: Rising risks, reduced readiness Key findings from the 2014 US State of Cybercrime Survey, PWC PwC s 2014 Global Economic Crime Survey Interpol and National Cyber Crime Investigation & Research Responding to Targeted Cyberattacks, 2014, ISACA & EY ISACA Journal, Volume 1, 2015 IIA Position Paper: The three lines of defence in effective risk management and control JCE und MM April

14 Appendix Acons Governance & Audit AG - Unternehmen sind mit fortwährendem Veränderungsdruck konfrontiert, der sich im Zeitalter der Globalisierung und der Vernetzung durch das Internet frappant erhöht hat. Nicht überraschend ist daher, dass Cyber-Attacken, Datenmissbrauch oder Datendiebstahl sowie der Zusammenbruch der Informationsinfrastruktur, als wichtigste globale Technologie-Risiken im Global Risk Report des WEF (World Economic Forum) aufgeführt werden. Unsere Dienstleistungen sind auf diese Herausforderungen und Risiken ausgerichtet und stützen sich auf den in den diversen Themen relevanten Standards und Good Practices wie COBIT, ITIL, CMM, ISO 2700x, ISO 22301, ISO und DSG Top-down IT Governance Assessment Unter Berücksichtigung externer und interner Faktoren und der strategischen Ausrichtung der IT, beurteilen wir die Maturität der IT Prozesse mittels Capability Maturity Model Standard. Wir analysieren die Ausgestaltung der IT Organisation und deren Prozesse unter Berücksichtigung der strategischen Ausrichtung des Unternehmens. Dabei evaluieren wir den adäquaten Level der Kontrollanforderungen und bewerten den internen IT-Kontroll-Katalog anhand der geltenden IT Governance Rahmenwerken in den Bereichen Risiko-Kontrolle, Services, Sicherheit, Kontinuität und Archivierung. IT Compliance Review Wir untersuchen die organisatorischen und strukturellen Voraussetzungen aus der Sicht branchenspezifischer Compliance- Anforderungen in den Bereichen Finanz, Export, Datenschutz, internationale Transfers von Daten. Dabei analysieren wir die existierende IT Umgebung (Infrastruktur, Datenfluss, Prozesse, Dienstleistungen) und spezifizieren die Massnahmen zur Einhaltung der Compliance. IT Sicherheit, Cyber Security Review Wir beurteilen den Status der Schutzmassnahmen in Bezug auf physische-, logische- sowie Cyber-Security Risiken. Zudem bewerten wir das Level des Sicherheitsmanagements. Dies umfasst auch die internen Sicherheits-Standards, die Sicherheitspolitik und die Sicherheits-Compliance. Wir unterstützen die Implementierung von spezifischen Massnahmen zum Schutz der Unternehmenswerte und der Einhaltung der Datenschutzanforderungen. IT Risk Management Review Wir analysieren die IT Umgebung sowie die Struktur der Organisation und die Prozesse und erfassen die IT Risiko-Bereiche. Dabei beurteilen wir die Risikolandschaft sowie die Qualität der IT Kontrollen. Unter Berücksichtigung der strategischen Ausrichtung spezifizieren wir Verbesserungspotentiale in der Überwachung der Risiken. Mittels effizienter Ausgestaltung der Kontrollen kann die Effektivität des Risikomanagements und des IT-IKS erhöht werden. IT Programm & Portfolio Management Assessment Wir analysieren das IT Programm Portfolio und beurteilen dessen Struktur, die Ausgestaltung und Effektivität der Überwachung. Dabei wenden wir eine Bewertungs-Metrik an, um die Projekt-, Betrieb- und Support-Umgebung in einem Business-Value Portfolio abbilden zu können. Mit der Implementierung des Bewertungs-Prozesses wird eine transparente Übersicht der IT Aktivitäten sowie ein konsistentes Vorgehen für ein effizientes Value- und Kostenmanagement erstellt. Business Continuity Management (BCM) Check und Umsetzung ISO Wir spezifizieren die BCM Strategie, analysieren die Gefährdungen im Rahmen des Notfall- und Krisen-managements (Business Impact Analysis) und evaluieren die Business Recovery Options (BRO). Wir spezifizieren den BCM-Plan und unterstützen den Aufbau der BCM Organisation (Crisis Management Team). Wir begleiten die Einführung des Business Kontinuitätsmanagements. Dabei folgen wir den Standards BS / ISO Bei Banken und deren IT-Dienstleister folgen wir den Empfehlungen der FINMA: gemäss den Mindeststandards umfasst die BCM-Strategie den BCM-Umfang, die Definition der Organisation, die Governance Struktur und die Festlegung der Bedrohungen. Nach der Business Impact Analyse erfolgt die Spezifikation der Business Recovery Optionen. Um die Operationalisierung des BCM sicher-zustellen, werden die Business Recovery Pläne erstellt, um Reviews und Tests durchführen zu können. 14

