Die Schnittstellen zwischen BCM und ITSCM

Transkript

1 Advisory Die Schnittstellen zwischen BCM und ITSCM Business Continuity Management Gesellschaft für Informatik e.v Matthias Hämmerle MBCI 2006 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, deutsches Mitgliedsunternehmen von KPMG International, einer Genossenschaft schweizerischen Rechts. Alle Rechte vorbehalten. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. 1

2 AGENDA Inhalt Standards für BCM und ITSCM BS und BS im Zusammenspiel Schnittstellen BCM und ITSCM entlang des BS Lifecycle 2

3 IT SCM Management - Steuerung und Regelung IT Service: Verfügbarkeit: Beschreibung einer IT-Dienstleistung aus Sicht des Kunden, welche die Geschäftsprozesse unterstützt Die Wahrscheinlichkeit o das Maß, dass ein technisches System bestimmte Anforungen zu bzw. innerhalb eines vereinbarten Zeitrahmens erfüllen muss IT SCM ist das Management optimalen Verfügbarkeit von IT Services mit dem Ziel Sicherstellung Verfügbarkeit, unter Berücksichtigung Wirtschaftlichkeit. Nicht die technischen Wünsche und Machbarkeiten, sonn die Geschäftsanforungen sind für das IT SCM maßgeblich IT SCM ist ein Management-Prozess, einen strategischen und operationellen Rahmen bereitstellt, um Klare Rollen und Verantwortlichkeiten für IT SCM festzulegen Klare Schnittstellen zu anen Prozessen zu gewährleisten Methoden zur Messung, Reportingstruktur und Kontrollsystem zu implementieren Regelmäßige Tests, angemessene Wartung und Audits durchführen Die IT SCM Policy zu definieren unter Berücksichtigung und Einbindung regulatorischen Anforungen, Standards und Rahmenbedingungen 2008 KPMG Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, the German member firm of KPMG International, a Swiss cooperative. All rights reserved. KPMG and the KPMG logo are registered trademarks of KPMG International, a Swiss cooperative. 3

4 IT Service Continuity Management weist zahlreiche Schnittstellen zu IT- und Fachbereichsprozessen auf Wirtschaftsprüfer Sorgfaltspflicht Compliance Organisation des Unternehmens Aufrechterhaltung Geschäftsprozesse und Services Fachabteilungen spezielle Anforungen an die IT Regularien und Standards MaRisk ITIL SOX ISO-Standards British Standards BS IT Service Continuity Management IT des Unternehmens Run the IT Incident Mgt. Problem Mgt. Availability Mgt. Capacity Management Vorstand Gesamtverantwortung für das Risikomanagement gem. KonTraG Business Continuity Management Sicherstellung Verfügbarkeit kritischen Geschäftsprozesse Anforungen an die IT Services aus Geschäftsprozesssicht Dienstleister Verfügbarkeit sicherstellen Einhaltung regulatorischen Anforungen 4

5 Nationale und internationale Normen für BCM und ITSCM Zukünftig: ISO Familie 5

7 Der Lifecycle für das Business Continuity Management nach BS Der (BCM-Lifecycle gliet sich in 6 Dimensionen: Exercising, maintaining and reviewing Unstanding the organization BCM program me management Developing and implementing BCM response Determining BCM Strategy 1. BCM-Programm Management Schaffung eines unternehmensweiten BCM-Zielbildes 2. Verständnis des Geschäftsmodells Ermittlung kritischen Geschäftsprozesse m (BIA) Risikoanalyse (RIA) 3. Entwicklung von Kontinuitätsstrategien Festlegung strategischen Optionen Schaffung eines Gleichgewichtes zwischen Investition und Risikobereitschaft für die Geschäftsfortführung identifizierten geschäftskritischen Prozesse 4. Entwicklung und Implementierung von BCM Plänen und Lösungen Konkrete Ausfallplanung für die einzelnen Ressourcen und Gefährdungsszenarien 5. Übung, Anpassung und Audit Übungs- und Testzyklen, Anpassung des BCM-Zielbildes, Self-Assessments gegenüber dem BCM Zielbild Internes und externes Audit des BCM 6. Aufbau und Verankerung einer BCM Kultur Integration des BCM in die Unternehmenskultur, Schaffung von Motivation und Verantwortungsbewusstsein Mitarbeiter 7

