NUTZENPOTENTIALE REGULATORISCHER ANFORDERUNGEN ZUR GESCHÄFTSOPTIMIERUNG

Größe: px
Ab Seite anzeigen:

Download "NUTZENPOTENTIALE REGULATORISCHER ANFORDERUNGEN ZUR GESCHÄFTSOPTIMIERUNG"

Transkript

1 NUTZENPOTENTIALE REGULATORISCHER ANFORDERUNGEN ZUR GESCHÄFTSOPTIMIERUNG IT-Infrastruktur Compliance Reifegradmodell für Geschäftsführung, Compliance- und IT-Verantwortliche Michael Kranawetter Chief Security Advisor Microsoft Deutschland GmbH

2

3

4 Dieses Dokument dient lediglich der Information. MICROSOFT ÜBERNIMMT KEINE HAFTUNG FÜR DIE IM DOKUMENT ENTHALTENEN INFORMATIONEN, UNGEACHTET OB EXPLIZIT, IMPLIZIT ODER VOM GESETZ VORGESCHRIEBEN. Microsoft ist unter Umständen im Besitz von Patenten, Patentanmeldungen, Warenzeichen, Copyrights oder sonstigem Anspruch auf geistiges Eigentum hinsichtlich der Inhalte des vorliegenden Dokuments. Außer im Fall einer ausdrücklichen Lizenzvereinbarung mit Microsoft berechtigt Sie die Bereitstellung des Dokuments nicht zur Nutzung dieser Patente, Warenzeichen, Copyrights oder sonstigen Ansprüche Microsoft Corporation. Alle Rechte vorbehalten Experton Group AG bezogen auf Experton Grafiken. Die Schlussfolgerungen über Ansichten von Entscheidern des deutschen Marktes basieren auf den Ergebnissen der Experton Group Umfrage und obliegen der Experton Group AG. Trotz der gewissenhaften und mit größter Sorgfalt ermittelten Informationen und Daten kann für deren Vollständigkeit und Richtigkeit keine Garantie übernommen werden. Alle Rechte am Inhalt dieser Umfrage liegen bei der Experton Group AG. Die Daten und Informationen bleiben aus Gründen des Datenschutzes Eigentum der Experton Group AG. Vervielfältigungen, auch auszugsweise, bedürfen des Quellenhinweises.

5

6

7 PROLOGUE PROLOGUE Werte Leserin, werter Leser, Februar 2009 immer wieder werde ich auch von Sicherheits-Entscheidern gefragt, wie mit dem Thema Compliance umgegangen werden soll. Diese Frage wirft jedoch bereits einige andere Fragen auf; Warum ist das Thema für einen Sicherheitsexperten relevant? Von welcher Compliance ist hier die Rede? Wie relevant ist das Thema überhaupt? Wie viel wird es kosten (cost of compliance)? Und die Frage, die zu Beginn über all diesen Fragen steht: Wie fange ich mit dem Thema an? Dabei existiert dazu sehr viel Literatur, doch meistens bietet sie keine Lösungswege, sondern bildet die bekannten Anforderungen nur unterschiedlich strukturiert ab. Als führender Anbieter von Softwarelösungen sehen wir uns über die Bereitstellung von Produkten hinaus jedoch auch verantwortlich, Sie bei der Umsetzung von IT-Compliance-Anforderungen zu unterstützen. Hierbei sehen wir vor allem drei Aspekte, die uns als Lösungsanbieter in die Lage versetzten Ihnen zu helfen. Zum einen basieren nahezu alle Geschäftsprozesse auf IT-Systemen, somit liegt es nahe die Wirksamkeit von internen Kontrollen durch elektronische Maßnahmen sicherzustellen, zum zweiten ist durch die Automatisierung - das elementare Ziel der EDV - gegeben, dass Maßnahmen beschleunigt, reproduzierbar und nachvollziehbar werden. Ergänzend kommt noch hinzu, dass Compliance so in die Handhabung von IT eingebaut wird, dass Anforderungen quasi am Arbeitsplatz ohne aktives Zutun angefordert und erfüllt werden, also compliancegerecht eingestellt und selbstgesteuert sind (compliance at the desk). Denn die relevanten Informationen liegen in den Systemen immanent und inhärent vor. Das vorliegende Dokument beschreibt also einen Ansatz, der wie das Pareto-Prinzip das Modell der Aufwandsverteilung in Betracht zieht. Behält man die elementaren Punkte im Blick und konzentriert sich auf deren Lösungen, so rückt das Ziel nämlich Konformität ein großes Stück näher. Fokussierung liegt hierbei auf Aspekten der IT-Infrastruktur Compliance, die naturgemäß sehr eng mit den Punkten Verfügbarkeit, Vertraulichkeit und Integrität zusammenhängt und so wird auch die Brücke zur Informationssicherheit geschlagen. Richtet sich das Dokument nun ausschließlich an Sicherheitsexperten? Ganz im Gegenteil: Am Ende soll eine fundierte Kommunikationsbasis zur gemeinsamen Verständigung stehen, die den Einstieg in das Thema Compliance von verschieden Ebenen und auf unterschiedliche Weise ermöglicht. So kann das Dokument von Geschäftsführern, Technischen Entscheidern und IT-Experten gelesen werden. Steigen Sie dort ein, wo Sie sich am wohlsten fühlen. Ihr

