Rechts-Sicherheit Wunschtraum oder lösbare Aufgabe? Lösungen aus der Praxis. Uwe Rusch 08. November 2007

Ähnliche Dokumente
Umsatzsteuer Check 1

Workshop zu Praxisfragen des IT-Sicherheitsrechts

Vom Feigenblatt zum Kostendämpfer Wie Green IT die RZ Landschaft verändert. München,

Zertifizierung von IT-Standards

EU-DATENSCHUTZ-GRUNDVERORDNUNG

Workshops digitale Transformation

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

Ernst & Young Best Practice Survey Risikomanagement 2005

LOHNSTEUER. Beachten wir alle Vorschriften? Sind die Sachbezüge richtig bewertet? Werden Pauschalierungen richtig umgesetzt?

SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER

Datenschutz-Management-System

Security Audits. Ihre IT beim TÜV

Herzlich willkommen! Datenschutz- Grundverordnung Gewerbeverein Alfter. Köln, 26. Juni Rechtsberatung. Steuerberatung. Luther.

Herzlich Willkommen zur Veranstaltung

Ein Projekt zur Umsetzung datenschutzrechtlicher Vorgaben kann auch Chancen eröffnen, die Wettbewerbsfähigkeit des Unternehmens zu stärken.

BASWARE Compliance Services Compliance Readyness beim einvoicing

Dokumentationspflichten im neuen Datenschutzrecht

Auswirkungen eines Risikomanagementsystems nach KonTraG

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

Penetrationstests Risiko Sicherheitslücken in IT-Netzwerken

DIGITALISIERUNG konkret: Let your WORK FLOW!

PRE-SCAN KRITIS. Delivering Transformation. Together.

Auf dem Weg zu einer Data Policy. Stéphane Henry, Romande Energie / Leiter VSE Arbeitsgruppe Data Policy Powertage, Zürich, 06.

Zulässiger Umgang mit SPAM-Mails

4.3 Planung (Auszug ISO 14001:2004+Korr 2009) Die Organisation muss (ein) Verfahren einführen, verwirklichen und aufrechterhalten,

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

IT-Sicherheits- und IT-Audit Management. Dr. Jurisch, INTARGIA Managementberatung GmbH Dr. Kronschnabl, ibi-systems GmbH

Kurz Audit PLM / PDM. GORBIT GmbH. Ihr Partner in allen Phasen Ihrer IT-Projekte und Ihrem Software Life Cycle. GORBIT - Ihr IT Partner

Informationsmanagement heute

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

ISO Zertifizierung

Moderierte Potenzialanalyse. Strukturierter Unternehmens-Check mit Lösungsansätzen und Maßnahmenplan

Prüfungsnahe IT- und Prozess-Dienstleistungen

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

IT Management Rechtliche Aspekte des IT Managements am Beispiel des Umgangs mit Systemen

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

VCP - Value-Creation-Program Vorgehensweise für eine Schaffung von Unternehmenswerten

Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

Einführung von Compliance-Systemen auf Basis der Identity- & Access-Management-Suite

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

SoDRisk. Die Software-Lösung für die Identifizierung kritischer Einzelberechtigungen und Berechtigungskombinationen in Ihrem SAP -System:

-Archivierung. Revisionssicherheit. Manipulationssicherheit. Interne Organisation. Umgang mit privaten s LINUX HÖCHSTPERSÖNLICH.

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

SEMINAR. Risikomanagement kompakt. In nur 2 Tagen die eigenen Kompetenzen gezielt erweitern!

DAS MODELL DER DREI VERTEIDIGUNGSLINIEN ZUR STEUERUNG DES RISIKOMANAGEMENTS IM UNTERNEHMEN

Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO

Digitalisierung als Projekt

Weiterentwicklung Strukturierter Dialog

E-Vergabe in Österreich: Theorie und Realität

Value Discovery Analysis. Optimieren Sie Ihr Potenzial und erzielen Sie höhere Margen

FRAUNHOFER-INSTITUT FÜR MATERIALFLUSS UND LOGISTIK IML QUICK SCAN PRODUKTION

Strategische und taktische Ausrichtung der Finanzarchitektur

SEMINAR "WIRTSCHAFTSSTRAFRECHT- COMPLIANCE" (17./18. JUNI 2016)

Auftragsdatenverarbeitung und Risikobewertung Zusammenfassung der KPMG-Studie zur Auftragsdatenverarbeitung

