Rechts-Sicherheit Wunschtraum oder lösbare Aufgabe? Lösungen aus der Praxis Uwe Rusch uwe.rusch@advantegy.com 08. November 2007
Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung
Aktuelles aus der Presse IT-Sicherheit: Bußgelder und Haftstrafen drohen Viele Firmen nehmen das Thema IT- Sicherheit nicht ernst genug. Demnach wird das Thema IT-Sicherheit in den Chefetagen deutscher Unternehmen noch immer stiefmütterlich behandelt... So habe lediglich ein Drittel der deutschen Firmen ein Risikomanagement für IT-Sicherheit eingerichtet, obwohl dies gesetzlich vorgeschrieben ist. Zwar kommen in 80 Prozent der Unternehmen bereits IT- Sicherheitslösungen zum Einsatz. Diese gehen allerdings nicht weit genug, um die gesetzlichen Vorgaben zu erfüllen. Quelle: http://www.silicon.de/enid/compliance/30756, 02.11.2007 Sicherheitspanne Ebay: Millionen Identitäten offen gelegt Ein Datenleck bei Ebay ermöglichte den Zugriff auf persönliche Daten von Nutzern. Betroffen von der Datenpanne waren die Empfänger des millionenfach versandten deutschen EBay-Newsletters. Durch die Sicherheitslücke seien Namen, Vornamen sowie Ebay-Mitgliedsnamen abrufbar gewesen Quelle: http://www.silicon.de/enid/security_management/30676, 30.10.2007
sowas kommt bei uns nicht vor. Nebenjob: DB-Admin klaut 2,3 Millionen Datensätze 04.07.2007 um 12:25 Uhr Der Innentäter ist bekanntlich das größte Übel: In den USA ist jetzt ein Datenbank-Administrator aufgeflogen, der Informationen über Millionen Kunden kopiert und verkauft hat. Der US-Finanzdienstleister Fidelity National Information Services hat eingeräumt, dass ein hochrangiger Datenbank-Administrator einer Tochtergesellschaft rund 2,3 Millionen Datensätze von Kunden gestohlen hat. Neben persönlichen Informationen waren auch Daten von Kreditkarten und Bankkonten betroffen Nicht auszuschließen ist jedoch, dass die Informationen beispielsweise auf einem USB-Stick das Firmengelände verlassen haben. Quelle: Computerwoche.de, 04.07.07, http://www.computerwoche.de/knowledge_center/it_security/595569/?nlc-newsletter&nlid=595569%20nachrichten%20mittags 4
Brandeilig Sprinkler löscht E-Mails des Bundestages Was so ein kleiner Kabelbrand in einem Rechenzentrum alles auslösen kann. Zum Beispiel die Sprinkleranlage, die auf Rauch reagiert und dann die Schleusen öffnet, um das Schlimmste zu verhindern. So geschehen im Rechenzentrum des deutschen Bundestages. Da ist ein defektes Kabel im Zwischenboden des Rechenzentrums durchgeschmort und hat wohl etwas geraucht. Das löste eine Sprinkleranlage aus. Nun bemühe sich die Bundesverwaltung das Rechenzentrum "so schnell wie möglich trocken zu legen und wieder in Betrieb zu nehmen". Quelle: SILICON.DE - 06.07.2007 URL: http://www.silicon.de/enid/auch_das_noch/28239 5
Neue Frauen / Männer braucht das Land 7
Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung
Welche Gesetze und Vorschriften können zutreffen? (Auszug...) GoBS HGB GDPdU BDSG Post- und Fermeldegesetz SOX SigG AO UrhG StGB IAS / IFRS Ein Beispiel: AZ 1Ws 152/04 (vom 10.01.2005): Das Tatbestandsmerkmal des Unterdrückens im Sinne des 206 StGB wird durch das Ausfiltern von Emails erfüllt! ( 206 StGB: Verletzung des Post- und Fernmeldegeheimnisse Unterdrücken einer dem Unternehmen zur Übermittlung anvertrauten Sendung) LG Berlin 2002: Das Nichtbestehen eines internen Kontrollsystems und Risikomanagementsystems berechtigt den Arbeitgeber zur außerordentlichen Beendigung des Vorstandsvertrages. 9
Es ist besser, Deiche zu bauen, als darauf zu hoffen, dass die Flut allmählich Vernunft annimmt. (Zitat: Hans Kasper (*1916), dt. Schriftsteller u. Hörspielautor, Quelle: www.zitate.de) das bedeutet: Starten Sie mit der geeigneten, für Ihre Anforderungen optimalen Absicherung der Prozesse und Technik und Berücksichtigung der relevanten Vorgaben! 10
Compliance: ein Thema, das alle im Unternehmen beschäftigt Regulatorische Anforderungen KonTraG, Basel II, GDPdU, BDSG usw. COMPLIANCE Organisation Risikomanagement, Richtlinien, Zuständigkeitein Auditierung, usw. Technik IT-Security, Archivierung, IT-Risikomanagement usw. 11
Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung
Kundenbeispiel 1 Ausgangsbasis: Mittelstandskunde, ca. 450 MA, 75 Mio. Umsatz Kunde hat nach einer Geschäftsprozessoptimierung ein neues ERP System eingeführt Prozesse sind dennoch nicht durchgängig und integriert IT wurde erst zur Umsetzung involviert Aufgabe: Identifizierung von möglichen Schwachstellen potenziellen Prozessunterbrechungen Aufzeigen von pragmatischen Lösungsmöglichkeiten
Kundenbeispiel 1 Umsetzung: Workshop mit Festlegung der Ziele und Bereiche Interdisziplinäres Team Durchführung von Kurzinterviews (jeweils 2 Stunden) mit den Prozessverantwortlichen Ergebnis: Jeder Bereich wies zum Teile gravierendes Verbesserungspotenzial auf Mängelbeseitigung in einzelnen Bereichen in wenigen Tagen umgesetzt Prozessverfügbarkeit erhöht Prozessverantwortliche verstehen die IT jetzt (endlich) als Teil des Prozesses Positive Beurteilung der WP
Kundenbeispiel 2 Ausgangsbasis: Mittelstandskunde, ca. 5000 MA, 700 Mio Umsatz CIO wollte sichere und dokumentierte IT-Prozesse Aufgabe: Identifizierung von möglichen Schwachstellen potenziellen Prozessunterbrechungen Aufzeigen von Lösungsmöglichkeiten Erstellen einer Roadmap zur Beseitigung aller Negativmerkmale
Kundenbeispiel 2 Umsetzung: Pre-Workshop Interdisziplinärer Workshop mit Vorträgen aus den Fachbereichen Technik, Organisation und Recht über 2 Tage Analyse von zwei beispielhaften Prozessen im Workshop Ergebnis: Einfache Prozesse zeigten enorme Komplexität Fachbereiche hatten nicht miteinander kommuniziert Gründung einer fachbereichs-übergreifenden Arbeitsgruppe Schnelle und pragmatische Behebung von einfachen Aufgaben Erarbeitung von Lösungen für schwierigere Probleme Erhöhung der Sicherheit im Prozess Reduzierung von Kosten / Pönalen Positive Beurteilung der WP
Kundenbeispiel 3 Ausgangsbasis: Mittelstandskunde, 600 Mio. Umsatz, 160.000 Teile täglich verfügbar Versicherungen und Kapitalgeber bemängelten die IT Sicherheit Aufgabe: Erarbeitung einer Studie Identifizieren und Aufzeigen von Lösungsalternativen Bewertung der Alternativen Erarbeitung eines Umsetzungsplanes Errichtung Backup RZ
Kundenbeispiel 3 Umsetzung: Interviews mit Fachbereichen und IT Besichtigung vor Ort Aufzeigen und Bewerten von drei Alternativen Handlungsempfehlung Ergebnis: Klare Handlungsempfehlung Unmittelbare Erhöhung der Prozesssicherheit durch Hochverfügbarkeit Reduzierung von Versicherungsprämien Dokumentation für WP und Kapitalgeber Basis für Notfallplanung und Geschäftsprozessdokumentation
Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung
Erkenntnisse der Kunden IT ist kein Selbstzweck, sondern unterstützender (aber wichtiger) Teil der Prozesse Bildung von bereichsübergreifenden Teams und einem gemeinsamen Verständnis - Einkauf, Produktion, Logistik, Vertrieb, Gebäudemanagement Schwachstellen können meist schnell identifiziert und beseitigt werden Erhöhung der Prozesssicherheit Analysebericht hilft bei Audits und Prüfungen, das spart Kosten und gibt Sicherheit
Und es läuft und läuft und läuft. Kontrolle Identifizierung Umsetzung Teambildung Erarbeitung von Lösungen (Interviews und) Analyse
Schlussfolgerung / Empfehlung Es gibt nichts DAS Rezept, sondern nur IHRE individuelle Lösung Das Wissen steckt in Ihrem Team, legen Sie es frei Betrachten Sie die Prozesse als Ganzes und nicht nur die IT Jedes entdeckte Problem bietet die Chance besser zu werden Fangen Sie heute an!.. Und lassen Sie sich beraten