8 BS und BS ergänzen sich im methodischen Vorgehensmodell Unstanding the organization Unstanding the ICT continuity requirements Exercising, maintaining and reviewing BCM program me management Determining BCM Strategy Exercising, maintaining and reviewing ICT continuity program me management Determining ICT continuity strategies Developing and implementing BCM response Developing and implementing ICT continuity strategies 8

10 BS Lifecycle: Programm-Management ICT Programm Management Implementierung eines Management Systems für das ICT Continuity Management Festlegung von Zielen und Umfang (Scope) ICT Continuiy Policy Bereitstellung Ressourcen Exercising, maintaining and reviewing Unstanding the ICT continuity requirements ICT continuity programme management Determining ICT continuity strategies Developing and implementing ICT continuity strategies 10

11 Die ITSCM Policy formuliert das Leitbild des ITSCM und die Rahmenbedingungen für die Implementierung und den Betrieb ITSCM Policy ITSCM Standards Inhalte ITSCM Policy Ziele und Leitgedanke des ITSCM Verantwortlichkeit des Vorstands / Geschäftsführung Definition und Ziele Abgrenzung des Umfangs Rechtliche und regulatorische Anforungen und Normen Umsetzung des ITSCM Methoden, Verfahren, Standards Organisation Schnittstellen Arbeitsanweisungen Templates 11

12 ITSCM Standards beschreiben die konkrete Vorgehensweise sowie die Organisation / Rollen ITSCM Policy ITSCM Standards Inhalte des ITSCM Standards Begriffsdefinitionen, Glossar Rollen und Verantwortlichkeiten, AKV ITSCM Prozess Beschreibung Schnittstellen zu anen IT Prozessen (ITIL-Prozesse) Schnittstellen zum BCM Arbeitsanweisungen Templates 12

13 BS Lifecycle: Verständnis Anforungen Verständnis Anforungen an das ICT Continuity Management für das Business Continuity Management Festlegung Anforungen an das ICT Continuity Management zur Erfüllung Anforungen des Business Continuity Managements (zeit-) kritische Prozesse RTO s für kritische Prozesse kritische Termine Notbetriebsanforungen Mapping auf die IT-Services Definition IT-Services Identifikation für das BCM relevanten IT-Services Festlegung kritischen IT- Services Identifikation Komponenten, die für die kritischen IT-Services erforlich sind Gap-Analyse Exercising, maintaining and reviewing Unstanding the ICT continuity requirements ICT continuity program me management Developing and implementing ICT continuity strategies Determining ICT continuity strategies 13

14 In zwei Schritten werden die geschäftskritischen Prozesse identifiziert Festlegung Festlegung des des Scopes Scopes Im Im Rahmen Rahmen BCM BCM Policy Policy abgestimmt abgestimmt mit mit VO VO / / GF GF Identifikation Identifikation kritischen kritischen Prozesse Prozesse Im Im Rahmen Rahmen BIA BIA Entscheidung Entscheidung über über kritische kritische Prozesse Prozesse durch durch VO VO / / GF GF Gesamt- Prozesskatalog potentiell geschäfts- / zeitkritische Prozesse, Produkte Zeit / geschäftskritische Prozesse Nicht zeit- / geschäftskritische Prozesse BCM Nicht geschäftskritische Prozesse,Produkte 14

15 Zentraler Schritt ist die Festlegung des Scopes des BCM Konzeption Business Impact Analyse Durchführung Business Impact Analyse Nachbereitung Business Impact Analyse Identifikation Produkte und Prozesse Konzeption Impact Bewertung Impact Analyse: Identifikation kritischer Prozesse Identifikation Kritischer Ressourcen Konzeption Datenerhebung Qualitäts- Sicherung und Dokumentati on Gap-Analyse Wirtschaftlichkeitsanalyse Phase Inhalt Identifikation relevanten Produkte und Prozesse Abgrenzung relevanten Organisationsbereiche Sammlung und Auswertung vorhandener Prozessdaten Ergebnisse: Definierter und freigegebener Scope für die BIA Prozesskatalog als Grundlage für die BIA 15