ISO Ihr. Angriffe Alexander Häußler TÜV SÜD Management Service GmbH

Internes Kontrollsystem und Risikobeurteilung in der IT

Aspekte der rechtsgültigen Archivierung basierend auf elektronischen Signaturen

Revisionssicheres Archiv. Gesetzlicher Zwang oder Chance für effiziente Büroarbeit? Dipl.-Ing. Edwin Sembritzki Leiter Partner-Management

TeleTrusT-Informationstag "Cyber Crime"

Bring your own Device Rechtssicherer Einsatz privater Endgeräte. RA Horst Speichert

Reglement Internes Kontrollsystem (IKS)

Praxisbeispiele SAP-Lizenzmanagement

Siegener Jahreskonferenz. Risk Governance für Schweizer Kommunen. 10. Oktober Stephanie Blättler

INPRO Trainingstag Bildungs- und Entwicklungsdokumentation

Die DSGVO smart umgesetzt - das interkey Datenschutzcenter

Governance, Risk & Compliance Management as a Service

Wilken Risikomanagement

Softwarelösung für den Prozess der IT-Sicherheit. Wie sicher ist Ihre IT?

Rechtskataster. von Torsten Blaschke

Datenschutz im Unternehmen von Auftragsdatenverarbeitung bis Online-Vertrieb

Qualitätsbewusstsein und die Stellung der IT-Revision innerhalb des Unternehmens stärken und Verbesserungspotenzial

Erfolg durch Wissen. Petershauser Straße 6, Hohenkammer

Datenschutz-Grundverordnung (DSGVO) DSGVO-COMPLIANCE FRISTGERECHT ERREICHEN. Warten Sie nicht bis Mai 2018, überprüfen Sie Ihre Maßnahmen jetzt.

Den E-POSTBRIEF erleben. CeBIT Pressekonferenz 6. März 2012

Risiko-Reporting in der Lebensversicherung. Was sollte man reporten und warum? SAV-Kolloquium, 1. Juni 2012 Dr. Markus Engeli, Swiss Life AG

Umsetzung der EU-Datenschutz-Grundverordnung

Information über die Erhebung und Verarbeitung Ihrer personenbezogenen Daten

Cloud Compliance Management Roadmap für die Versicherungsbranche

Konzernsteuerungssysteme Revision IKS - Compliance

ENHANCE. EMAS ERFA Telfs, 3. Oktober 2017

Qualitätsmanagement nach DIN EN ISO 9000ff

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Apokalypse DSGVO. Wie Sie Ihr Unt ernehmen dat ensicher machen. 19. Oktober 2017

d.3 Lösung -Management

STANDARD FÜR DEN AUSTAUSCH VON AKTEN, VORGÄNGEN UND DOKUMENTEN

WERK- UND DIENSTVERTRÄGE EIN ZENTRALES THEMA FÜR DEN AUFSICHTSRAT?

SIFA WORKSHOP Mai 2014 baua - Dresden. Andreas Nenner Sicherheit im Unternehmen. Copyright: A. Nenner

Das unternehmensweite Risikomanagementsystem

Ewald Eberlein Consulting

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Umsetzung von Risikoaudits auf Konzernebene, Förderung der Nachhaltigkeit und Umsetzung eines Benchmarking durch den Risikoindex

6. PRINCE2-Tag Deutschland Erfolgsfaktoren für Projekt Audits

Unternehmensvorstellung. Wir schützen Ihre Unternehmenswerte

Schutz vor moderner Malware

SaaS leben am Beispiel der

Unternehmenswerte schützen und steigern. RWT Crowe IT Consulting GmbH

Mandanteninformation. IT - Systemcheck. DR. NEUMANN SCHMEER UND PARTNER Rechtsanwälte Wirtschaftsprüfer Steuerberater

Zertifizierung Auditdauer und Preise

Transkript:

Rechts-Sicherheit Wunschtraum oder lösbare Aufgabe? Lösungen aus der Praxis Uwe Rusch uwe.rusch@advantegy.com 08. November 2007

Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung

Aktuelles aus der Presse IT-Sicherheit: Bußgelder und Haftstrafen drohen Viele Firmen nehmen das Thema IT- Sicherheit nicht ernst genug. Demnach wird das Thema IT-Sicherheit in den Chefetagen deutscher Unternehmen noch immer stiefmütterlich behandelt... So habe lediglich ein Drittel der deutschen Firmen ein Risikomanagement für IT-Sicherheit eingerichtet, obwohl dies gesetzlich vorgeschrieben ist. Zwar kommen in 80 Prozent der Unternehmen bereits IT- Sicherheitslösungen zum Einsatz. Diese gehen allerdings nicht weit genug, um die gesetzlichen Vorgaben zu erfüllen. Quelle: http://www.silicon.de/enid/compliance/30756, 02.11.2007 Sicherheitspanne Ebay: Millionen Identitäten offen gelegt Ein Datenleck bei Ebay ermöglichte den Zugriff auf persönliche Daten von Nutzern. Betroffen von der Datenpanne waren die Empfänger des millionenfach versandten deutschen EBay-Newsletters. Durch die Sicherheitslücke seien Namen, Vornamen sowie Ebay-Mitgliedsnamen abrufbar gewesen Quelle: http://www.silicon.de/enid/security_management/30676, 30.10.2007

sowas kommt bei uns nicht vor. Nebenjob: DB-Admin klaut 2,3 Millionen Datensätze 04.07.2007 um 12:25 Uhr Der Innentäter ist bekanntlich das größte Übel: In den USA ist jetzt ein Datenbank-Administrator aufgeflogen, der Informationen über Millionen Kunden kopiert und verkauft hat. Der US-Finanzdienstleister Fidelity National Information Services hat eingeräumt, dass ein hochrangiger Datenbank-Administrator einer Tochtergesellschaft rund 2,3 Millionen Datensätze von Kunden gestohlen hat. Neben persönlichen Informationen waren auch Daten von Kreditkarten und Bankkonten betroffen Nicht auszuschließen ist jedoch, dass die Informationen beispielsweise auf einem USB-Stick das Firmengelände verlassen haben. Quelle: Computerwoche.de, 04.07.07, http://www.computerwoche.de/knowledge_center/it_security/595569/?nlc-newsletter&nlid=595569%20nachrichten%20mittags 4

Brandeilig Sprinkler löscht E-Mails des Bundestages Was so ein kleiner Kabelbrand in einem Rechenzentrum alles auslösen kann. Zum Beispiel die Sprinkleranlage, die auf Rauch reagiert und dann die Schleusen öffnet, um das Schlimmste zu verhindern. So geschehen im Rechenzentrum des deutschen Bundestages. Da ist ein defektes Kabel im Zwischenboden des Rechenzentrums durchgeschmort und hat wohl etwas geraucht. Das löste eine Sprinkleranlage aus. Nun bemühe sich die Bundesverwaltung das Rechenzentrum "so schnell wie möglich trocken zu legen und wieder in Betrieb zu nehmen". Quelle: SILICON.DE - 06.07.2007 URL: http://www.silicon.de/enid/auch_das_noch/28239 5

Neue Frauen / Männer braucht das Land 7

Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung

Welche Gesetze und Vorschriften können zutreffen? (Auszug...) GoBS HGB GDPdU BDSG Post- und Fermeldegesetz SOX SigG AO UrhG StGB IAS / IFRS Ein Beispiel: AZ 1Ws 152/04 (vom 10.01.2005): Das Tatbestandsmerkmal des Unterdrückens im Sinne des 206 StGB wird durch das Ausfiltern von Emails erfüllt! ( 206 StGB: Verletzung des Post- und Fernmeldegeheimnisse Unterdrücken einer dem Unternehmen zur Übermittlung anvertrauten Sendung) LG Berlin 2002: Das Nichtbestehen eines internen Kontrollsystems und Risikomanagementsystems berechtigt den Arbeitgeber zur außerordentlichen Beendigung des Vorstandsvertrages. 9

Es ist besser, Deiche zu bauen, als darauf zu hoffen, dass die Flut allmählich Vernunft annimmt. (Zitat: Hans Kasper (*1916), dt. Schriftsteller u. Hörspielautor, Quelle: www.zitate.de) das bedeutet: Starten Sie mit der geeigneten, für Ihre Anforderungen optimalen Absicherung der Prozesse und Technik und Berücksichtigung der relevanten Vorgaben! 10

Compliance: ein Thema, das alle im Unternehmen beschäftigt Regulatorische Anforderungen KonTraG, Basel II, GDPdU, BDSG usw. COMPLIANCE Organisation Risikomanagement, Richtlinien, Zuständigkeitein Auditierung, usw. Technik IT-Security, Archivierung, IT-Risikomanagement usw. 11

Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung

Kundenbeispiel 1 Ausgangsbasis: Mittelstandskunde, ca. 450 MA, 75 Mio. Umsatz Kunde hat nach einer Geschäftsprozessoptimierung ein neues ERP System eingeführt Prozesse sind dennoch nicht durchgängig und integriert IT wurde erst zur Umsetzung involviert Aufgabe: Identifizierung von möglichen Schwachstellen potenziellen Prozessunterbrechungen Aufzeigen von pragmatischen Lösungsmöglichkeiten

Kundenbeispiel 1 Umsetzung: Workshop mit Festlegung der Ziele und Bereiche Interdisziplinäres Team Durchführung von Kurzinterviews (jeweils 2 Stunden) mit den Prozessverantwortlichen Ergebnis: Jeder Bereich wies zum Teile gravierendes Verbesserungspotenzial auf Mängelbeseitigung in einzelnen Bereichen in wenigen Tagen umgesetzt Prozessverfügbarkeit erhöht Prozessverantwortliche verstehen die IT jetzt (endlich) als Teil des Prozesses Positive Beurteilung der WP

Kundenbeispiel 2 Ausgangsbasis: Mittelstandskunde, ca. 5000 MA, 700 Mio Umsatz CIO wollte sichere und dokumentierte IT-Prozesse Aufgabe: Identifizierung von möglichen Schwachstellen potenziellen Prozessunterbrechungen Aufzeigen von Lösungsmöglichkeiten Erstellen einer Roadmap zur Beseitigung aller Negativmerkmale

Kundenbeispiel 2 Umsetzung: Pre-Workshop Interdisziplinärer Workshop mit Vorträgen aus den Fachbereichen Technik, Organisation und Recht über 2 Tage Analyse von zwei beispielhaften Prozessen im Workshop Ergebnis: Einfache Prozesse zeigten enorme Komplexität Fachbereiche hatten nicht miteinander kommuniziert Gründung einer fachbereichs-übergreifenden Arbeitsgruppe Schnelle und pragmatische Behebung von einfachen Aufgaben Erarbeitung von Lösungen für schwierigere Probleme Erhöhung der Sicherheit im Prozess Reduzierung von Kosten / Pönalen Positive Beurteilung der WP

Kundenbeispiel 3 Ausgangsbasis: Mittelstandskunde, 600 Mio. Umsatz, 160.000 Teile täglich verfügbar Versicherungen und Kapitalgeber bemängelten die IT Sicherheit Aufgabe: Erarbeitung einer Studie Identifizieren und Aufzeigen von Lösungsalternativen Bewertung der Alternativen Erarbeitung eines Umsetzungsplanes Errichtung Backup RZ

Kundenbeispiel 3 Umsetzung: Interviews mit Fachbereichen und IT Besichtigung vor Ort Aufzeigen und Bewerten von drei Alternativen Handlungsempfehlung Ergebnis: Klare Handlungsempfehlung Unmittelbare Erhöhung der Prozesssicherheit durch Hochverfügbarkeit Reduzierung von Versicherungsprämien Dokumentation für WP und Kapitalgeber Basis für Notfallplanung und Geschäftsprozessdokumentation

Agenda Sind wir sicher? Rechtliche Anforderungen im kurzen Überblick Lösungsansätze, Beispiele - Kunde 1 - Kunde 2 - Kunde 3 Schlussfolgerung / Empfehlung

Erkenntnisse der Kunden IT ist kein Selbstzweck, sondern unterstützender (aber wichtiger) Teil der Prozesse Bildung von bereichsübergreifenden Teams und einem gemeinsamen Verständnis - Einkauf, Produktion, Logistik, Vertrieb, Gebäudemanagement Schwachstellen können meist schnell identifiziert und beseitigt werden Erhöhung der Prozesssicherheit Analysebericht hilft bei Audits und Prüfungen, das spart Kosten und gibt Sicherheit

Und es läuft und läuft und läuft. Kontrolle Identifizierung Umsetzung Teambildung Erarbeitung von Lösungen (Interviews und) Analyse

Schlussfolgerung / Empfehlung Es gibt nichts DAS Rezept, sondern nur IHRE individuelle Lösung Das Wissen steckt in Ihrem Team, legen Sie es frei Betrachten Sie die Prozesse als Ganzes und nicht nur die IT Jedes entdeckte Problem bietet die Chance besser zu werden Fangen Sie heute an!.. Und lassen Sie sich beraten

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback