Rechts-Sicherheit Wunschtraum oder lösbare Aufgabe? Lösungen aus der Praxis. Uwe Rusch 08. November 2007

Transkript

1 Rechts-Sicherheit Wunschtraum oder lösbare Aufgabe? Lösungen aus der Praxis Uwe Rusch 08. November 2007

2 Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung

3 Aktuelles aus der Presse IT-Sicherheit: Bußgelder und Haftstrafen drohen Viele Firmen nehmen das Thema IT- Sicherheit nicht ernst genug. Demnach wird das Thema IT-Sicherheit in den Chefetagen deutscher Unternehmen noch immer stiefmütterlich behandelt... So habe lediglich ein Drittel der deutschen Firmen ein Risikomanagement für IT-Sicherheit eingerichtet, obwohl dies gesetzlich vorgeschrieben ist. Zwar kommen in 80 Prozent der Unternehmen bereits IT- Sicherheitslösungen zum Einsatz. Diese gehen allerdings nicht weit genug, um die gesetzlichen Vorgaben zu erfüllen. Quelle: Sicherheitspanne Ebay: Millionen Identitäten offen gelegt Ein Datenleck bei Ebay ermöglichte den Zugriff auf persönliche Daten von Nutzern. Betroffen von der Datenpanne waren die Empfänger des millionenfach versandten deutschen EBay-Newsletters. Durch die Sicherheitslücke seien Namen, Vornamen sowie Ebay-Mitgliedsnamen abrufbar gewesen Quelle:

4 sowas kommt bei uns nicht vor. Nebenjob: DB-Admin klaut 2,3 Millionen Datensätze um 12:25 Uhr Der Innentäter ist bekanntlich das größte Übel: In den USA ist jetzt ein Datenbank-Administrator aufgeflogen, der Informationen über Millionen Kunden kopiert und verkauft hat. Der US-Finanzdienstleister Fidelity National Information Services hat eingeräumt, dass ein hochrangiger Datenbank-Administrator einer Tochtergesellschaft rund 2,3 Millionen Datensätze von Kunden gestohlen hat. Neben persönlichen Informationen waren auch Daten von Kreditkarten und Bankkonten betroffen Nicht auszuschließen ist jedoch, dass die Informationen beispielsweise auf einem USB-Stick das Firmengelände verlassen haben. Quelle: Computerwoche.de, , 4

5 Brandeilig Sprinkler löscht s des Bundestages Was so ein kleiner Kabelbrand in einem Rechenzentrum alles auslösen kann. Zum Beispiel die Sprinkleranlage, die auf Rauch reagiert und dann die Schleusen öffnet, um das Schlimmste zu verhindern. So geschehen im Rechenzentrum des deutschen Bundestages. Da ist ein defektes Kabel im Zwischenboden des Rechenzentrums durchgeschmort und hat wohl etwas geraucht. Das löste eine Sprinkleranlage aus. Nun bemühe sich die Bundesverwaltung das Rechenzentrum "so schnell wie möglich trocken zu legen und wieder in Betrieb zu nehmen". Quelle: SILICON.DE URL: 5

6 Neue Frauen / Männer braucht das Land 7

7 Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung

8 Welche Gesetze und Vorschriften können zutreffen? (Auszug...) GoBS HGB GDPdU BDSG Post- und Fermeldegesetz SOX SigG AO UrhG StGB IAS / IFRS Ein Beispiel: AZ 1Ws 152/04 (vom ): Das Tatbestandsmerkmal des Unterdrückens im Sinne des 206 StGB wird durch das Ausfiltern von s erfüllt! ( 206 StGB: Verletzung des Post- und Fernmeldegeheimnisse Unterdrücken einer dem Unternehmen zur Übermittlung anvertrauten Sendung) LG Berlin 2002: Das Nichtbestehen eines internen Kontrollsystems und Risikomanagementsystems berechtigt den Arbeitgeber zur außerordentlichen Beendigung des Vorstandsvertrages. 9

9 Es ist besser, Deiche zu bauen, als darauf zu hoffen, dass die Flut allmählich Vernunft annimmt. (Zitat: Hans Kasper (*1916), dt. Schriftsteller u. Hörspielautor, Quelle: das bedeutet: Starten Sie mit der geeigneten, für Ihre Anforderungen optimalen Absicherung der Prozesse und Technik und Berücksichtigung der relevanten Vorgaben! 10

10 Compliance: ein Thema, das alle im Unternehmen beschäftigt Regulatorische Anforderungen KonTraG, Basel II, GDPdU, BDSG usw. COMPLIANCE Organisation Risikomanagement, Richtlinien, Zuständigkeitein Auditierung, usw. Technik IT-Security, Archivierung, IT-Risikomanagement usw. 11

11 Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung

12 Kundenbeispiel 1 Ausgangsbasis: Mittelstandskunde, ca. 450 MA, 75 Mio. Umsatz Kunde hat nach einer Geschäftsprozessoptimierung ein neues ERP System eingeführt Prozesse sind dennoch nicht durchgängig und integriert IT wurde erst zur Umsetzung involviert Aufgabe: Identifizierung von möglichen Schwachstellen potenziellen Prozessunterbrechungen Aufzeigen von pragmatischen Lösungsmöglichkeiten

13 Kundenbeispiel 1 Umsetzung: Workshop mit Festlegung der Ziele und Bereiche Interdisziplinäres Team Durchführung von Kurzinterviews (jeweils 2 Stunden) mit den Prozessverantwortlichen Ergebnis: Jeder Bereich wies zum Teile gravierendes Verbesserungspotenzial auf Mängelbeseitigung in einzelnen Bereichen in wenigen Tagen umgesetzt Prozessverfügbarkeit erhöht Prozessverantwortliche verstehen die IT jetzt (endlich) als Teil des Prozesses Positive Beurteilung der WP

14 Kundenbeispiel 2 Ausgangsbasis: Mittelstandskunde, ca MA, 700 Mio Umsatz CIO wollte sichere und dokumentierte IT-Prozesse Aufgabe: Identifizierung von möglichen Schwachstellen potenziellen Prozessunterbrechungen Aufzeigen von Lösungsmöglichkeiten Erstellen einer Roadmap zur Beseitigung aller Negativmerkmale

15 Kundenbeispiel 2 Umsetzung: Pre-Workshop Interdisziplinärer Workshop mit Vorträgen aus den Fachbereichen Technik, Organisation und Recht über 2 Tage Analyse von zwei beispielhaften Prozessen im Workshop Ergebnis: Einfache Prozesse zeigten enorme Komplexität Fachbereiche hatten nicht miteinander kommuniziert Gründung einer fachbereichs-übergreifenden Arbeitsgruppe Schnelle und pragmatische Behebung von einfachen Aufgaben Erarbeitung von Lösungen für schwierigere Probleme Erhöhung der Sicherheit im Prozess Reduzierung von Kosten / Pönalen Positive Beurteilung der WP

16 Kundenbeispiel 3 Ausgangsbasis: Mittelstandskunde, 600 Mio. Umsatz, Teile täglich verfügbar Versicherungen und Kapitalgeber bemängelten die IT Sicherheit Aufgabe: Erarbeitung einer Studie Identifizieren und Aufzeigen von Lösungsalternativen Bewertung der Alternativen Erarbeitung eines Umsetzungsplanes Errichtung Backup RZ

17 Kundenbeispiel 3 Umsetzung: Interviews mit Fachbereichen und IT Besichtigung vor Ort Aufzeigen und Bewerten von drei Alternativen Handlungsempfehlung Ergebnis: Klare Handlungsempfehlung Unmittelbare Erhöhung der Prozesssicherheit durch Hochverfügbarkeit Reduzierung von Versicherungsprämien Dokumentation für WP und Kapitalgeber Basis für Notfallplanung und Geschäftsprozessdokumentation

18 Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung

19 Erkenntnisse der Kunden IT ist kein Selbstzweck, sondern unterstützender (aber wichtiger) Teil der Prozesse Bildung von bereichsübergreifenden Teams und einem gemeinsamen Verständnis - Einkauf, Produktion, Logistik, Vertrieb, Gebäudemanagement Schwachstellen können meist schnell identifiziert und beseitigt werden Erhöhung der Prozesssicherheit Analysebericht hilft bei Audits und Prüfungen, das spart Kosten und gibt Sicherheit

20 Und es läuft und läuft und läuft. Kontrolle Identifizierung Umsetzung Teambildung Erarbeitung von Lösungen (Interviews und) Analyse

21 Schlussfolgerung / Empfehlung Es gibt nichts DAS Rezept, sondern nur IHRE individuelle Lösung Das Wissen steckt in Ihrem Team, legen Sie es frei Betrachten Sie die Prozesse als Ganzes und nicht nur die IT Jedes entdeckte Problem bietet die Chance besser zu werden Fangen Sie heute an!.. Und lassen Sie sich beraten