8 VORWORTE Rechtliche Anforderungen nehmen für Unternehmen in der jüngeren und jüngsten Vergangenheit einen zunehmenden Stellenwert ein. Auf nationaler, europäischer und internationaler Ebene ist es ein Anliegen des Gesetzgebers, verbindliche Standards für die Risikovorsorge in Unternehmen, für das Etablieren von unternehmensinternen Systemen zur Kontrolle dieser Risiken und für eine interne und externe Berichterstattung über die Wirksamkeit solcher Kontrollsysteme festzulegen. Prominente Beispiele sind sicherlich der Sarbanes Oxley Act (SOX) in den USA, der Basel II-Akkord der Europäischen Union, der sich an die Kreditinstitute wendet sowie das deutsche Bilanzrechtsmodernisierungsgesetz (BilMoG), mit dem die 8. EU-Richtlinie, die auch als Euro-SOX bezeichnet wird, umgesetzt wurde. Die Einhaltung dieser rechtlichen Anforderungen mit dem Begriff Compliance belegt ist für die Unternehmen eine zunehmende Herausforderung. DR. CHRISTOPH CAPELLARO Im Zusammenhang mit Compliance hat die IT einen hohen Stellenwert im Unternehmen. Die mittlerweile in den Unternehmen erreichte enge Integration der IT in die wesentlichen Geschäftsprozesse gestattet es z. B. Workflows so zu gestalten, dass Kontrollaufgaben wie etwa Genehmigungsverfahren automatisiert ablaufen können. Weiter ermöglicht es die IT, relevante Daten über einzelne Geschäftsvorfälle automatisiert zu erfassen und aufzubereiten, womit den geforderten Veröffentlichungspflichten Genüge geleistet werden kann. Dass mit dieser Automatisierung hohe Einsparpotentiale genutzt werden können, zeigen nicht zuletzt die Erfahrungen aus SOX. Die dort geforderten Tests der Kontrollen, wie z. B. hinsichtlich der Einhaltung von Vorgaben zum Change Management, erfolgten anfangs mit hohem Aufwand manuell und werden mittlerweile nicht selten durch geeignete Berechtigungsvergaben, systemseitig erzwungene Workflows und automatisierte Reports in effizienter Weise realisiert. Schließlich unterliegt die Informationsverarbeitung zunehmend selbst gesetzlichen und regulatorischen Anforderungen. Der Datenschutz oder auch die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), mit denen u. a. der elektronische Zugriff von Steuerbehörden auf digitale Daten geregelt wird, seien an dieser Stelle als Beispiele genannt. Die Entwicklung, die die IT in den Unternehmen damit in den letzten Dekaden durchgemacht hat, ist konsequent, nichtsdestoweniger aber bemerkenswert. In den Anfangszeiten war die IT-Abteilung im Unternehmen weitestgehend selbstorganisiert. Die IT musste funktionieren, wie die IT-Abteilung dies bewerkstelligte, blieb ihr überlassen. Die zunehmende Verzahnung zwischen IT und Business führte dann zur Einführung des Service-Gedankens. Die IT-Abteilung mutierte zum internen (dann später auch externen) Dienstleister. Damit einher gingen die Definition von IT-Services und die Einführung von IT-Prozessen. Mit der Einbeziehung in das regulatorische Umfeld hat die IT eine Reifeprüfung abgelegt. Sie ist als etablierter Bestandteil des Unternehmens ebenso der Gesetzgebung unterworfen wie etwa die Buchhaltung oder das Personalwesen. Die Auseinandersetzung mit dem regulatorischen Umfeld ist für die IT Herausforderung aber auch Chance. Wegen der engen Verzahnung mit den Geschäftsprozessen bietet sich die IT-gestützte Automatisierung von internen Kontrollen geradezu an. Der IT-Einsatz im Unternehmen erhält so einen neuen Stellenwert. Die IT wird zum Enabler für die Compliance und die IT-Abteilung wandelt sich vom Dienstleister für die anderen Unternehmensbereiche zu einem Kernbereich des Unternehmens, der gegenüber regulatorischen Anforderungen und internen wie externen Prüfern im selben Maß unterworfen ist, wie etwa die Buchhaltung oder das Personalwesen. Im Hinblick auf diese besondere Rolle der IT bei der Erfüllung regulatorischer Anforderungen wünsche ich interessante und neue Einsichten bei der Lektüre des vorliegenden Dokuments. Dr. Christoph Capellaro ist seit 1999 im Münchner Büro von Ernst & Young beschäftigt. Er verantwortet dort innerhalb der Technology & Security Risk Services die Dienstleistungen zur IT-Security für die Länder Deutschland, Österreich und Schweiz. Der Fokus dieser Dienstleistungen liegt in der Prüfung und Beratung rund um den sicheren Einsatz der IT, wobei besonderer Wert darauf gelegt wird, rechtliche, betriebswirtschaftliche und technische Aspekte gleichermaßen zu berücksichtigen. Hierzu betreut Hr. Capellaro Mandanten aus der Privatwirtschaft und dem öffentlichen Bereich, für die IT-Sicherheit einen hohen Stellenwert hat,

9 VORWORTE da sie z.b. im internationalen Umfeld agieren, kritische Datenverarbeitungsprozesse verantworten, mit sensiblen Informationen arbeiten oder strengen regulatorischen Auflagen unterliegen. Hr. Capellaro ist Certified Information Security Manager (CISM), zertifizierter WebTrust-Auditor, Grundschutz-Auditor, Inhaber des ITIL Foundation Certificate und Datenschutzberater. Aus seiner mittlerweile knapp 20-jährigen Beschäftigung mit dem Thema IT-Sicherheit resultieren mehrere Patente, zahlreiche Beiträge zu Konferenzen, Fachzeitschriften und zu drei Fachbüchern. Dem vorliegenden Dokument gelingt es in hervorragender Weise aufzuzeigen, welchen Nutzen IT-Compliance für ein Unternehmen entfalten kann. Hierzu übersetzen die AutorInnen die geschäftsorientierten Ziele des Schutzes, der Verfügbarkeit, der Nachvollziehbarkeit, der Transparenz und der Sorgfalt in korrelierende Aktionsbereiche (Informationsschutz, Risikomanagement, Informationsmanagement, Internes Kontrollsystem sowie Mitwirkungs- und Informationspflichten). Vor allem die weitere Verbindung dieser fünf Bereiche mit einem Reifegradmodell erweist sich für die Praxis als höchst handlungsrelevant, da sich der Weg der kontinuierlichen Verbesserung durch die Systematik der Darstellung quasi von selbst offenbart. Auch die integrative Sicht in Bezug auf die Bereiche Risiko-, Incident-, Problem-, Configuration- und Change-Management ist geeignet, IT-Compliance aus ihrem derzeit noch vorherrschenden Nischendasein zu erlösen. Hierdurch bieten die Ausführungen allen für die Informationsverarbeitung eines Unternehmens Verantwortlichen eine außerordentlich hilfreiche Orientierung. Prof. Dr. Michael Klotz, geboren 1960 in Berlin; Studium der Betriebswirtschaftslehre an der TU Berlin, Abschluss als Diplom-Kaufmann; nach dem Studium selbständiger EDV-Berater, dann wissenschaftlicher Mitarbeiter mit Lehrauftrag an der TU Berlin; Promotion zum Dr. rer. oec; über zehn Jahre verschiedene Tätigkeiten in IT-Beratungs- und -Vertriebsfirmen als Management-Berater, Projektmanager und Geschäftsführer; von 2005 bis 2007 Forschungsmanagement und transfer im Bereich mobiler Telekommunikationsdienste an der TU Berlin; ab 1998 an der FH Stralsund, seit 1999 als Professor für Informationsmanagement, Unternehmensorganisation und Datenverarbeitung; seit 2008 Leiter des Stralsund Information Management Team (SIMAT); seit 2009 stellvertretender Leiter des Institut für regenerative Energiesysteme (IRES); Tätigkeiten als Beirat, Referent, Berater und Gutachter; zahlreiche Veröffentlichungen zu Informationsmanagement, IT-Governance und IT-Compliance; Regionalverantwortlicher der gfo Gesellschaft für Organisation e.v.; Wissenschaftlicher Beirat der ISACA; Mitherausgeber der seit 2007 erscheinenden Zeitschrift IT-Governance. PROF. DR. MICHAEL KLOTZ

10 VORWORTE DR. JYN SCHULTZE- MELLING LL.M. Auf den Punkt gebracht bedeutet Compliance schlicht das Einhalten der einschlägigen rechtlichen und regulatorische Ge- und Verbote. Diese Darstellung verschleiert jedoch die enorme Komplexität dieses Unterfangens, der sich Unternehmen heutzutage bei der Bewältigung dieses Themas vor allem im Zusammenhang mit dem Einsatz ihrer IT ausgesetzt sehen. Das beginnt schon mit der Frage nach den im Einzelfall einschlägigen Rechtsgrundlagen, denn nur wer weiß, was von ihm konkret erwartet wird, kann diese Erwartungen auch erfüllen. Was so einfach klingt, ist oft schon das erste Hauptproblem in der Praxis: die korrekte Identifikation der tatsächlich einschlägigen gesetzlichen und regulatorischen Anforderungen an das Unternehmen ist hochkomplex und erfordert neben der nötigen Branchenkenntnis ebensoviel juristischen wie technischen Sachverstand. Die Materie wird dabei umso komplizierter, je weiter der Betrachtungsrahmen gezogen wird. Compliance zeichnet sich schon in einem rein europäischen Geschäftsumfeld nicht durch besondere Übersichtlichkeit aus. Kommen im Einzelfall weitere Jurisdiktionen wie die USA oder die aufstrebenden Staaten Mittel- und Osteuropas hinzu, steigt die Gefahr, den Überblick zu verlieren, enorm. Dies wiederum kann nicht nur zu erheblichen finanziellen Konsequenzen und geschäftlichen Nachteilen für das Unternehmen führen, sondern unter Umständen sogar seine Vorstände und Geschäftsführer in strafrechtliche Schwierigkeiten bringen. Die komplette Identifikation der gegebenen Anforderungen führt jedoch häufig zu der Erkenntnis, dass der ihrer vollständigen Umsetzung erforderliche Aufwand in einem krassen Missverhältnis zu den dafür vorgesehenen oder verfügbaren Ressourcen steht. Zudem widersprechen sich sogar manche Complianceanforderungen an die IT inhaltlich oder bereiten zumindest in technischer Hinsicht massive Umsetzungsprobleme. In diesen Fällen ist ein professionelles IT-Compliance- und Risikomanagement gefragt, das die gesetzlichen und regulatorischen Anforderungen an das Unternehmen nicht nur identifiziert, sondern diese dabei hinsichtlich ihrer konkreten rechtlichen und praktischen Bedeutung bewertet. Bei der Priorisierung der entsprechenden technischen und organisatorischen Maßnahmen spielen dann die möglichen rechtlichen und praktischen Schadenspotentiale eine ebenso entscheidende Rolle, wie die vielfältigen Vorteile und Chancen, die eine professionell ausgerichtete und konsequent umgesetzte IT-Compliancestrategie mit sich bringt. Wer dann schließlich nicht nur weiß, was von ihm tatsächlich verlangt wird und was ihm das konkret bringt, sondern auch, was ihm im Falle des Falles droht, tut sich erfahrungsgemäß wesentlich leichter, die nächsten Schritte zu planen und seine IT rechtskonform und revisionssicher aufzusetzen. Den ersten und zugleich den schwierigsten Schritt hat jedoch derjenige schon getan, der sich des Themas ernsthaft annimmt. Die Ihnen vorliegende Ausarbeitung bietet dafür eine sehr gute Grundlage und ich wünsche Ihnen viel Erfolg bei der Lektüre und eine glückliche Hand bei der strategischen Planung Ihrer IT-Compliancestrukturen. Dr. Jyn Schultze-Melling LL.M. ist Spezialist für IT-Compliance im Münchner Büro der internationalen Wirtschaftskanzlei Nörr Stiefenhofer Lutz und betreut in diesem Zusammenhang die öffentliche Hand, Großunternehmen und Konzerne in allen Fragen des IT-, Datenschutz- und Datensicherheitsrechts. Besonderer Schwerpunkt seiner Arbeit ist dabei die strategische Erarbeitung von IT-Compliancemodellen für global agierende Unternehmen. Er referiert und publiziert zudem regelmäßig in Fach- und Branchenmagazinen über IT-Compliancefragen und anderen Themen des IT-Rechts. Darüber hinaus engagiert er sich als Rechtsvorstand beim Kompetenzzentrum für Sicherheit (KoSiB e.g.), ist Dozent für den Fachanwaltslehrgang für IT-Recht bei der Deutschen Anwaltakademie (DAA) und Lehrbeauftragter der Universität Passau und zudem aktives Mitglied in verschiedenen Vereinen und Verbänden, insbesondere bei der Deutschen Gesellschaft für Recht und Informatik (DGRI), der Arbeitsgruppe IT-Recht des Deutschen Anwaltsvereins (DAVIT), der Gesellschaft für Informatik (GI) sowie der International Association of Privacy Professionals (IAPP).