16 Das BCM muß die Verfügbarkeit kritischen Wertschöpfungsketten sicherstellen Entscheidung Planung Steuerung Controlling Lieferanten Source Make Wertschöpfende Geschäftsprozesse Dienstleister Deliver Mitbewerber Markt Supply Chain Management Personal IT Enable Infra- Struktur Information Dokumente Customer Management Markt Dienstleister Vertrieb Kunden 16

17 Das Impact-Bewertungsmodell ist das methodische Kernelement BIA Konzeption Business Impact Analyse Durchführung Business Impact Analyse Nachbereitung Business Impact Analyse Identifikation Produkte und Prozesse Konzeption Impact Bewertung Konzeption Datenerhebu ng Impact Analyse Identifikation kritischer Prozesse Identifikation Kritischer Ressourcen Qualitäts- Sicherung und Dokumentati on Gap-Analyse Wirtschaftlichkeitsanalyse Phase Inhalt Konzeption Impact Bewertung Festlegung Impact Kategorien (Bsp.: Finanzielle Schäden, Reputation, Rechtliche und Regulatorische Rahmenbedingungen, Steuerungsfähigkeit, Gefährdung Gesundheit von Personen) Festlegung Betrachtungshorizonte für die Impact Bewertung Festlegung Risikoakzeptanzniveaus durch das Top-Management (ex ante) Ergebnisse: Definierter Maßstab zur Impact-Bewertung und Festlegung Kritikalität von Prozessen 17

18 Ziel Business Impact Analyse ist eine Klassifizierung Prozesse nach ihrer Kritikalität Definition kritischen Impact -Kategorien Beispiele: Personenschäden: Gefährdung Gesundheit von Mitarbeitern, Kunden, Anwohnern etc. Finanzielle Schäden: Finanzielle Schaden, die mit einem Ausfall des Geschäftsprozesses verbunden sind. Beispiele hierfür: Entgangene Umsätze, Personalkosten, Schadensersatzzahlungen, Zinsverlust, etc. Image-, Reputationsschäden: Das Unternehmen erleidet Schäden an internen und / o externen Reputation Probleme in Geschäftssteuerung: Wichtige Daten und Informationen zur Steuerung des Unternehmens stehen nicht zur Verfügung (Kalkulationsdaten, Risikomanagement, Cash-, Liquiditäts- Bilanzdaten) Verletzung gesetzl., regulatorischer Vorschriften: Gesetzliche o regulatorische Anforungen können nicht erfüllt werden Definition maximal tolerierbaren Ausfalldauer (Dringlichkeit) Wie lange kann maximal auf die Durchführung des Prozesses verzichtet werden? 18

19 Die Business Impact Analyse kann in zwei Teilschritte getrennt werden Konzeption Business Impact Analyse Durchführung Business Impact Analyse Nachbereitung Business Impact Analyse Identifikation Produkte und Prozesse Konzeption Impact Bewertung Konzeption Datenerhebu ng Impact Analyse Identifikation kritischer Prozesse Identifikation Kritischer Ressourcen Qualitäts- Sicherung und Dokumentati on Gap-Analyse Wirtschaftlichkeitsanalyse Phase Inhalt Identifikation kritischer Prozesse Vorstellung des Projekts zur Awareness-Bildung Erhebung Informationen im Rahmen BIA auf Basis des Interviewleitfadens Ergebnisse: Impact-Daten für die Geschäftsprozesse RTO s 19

20 Die Kritikalität eines Prozesses wird anhand definierter Impact- Kategorien und Risikoakzeptanz-Schwellen definiert Beispiel: Impact-Analyse für einen Geschäftsprozess Finanzielle Auswirkungen ( ) Image/Reputation über 1 Mio Eur bis 500 TEur bis 250 TEur bis 100 TEur bis 10 TEur Risikoakzeptanz-Niveau Prozess Maximal tolerierbare Ausfallzeit (MTPD) sehr groß groß mittel gering Prozess Risikoakzeptanz-Niveau Maximal tolerierbare Ausfallzeit (MTPD) Keine Keine ½ ½ Geschäftssteuerung sehr groß Risikoakzeptanz-Niveau Verletzung gesetzlicher / aufsichtsrechtlicher Anforungen Risikoakzeptanz-Niveau groß ja mittel gering Prozess Maximal tolerierbare Ausfallzeit (MTPD) nein Prozess Maximal tolerierbare Ausfallzeit (MTPD) Keine ½ ½

21 Das BCM muß die Verfügbarkeit kritischen Wertschöpfungsketten sicherstellen Entscheidung Planung Steuerung Controlling Lieferanten Source Make Wertschöpfende Geschäftsprozesse Dienstleister Deliver Mitbewerber Markt Supply Chain Management Personal IT Enable Infra- Struktur Information Dokumente Customer Management Markt Dienstleister Vertrieb Kunden 21

22 Für die kritischen Prozesse werden in einer Detailerhebung die Ressourcen und en Kritikalität ermittelt Konzeption Business Impact Analyse Durchführung Business Impact Analyse Nachbereitung Business Impact Analyse Identifikation Produkte und Prozesse Konzeption Impact Bewertung Konzeption Datenerhebu ng Impact Analyse Identifikation kritischer Prozesse Identifikation Kritischer Ressourcen Qualitäts- Sicherung und Dokumentati on Gap-Analyse Wirtschaftlichkeitsanalyse Phase Inhalt Identifikation kritischer Ressourcen Identifikation Ressourcen kritischen Geschäftsprozesse (regelbasierte) Vererbung Kritikalität von den Geschäftsprozessen auf die Ressourcen Mengen und kritische Termine Geschäftsprozesse Ergebnisse: Zuordnung Ressourcen zu den Geschäftsprozessen Anforungen an den Notbetrieb Kritikalität Ressourcen (RTO über Vererbung) 22

23 Die Kritikalität (RTO) wird regelbasiert auf die Prozess-Ressourcen vererbt Terminabhängigkeit Mitarbeiter Kritikalität Kritikalität Kritikalität Kritikalität Kritikalität Dienstleister Prozess IT-Anwendung IT-System Kritikalität Kritikalität Dokumente Gebäude Kritikalität Standort 23

24 Für die geschäftskritischen Prozesse werden die Ressourcen für den Notbetrieb identifiziert Entscheidung Planung Steuerung Controlling Lieferanten Source Make Wertschöpfende Geschäftsprozesse Dienstleister Deliver Mitbewerber Markt Supply Chain Management Personal IT Enable Infra- Struktur Information Dokumente Customer Management Rollen IT-Services Gebäude, AP Dienstleister Akten Know How Anwendungen Strom Post Vertrieb Kunden Kompetenzen Daten Komm. Markt 24

25 Ausgehend vom eingeschränkten Notbetrieb wird Wieanlauf geplant Kapazität 100 % Notfall- Ereignis Notfall-/ Krisenmanagement (Krisenstab, Notfallorganisation, Planausführung) Nacharbeiten Normal- Betrieb Geschäfts- Fortführungs- Pläne Wieanlauf Normalbetrieb Wieanlauf- Pläne Not-Betrieb: Kritische Prozesse Notfall-Personal Notfall-Arbeitsplätze IT-Anwendungen für den Notbetrieb Dokumente und Informationen für den Notbetrieb Dienstleister für den Notbetrieb Zeit 25

26 Notbetrieb und Wieanlauf für einen Geschäftsprozess Geschäftsprozess 2 Stunden 0,5 AT 1 AT 2 AT 3 AT 5 AT "Bonität prüfen" IT-Anwendungen Anwendung 1 Anwendung 2 Anwendung 3 Anwendung 4 Anwendung 5 Personal Sachbearbeiter Kompetenzträger Dienstleister Dienstleister 1 Dienstleister 2 Dokumente Kundenakte KFZ-Briefe Korrespondenz 26

27 Aus den Prozess-Anforungen werden die IT-Anforungen (RTO, RPO) abgeleitet IT Daten IT Infrastruktur wiehergestellt IT Daten wiehergestellt IT Anwendungen IT Anwendungen wiehergestellt IT Services wiehergestellt Geschäftsprozess Prozess im Notbetrieb Prozess im Normalbetrieb RPO Max. zulässiger Datenverlust RTO Wieherstellung IT MTPD Notbetrieb Prozess Normalbetrieb Zeit 27

28 Die Wirtschaftlichkeit Anforungen aus BIA muß sichergestellt sein, gegebenenfalls Anforungen reduziert werden Konzeption Business Impact Analyse Durchführung Business Impact Analyse Nachbereitung Business Impact Analyse Identifikation Produkte und Prozesse Konzeption Impact Bewertung Konzeption Datenerhebu ng Impact Analyse Identifikation kritischer Prozesse Identifikation Kritischer Ressourcen Qualitäts- Sicherung und Dokumentati on Gap-Analyse Wirtschaftlichkeitsanalyse Phase Inhalt Wirtschaftlichkeits- Analyse Grobe Kostenabschätzung für die Umsetzung Anforungen (insbesone IT und Facility Management) Balancierung von Anforungen und Kosten Ergebnisse: Abgestimmte Anforungen an Wieanlauffristen und Notbetriebsanforungen Abgestimmter Input für Notfallstrategie und Notfallplanung Abgestimmter Input für IT Service Continuity Management 28

29 BS Lifecycle: Continuity-Strategien Festlegung von ICT Continuity Strategien Evaluierung von strategischen Optionen für das ICT Continuity Management Die strategischen Optionen sind in Bezug auf die erforlichen Komponenten zur Aufrechterhaltung und Wieherstellung kritischen ICT Services zu ermitteln: Mitarbeiter, Skills Gebäude, Infrastruktur Technologie Daten Dienstleister, Versorger Exercising, maintaining and reviewing Unstanding the ICT continuity requirements ICT continuity program me management Developing and implementing ICT continuity strategies Determining ICT continuity strategies 29

30 Ausgehend von Gefährdungsanalyse für kritische IT-Services und Assets wird die Risikostrategie festgelegt Gefährdungsanalyse Behandlung von Risiken Welche IT-Assets sind durch welche Risiken bedroht? Wie können die Risiken minimiert werden? Risiko- Szenarien IT- Assets Risiko- Strategien Ursachen (Brand, Stromausfall ) Wirkungen (Nichtverfügbarkeit, Zeit) Standorte Gebäude Zentrale IT-Infrastruktur Schutzbedarf akzeptieren verminn übertragen Maßnahmen Eintrittswahrscheinlichkeit reduzieren Folgen minimieren BIA vermeiden 30

31 Aus den Ergebnissen Business-Impact-Analyse wird Schutzbedarf abgeleitet Definition IT-Assets (Schutzobjekte) Impact-Analyse Ableitung des Schutzbedarfs Schutzobjekte Definition IT Assets (Personal, zentrale Infrastruktur, Gebäude, Standorte) Impact Analyse für IT-Assets Ermittlung Schadensfolgen über die Zeit Impact Analyse Impact-Bewertung: Gesamtbewertung des Impacts für das IT-Objekt (1: normal 2: hoch 3: sehr hoch) RTO aus BCM BIAs Schutzbedarf Abgeleitete Schutzbedarfsklasse für IT-Objekte aus Impact und RTO Objekt: Server XY Typ: zentrale Infrastruktur Impact-Analyse Impact Bewertung 3 RTO aus BIA 2 Schutzbedarfsklasse 2 Dauer Ausfall Impact < 4 Stunden 2 2 < 1 Tag 2 2 < 2 Tage 3 3 < 3 Tage 3 3 < 5 Tage 3 2 Objekt: RZ Gebäude 1 Typ: Gebäude < 10 Tage Impact-Analyse 3 2 Impact Bewertung 3 RTO aus BIA 1 Schutzbedarfsklasse 3 Dauer Ausfall < 4 Stunden < 1 Tag < 2 Tage < 3 Tage < 5 Tage Impact < 10 Tage

32 Aus dem Schutzbedarf werden Risikostrategie und Maßnahmen abgeleitet Schutzbedarf IT-Assets Festlegung Risikostrategie Analyse Gefährdungen und Festlegung Maßnahmen Schutzobjekte Definition IT Assets (Personal, zentrale Infrastruktur, Gebäude, Standorte) Schutzbedarf Abgeleitete Schutzbedarfsklasse für IT-Objekte aus Impact und RTO Risikostrategie Festgelegte Risikostrategie für das IT-Objekt Risikobehandlung Gefährdungen für das IT-Objekt aus dem Gefährdungskatalog Maßnahmen für die Gefährdungen aus dem Maßnahmenkatalog Objekt: Server XY Typ: zentrale Infrastruktur Schutzbedarfsklasse 2 Risikostrategie: Risiko-Reduktion Gefährdungen Gefährdung Ausfall des IT-Systems Maßnahmen Einzelmaßnahme Status Ersatzsystem umgesetzt Objekt: RZ Gebäude 1 Typ: Gebäude Schutzbedarfsklasse 3 Risikostrategie: Risiko-Reduktion Gefährdungen Gefährdung Ausfall internen Stromversorgung Ausfall interner Versorgungsnetze Maßnahmen Einzelmaßnahme Status Lokale USV umgesetzt Redundanz umgesetzt 32

33 Strategische Optionen für das Szenario Ausfall Arbeitsplätze Ausweich- Arbeits- Plätze Cold Site Alternate Site Warm Site Home Office Verlagerung Lokation Hot Site Internes Sourcing Partner- Unternehmen Dienstleister/ Outsourcing Arbeitsplätze Verlagerung Prozesse Prozesse 33

34 BS Lifecycle: Implementierung Strategien Implementierung gewählten ICT Continuity Strategien Dokumentation von Prozessen und Verfahren Implementierung von technologischen ICT Strategien (Hot Standby, Warm Standby, Cold Standby, Ship In, kombinierte Verfahren) Datensicherungs- und wieherstellungsverfahren Krisenmanagement Geschäftsfortführungs- und Wieanlaufpläne Exercising, maintaining and reviewing Unstanding the ICT continuity requirements ICT continuity program me management Developing and implementing ICT continuity strategies Determining ICT continuity strategies 34

35 Die Implementierung des ITSCM beinhaltet einen proaktiven und einen reaktiven Teil IT SCM Management Steuerung und Regelung ITSCM Policy proaktiv reaktiv Geschäftsprozesse (BCM) IT Services Anforungen ermitteln ITSCM Strategie entwickeln Notfallpläne erstellen Krisenmanagement implementieren Tests, Übungen Umsetzungsmethoden: IT Service Continuity Mgt. IT Risiko Management IT Security Management Erkennung, Eskalation und Alarmierung Krisenmanagement Notbetrieb Wieherstellung Umsetzungsmethoden: IT Disaster Recovery IT Notfall- und Krisen Management Technische Infrastruktur IT Prozesse Incident-Mgt., Problem-Mgt., Availability Mgt., Capacity Mgt., Change Mgt. 35

36 Das IT Service Continuity Management ist integraler Bestandteil des Business Continuity Management Business Impact Analyse (BIA) Risiko- Szenarien: Risikoanalyse (RIA) Risiko- Management: BCM- Strategie: BCM- Planung: kritische Gebäude Ausfall Gebäude Ausweich- Arbeitsplätze Geschäftskritische Prozesse kritische IT-Systeme kritisches Personal Ausfall IT Ausfall Personal Risiken: (Single Points of failure) Risikoakzeptanzniveau Risikoreduzierende Maßnahmen IT-Disaster Recovery Planung Personal- Strategie BCM- Pläne kritische Dienstleister Ausfall Dienstleister Supply Management 36

37 BS Lifecycle: Übung, Wartung, Audit Übung, Wartung und Reviews, Audits Übungsprogramme Change Management Interne und externe Audits Exercising, maintaining and reviewing Unstanding the ICT continuity requirements ICT continuity program me management Determining ICT continuity strategies Developing and implementing ICT continuity strategies 37

38 Die Prüfung des ITSCM ist ein abgestuftes und abgestimmtes Verfahren Internes Audit Self- Assessment Externes Audit WP, Berater, Behörden Management Interne Revision Notfallmanager Notfallbeauftragte Process Owner 38

39 Der 4-stufige Audit-Zyklus für das ITSCM ITSCM Prüfungsplan Festlegung von Zielen, Umfang, Inhalten und Rollen Prüfung 1 2 ITSCM Prüfung Prüfung des BCM gegen definierte Standards und Performance Indikatoren Maßnahmen 4 Monitoring Umsetzung Maßnahmen, Dokumentation 3 Prüfungsbericht Dokumentation Fesstellungen und des Handlungsbedarfs 39

40 Vielen Dank für Ihre Aufmerksamkeit! Matthias Hämmerle MBCI Senior Manager Advisory Marie-Curie-Strasse 30 D Frankfurt/Main Tel. 49 (69) Fax 49 (1802) Mobile 49 (173) KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft Member of KPMG International 40