15 Sua Telenet Aktuelle Situation im Bereich Cyber-Security in der Praxis «Eines der grössten Probleme im Zusammenhang mit der Nutzung des Internets ist heute die Datensicherheit», erklärt Markus Martinides, Cyber-Experte von der im Bereich Sicherheitsanalysen spezialisierten Firma SUA Telenet GmbH. «Insbesondere für Firmen, die über vertrauliche Daten verfügen, aber auch für Private ist es wichtig, kontrollieren zu können, wer auf interne Daten zugreift und ob diese unerlaubt verändert oder sogar gelöscht werden.» Die gängigen Firewalls bieten dabei immer weniger Schutz. Denn sogenannte Zombies, das sind Codes, die sich via Internet auf dem System installieren und dann Daten vom System nach aussen schicken, können sich oft völlig unbemerkt installieren und bleiben von Antivirenprogrammen und Firewalls vollkommen unerkannt. «Oftmals sind solche Programme lange Zeit aktiv und spionieren das Netzwerk aus, bevor sie bemerkt werden», so Markus Martinides. Tür und Tor werden Viren und Hackern beispielsweise durch die Verwendung von z.b. nicht überprüfter USB-Sticks geöffnet. Ein weiteres Problem ist, dass immer mehr Angriffe über sehr komplexe Technologien wie Javascripts laufen die verstärkt im Bereich der Internet-Browser zum Einsatz gelangen. Problematisch ist auch häufig der Umgang mit Smartphones, Laptops und Tablets und deren Synchronisation via Internet, denn diese verfügen nicht mal über eine einfachste Firewall. SUA Telenet hat ein spezielles Verfahren entwickelt, wie man systematisch messen kann, ob die elektronischen Daten sicher vor unbefugten Dritten sind. Resultat ist SEC-CHECK, ein umfassendes Messverfahren, das die gesamte Kette sicherheitsrelevanter Faktoren vom PC über die Netzwerkanbindung und den -Empfang bis zum Internetanschluss prüft. Zur Kundschaft des Schaffhauser KMU zählen Arztpraxen und Anwaltskanzleien ebenso wie Versicherungen, Banken, Spitäler, Gemeinden und Kantone sowie Industrieunternehmen. Bei einem Audit mit dem jeweiligen Auftraggeber wird definiert, was genau getestet werden soll. Systematisch messen «Mit Erlaubnis des Auftraggebers wird dann überprüft, ob Zugriffe auf unerlaubtem Weg in dessen Netz möglich sind. Dabei stehen die Sicherheit der Konfigurationen, der Passwörter und viele weitere Parameter der Informatiksysteme im Zentrum. Mit einem speziellen Datenüberprüfer im Netz des Kunden werden Unregelmässigkeiten (z.b. unerlaubte Zugriffe) aufgezeichnet. Auf diese Weise können wir sehen, ob Aktionen stattfinden, die nicht erwünscht sind, so Martinides.» SEC- CHECK erkennt beim Test auch aus welchem Land die Akteure stammen. Spannend ist es dabei herauszufinden, wie es möglich war, dass der unerlaubte Zugriff stattgefunden hat. «Das ist eine wichtige Spurensuche, die Aufschluss gibt wo aktuelle Schwachstellen im System vorhanden sind. Nicht nur das Netz selbst wird getestet sondern auch die Netzwerkdosen oder ob eventuell auch unautorisierte USB-Sticks verwendet werden und das Verhalten der Benutzer im System wird ebenfalls mit einbezogen. Die Schnittstellen zwischen Internet und internen Datenbanken werden ebenfalls unter die Lupe genommen. Regelmässig prüfen Sind die Schwachstellen in einem System analysiert, zeigen wir Möglichkeiten auf, wie die Probleme behoben werden können. Dabei sind Schulungen beispielsweise zum sicheren Umgang mit Passwörtern möglich. Bei der Vernetzung von Datensystemen muss laufend überprüft werden wer zugreifen darf und wer nicht. Weiter werden Daten von vielen Unternehmen unzureichend oder gar nicht verschlüsselt. Es sei sehr zu empfehlen, das Netzwerk regelmässig zu überprüfen. Dann kommt nämlich oft fast Unglaubliches bei den Tests heraus, so Martinides. 15

16 Jiri Cejka, Senior Manager, Acons Governance & Audit AG IT-Governance Spezialist Tel: Homepage: Studium: Dipl. El.-Ing, Fach technische Kybernetik, CISA, Quality Auditor ISO9000 Bereiche & Kompetenzen: GRC, BCM, IT & Cyber Sicherheit, IT Risikomanagement, Programm Management, Jiri Cejka prüft bei ISACA HQ weltweit das Lernprogramm «IS Audit and Control» für Universitäten. Er war langjähriger Entwickler der Börsen-Systeme, tätig im IT Audit der KPMG sowie Leiter IT Audit OC Oerlikon. Markus Martinides, CEO der ICT-Sicherheit Firma SUA Telenet GmbH (seit 2001) Unabhängiger IT-Sicherheitsexperte Tel: Homepage: Security Portal: Studium: ETH Zürich Nachrichten- und Informationstechnologien (1986) Bereiche: Informatik, Mobil-, Richtfunk-, Daten- und Sprachkommunikation. Fachkompetenzen: IT-Sicherheit, Projektmanagement Fokus: Übergreifende Plattformanalysen, d.h. Netzwerk-, Client- und Serversicherheit von Multivendor- Betriebssystemen. 16

Artikel Cyber-Risiken & Audit im dynamischen Umfeld

Artikel Cyber-Risiken & Audit im dynamischen Umfeld Artikel Cyber-Risiken & Audit im dynamischen Umfeld Die Audit-Methodik und der Prüfungsumfang müssen laufend den neusten technologischen Veränderungen angepasst und erweitert werden, um die effektive Cyber-Sicherheit

Mehr

Risikomanagement ISACA Switzerland Chapter bietet eine solide Grundausbildung in Risikomanagement an Seite 73

Risikomanagement ISACA Switzerland Chapter bietet eine solide Grundausbildung in Risikomanagement an Seite 73 Nr. 02 Juni 2015 www.isaca.ch NEWSLETTER Audit Vorgehen Die Business-kritische Bedeutung von Cyber- Governance und strukturierten Darstellung der Cyber-Risiken Seite 69 Risikomanagement ISACA Switzerland

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Cloud Governance in deutschen Unternehmen eine Standortbestimmung Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen Rafael Cwieluch 16. Juli 2014 @ Starnberger it-tag Aktuelle Herausforderungen Mehr Anwendungen 2 2014, Palo

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Fokus Event 26. August 2014

Fokus Event 26. August 2014 Fokus Event 26. August 2014 Meet & Explore @ Deutsche Telekom Markus Gaulke Vorstand COBIT / Konferenzen 1 Agenda Bericht über Neuigkeiten aus dem Germany Chapter Fachvortrag mit anschließender Diskussion

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Prüfungsansatz der Deutschen Bundesbank im europäischen Umfeld inkl. Cyber-Risiken

Prüfungsansatz der Deutschen Bundesbank im europäischen Umfeld inkl. Cyber-Risiken Prüfungsansatz der Deutschen Bundesbank im europäischen Umfeld inkl. Cyber-Risiken joerg.bretz@bundesbank.de Informationsveranstaltung: IT-Aufsicht bei Banken Bonn, 07.10.2015 Jörg Bretz seit 1989 bei

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

IT Governance im Zusammenspiel mit IT Audit

IT Governance im Zusammenspiel mit IT Audit IT Governance im Zusammenspiel mit IT Audit ISACA After Hours Seminar Nicola Varuolo, Internal Audit AXA AXA Gruppe 52 Millionen Kunden weltweit 79 Milliarden Euro Geschäftsvolumen 150 000 Mitarbeitende

Mehr

Cloud Computing Leitstand

Cloud Computing Leitstand 1 Cloud Computing Leitstand Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Thomas.Koehler@rsa.com 2 Government

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen 1 Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Führungskräfte Forum Berlin, den 18.10.2011 Thomas Köhler Leiter Public Sector, RSA Thomas.Koehler@rsa.com

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios

IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios Beat Meister Leiter Architektur Board, EJPD Aldo Rodenhäuser Senior IT Consultant, AdNovum 19. September 2012 2 Agenda Ausgangslage

Mehr

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke Markus Gaulke Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT 2., aktualisierte und überarbeitete Auflage dpunkt.verlag 1 Einleitung 1 Teill COBIT verstehen 5 2 Entwicklung

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Cyber-Sicherheitscheck - Juli 2015 Inhalt 1 2 3 Einleitung und Herausforderungen Unsere Methodik Ihr Nutzen IT-Advisory 2 Cyber-Sicherheit eine Definition Cyber-Sicherheit

Mehr

Industrial IT Security

Industrial IT Security Industrial IT Security Herausforderung im 21. Jahrhundert INNOVATIONSPREIS-IT www.koramis.de IT-SECURITY Industrial IT Security zunehmend wichtiger Sehr geehrter Geschäftspartner, als wir in 2005 begannen,

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Risiken kann man eingehen. Oder man kann sie meistern.

Risiken kann man eingehen. Oder man kann sie meistern. IBM Global Technology Services Risiken kann man eingehen. Oder man kann sie meistern. Einsichten und Erkenntnisse aus der IBM Global IT Risk Study. 2 IBM Global IT Risk Study Wie steht es mit dem Sicherheitsbewusstsein

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Privacy trends 2011. Alfred Heiter. 10. Juni 2011

Privacy trends 2011. Alfred Heiter. 10. Juni 2011 Privacy trends 2011 Alfred Heiter 10. Juni 2011 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft Senior Manager bei Ernst & Young im Bereich Technology

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs Cybersicherheit als Wettbewerbsvorteil und Voraussetzung 9. Dezember 2014 1 Gliederung I. Digitale Risiken Reale Verluste II. Cybersicherheit als Business Enabler III. Konsequenzen für die deutsche Software

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Secure Cloud - "In-the-Cloud-Sicherheit"

Secure Cloud - In-the-Cloud-Sicherheit Secure Cloud - "In-the-Cloud-Sicherheit" Christian Klein Senior Sales Engineer Trend Micro Deutschland GmbH Copyright 2009 Trend Micro Inc. Virtualisierung nimmt zu 16.000.000 14.000.000 Absatz virtualisierter

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Das Interne Kontrollsystem 11.11.2011 Anuschka Küng

Das Interne Kontrollsystem 11.11.2011 Anuschka Küng Das Interne Kontrollsystem 11.11.2011 Anuschka Küng Acons Governance & Audit AG Herostrasse 9 8047 Zürich Tel: +41 (0) 44 224 30 00 Tel: +41 (0) 79 352 75 31 1 Zur Person Anuschka A. Küng Betriebsökonomin

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek

EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE. von Maja Pavlek EIN INTEGRIERTER ANSATZ FÜR GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE von Maja Pavlek 1 GOVERNANCE, RISIKOMANAGEMENT UND COMPLIANCE EIN INTEGRIERTER ANSATZ Die TIBERIUM AG ist ein Beratungsunternehmen,

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen

Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Sicherheitsarchitektur Standardisierte Umsetzung von technischen Sicherheitsmaßnahmen Ing. Johannes MARIEL, Stabsabteilung Sicherheit & Qualität Februar 2008 www.brz.gv.at Der IT-Dienstleister des Bundes

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

Wichtige Ansatzpunkte im Bereich der it-sicherheit für die Digitalisierung des Mittelstands

Wichtige Ansatzpunkte im Bereich der it-sicherheit für die Digitalisierung des Mittelstands Wichtige Ansatzpunkte im Bereich der it-sicherheit für die Digitalisierung des Mittelstands Vortrag im Rahmen der 12. it Trends Sicherheit 2016 Tobias Rademann, M.A. Ihr Nutzen 1. Zusammenhang zw. Digitalisierung

Mehr

ET CHUTZ-PAK RS CYBE

ET CHUTZ-PAK RS CYBE Wertvolles schützen Ist Ihre Firewall so sicher wie Fort Knox oder ähnelt sie doch eher der Verteidigung von Troja? Mit anderen Worten: Kann man bei Ihnen ein vermeintlich harmlos aussehendes Objekt platzieren,

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Hardy Klömpges Public Sector Deutschland Führungskräfteforum, Bonn 14.10.2010 Copyright Siemens AG 2010.

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Universität Zürich Prorektorat Rechts- und Künstlergasse 15 CH-8001 Zürich Telefon +41 44 634 57 44 www.rww.uzh.ch IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Version vom 6. Juni 2014

Mehr

IT Services Leistungskatalog

IT Services Leistungskatalog IT Services Leistungskatalog Eine effiziente IT-Infrastruktur hat in den letzten Jahren enorm an Bedeutung gewonnen. Früher lediglich ein Mittel zum Zweck, ist heute eine intelligente, skalierbare IT-Umgebung

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland IT Beschaffung Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen

Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen Software Asset Management (SAM) Vorgehensweise zur Einführung Bernhard Schweitzer Manager Professional Services Agenda Was ist SAM? Warum brauche ich SAM? Schritte zur Einführung Mögliche Potentiale Fragen

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Die wichtigsten rechtlichen

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke Die COBIT 5 Produktfamilie (Kurzvorstellung) Markus Gaulke (mgaulke@kpmg.com) COBIT 5 Produkt Familie COBIT 5 Produktfamilie COBIT 5 - Business Framework COBIT 5 Enabler Guides Enabling Processes Enabling

Mehr

Energieeffiziente IT

Energieeffiziente IT EnergiEEffiziente IT - Dienstleistungen Audit Revision Beratung Wir bieten eine energieeffiziente IT Infrastruktur und die Sicherheit ihrer Daten. Wir unterstützen sie bei der UmsetZUng, der Revision

Mehr

Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012

Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012 Deutscher Städtetag 29. Forum Kommunikation und Netze, 29.03.2012 Über den Wolken. ist die Freiheit nicht grenzenlos: Eckpfeiler aktueller Rechtsfragen zur Cloud in der Verwaltung Klaus M. Brisch LL.M.

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud - Der sichere Weg in die Cloud - 1 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015 Was macht der Bayerische IT-Sicherheitscluster e.v.? Bündelung der IT-Sicherheits-Kompetenz

Mehr