11 KAPITEL 2 KAPITEL 1 INHALTSVERZEICHNIS EXECUTIVE SUMMARY COMPLIANCE IM JAHR UNTERNEHMENSFÜHRUNG ERFOLGREICH GESTALTEN? STRUKTURIERT! SPIELREGELN EINHALTEN? MACHEN SIE DAS BESTE DRAUS! WORAUF SOLL MAN SICH KONZENTRIEREN? KERNBEREICHE! UND NUN DIE LÖSUNG QUO ESQUE QUO VADIS? COMPLIANCE, DIE UMSETZUNG AUTOREN COMPLIANCE-RELEVANTE IT-INFRASTRUKTUR-LÖSUNGEN IT-GLOSSAR KAPITEL wenden sich an alle Interessierten. Sie geben einen Überblick zum Status quo zu Compliance in Deutschland und zeigen den Zusammenhang zwischen Governance, Risk Management und Compliance (GRC) auf. KAPITEL 3 Dieses Kapitel richtet sich primär an die Geschäftsführung. Hier werden die gemeinsamen Ziele aus regulatorischen und geschäftlichen Anforderungen herauskristallisiert, zusammengeführt und detailliert erörtert. KAPITEL 4 Das Kapitel richtet sich an technische Entscheider. Hier geht es um die Beschreibung von fünf Kernbereichen zur Compliance-Umsetzung. KAPITEL 5 Dieses Kapitel adressiert in erster Linie IT-Experten, aber auch interessierte technische Entscheider. Kapitel 5 beschreibt im Detail die konkrete Umsetzung regulatorischer Anforderungen mittels IT-Maßnahmen. KAPITEL 5 KAPITEL 4 KAPITEL 3 KAPITEL 6 In Kapitel 6 wird das IT-Compliance Infrastruktur Reifegradmodell erklärt. Mithilfe dieser Darstellung kann sich jede Zielgruppe leicht selbst einschätzen und einen Handlungsplan für eine adäquate Weiterentwicklung erstellen. Anhand eines Beispiels wird dies zudem plausibel und exemplarisch dargestellt. KAPITEL 6

12

13 KAPITEL 1 EXECUTIVE SUMMARY 1. COMPLIANCE IM JAHR 2009

14

15 KAPITEL 1 EXECUTIVE SUMMARY Compliance als Treiber für eine dynamische IT Infrastruktur Der Handlungsbedarf bei der Umsetzung von Compliance-Anforderungen wächst unaufhaltsam. Eine von Microsoft bei der Experton Group in Auftrag gegebene Umfrage in deutschen Unternehmen ergab, dass fast 40 Prozent der Befragten genau mit diesem Bereich nur mäßig zufrieden sind. Das Ergebnis zeigt auch, dass die Unzufriedenheit bei den IT-Entscheidern tendenziell größer ist als bei Geschäftsentscheidern. Offensichtlich sieht die IT deutlicher einen Bedarf für Compliance- Maßnahmen als die Geschäftsführung. Das führt zu der Frage, welchen Nutzen und Gewinn Compliance-Lösungen auch für Geschäftsentscheider bergen. Die Antwort steckt in der Lösung der Frage: Wenn Regularien ohnehin umgesetzt werden müssen, wie kann auch Nutzen zur Geschäftsoptimierung aus dieser Umsetzung gezogen werden? Um genau diesen Punkt diskutieren zu können, müssen alle Beteiligten eine gemeinsame Sprache und ein gemeinsames Verständnis aufbauen. Erst wenn jede Partei weiß, welche Aspekte es zu berücksichtigen gilt und wie Pflicht und Kür einander bedingen, kann sich das Muss in ein Plus verwandeln. 15 IT INFRASTRUKTUR COMPLIANCE- MODELL Welche Schritte müssen unternommen werden, um dieses Ziel zu erzielen? Zur Vereinfachung haben wir ein IT-Infrastruktur Compliance Modell entwickelt, das es bisher in dieser Form noch nicht gab. Es reduziert die Bedenken, sich mit einem derart komplexen Thema zu befassen, und trägt zu einem besseren Verständnis von Compliance bei. In diesem Kontext ist zunächst die Erkenntnis wichtig, dass regulatorische und geschäftliche Anforderungen - mit Blick auf Informationenfünf gemeinsame Ziele verfolgen: Schutz, Verfügbarkeit, Nachvollziehbarkeit, Transparenz und Sorgfalt. Diese Ziele basieren auf gesetzlichen und regulatorischen Grundwerten, die es zu verstehen gilt. Denn sie liegen in der einen oder anderen Form den meisten Regelungen zugrunde. Lediglich die Ausprägung unterscheidet sich von Land zu Land und von Regelung zu Regelung. Dabei stehen regulatorische und geschäftliche Anforderungen nicht zwingend im Widerspruch zueinander. Im Gegenteil: Beide lassen sich auf gemeinsame Zielsetzungen und Intentionen zurückführen. Unternehmen können regulatorische Vorgaben als Ausgangspunkt nutzen, um Synergieeffekte zwischen den vorgegebenen Pflichten und den eigenen Zielsetzungen zu realisieren.

16 KAPITEL 1 16 Die IT kann die geschäftlichen und regulatorischen Vorgaben und Ziele leichter über folgende fünf Kernbereiche erfüllen: Informationsschutz, Risikomanagement, Informationsmanagement, Internes Kontrollsystem sowie Mitwirkungs- und Informationspflicht. Das sind die gemeinsamen Themenfelder, die sich aus den gesetzlichen und betriebswirtschaftlichen Anforderungen herauskristallisieren. Ein Unternehmen, das in diesen Kernbereichen gut aufgestellt ist, kann auch künftige Compliance-Anforderungen besser umsetzen. Wer sich also auf die fünf genannten Bereiche konzentriert, nutzt Compliance auch als Treiber für eine dynamische IT-Infrastruktur. Außerdem werden für geschäftliche Anforderungen zusätzlich Nutzenpotenziale geschöpft, darunter die Kalkulierbarkeit und Reduzierung von Geschäfts- und IT-Risiken, die Vermeidung von Betrugsfällen, mehr Effizienz und Transparenz durch die Automatisierung und Optimierung von Prozessen, die erhöhte Reputation des Unternehmens insgesamt und letztlich auch die Optimierung von Investition in Schutzmaßnahmen. Die theoretische Auseinandersetzung hilft, das Verständnis für die Problematik zu entwickeln, jedoch müssen konkrete Schritte für die Umsetzung abhängig von der bestehenden Ist- Situation unternommen werden. Wie erkennt ein Unternehmen überhaupt seinen aktuellen Compliance-Zustand und das angestrebte Ziel? Unser IT-Infrastruktur Compliance Reifegradmodell holt Ihr Unternehmen dort ab, wo es momentan steht. Es hilft Ihnen bei der Einordnung in einen Reifegrad und bei der Festlegung von Maßnahmen, um eine höhere Compliance- Reife und eine dynamischere IT-Infrastruktur zu erlangen. Das Modell zeigt auf, wie sich die IT-Infrastruktur in 19 grundlegenden Lösungsbereichen optimieren lässt. Diese wurden von internationalen und etablierten IT-Standards abgeleitet. In der Regel lässt sich hier erkennen, dass die Umsetzung oftmals auf Basis bereits vorhandener Infrastruktur durchgeführt werden kann. Die Abbildung eines Gesamtreifegrads erleichtert dem Unternehmen die eigene Standortbestimmung und seine aktuelle Risikosituation darzustellen und kommunizieren zu können. Sie macht transparent, welcher Status gegeben ist und wie ein übergreifendes Zusammenspiel der Beteiligten zur Verbesserung beitragen kann. Das vorgestellte Modell zeigt einfache Schritte, um sich der Thematik Compliance anzunähern und eine gemeinsame Kommunikationsebene zu schaffen. Dabei ist klar, dass ein vereinfachtes Modell keinen Anspruch auf Vollständigkeit erhebt. Jedoch wird das Modell helfen, eine Grundlage für das Verständnis der Compliance und deren Beitrag zur Geschäftsoptimierung zu schaffen. Naturgemäß muss bei einer vertieften Betrachtung auf die jeweilige individuelle Situation des Unternehmens eingegangen werden. Ist die Basis jedoch geschaffen, so ist der Weg für die Feinabstimmung geebnet.

17 1. COMPLIANCE IM JAHR 2009 Status quo bei deutschen Unternehmen und Herausforderungen für Business- und IT-Entscheider KAPITEL 1 Der Hype um Compliance ist im Jahr 2009 auf Anwenderseite allmählich einer nüchternen Diskussion gewichen. Während die deutschen Unternehmen einige Regelungen mehr oder weniger konsequent befolgen, werden andere nur beobachtet oder gar geflissentlich ignoriert. Nichtsdestoweniger nimmt die Anzahl zu beachtender Regelungen zu. Sie reichen von compliancerelevanten Gesetzen im engeren Sinne über Standards, Referenzmodelle und branchenspezifische Vorgaben bis hin zu firmeninternen Richtlinien. Global tätige Unternehmen müssen sich zudem mit länderspezifischen Regelungen auseinandersetzen, die selbst innerhalb der Europäischen Union nicht immer harmonisiert sind. gesamtwirtschaftlicher Sicht und der Perspektive einzelner Unternehmen durchaus sinnvoll erscheinen. Außerdem bezieht das Rating der Banken bei der Kreditvergabe auch IT-Betriebsrisiken beim Kunden mit ein, was potenziell günstigere Kreditkonditionen für IT-seitig solide aufgestellte Unternehmen zur Folge hat. Ein seriöses Rating erfordert einen aufwendigen IT- und Prozess-Audit. Darum ist Basel II weitgehend von der Agenda deutscher Unternehmen außerhalb der Finanzbranche verschwunden. In der Praxis prüfen Unternehmen eher über Checklisten. Die bloße Existenz eines Virenscanners sagt beispielsweise aber nur wenig über den Sicherheitsstatus einer Firma aus. 17 Eine von Microsoft beauftragte Umfrage der Experton Group bei deutschen IT- und Geschäftsentscheidern in Unternehmen mit mindestens Mitarbeitern zeigt, dass momentan in Unternehmen vor allem das Bundesdatenschutzgesetz beziehungsweise die Regelungen der einzelnen Bundesländer umgesetzt werden, gefolgt von verschiedenen Gesetzen aus dem Wirtschaftsrecht sowie firmeninternen oder rechtlich nicht verbindlichen Standards wie der Norm ISO und dem BSI IT-Grundschutz. Basel II stellt spezifizierte Anforderungen an das Management operativer Risiken, die aus Deutsche Unternehmen stehen beim Umsetzen solcher Regularien in der Tat vor erheblichen Herausforderungen. Die Umfrage der Experton Group belegt nur eine mäßige Zufriedenheit der Anwender mit der Umsetzung von Compliance-Anforderungen im Unternehmen. Fast 40 Prozent der Befragten sind lediglich mäßig zufrieden oder unzufrieden (siehe Abbildung 1). Dabei sind IT-Entscheider tendenziell unzufriedener mit der Umsetzung von Regularien in ihrem Bereich als die Geschäftsführung. Speziell im IT-Bereich herrscht demnach ein deutlicher Optimierungs- und Handlungsbedarf. Fast 40 Prozent der Befragten sind lediglich mäßig zufrieden oder unzufrieden mit der Compliance-Umsetzung im Unternehmen. Der Handlungsbedarf liegt auf der Hand: vorhandene Infrastrukturen und Prozesse müssen mit den Anforderungen aus Regularien in Einklang gebracht werden aber wie? Die Kapitel 4 und 5 geben konkrete Empfehlungen und machen die Thematik greifbar.

18 KAPITEL 1 18 Abbildung 1 Experton Group Umfrage: Zufriedenheit mit der Umsetzung von Complianceanforderungen Beim Umsetzen von Regularien treten oft Schwierigkeiten auf. IT- und Business-Entscheider bemängeln beispielsweise regelmäßig, dass sich der Nutzen der Umsetzung nur schwer abbilden und messen lasse. Knapp die Hälfte der von Experton Group befragten Unternehmen hält diesen Punkt für ein großes oder sogar sehr großes Hindernis. Reine Drohszenarien im Sinne von Strafen und Sanktionen greifen zu kurz, wenn das einzelne Unternehmen tatsächlich nur mit geringen Sanktionen von externer Seite zu rechnen hat. Bedeutet Compliance darum lediglich ein notwendiges Übel? Diese Überlegung widerlegen die Synergieeffekte mit generellen, auch ohne Compliance anstehenden Aufgaben im Umfeld von Unternehmenssteuerung und Informationstechnologie. Dazu zählen beispielsweise: Das Kalkulieren und Reduzieren von Geschäfts- und IT-Risiken, das Vermeiden von Betrugsfällen, mehr Effizienz und Transparenz durch die Automatisierung und Optimierung von Prozessen und letztlich die Reputation des Unternehmens insgesamt. Es gilt also, das Nutzenpotenzial beim Erfüllen regulatorischer Vorgaben künftig besser auszuschöpfen. Ein entscheidendes Ziel ist es dabei, das Spannungsfeld zwischen Unternehmensund IT-Steuerung, Risikomanagement und regulatorischen Anforderungen aufzulösen.

19 KAPITEL 1 Die Einhaltung regulatorischer Anforderungen wird oft ausschließlich als Zwang empfunden. Dabei bietet sie auch Chancen. Wenn Unternehmen über den Tellerrand schauen, profitieren sie zugleich von Geschäftsoptimierungsmöglichkeiten. 19 Alle Entscheidungsebenen müssen ein gemeinsames Verständnis für Compliance entwickeln. Insbesondere der kontinuierliche Informationsfluss auf Basis nachvollziehbarer Kenngrößen zwischen Geschäftsentscheidern (Vorstand, Compliance-Verantwortliche, Fachabteilung) auf der einen und IT-Entscheidern auf der anderen Seite ist ein Muss. Das erfordert eine Kommunikationsebene, die es allen Beteiligten ermöglicht, die Thematik aus verschiedenen Blickwinkeln zu betrachten und mögliche Lösungswege aufzuzeigen. Abbildung 2: Entwicklung der Ausgaben für die Automatisierung und Überwachung von Compliance-Vorgaben

20 KAPITEL 1 20 Gleichzeitig rechnen Entscheider im IT-Bereich und mehr noch die Befragten aus der Geschäftsführung 2009 überwiegend mit steigenden oder zumindest konstanten Ausgaben für die Automatisierung und Überwachung von Compliance-Vorgaben (siehe Abbildung 2). Auch hier zeigt sich wieder die Verantwortung der IT. Die Investitionen stammen bei etwa der Hälfte der Befragten aus dem IT-Budget. Nur wenige wollen die Ausgaben aus einem dedizierten Compliance-Budget bestreiten. Der Rest finanziert diese Summen aus den Geschäftsbereichen. Wenn man diese unternehmensweiten Aktivitäten über einen gesamtheitlichen Ansatz für Governance, Risk Management und Compliance (GRC) bündelt und koordiniert und so gemeinsam Interessen identifiziert und analysiert gelangt man zu einer optimalen Lösung. Dieses Dokument bietet nicht nur einen komprimierten Überblick zur Thematik, sondern hilft auch bei der Suche nach einer gemeinsamen Kommunikationsebene und einem einfachen Annäherungsmodell.

21

22

23 KAPITEL 2 UNTERNEHMENSFÜHRUNG ERFOLGREICH GESTALTEN? STRUKTURIERT!

24 2. UNTERNEHMENSFÜHRUNG ERFOLGREICH GESTALTEN? STRUKTURIERT! Die Rolle von Governance, Risk Management und Compliance (GRC) KAPITEL 2 Das Einhalten von Regelungen (Compliance im weiten Sinn) ist keine isolierte Maßnahme, sondern fällt in den größeren Zusammenhang von Governance, Risk Management und Compliance. GRC bildet die strategische Klammer für verschiedenste Aufgaben, die die Lücke zwischen Unternehmensstrategie und -ziel einerseits und dem operativen Tagesgeschäft auf der anderen Seite schließt. GRC ist keine Technologie, sondern ein Ansatz und Prozess, um Synergien zwischen Geschäftszielen und Regularien zu realisieren. Über Technologien lassen sich einige Aspekte von GRC automatisieren und umsetzen. Viele Unternehmen setzen im Bereich der Informationstechnologie heute bereits einzelne, passende Komponenten ein, die für GRC genutzt werden können. 24 Typischerweise ist es im ersten Schritt nicht notwendig, die IT- Infrastruktur komplett neu zu gestalten. Es lassen sich vielmehr bereits bestehende Komponenten nutzen. Diese müssen nur identifiziert und gegebenenfalls miteinander verbunden werden. GRC ÜBERBLICK Abbildung 3: Überblick zu Governance, Risk Management & Compliance

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ Externer Datenschutz... Chancen durch Outsourcing PRISAFE DATENSCHUTZ Inhaltsverzeichnis Der Datenschutzbeauftragte Für welche Variante entscheiden? Der externe Datenschutzbeauftragte Kosten für Datenschutz

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Über sieben Brücken musst Du gehen! Wie organisatorische Hindernisse eine Chance sein können

Über sieben Brücken musst Du gehen! Wie organisatorische Hindernisse eine Chance sein können Über sieben Brücken musst Du gehen! Wie organisatorische Hindernisse eine Chance sein können Agile Center D-IT-BVG2-E1 Christoph Weiss, Michael Schäfer Ausgangssituation Christian Sebastian Müller (CSM)

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

E-Mailarchivierung für den Mittelstand

E-Mailarchivierung für den Mittelstand E-Mailarchivierung für den Mittelstand SaaS-Lösung von PIRONET NDH PIRONET NDH Datacenter GmbH 1 E-Mailarchivierung Agenda: E-Mailarchivierung warum? Wer muss archivieren? Welche E-Mails sind zu archivieren?

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

1. Aufbewahrungsfristen für Personalakten

1. Aufbewahrungsfristen für Personalakten Aufbewahrungsfristen für Personalakten X AUFBEWAHRUNG, ARCHIVIERUNG, BEWEIS- VERWERTBARKEIT, ORDNUNGSMÄßIGKEIT 1. Aufbewahrungsfristen für Personalakten Ein allgemeiner Rahmen für die Dauer der Personalaktenführung

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

BASWARE Compliance Services Compliance Readyness beim einvoicing

BASWARE Compliance Services Compliance Readyness beim einvoicing A Basware Presentation BASWARE Compliance Services Compliance Readyness beim einvoicing Alexander Dörner compliance@basware.com 20.10.2011 Agenda Bereiche & Leistungen der BASWARE Compliance Services Verfahrensdokumentation

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

IT-Compliance. Ein kompakter Überblick präsentiert von. bitzer digital-media consulting. Köln 2006

IT-Compliance. Ein kompakter Überblick präsentiert von. bitzer digital-media consulting. Köln 2006 IT-Compliance präsentiert von bitzer digital-media consulting Köln 2006 bitzer digital-media consulting Venloerstr. 13-15 50672 Köln Tel: 0221-9520554 Mail: fb@bdcon.de Web: www.bdcon.de (c) bitzer digital-media

Mehr

Compliance Management

Compliance Management Compliance Management Fernwärmetage 2013 13.03.2013 RA Dr. Gregor Schett, LL.M. Mag. Christoph Kochauf Fellner Wratzfeld & Partner Rechtsanwälte GmbH A-1010 Wien, Schottenring 12, T: +43 (1) 537 70 F:

Mehr

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services eg e s c h ä f t s p r o z e s s erfahrung service kompetenz it-gestützte MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services erfolgssicherung durch laufende optimierung Als langjährig erfahrenes IT-Unternehmen

Mehr

IT-Controlling für die Praxis

IT-Controlling für die Praxis Martin Kütz IT-Controlling für die Praxis Konzeption und Methoden 2., überarbeitete und erweiterte Auflage Martin Kütz kuetz.martin@tesycon.de Lektorat: Christa Preisendanz & Vanessa Wittmer Copy-Editing:

Mehr

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen

IT Management 2014. Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen IT Management 2014 Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit E-Mail Systemen Rechtsanwalt Hans Sebastian Helmschrott, LL.M Eur. Rechtsanwältin Patricia Lotz Rechtsquellen des IT-Managements:

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Compliance as a Service

Compliance as a Service Compliance as a Service Hintergrund - Vorgehen - Ziel Jürgen Vischer, Principial Management Consultant Nürnberg, 08.10. - 10.10.2013 Folie 1 / Titel Präsentation / Referent 01. Januar 2010 Compliance ein

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer Wolfgang Straßer Geschäftsführer Dipl.-Kfm. IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis.

Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis. 1 Datenschutz im Unternehmen - wertvolle Tipps und Handlungsempfehlungen. Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

STEUERRECHTLICHE ANFORDERUNGEN IN DEUTSCHLAND

STEUERRECHTLICHE ANFORDERUNGEN IN DEUTSCHLAND 1 Brisanz der elektronischen Rechnung in deutschen Unternehmen# STEUERRECHTLICHE ANFORDERUNGEN DER FINANZBEHÖRDEN AN DIE ELEKTRONISCHE RECHNUNG IN DEUTSCHLAND BACHELORARBEIT zur Erlangung des akademischen

Mehr

IT Value Management. IT Management, IT Projekte und Servicebeziehungen sinnvoll gestalten! atunis GmbH

IT Value Management. IT Management, IT Projekte und Servicebeziehungen sinnvoll gestalten! atunis GmbH IT Management, IT Projekte und Servicebeziehungen sinnvoll gestalten! atunis GmbH Wert schaffen durch IT Value Management Der zunehmende Kostendruck und die Frage nach dem Beitrag der IT zur Wertschöpfung

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

IT-Compliance Management und Identity Management Aktuelle Trends

IT-Compliance Management und Identity Management Aktuelle Trends IT-Compliance Management und Identity Management Aktuelle Trends Kurzbefragung Deutschland, April 2009 Matthias Zacher Senior Advisor matthias.zacher@experton-group.com Inhalt Themenabgrenzung Stichprobencharakteristika

Mehr

Digitale Dokumenten- und Archivlösungen. E-Mail Archivierung für Outlook/Exchange. [accantum] E-Mail Archivierung für Microsoft Outlook / Exchange

Digitale Dokumenten- und Archivlösungen. E-Mail Archivierung für Outlook/Exchange. [accantum] E-Mail Archivierung für Microsoft Outlook / Exchange Outlook / Exchange [accantum] E-Mail Archivierung für Microsoft Outlook / Exchange Gesetzeskonforme E-Mail Archivierung für Unternehmen. Mit dem [accantum] E-Mail Server können Unternehmen Ihre E-Mails

Mehr

gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a)

gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a) Sicherheit gecheckt? Haftungsrisiken vermeiden, Compliance optimieren gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a) Mit dem gateprotect Sicherheitscheck verbessern Sie den Datenschutz

Mehr

Enterprise Information Management

Enterprise Information Management Enterprise Information Management Risikominimierung durch Compliance Excellence Stefan Schiller Compliance Consultant Ganz klar persönlich. Überblick Vorstellung The Quality Group Status Quo und Herausforderungen

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

IT-Sicherheit für die Energie- und Wasserwirtschaft

IT-Sicherheit für die Energie- und Wasserwirtschaft IT-Sicherheit für die Energie- und Wasserwirtschaft Als Prozess für Ihr ganzes Unternehmen. Zu Ihrer Sicherheit. www.schleupen.de Schleupen AG 2 Deshalb sollte sich Ihr Unternehmen mit IT-Sicherheit beschäftigen

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

plain it Sie wirken mit

plain it Sie wirken mit Sie wirken mit Was heisst "strategiewirksame IT"? Während früher die Erhöhung der Verarbeitungseffizienz im Vordergrund stand, müssen IT-Investitionen heute einen messbaren Beitrag an den Unternehmenserfolg

Mehr

Aus dem Mittelstand, für den Mittelstand: RISIMA Consulting.

Aus dem Mittelstand, für den Mittelstand: RISIMA Consulting. www.risima.de Aus dem Mittelstand, für den Mittelstand: RISIMA Consulting. Als Unternehmensberatung sollte man seinen Kunden kennen, seine Stärken und Schwächen unter Einsatz von bewährten Methoden und

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Geschäftsprozessmanagement Der INTARGIA-Ansatz Whitepaper Dr. Thomas Jurisch, Steffen Weber INTARGIA Managementberatung GmbH Max-Planck-Straße 20 63303 Dreieich Telefon: +49 (0)6103 / 5086-0 Telefax: +49

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche

E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche 2014 E-Mail-Archivierung rechtskonform gestalten. Whitepaper für Unternehmen und Verantwortliche Severin Maier und Maik Kleindienst Thilo Märtin & Collegen Rechtsanwalts GmbH Version Version Datenname

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit

IT-basierte Erstellung von Nachhaltigkeitsberichten. Diplomarbeit IT-basierte Erstellung von Nachhaltigkeitsberichten Diplomarbeit zur Erlangung des Grades eines Diplom-Ökonomen der Wirtschaftswissenschaftlichen Fakultät der Leibniz Universität Hannover vorgelegt von

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

DatCon IT-Solutions & BusinessART

DatCon IT-Solutions & BusinessART DatCon IT-Solutions & BusinessART Ingenieurbüro für Datenschutz IT-Unternehmensberatung IT-Lösungen Jeder wünscht sich einen sicheren Umgang mit Daten! Zu meiner Person Wer bin ich? Seit 1 993 bin ich

Mehr

So individuell wie Ihr Business! Dienstleistungen rund um das Thema Datenschutz AUSBILDUNG I SEMINARE I COUCHING I EXTERNER DATENSCHUTZBEAUFTRAGTER

So individuell wie Ihr Business! Dienstleistungen rund um das Thema Datenschutz AUSBILDUNG I SEMINARE I COUCHING I EXTERNER DATENSCHUTZBEAUFTRAGTER So individuell wie Ihr Business! Dienstleistungen rund um das Thema Datenschutz AUSBILDUNG I SEMINARE I COUCHING I EXTERNER DATENSCHUTZBEAUFTRAGTER Unternehmensübersicht & unsere Datenschutzbeauftragten

Mehr

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl.

Praxiswissen COBIT. Grundlagen und praktische Anwendung in der Unternehmens-IT. von Markus Gaulke. 2., akt. u. überarb. Aufl. Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT von Markus Gaulke 2., akt. u. überarb. Aufl. Praxiswissen COBIT Gaulke schnell und portofrei erhältlich bei beck-shop.de DIE

Mehr

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein!

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein! IT Ri ik IT-Risikomanagement: t Ballast B ll t oder d Wertschöpfung? W t hö f? IT-Risikomanagement.verursacht nur Kosten und bringt nichts ein!.macht sowieso niemand!.prüft ja sowieso keiner!.stresst nur

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr