Q PERIOR Audit & Risk Newsletter · AKTUELLES Q_PERIOR Audit & Risk Newsletter – 2017 – Ausgabe 4 2 Liebe Audit & Risk Newsletter Leserinnen und Leser, ich freue mich, Ihnen eine

AKTUELLES

Q_PERIOR Audit & Risk Newsletter – 2017 – Ausgabe 4

1

Q_PERIOR

Audit & Risk

Newsletter

Ausgabe 04/2017

AKTUELLES


2

Liebe Audit & Risk Newsletter Leserinnen und Leser,

ich freue mich, Ihnen eine neue Ausgabe unseres Q_PERIOR Audit & Risk Newsletters zu präsentieren. Diesmal haben wir den Schwerpunkt unseres Newsletters auf das Themengebiet Information Security gelegt.

Sie erwarten zahlreiche Themeninhalte zur IT Governance sowie zum Datenschutz.

Außerdem blicken wir auf die bevorstehenden Seminare „Prävention von wirtschafts-kriminellen Handlungen - Aktuelles, Trends und Praxisbeiträge “, für die wir hochran-ginge Referenten gewinnen konnten.

Ich wünsche Ihnen eine angenehme Lektüre.

Christof Merz (Partner, Lead Audit & Risk)

Agenda

Schwerpunktthema ........................................................................................................................................... 3

Einblicke in die Praxis zur Durchführung einer GAP-Analyse zu der EU-DSGVO ..................................... 3

Informationssicherheits-Managementsysteme unter Betrachtung der EU-DSGVO und des IT-Sicherheitsgesetzes ................................................................................................................................. 5

BDSGneu: Deutschland reizt die Öffnungsklauseln der EU-DSGVO aus ............................................... 10

MaRisk AT 8.2 – Anforderungen bei „Änderungen betrieblicher Prozesse oder Strukturen“ .............. 12

Application Security versus Cyber Crime .............................................................................................. 16

Darstellung der sich ergebenden Handlungsfelder aus den neuen BAIT .............................................. 20

Aktuelles .......................................................................................................................................................... 23

WhatsApp und Datenschutz: Unter Umständen drohen Abmahnungen! Tatsächlich? ...................... 23

Datenschutz kein zahnloser Tiger: Erstmals Geldbuße wegen Datenpanne in Frankreich nach neuen Regelungen ............................................................................................................................................ 24

Seminar „Prävention von wirtschaftskriminellen Handlungen - Aktuelles, Trends und Praxisbeiträge“ ............................................................................................................................................................... 25

Seminartermine ............................................................................................................................................... 27

September bis November 2017 ............................................................................................................ 27

Who is Who ..................................................................................................................................................... 29

Impressum ....................................................................................................................................................... 30

SCHWERPUNKT THEMA


3

Schwerpunktthema

Einblicke in die Praxis zur Durchführung einer GAP-Analyse zu der EU-DSGVO

Zum 25. Mai 2018 müssen die Anforderungen der EU-DSGVO (fortan: DSGVO) vollständig umgesetzt worden sein. Abhängig von der Branche, den Geschäftstätigkeiten, dem Datenschutz-Ist-Zustand und der Größe eines Unternehmens kann der verbleibende Zeitraum als ausreichend bis hin zu kritisch betrachtet werden. Ein zentraler Dreh- und Angelpunkt bezüglich einer Einschätzung zum Umsetzungsaufwand ist die Speicherung bzw. Verarbeitung von personenbezogenen Daten, die über die eigenen Mitarbeiter hinausgehen. Beispiels-weise muss eine Privatkundenbank (mit personenbezogenen Kundendaten) mehr Anforderungen als ein Le-bensmittelhersteller (keine personenbezogenen Kundendaten) erfüllen. Hierzu gehören beispielsweise Kun-dendaten oder auch personenbezogene Drittdaten, die für Werbe- oder Statistikzwecke genutzt werden. Hieraus resultieren zum Beispiel folgende Fragestellungen:

• In wie vielen Systemen werden diese personenbezogenen Daten verarbeitet?

• Wie lange dürfen bzw. müssen diese personenbezogenen Daten verarbeitet werden?

• Wie können diese personenbezogenen Daten automatisiert und individuell auf Anfrage gelöscht wer-den?

• Entsprechen alle Systeme den datenschutzrechtlichen Anforderungen an die Sicherheit der Verarbeitung inkl. der technischen organisatorischen Maßnahmen?

• Wurden alle Verfahren, die personenbezogene Daten verarbeiten einer Datenschutzfolgenabschätzung unterzogen?

Je besser die o. g. Fragen beantwortet werden können, desto besser kann eine Schätzung darüber abgegeben werden, wie hoch der erforderliche Umsetzungsaufwand ist. Die Durchführung einer individuellen GAP-Ana-lyse zu den DSGVO kann Abhilfe schaffen.

Ziel einer individuellen GAP-Analyse zu den DSGVO

Ziel der GAP-Analyse ist es, den Erfüllungsgrad der DSGVO zu eruieren. Nach der Durchführung der GAP-Analyse kann einem Unternehmen aufgezeigt werden, welche Datenschutz-Themengebiete einen Nachbes-serungsbedarf benötigen und wie hoch der dazugehörige Umsetzungsaufwand ist. Wie zuvor bereits erwähnt ist die Erreichung einer DSGVO Compliance sehr individuell vom jeweiligen Unternehmen abhängig.

Der erforderliche Umsetzungsaufwand zur Erreichung einer DSGVO Compliance wird häufig unterschätzt. Ausgehend von einer vollständigen BDSG Compliance könnten einige Unternehmen relativ schnell den not-wendigen Handlungsbedarf identifizieren und umsetzen, um eine DSGVO Compliance zu erreichen. Doch er-fahrungsgemäß ist diese Annahme realitätsfern, da zum heutigen Zeitpunkt viele Unternehmen die Anforde-rungen des BDSG nicht vollumfänglich umgesetzt haben. Dies führt dazu, dass neben den neuen, auch bereits existierenden Datenschutzanforderungen umgesetzt werden müssen, die grundsätzlich bereits hätten erfüllt sein müssen. Es wäre ungenügend davon auszugehen, dass die Umsetzung der Unterschiede zwischen BDSG und DSGVO, welche in verschiedenen Fachzeitschriften oftmals publiziert wurden, ausreichend sei. Jene Bei-träge sind oftmals sehr generisch und berücksichtigen weder die Unternehmensbranche noch den individu-ellen Datenschutz-Istzustand eines Unternehmens. Eine fehlende Transparenz hinsichtlich der Umsetzung von BDSG Anforderungen bereitet Unternehmen derzeit besondere Schwierigkeiten.

Praxistipps zur Durchführung einer GAP-Analyse zu der DSGVO

Praxistipp: Anforderungsanalyse Der verabschiedete Gesetzestext ist für alle Unternehmen gleichermaßen gültig und geht auf keine Bran-chenspezifika ein. Im Rahmen der Anforderungsanalyse sollte vorab eruiert werden, welche der DSGVO The-mengebiete Anwendung finden. Ein Unternehmen zum Beispiel, welches kein Big Data betreibt oder Daten-

SCHWERPUNKT THEMA


4

flüsse in ein Drittland ausschließen kann, braucht hierzu auch keine DSGVO-spezifischen Anforderungen er-füllen. Durch gezielt durchgeführte Vorabgespräche, kann der DGSVO Scope zum Teil stark reduziert werden. Im Nachgang sollte eruiert werden, ob branchenspezifische Stellungsnahmen bzw. Kommentare zu den DSGVO existieren. In den Stellungnahmen wird die Meinung von Branchenexperten kundgegeben, was bei ausgewählten DSGVO Anforderungen zu beachten ist.

Praxistipp: Durchführung GAP-Analyse (Soll-/Ist-Analyse) Bei der Soll-/Ist-Analyse bietet es sich an mit dem Verfahrensverzeichnis zu starten, welches nach Artikel 30 DSGVO vorhanden sein muss. Falls das Verfahrensverzeichnis noch nicht oder nur im rudimentären Zustand vorliegt, kann man in Erwägung ziehen, dies bereits im Rahmen der GAP-Analyse zu erstellen bzw. bearbei-ten. D.h. das Verfahrensverzeichnis wird begonnen bzw. fertiggestellt, bevor mit der eigentlichen Soll-/Ist-Analyse begonnen wird. Mit der Hilfe des Verfahrensverzeichnisses kann u.a. schnell erkannt werden

• wie die konzerninterne Verarbeitungsstruktur gestaltet ist

• welche Verfahren und welche personenbezogenen Daten verarbeitet werden

• wie lange die Speicher-/Verarbeitungsfristen je Datenkategorie sind

• welche technischen und organisatorischen Maßnahmen vorhanden sind Falls die o.g. Punkte im Verfahrensverzeichnis nicht vorhanden sein sollten und auf Nachfrage keine zufrie-denstellende Antwort gegeben werden kann, können hierdurch bereits erste GAPs abgeleitet bzw. identifi-ziert werden.

Praxistipp: Erstellung Maßnahmenkatalog und Projektplan Basierend auf den identifizierten GAPs können konkrete Maßnahmen abgeleitet werden. Innerhalb der DSGVO Themengebiete existieren Abhängigkeiten, die vor der Verabschiedung eines Projektplans herausge-arbeitet werden sollten. Ein gutes Beispiel für eine solche Abhängigkeit sind die Themen Datenschutz-Fol-genabschätzung und Verfahrensverzeichnis. Hinsichtlich des Scopings der Datenschutz-Folgenabschätzung ist oft nicht klar, mit welchen Verfahren begonnen werden soll, zumal sich dahinter ein nicht zu unterschät-zender Aufwand verbirgt. Folglich bietet es sich an, ein Scoping (z.B.: risikoorientiertes Vorgehen) basierend auf dem ausgefüllten Verfahrensverzeichnis (falls bereits vorhanden) durchzuführen. Bezogen auf den zu er-stellenden Maßnahmenkatalog und Projektplan sollte man zuerst die Fertigstellung des Verfahrensverzeich-nisses planen, bevor mit der Durchführung von Datenschutz-Folgenabschätzung begonnen wird.

Fazit

Die GAP Analyse zur DSGVO ist ein sinnvolles Instrument, um den Erfüllungsgrad der DSGVO Compliance zu eruieren. Durch die Ergebnisse der GAP Analyse kann zügig ermittelt werden, ob die zu implementierenden Maßnahmen mit eigenen Ressourcen zu erreichen sind oder ggf. Unterstützung von Externen benötigt wird. Doch Abwarten und Hinausschieben wird nicht angeraten. Mit noch knapp 9 verbleibenden Monaten ist nicht viel Restzeit vorhanden, um eine DSGVO Compliance zu erreichen.

Ansprechpartner: Jörg Wöhler (Principal Consultant, Lead IT Governance) und Stefan Van (Consultant, Infor-mation Security)

SCHWERPUNKT THEMA


5

Informationssicherheits-Managementsysteme unter Betrachtung der EU-DSGVO und des IT-Sicherheitsgesetzes

Informationssicherheits-Managementsystem

Das Informationssicherheitsmanagementsystem (ISMS) wahrt die Vertraulichkeit, Integrität und Verfügbar-keit von Information unter Anwendung eines Risikomanagementprozesses und verleiht interessierten Par-teien das Vertrauen in eine angemessene Steuerung der existenten Risiken. Das ISMS stellt Prozesse und Richtlinien in Unternehmen auf, um die Informationssicherheit nach dem PDCA-Zyklus (Plan-Do-Check-Act) zu steuern, kontrollieren und stetig zu verbessern.

Konkrete Zielsetzungen eines ISMS sind:

• Identifizieren und Bewerten von Informationsrisiken

• Einführen und Entwickeln eines Risikomanagementsystems

• Identifizieren von schützenswerten Informationen (u.a. sensible personenbezogene Daten)

• Entwickeln von Schutzmaßnahmen

• Etablieren des Sicherheitsbewusstseins im Unternehmen

• Kontinuierliches Verbessern der Maßnahmen durch den PDCA-Zyklus Dieses Managementsystem kann gemäß der IS0/IEC 27001 zertifiziert werden.

ISMS: Eine Betrachtung der EU-DSGVO und des IT-Sicherheitsgesetzes

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz

Seit Juli 2015 leistet das IT-Sicherheitsgesetz (IT-SiG) einen Beitrag dazu, IT-Systeme und digitale Infrastruk-turen zu sichern. Insbesondere kritische Infrastrukturen (KRITIS) der Sektoren Energie, Informationstechnik und Telekommunikation, Medien, Gesundheit, Wasser, Ernährung, Transport und Verkehr sowie Finanz-dienstleister spielen eine zentrale Rolle und in ihrer Verfügbarkeit für die Gesellschaft. Ein Ausfall oder bereits eine Beeinträchtigung derer hätte weitreichende Folgen der Versorgungsdienstleistung. Um einen höchst-möglichen Wirkungsgrad der Versorgungsdienstleistung zu erreichen, sieht das IT-SiG die Einführung eines DIN ISO/IEC 27001-konformen Informationssicherheits-Managementsystems (ISMS) sowie dessen Zertifizie-rung vor.

Das Gesetz setzt darüber hinaus folgende Schwerpunkte:

• Etablierung eines Business Continuity Management Systems

• Vorhalten von Plänen für die Notfallwiederherstellung

• Meldepflicht bei „erheblichen Störungen“

Die Verordnung sieht Bußgelder in Höhe von bis zu 100.000 Euro vor, sofern die geforderten technischen und organisatorischen Vorkehrungen zur Vermeidung von Störungen informationstechnischer Systeme, Kompo-nenten oder Prozesse nicht, nicht korrekt, nicht vollständig oder nicht rechtzeitig umgesetzt sind.

Die Einführung eines ISMS (Alternativ die ISO 27001 auf der Basis von IT-Grundschutz), dessen Betrieb und zusätzlicher Zertifizierung ist verbindlich zum Stichtag des 31. Januar 2018.

SCHWERPUNKT THEMA


6

Europäische Datenschutz-Grundverordnung (EU-DSGVO)

Durch die am 25. Mai 2016 in Kraft getretene EU-Datenschutzgrundverordnung (EU-DSGVO) wird der Daten-schutz in den EU-Mitgliedsstaaten harmonisiert - die bisherige europäische Datenschutzrichtlinie 95/46/EG sowie darauf basierende nationale Datenschutzgesetze werden abgelöst. Bis zum 25. Mai 2018 haben Un-ternehmen nun Zeit, die Verordnungsinhalte umzusetzen. Die Umsetzung der EU-DSGVO einschließlich des Artikel 32 hat bis zum Stichtag des 25. Mai 2018 zu erfolgen.

Um die Bedeutung der Verordnung zu unterstreichen, wurden zum einen die Bußgelder drastisch auf bis zu 20 Millionen € bzw. 4 % des gesamten weltweiten Vorjahresumsatzes erhöht und zum anderen die neue Rechenschaftspflicht des Datenverarbeiters. Dieser muss die Einhaltung der Vorgaben der DSGVO nachwei-sen, was zu einer prozessualen Beweislastumkehr führen kann.

Die EU-DSGVO verfolgt das Ziel, das Datenschutzrecht zu modernisieren sowie zu harmonisieren und setzt u.a. folgende wesentliche Schwerpunkte:

• Datensparsamkeit

• Angemessenheit

• Erforderlichkeit

• Transparenz

• Zweckbindung

• Datensicherheit

• Unabhängige Aufsicht

Die EU-DSGVO hat unmittelbaren Anwendungsvorrang gegenüber dem deutschen Bundesdatenschutzgesetz (BDSG).

Die Grundsätze und Kriterien der EU-DSGVO führen zu einer Anpassung der datenschutzrelevanten Prozesse, um ein angemessenes Datenschutzniveau zu erreichen. Die Umsetzung der entsprechenden Maßnahmen, insbesondere in den Bereichen Dokumentation, Risikobewertung und Kontrolle sind entscheidend, um dem größeren Haftungsrahmen sowie höheren Bußgeldern entgegenzuwirken.

Die DSGVO verpflichtet demnach alle europäischen Unternehmen ein dem Risiko entsprechendes Schutzni-veau für personenbezogene Daten zu etablieren. Die Anforderungen der DSGVO fordern im Rahmen des Art. 32 und im Sinne eines ISMS nicht nur die Art, den Umfang und den Zweck der Verarbeitung von (personen-bezogenen) Daten zu berücksichtigen, sondern auch den Stand der Technik und die Kosten sowie die Be-trachtung von Eintrittswahrscheinlichkeiten. Darüber hinaus werden den Risiken gegenüber den Betroffenen hinsichtlich der Schutzziele der Vertraulichkeit, Verfügbarkeit und Integrität und der zusätzlichen Belastbar-keit der Systeme eine besondere Bedeutung zugesprochen. Diese Anforderungen sind regelmäßig zu über-prüfen.

Zusammenführung und Wechselwirkungen der Verordnungen

Konkret lässt sich aus den beiden oben genannten Verordnungen die Implementierung eines ISMS direkt aus dem IT-Sicherheitsgesetz und indirekt aus der EU-DSGVO ableiten, wobei das Informationssicherheits-Mana-gementsystem ein Datenschutz-Managementsystem explizit nicht ersetzt. Die indirekte Ableitung bezieht sich im Besonderen auf den Artikel 32 der EU-DSGVO „Sicherheit der Verarbeitung“ und verweist stark auf die Grundsätze des ISMS. Dies sind im Einzelnen:

• Technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu ge-währleisten

• Pseudonymisierung und Verschlüsselung personenbezogener Daten

• Dauerhafte Sicherstellung der Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) sowie der Be-lastbarkeit der Systeme

SCHWERPUNKT THEMA


7

• Sicherstellen der Fähigkeit, die Verfügbarkeit personenbezogener Daten bei einem physischen oder technischen Zwischenfall in kurzer Zeit wiederherzustellen

Umsetzung der EU-DSGVO einschließlich des Artikel 32 zum 25. Mai 2018

Der Artikel 32 (Sicherheit der Verarbeitung) der EU-DSGVO ist jedoch nicht einzeln zu betrachten, sondern als Bestand-teil weiterer Artikel, welche die IT-Sicherheit betreffen.

Auch die Differenzierung gegenüber anderen europäischen Ländern wird im Rahmen der folgenden Zusammenführung der Verordnungen auf deutsche Unternehmen begrenzt.

Die Anforderungen beider Verordnungen lassen sich inso-fern zusammenführen, da Datenschutz und IT-Sicherheit eng verbunden sind, auch wenn der Teil des Datenschutzes formal nicht zur IT-Grundschutz-Zertifizierung des BSI ge-hört und den personenbezogenen Daten daher keine Son-derstellung eingeräumt wird.

Ein ISMS unterstützt generell darin, Daten hinsichtlich der klassischen Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität abzusichern und dient damit direkt der Einhaltung vorgegebener rechtlicher und vertraglicher Grenzen inner-halb der Verarbeitung, Nutzung und Speicherung personen-bezogener Daten.

Diese Betrachtungsweise führt dazu, dass nicht nur schützenswerte Daten durch entsprechende Daten-schutz-Maßnahmen abgesichert werden, sondern auch alle anderen Daten.

So entsteht für Unternehmen, die unter das IT-SiG fallen zum einen ein Bottom-Up-Ansatz, der aus der Im-plementierung eines ISMS hervorgeht. Dieser wird in Ergänzung weiterer Maßnahmen hinsichtlich der EU-DSGVO und den darin bestehenden rechtlichen und technischen Fragen erweitert.

Für alle anderen Unternehmen gilt ein Top-Down-Ansatz, indem zunächst eine GAP-Analyse durchgeführt wird und daraus konkrete Maßnahmen abgeleitet werden. Diese Maßnahmen und die Verfolgung deren Um-setzung werden in einem Datenschutz-Managementsystem zusammengeführt, um so das Ziel einer DSGVO-Compliance zu erreichen. Dabei ist in der Umsetzung der Maßnahmen die ISMS-Implementierung nur ein Baustein des Gesamten.

Abbildung: DSGVO-Artikel – IT-Sicherheit

Abbildung: Übersicht Schnittmenge IT-SIG und EU-DSGVO

SCHWERPUNKT THEMA


8

Heutiger Umsetzungsgrad - Können die gesetzten Fristen noch eingehalten werden?

Nach dem derzeitigen Stand und aktuellen Befragungen sind sich die Unternehmen hinsichtlich der Umset-zung der DSGVO und der zeitlichen Vorgabe zwar bewusst, sie haben auch bereits entsprechende operative Umsetzungen begonnen oder abgeschlossen. Dennoch werden einige Unternehmen die gesetzlich geforder-ten Zeitvorgaben nach heutigem Stand nicht einhalten können.

Dies hat das Beratungshaus „Carmao“ in einer Befragung von mehr als 300 Vorständen und Geschäftsführern ermittelt. Auf die Frage „Bis wann werden alle Maßnahmen für die EU-DSGVO abgeschlossen sein“ gaben die Befragten ihre Rückmeldung, was sich in den nachfolgenden Zahlen widerspiegelt:1

• 3 Prozent haben die Umsetzung bereits realisiert

• 7 Prozent gehen von einer Umsetzung bis zum Jahresende aus

• 33 Prozent werden die Umsetzung bis Mai 2018 realisiert haben

• 39 Prozent gaben eine Umsetzung bis Ende 2018 an

• 18 Prozent werden die Anforderungen erst 2019 oder später erfüllen können

Die Gründe in der Verzögerung liegen darin begründet, dass mit der Umsetzung der Maßnahmen erst in jüngster Vergangenheit begonnen wurde, oder mit der Einführung zwar begonnen, jedoch diese nicht kon-sequent weitergeführt wurde. Ein Grund hierfür ist beispielsweise auf die Bearbeitung anderer Fokus-The-men wie Industrie 4.0 oder Digitalisierung zurückzuführen.

Hinsichtlich des Umsetzungsgrades für ISMS im Rahmen des IT-SiG liegen derzeit keine aktuellen Zahlen vor. Zwar mögen bereits einige der betroffenen Unternehmen die Einführung durchgeführt und rechtzeitig ab-schlossen haben. Allerdings wird der größte Teil der betroffenen Unternehmen die gesetzliche Vorgabe nur teilweise oder noch gar nicht einhalten. Hinzukommt, dass Zertifizierer und externe Berater in der aktuellen Situation nur über begrenzte Kapazitäten verfügen.

An dieser Stelle ist zu wiederholen, dass eine ISMS-Zertifizierung für Unternehmen die unter das IT-SiG fallen ein „Must Have“ und für anderen Unternehmen ein „Nice to have“ ist. Die Grundlagen der ISO 27001-Zerti-fizierung werden nachfolgend erläutert:

ISMS-Zertifizierung nach DIN ISO/IEC 27001

Mit einer Zertifizierung weist man nach, dass gesetzliche oder behördliche Anforderungen erbracht wurden bzw. eingehalten werden. Nicht nur die DSGVO fordert die Etablierung eines ISMS, sondern auch das IT-Si-cherheitsgesetz, Basel II/III, MaRisk oder AktG. Gefordert sind hierbei entsprechende Dokumentationen und die praktische Umsetzung sowie der Nachweis von Verfahren und Regeln, wie Richtlinien und Prozesse, die ein ISMS hinsichtlich des PDCA-Zyklus definieren.

Die Grundlage einer Zertifizierung sind die nachfolgenden zwei Ansätze:

1. ISO 27001 (nativ) Der native Ansatz der Zertifizierung ist weitestgehend prozessorientiert. Kernbestandteil des ISMS ist eine Risikoanalyse zur Risikoidentifikation und deren Behandlung. Weiter sind etwa 150 Maßnahmen umzusetzen, zu denen sich das Unternehmen erklären muss. Innerhalb der nativen Vorgehensweise werden keine kon-kreten Handlungsempfehlungen zur Umsetzung gegeben.

1 (Quelle: https://www.computerwoche.de/a/viele-unternehmen-werden-die-fristen-der-eu-dsgvo-nicht-einhalten-koennen,3330812)

SCHWERPUNKT THEMA


9

2. ISO 27001 auf der Basis von IT-Grundschutz Die Vorgehensweise auf Basis des IT-Grundschutzes ist maßnahmenorientiert, wonach typische Gefährdun-gen durch das BSI selbst bewertet werden und eine eigene Risikoanalyse entfällt. Besteht jedoch ein höherer Schutzbedarf, ist eine zusätzliche Risikoanalyse relevant. Im Vergleich zur nativen Vorgehensweise sind auf Basis des IT-Grundschutzes 1.100 konkrete Maßnahmen definiert, die in der Umsetzung umfassend und zeit-intensiv sind.

Fazit:

Die vorangegangene Betrachtung zeigt, dass ein ISMS neben dem Sicherheitsaspekt hinsichtlich IT-Systemen und auch gegenüber dem Schutz personenbezogener Daten ein grundlegender Baustein der Digitalisierung darstellt. Branchenunabhängig erfolgt die Wertschöpfung und Informationsverarbeitung größtenteils IT-ge-stützt und weist einen sehr hohen Vernetzungsgrad auf. Nicht nur durch die Begrifflichkeiten und Entwick-lungen der Industrie 4.0, dem Smart Home oder dem Mobile Work, sondern auch durch weitere Beispiele werden die Themen IT-Sicherheit und der Datenschutz zum wesentlichen Erfolgsfaktor für die Unternehmen, bei denen die effiziente Prävention, Detektion und Abwehr digitaler Angriffe bestimmend sind.

Ansprechpartner: Jörg Wöhler (Principal Consultant, Lead IT Governance) und Pascal Müller (Consultant, Reg-ulatory & Risk Management)

Abbildung: Zertifizierungsprozess am Beispiel des TÜV Rheinland

SCHWERPUNKT THEMA


10

BDSGneu: Deutschland reizt die Öffnungsklauseln der EU-DSGVO aus

Am 27. April 2017 wurde der seitens der Bundesregierung eingebrachte „Entwurf eines Gesetzes zur Anpas-sung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassung-und-Umsetzungsgesetz EU-DSAnpUG-EU)“ vom Deutschen Bundestag beschlossen.

Das sogenannte BDSGneu ist der Nachfolger des in Deutschland noch geltenden BDSG. Warum ein nationales Datenschutzgesetz, wo doch die EU-Datenschutzgrundverordnung im letzten Jahr beschlossen wurde und schließlich am 25.05.2018 in Kraft tritt und unmittelbar für alle EU-Staaten gilt?

Die EU-DSGVO beinhaltet an der einen oder anderen Stelle sogenannte Öffnungsklauseln, durch welche die einzelnen Mitgliedsstaaten Einzelregelungen für das eigene Land beschließen können.

Aufbau des neuen Gesetzes

Das BDSGneu ist in vier Teile aufgegliedert.

Teil 1 (§§ 1-21 BDSGneu) beschäftigt sich mit allgemeinen Bestimmungen, die sowohl der DSGVO, der Daten-schutz-Richtlinie Polizei und Justiz oder einem nicht diesen Normen unterfallenden Bereich unterliegen.

Teil 2 (§§ 22 – 44 BDSGneu) hingegen beinhaltet Durchführungsbestimmungen für Verarbeitungen zu Zwe-cken gemäß Artikel 2 der Verordnung (EU) 2016/679. D.h., die hier aufgeführten Bestimmungen sind als Er-gänzung der EU-DSGVO zu verstehen und dienen der Ausfüllung der Öffnungsklauseln.

Bestimmungen für Datenverarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 finden sich in Teil 3 (§§ 45 – 84 BDSGneu). Dementsprechend dient dieser Teil der Umsetzung der Richtlinie Polizei und Justiz, ausgenommen der spezifischen Regelungen.

Teil 4 (§§ 85 BDSGneu) beinhaltet besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU)2016/680 fallenden Tätigkeiten. Sprich: darin hat der Gesetzgeber besondere Bestimmungen für Datenverarbeitungen, welche nicht unter die beiden EU-Gesetze (EU-DSGVO, Richtlinie Polizei und Justiz) fallen, ausgeführt.

In der Gesamtbetrachtung mit der EU-DSGVO sind die künftig in Deutschland geltenden Datenschutzregula-rien erheblich umfangreicher als die bisherigen. Das BDSG umfasste 48 Paragraphen, BDSGneu und EU-DSGVO gemeinsam 184 Normen. Künftig gilt es also viermal mehr Vorschriften zu beachten als bisher.

Auszug der Auswirkungen des BDSGneu

Das neue nationale Gesetz beinhaltet nun auch Regelungen für öffentliche Stellen. Was bisher in den einzel-nen Landesdatenschutzgesetzen geregelt wurde, wird nun also im BDSGneu für alle Bundesländer einheitlich geregelt.

Bezüglich der Stellung des Datenschutzbeauftragten hält das neue Gesetz am alten BDSG fest und stärkt den Datenschutzbeauftragten im Vergleich zu den hierzu aufgeführten Regelungen in der EU-DSGVO.

Das BDSGneu sieht die Möglichkeit der Ausweitung von Kameraüberwachung in öffentlich zugänglichen Räu-men, wie bspw. Bahnhöfen, Fußballstadien etc. Diese Ausweitungsmöglichkeiten sollen dem Interesse / der Erhöhung / Steigerung der öffentlichen Sicherheit dienen.

Auch für Betriebsräte bedeuten die neuen Regularien mehr Arbeit, denn in Art. 88 Abs. 2 DSGVO und § 26 Abs. 2 BDSGneu stellt sich heraus, dass Betriebsvereinbarungen ebenfalls die neuen Datenschutzanforderun-gen erfüllen müssen. Dies gilt sowohl für neue Betriebsvereinbarungen als auch für bereits bestehende, um-fasst also eine Überarbeitung bestehender Betriebsvereinbarungen.

SCHWERPUNKT THEMA


11

Die elementarste Änderung zur EU-DSGVO ergibt sich aus § 26 BDSGneu für den Beschäftigtendatenschutz. Entgegen der Anforderung aus der EU-DSGVO besagt die BDSGneu-Norm, dass Einwilligungserklärungen, wie bisher in Deutschland, auch weiterhin schriftlich einzuholen sind. Des Weiteren beinhaltet § 26 Abs. 1 Ziffer 1 BDSGneu die Möglichkeit, dass auch Kollektivvereinbarungen Legitimationsgrundlage für Datenverarbei-tungen sein können, wenn eine solche Verarbeitung zur Ausübung oder Erfüllung einer solchen Vereinbarung erforderlich ist. Bisher wurde diese Möglichkeit unter „einer anderen Rechtsvorschrift“ im Sinne des § 4 Abs. 1 BDSG subsummiert. Neu ist also die ausdrückliche Nennung dieser Möglichkeit.

Als Beschäftigte gemäß § 26 Abs. 8 BDSGneu werden nun ausdrücklich auch Leiharbeitnehmer/-innen im Verhältnis zum Entleiher genannt, genauso wie Freiwillige, die nach Bundesfreiwilligendienstgesetz tätig sind.

Kritik am BDSGneu

Die neuen Regularien aus dem BDSGneu werden von Datenschützern nicht kritiklos hingenommen, die wich-tigsten Kritikpunkte sind:

• Genereller Vorrang der öffentlichen Sicherheit vor Belangen des Datenschutzes, bspw. bzgl. der ausge-weiteten Videoüberwachungsmöglichkeiten

• Weiterhin soll die Bundesbeauftragte für den Datenschutz in einem geheimen Verfahren, statt mit öf-fentlicher Diskussion bestellt werden können, dies entspricht nicht den Transparenzpflichten der DSGVO

• Die Autorität der Datenschutzaufsicht wird weiterhin beschnitten, da sich die Sanktionsmöglichkeiten der BfDI im Sicherheitsbereich auf „Beanstandungen“ ohne rechtliche Konsequenz beschränken

• Beschränkungen des Auskunftsrechts führen dazu, dass Datenverarbeiter sich der Kontrolle Betroffener entziehen können

• Bzgl. der Beschäftigtendatenverarbeitung oder der Forschung existieren weiterhin Regelungsdefizite

Fazit:

Das BDSGneu hat die Öffnungsklauseln der EU-DSGVO genutzt und geht dabei an die Grenzen der in der EU-DSGVO offerierten Möglichkeiten. Womöglich überreizen die Gesetzgeber die Öffnungsklauseln und die da-raus resultierenden Möglichkeiten sogar.

Es bleibt abzuwarten, ob das Gesetz in dieser Form zeitgleich mit der EU-DSGVO in Kraft tritt oder ob die EU selbst noch einmal tätig wird und den deutschen Gesetzgeber um Nachbesserung auffordern wird.

Ansprechpartner: Jörg Wöhler (Principal Consultant, Lead IT Governance) und Miriam Schumacher (Senior Consultant, Information Security)

SCHWERPUNKT THEMA


12

MaRisk AT 8.2 – Anforderungen bei „Änderungen betrieblicher Prozesse oder Strukturen“

1. Hintergrund und Ziele

Die Finanzinstitute müssen die von ihnen betriebenen Geschäftsaktivitäten verstehen und die damit verbun-den Risiken identifizieren, überwachen und steuern. Das gilt auch für Veränderungen, die aus den Geschäfts- und Risikostrategien resultieren. Die MaRisk sehen hierfür gemäß AT 8 einen entsprechenden Anpassungs-prozess vor, um die Risiken durch Unkenntnis der Auswirkungen bei Veränderungen in den organisatorischen Strukturen zu reduzieren. Das gilt besonders bei:

• 8.1 – Aktivitäten in neuen Produkten oder auf neuen Märkten

• 8.2 – Änderungen betrieblicher Prozesse oder Strukturen

• 8.3 – Unternehmensübernahmen, Fusionen oder Neugründung von Finanzdienstleistungsgesellschaften Hierfür haben die Finanzinstitute entsprechende Regelungen und Prozesse in Form von Organisationsrichtli-nien zu implementieren, um die aufsichtsrechtlichen Mindestvorgaben, Meldepflichten und Rahmenbedin-gungen zu erfüllen.

Bei „Änderungen betrieblicher Prozesse oder Strukturen“, d. h. bereits vor der Umsetzung von wesentlichen Änderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen ist eine Auswirkungsanalyse der geplanten Veränderungen durchzuführen. Dabei geht es um die Auswirkungen der geplanten Verände-rungen auf die Kontrollverfahren und die Kontrollintensität, um die Funktions- und Wirksamkeit des IKS unter den veränderten Rahmenbedingungen weiterhin sicherzustellen.

Die Durchführung dieser Projekte macht ein angemessenes Vorgehensmodell zum Projekt-, Qualitäts- und Changemanagement mit den dazugehörenden Arbeitsmitteln, Gremien sowie Berichts- und Eskalationsver-fahren erforderlich. Ohne eine strukturierte, geordnete und nachvollziehbare Vorgehensweise in den einzel-nen Projektphasen wird das Ziel der Veränderungen in dem geplanten Rahmen (Umfang, Qualität, Zeit und Kosten) kaum zu erreichen sein und das Risikoprofil erfahrungsgemäß negativ beeinflussen. Das zeigt sich in der Praxis leider häufig bei IT-(Software)Projekten, die vielfach scheitern, das gewünschte Ziel nur teilweise erreichen oder deutlich mehr zeitlichen Aufwand und Kosten verursachen, als ursprünglich geplant.

2. Auswirkungen auf das Risikoprofil

Geht es bspw. um die Durchführung eines Software-Migrationsprojektes in einer kundenindividuellen Sys-temumgebung, also nicht um eine standardisierte Software-Aktualisierung (Release-Wechsel), so sind damit häufig wesentliche Änderungen in der betroffenen IT-Anwendung verbunden, die eine Umsetzung unter Ein-haltung der aufsichtsrechtlichen Anforderungen aus dem Modul AT 8.2 erforderlich machen.

In der weiteren Betrachtung wird nicht näher auf die Änderungen des fachlichen Risikoprofils sowie auf die bestehenden Arbeitsabläufe (Prozesse) und in die darin integrierten Kontrollaktivitäten eingegangen, son-dern auf das Umsetzungsprojekt. Es ist jedoch obligatorisch, diese o. g. Anforderungen entsprechend zu be-rücksichtigen. Ein ausgereiftes Prozessmanagement, idealerweise eng verknüpft mit der Verwaltung von operationellen Risiken ist hierfür hilfreich und meist unerlässlich.

Nehmen wir bspw. an, dass die wesentlichen Auswirkungen auf das Risikoprofil bei diesem Vorhaben aus den typischen Projektrisiken resultieren und aus dem Erreichen der festgelegten Ziele. Hierzu gehören im Wesentlichen die folgenden Risiken:

• Terminrisiken – zeitliche Verzögerungen, Einhaltung gesetzlicher Fristen

• Budgetrisiken – Kostensteigerungen

• Planungsrisiken – Unschärfe bei Schätzungen von Zeit, Aufwand und Kosten

• Abhängigkeitsrisiken – Abhängigkeit zu anderen Projekten oder Managemententscheidungen

SCHWERPUNKT THEMA


13

• Personelle Risiken – Verfügbarkeit, Qualifikation, Motivation der Beteiligten (intern und extern)

• Realisierungsrisiken – Machbarkeit des spezifizierten Ziels

• Qualitätsrisiken – z. B. erhöhte Testaufwände wegen unzureichender Spezifikation der Anforderungen, sowie unvollständige bzw. fehlerhafte Umsetzungen

• Compliance Risiken – Verstöße gegen interne oder externe Vorschriften

• Vertragsrisiken – unzureichende Definition des Vertragsgegenstandes (Leistungsumfang, Qualität, Ter-mine, Kompetenzen, Ressourcen, Gremien, Berichts- und Eskalationsverfahren, Vertragsstrafen etc.)

• Lieferantenrisiken – unzureichende Ressourcen, Qualifikation, Qualität

• Infrastrukturrisiken – verspätete bzw. unzureichende technische Ausstattung oder

• IT-technische Unterstützung

3. Phasenorientiertes Vorgehensmodell

3.1 Phasenmodell für Veränderungen Unabhängig von Auslöser und Art der Veränderung vollziehen sich die Änderungen in der Organisationsstruk-tur in identischen Phasen, die bei iterativen Verfahren mehrfach durchlaufen werden. Das Drei-Phasen-Mo-dell für Veränderungen untergliedert den Projektablauf in die einzelnen Phasen und liefert die Grobstruktur für das Projekt:

Phasen Inhalt/Umfang

Phase I • Auslöser (Problemstellung) – Projektidee

• Analyse von Aufgabe und Lösung(en) – Vorstudie

• Entscheidung/ Beschluss durch die Geschäftsführung (Ablehnung oder Genehmigung mit/ohne Auflagen) – Projektinitialisierung bzw. Nichtumsetzung

Phase II • Spezifikation – Anforderungsdefinition

• Implementierung – Umsetzung

• Erprobung – Test

• Aktivierung – Produktivsetzung

Phase III • Stabilisierung – Fehlerkorrekturen, Unterstützung in der Einfüh-rungsphase

• Nachschau – Restarbeiten • Projektabschluss – Rückschau („Lessons Learned“)

Bei wesentlichen bzw. umfangreichen Änderungen in den Arbeitsabläufen ist es unerlässlich, vorab entspre-chende Fachkonzepte mit den fachlichen Anforderungen durch die Fachbereiche erstellen zu lassen, was ge-nerell obligatorisch sein sollte. Das gelingt jedoch meist nur mit umfangreicher Unterstützung aus dem IT-Anwendungsmanagement und mit Einbeziehung der Fachspezialisten in Form von Workshops. Wird auf eine vollständige und verständliche Anforderungsspezifikation verzichtet, so besteht ein sehr hohes Risiko, dass Projekte scheitern bzw. nicht im gewünschten Rahmen umsetzbar sind! Um die Vollständigkeit und Stimmig-keit der Fachkonzepte zu gewährleisten müssen die Anforderungen aus unterschiedlichen Blickwinkeln und mit Einbeziehung der Governance Funktionen qualitätsgesichert werden. Dabei sollten auch die realistische Umsetzbarkeit, die Abfolge der Umsetzung und die Abhängigkeiten zu anderen Projekten im Unternehmen beachtet werden. Auf eine Abnahme der Fachkonzepte durch die Fachabteilungen sollte dabei nicht verzich-tet werden; das gilt in gleicher Weise für die IT-technischen Konzepte, um eine verlässliche und akzeptierte Basis für die Umsetzung zu schaffen.

SCHWERPUNKT THEMA


14

3.2 Phasenmodell für die Softwareentwicklung Bei der Realisierung eines Software-Migrationsprojekts in einer kundenindividuellen Systemumgebung ist es sehr wichtig nicht nur den Projektablauf zu strukturieren, sondern auch den Softwareentwicklungsprozess mit allen dazugehörigen Phasen, als einen integralen Bestandteil des Projektes. Der Ablauf eines phasenori-entierten Softwareentwicklungsprojektes ist nachfolgend schematisch dargestellt:

Phasen Inhalt/Umfang

Phase 1 (Anforderungsanalyse)

• Anforderungsspezifikation/Fachkonzept (Beschreibung der fachli-chen Anforderungen und Leistungsmerkmale)

• Prüfung und Freigabe des Fachkonzeptes

Phase 2 (Design)

• DV-Konzept bzw. technische Lösungsbeschreibung

• Inhaltliche Prüfung und Freigabe der technischen Lösungsbeschrei-bung

• Erstellung der Zeit- und Kostenplanung für die technische Lösungs-beschreibung

• Umsetzungsfreigabe (Softwarekomponenten, Module)

Phase 3 (Implementierung)

• Programmierung der Softwarekomponenten inkl. Funktionstests (durch interne oder externe Dienstleistungen)

• Auslieferung der Softwarekomponenten mit der zugehörigen Sys-tem-Dokumentation

• Unterstützung durch Schulungen und Support, um die Implemen-tierung und Nutzung der Softwarekomponenten im Kundenumfeld zu ermöglichen

Phase 4 (Test und Abnahme)

• Installation und kundenindividuelle Konfiguration der Software-komponenten in der Testumgebung

• Annahme-Test (Überprüfung der Testfähigkeit)

• Testplanung und Steuerung

• Testanalyse und -entwurf

• Testrealisierung und -durchführung

• Testauswertung und Berichte

• Fehlerkorrektur und Change Request Prozesse

• Validierung der Ergebnisse gegenüber der Anforderungsspezifika-tion

• Abnahmetests

Phase 5 (Auslieferung und Produktions-start)

• Erstellung der Betriebs- und Anwenderdokumentation

• Prüfung der Voraussetzungen für den Produktivbetrieb

• Übernahme der Softwarekomponenten in den Produktivbetrieb

• Durchführung von Anwenderschulungen

• Produktionsfreigabe

Phase 6 (Stabilisierungsphase)

• Restarbeiten, Fehlerkorrekturen, Stabilisierungsmaßnahmen

• Unterstützung der Fachbereiche in der Anlaufphase

• Begleitung der Übergabephase in die Linienorganisation

• Stilllegung von Systemen, Strukturen etc.

• Projektabschluss mit Rückschau (Optimierung der Veränderungs-prozesse)

Das o. g. Phasenmodell der Softwareentwicklung ist eingebettet in das Projektmanagement. Je nach Umfang, Struktur und Vorgehensmodell im Projekt, werden einzelne Phasen mehrfach durchlaufen.

SCHWERPUNKT THEMA


15

3.3 Test und Abnahme des Systems Das Testen ist eine wesentliche und umfangreiche Herausforderung, um die Vollständigkeit der Lösungs-umsetzung und die fehlerfreie Verarbeitungsfunktionalität zu überprüfen. Diese Aufgaben werden meist in einem eigenen Teilprojekt gebündelt und auf Grundlage eines Testkonzeptes mit den unterschiedlichen Test-stufen geplant, bearbeitet, überwacht und gesteuert. Um das Testen transparent und nachvollziehbar zu ge-stalten sollten alle Phasen des Testablaufs (Testplanung, -durchführung, -dokumentation, -auswertung und Berichtswesen) in einem Testmanagement-Tool abgebildet werden. Das Abnahmeverfahren anhand defi-nierter Kriterien umfasst alle Teststufen und regelt die Voraussetzungen für den Übergang in die nächste Teststufe und für alle Testdurchläufe. Es ist der Nachweis über die Erfüllung der funktionalen und nichtfunk-tionalen Anforderungen. Die Testdurchführung erfolgt daher zwingend in separaten Systemumgebungen, die von der Produktivumgebung getrennt sind. Bzgl. der verwendeten Testdaten ist auf die Einhaltung der da-tenschutzrechtlichen Vorgaben zu achten.

Für den abschließenden Abnahmetest durch den Fachbereich wird eine umfassende Testumgebung inkl. aller verbundenen Systeme (Schnittstellen) zur Verfügung gestellt, die sowohl funktional als auch bzgl. ihrer Hard-wareausstattung weitestgehend der späteren Produktionsumgebung entspricht.

Ansprechpartner: Jörg Wöhler (Principal Consultant, Lead IT Governance) und Norbert Neben (Managing Consultant, Information Security)

SCHWERPUNKT THEMA


16

Application Security versus Cyber Crime

Mittels Application Security werden Prozesse und Lösungen bereitgestellt, welche jede Art von Applikationen eines Unternehmens, z.B. Webanwendungen, Mobile Apps, Webservices, etc. in Bezug auf die Datenverfüg-barkeit, die Datenintegrität und die Vertraulichkeit von Daten sicherstellen sollen. D. h. es werden Maßnah-men und Kontrollen bereitgestellt, um die Unternehmensanwendungen vor Angriffen von außen und miss-bräuchlicher Nutzung zu schützen. Statistiken zeigen, dass die Anzahl an Angriffen gegen Unternehmensnetz-werke und vor allem auch explizit auf Anwendungen von Unternehmen in der Vergangenheit stark zugenom-men haben. Insgesamt gibt es unterschiedliche Quellen, welche Kosten durch Cybercrime für die globale Wirtschaft jährlich entstehen, da sich die Ziffer monetär schwer berechnen lässt. Realistisch liegt der Wert derzeit wohl irgendwo zwischen 400 Milliarden und einer Billionen Dollar, Tendenz steigend. Daraus entsteht natürlich enormes Potenzial für Application Security. Durch die Einführung und die Umsetzung von geeigne-ten Sicherheitsmaßnahmen, z.B. durch ein Information Security Management System lässt sich das Risiko auf einen erfolgreichen Angriff auf die Unternehmens-IT enorm verringern. Eine Möglichkeit zur Verbesserung der Applikationssicherheit wird im Folgenden genauer erläutert.

Application Security Prozess:

Der in Abbildung 1 beschriebene Application Security Prozess lässt sich in das Application Lifecycle Manage-ment integrieren und sollte bereits bei der Applikationsentwicklung starten. In einem vorgelagerten Schritt müssen Rollenzuordnungen für die jeweilige Applikation definiert werden. Jede Applikation benötigt einen Information-Owner, welcher im Regelfall vom Business ist und der Inhaber der Informationen/Daten und damit auch Entscheider für Änderungen der Applikation ist. Weiterhin bedarf es eines IT-Owners, welcher der primäre technische Ansprechpartner der Applikation ist und auch entsprechendes IT-Know how besitzen sollte. Weitere Rollen können helfen, die Verantwortlichkeiten klar zu verteilen.

Der Application Security Prozess lässt sich in die folgenden 5 Phasen unterteilen:

• 1. Durchführen der Informationsklassifizierung

• 2. Durchführen einer Business Impact Analyse

• 3. Durchführen eines Application Security Status Assessments

• 4. Umsetzung von Gegenmaßnahmen und Kontrollen

• 5. Auditierung der Umsetzung von Kontrollen und ggf. weitere Tests. Es empfiehlt sich für jeden Prozessschritt unterschiedliche Tools und Templates bereitzuhalten. Für die In-formationsklassifizierung und der Businessimpactanalyse empfehlen sich spezifische Fragenkataloge (u.a. mit Fragen nach der Wichtigkeit von Verfügbarkeit, Integrität oder Compliance der jeweiligen Daten der Appli-kation), welche durch eine automatische Kalkulation je nach Beantwortung des Fragenkatlogs ein Ergebnis liefern. Für die Anfrage und Umsetzung von Kontrollen und Gegenmaßnahmen empfehlen sich u.a. kurz ge-fasste und gut strukturierte Checklisten. Ein Auszug der wichtigsten Kontrollen wird im Folgenden aufgelistet.

SCHWERPUNKT THEMA


17

Abbildung: Application Security Prozess

Kontrollen: Je nach Höhe des Risikos, welche in der Business Impact Analyse festgestellt wurde und auch in Abhängigkeit der Klassifizierung der verarbeiteten Daten, ergibt sich ein unterschiedlicher Schutzbedarf der Applikation. Je kritischer die Applikationen und dessen Daten sind, desto mehr Aufwand muss in die Umsetzung von Kon-trollen und Gegenmaßnahmen zur Absicherung der Applikationen gesteckt werden.

Die folgende kurze Auflistung enthält eine kurze Zusammenstellung aus den wichtigsten Kontrollen, welche in OWASP, ISO 27001 und NIST Standards empfohlen werden.

Dabei lassen sich die Kontrollen folgendermaßen einordnen:

Lifecycle Controls

Roles and Responsibilities • Rollen und Verantwortlichkeiten müssen pro Applikation klar defi-niert sein.

Asset Classification and Controls • Unternehmenswerte und die Wichtigkeit der Daten müssen defi-niert und durch entsprechende Kontrollen geschützt werden.

Source Code Analysis and Vulnerability assessments

• Durch die Analyse des Sourcecodes der Applikation und auch durch weitere Vulnerability Assessments können bei der Applikationsent-wicklung von vorneherein Schwachstellen geschlossen werden.

Pentests and Audits • Durch Penetrationstests und Audits werden die Einhaltung von um-gesetzten Kontrollen geprüft und noch vorhandene Schwachstellen durch Tests von Dritten identifiziert.

Architecture Controls

Security Architecture • Bei der Entwicklung jeder Applikation sollte auch ein entsprechen-des Security Architektur Modell entwickelt werden, bei welchem Schnittstellen, Datenströme, Ports, Protokolle und weitere Details aufgeführt werden. Außerdem sollte es ein Berechtigungskonzept geben.

SCHWERPUNKT THEMA


18

Access Control • Die Zugriffe müssen nach dem Prinzip „need to know“ vergeben werden. Dabei gilt es die Prinzipien der Authentisierung, der Au-thentifizierung sowie der Autorisierung umzusetzen. Die Authenti-sierung stellt den Nachweis einer Person dar, dass sie tatsächlich diejenige Person ist, die sie vorgibt zu sein. Die Authentifizierung stellt eine Prüfung der behaupteten Authentisierung dar. Die Auto-risierung ist die Einräumung von speziellen Rechten.

Encryption of Information in Transit and at Rest

• Daten sollten sowohl bei der Übertragung als auch bei der Speiche-rung nach aktuellen Standards verschlüsselt werden.

Network and Host Security • Die Netzwerkinfrastruktur muss durch entsprechende Gegenmaß-nahmen und Firewallregelungen geschützt werden.

Session Management • Sessions müssen nach einer bestimmten Zeit automatisch beendet werden. Weiterhin sollte jede Applikation die Möglichkeit zum Lo-gout bieten.

Logging, Monitoring and Reporting • Ein entsprechendes Logging und Monitoring aller Security-technisch relevanten Events sollte durchgeführt und entsprechend reported werden.

Security Configuration & Data Protec-tion

• Die Applikationen sind nach entsprechenden Hardening Guidelines aufzubauen und ein Virus Scanner sollte vorhanden sein.

Maintenance Controls

Service Management Processes • Alle zutreffenden Service Management Prozesse sollten eingehal-ten werden dazu zählen u.a.: Change Management, Release and Patch Management, IT Service Continuity Management, Incident Management, etc..

Backup Management

Disaster Recovery

• Zwar auch Teil von Service Management aber unbedingt zu beach-ten, da Daten ohne ein vernünftiges Backupmanagement möglich-erweise dauerhaft verloren gehen. Dabei ist auch immer wichtig zu beachten, dass die entsprechenden Notfallpläne verfügbar sind, da-mit die Dienste möglichst schnell wiederhergestellt werden können

Education and Awareness • Die Schulung von Mitarbeitern ist auch immer ein sehr wichtiger Teil von Application Security. Wissen die Mitarbeiter, nicht wie kritisch die Daten sind, die sie behandeln und was im Falle von Security In-cidents zu tun ist, dann ist ein möglicher Schaden wesentlich wahr-scheinlicher.

Motivation hinter Application Security:

Unternehmen stehen heute mehr denn je im Fokus von Angreifern. Sekündlich gibt es Hackingversuche auf die Netzwerke von deutschen DAX Konzernen. Der Schaden durch Angriffe auf Unternehmensnetzwerke, dessen Applikationen und deren Daten steigt von Jahr zu Jahr. In 2016 lag der gesamte weltweite wirtschaft-liche Schaden durch Cybercrime zwischen 300 und 600 Milliarden. Einige Quellen gehen davon aus, dass bereits im Jahr 2017 die Billionenmarke an Schadenswerten überschritten wird. Daher wird es immer wich-tiger, sich und sein Unternehmen sowie die Unternehmenswerte gegen Cyberkriminalität zu schützen. Fol-gende kurze Bespiele sollen nochmal kurz die Wichtigkeit von Application Security untermauern. Wobei man sieht, dass unterschiedliche Quellen auch hier zu unterschiedlichen Ergebnissen kommen.

• Gartner: 82% aller Lücken befinden sich in den Applikationen selbst

• NIST: 92% aller Schwachstelen befinden sich in den Applikationen

• RSA 2013: 86% aller erfolgreichen Angriffe erfolgen über das Application Layer

• Cenzic: 99% aller Webapplikationen können erfolgreich durchbrochen werden

SCHWERPUNKT THEMA


19

Hackingstats (nur einige Beispiele):

• Yahoo knapp 1 Milliarde gehackte Accounts

• Dropbox über 60 Millionen Accounts

• Linked In ca. 170 Millionen Accounts

Ein Eingriff auf eine Unternehmensapplikation kann von vielen Seiten ausgehen, durch einen gehackten Ac-count, durch eine Schwachstelle in der Software oder der Webanwendung oder auch durch eine Schwach-stelle im Betriebssystem in der Plattform oder im darunterliegenden Service. Allerdings werden 82-92% (je nach Quelle) aller erfolgreichen Angriffe auf Unternehmen über das Application Layer direkt auf die Applika-tion durchgeführt. Applikationen sind also das primäre Angriffsziel von Cyberkriminellen und Application Security ist daher ganzheitlich gesehen von höchster Bedeutung.

Der Nutzen von Application Security:

Mittels der ganzheitlichen Umsetzung von Application Security und den dazugehörigen Kontrollen und Ge-genmaßnahmen lassen sich die Risiken für einen Angriff auf die Applikation und damit die Daten der Unter-nehmen deutlich verringern. Weiterhin werden die Applikationen im Regelfall nach der Umsetzung von ent-sprechenden Kontrollen ausfallsicherer und durch klare Verantwortlichkeiten, Dokumentation und Notfall-pläne lassen sich die Applikationen im Falle eines Disasters schneller wiederherstellen. Werden in Applikati-onen kritische Daten verarbeitet und gespeichert, dann ist es unabdingbar, gewisse Gegenmaßnahmen um-zusetzen, um die Daten vor dem Zugriff durch Dritte zu schützen, ansonsten droht der Verlust von Wirt-schaftsgeheimnissen sowie anderen sensiblen Daten. Dies hat wiederrum zur Folge, dass zu allererst mone-täre Schäden entstehen aber auch, dass das Ansehen Im Markt, der Partner und der Mitarbeiter auf das Unternehmen im erheblichen Maße schwindet. Weiterhin sind natürlich hohe Strafen durch mögliche Klagen und weitere rechtliche Konsequenzen die Folge.

Ansprechpartner: Jörg Wöhler (Principal Consultant, Lead IT Governance) und Kersten Schöbe (Consultant, Information Security)

SCHWERPUNKT THEMA


20

Darstellung der sich ergebenden Handlungsfelder aus den neuen BAIT

Durch die neuen bankaufsichtlichen Anforderungen an die IT (BAIT) ergeben sich Handlungsfelder, die hier zusammenfassend dargestellt werden:

IT-Strategie

Die Geschäftsleitung legt eine nachhaltige IT-Strategie fest, in der die Ziele sowie die Maßnahmen zur Errei-chung dieser Ziele dargestellt werden.

Handlungsfelder:

• Die IT-Strategie muss mit der Geschäftsstrategie konsistent sein.

• Darstellung der strategischen Entwicklung der IT-Aufbau- und Ablauforganisation (IT-Prozesse) sowie der IT-Auslagerungsstrategie,

• Festlegung eines gängigen IT-Standards und Etablierung dieses in den IT-Prozessen und dem Informati-onssicherheitsmanagementsystem,

• Commitment der Geschäftsführung zur Bedeutung der Informationssicherheit,

• Darstellung des Zielbilds der IT-Architektur in Form eines Überblicks über die IT-Anwendungslandschaft sowie

• Aussagen zur Individuellen Datenverarbeitung (IDV)

IT-Governance

Die IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwick-lung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie.

Handlungsfelder:

• IT-Aufbau- und IT-Ablauforganisation: Vermeidung von Interessenskonflikten, Sicherstellung der Funkti-onstrennung sowie regelmäßiger Rezertifizierungen von Berechtigungen,

• IT-Risikosteuerungs- und IT-Controllingprozesse: Identifizierung, Beurteilung, Steuerung sowie Überwa-chung und Kommunikation der wesentlichen Risiken,

• Etablierung eines Informationssicherheitsmanagements,

• Gewährleistung einer quantitativ und qualitativ angemessenen Personalausstattung der IT und

• Sicherstellung einer angemessenen technisch-organisatorischen Ausstattung

Informationsrisikomanagement

IT-Systeme und zugehörige IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.

Handlungsfelder:

• Definition der mit dem Informationsrisikomanagement verbundenen Aufgaben, Kompetenzen, Verant-wortlichkeiten, Kontrollen und Kommunikationswege,

• Einrichtung angemessener Risikosteuerungs- und –controllingprozesse sowie Berichtswege und

• Ermittlung des Schutzbedarfs für die Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und "Au-thentizität" mittels Business-Impact-Analyse für die Geschäftsprozesse und mittels Schutzbedarfsanalyse für die IT-Anwendungen und Systeme

SCHWERPUNKT THEMA


21

Informationssicherheitsmanagement

Das Informationssicherheitsmanagement definiert Soll-Anforderungen sowie Prozesse der Informationssi-cherheit und sorgt für deren Umsetzung. Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Hierfür wird ein Managementsystem für Informationssicherheit benötigt.

Handlungsfelder:

• Beschluss und Implementierung einer Informationssicherheitsleitlinie,

• Etablierung der organisatorisch und prozessual unabhängigen Funktion des Informationssicherheitsbe-auftragten, Berichterstattung an die Geschäftsleitung,

• Definition von Informationssicherheitsprozessen,

• Definition konkretisierender, den Stand der Technik berücksichtigender Informationssicherheitskon-zepte sowie

• Etablierung angemessener Prozesse für Informationssicherheitsvorfälle

Benutzerberechtigungsmanagement

Das Benutzerberechtigungsmanagement stellt sicher, dass der Zugang zum Informationsverbund und die den Benutzern eingeräumten Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatori-schen und fachlichen Vorgaben des Instituts entspricht.

Handlungsfelder:

• Definition und Etablierung eines Benutzer- und Berechtigungsmanagements.

• Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen für Benut-zer haben durch Genehmigungs- und Kontrollprozesse sicherzustellen, dass die Vorgaben des IT-Berech-tigungskonzepts eingehalten werden.

• Etablierung eines Rezertifizierungsprozesses: Überprüfung, ob die eingeräumten IT-Berechtigungen wei-terhin benötigt werden und ob diese den Vorgaben des IT-Berechtigungskonzepts entsprechen.

• Einrichtung angemessener Protokollierungsprozesse.

IT-Projekte, Anwendungsentwicklung

Wesentliche Veränderungen in den IT-Systemen im Rahmen von IT-Projekten, deren Auswirkung auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse sind im Rahmen einer Auswirkungs-analyse zu bewerten.

Handlungsfelder:

• Regelung der organisatorischen Grundlagen von IT-Projekten (inkl. Qualitätssicherungsmaßnahmen) und von Kriterien für deren Anwendung,

• Angemessene Steuerung von IT-Projekten unter Risikogesichtspunkten,

• Angemessene Überwachung und Steuerung des Portfolios der IT-Projekte,

• Festlegung angemessener Prozesse und Verfahren für die sichere Anwendungsentwicklung,

• Sicherstellung der Schutzziele nach Produktivsetzung der entwickelten Anwendung,

• Sicherstellung einer angemessenen Versionierung,

• Durchführung angemessener Testverfahren vor Produktivsetzung,

• Sicherstellung der Überwachung des Regelbetriebs nach Produktivsetzung sowie

• Etablierung eines angemessenen Verfahrens für die Klassifizierung/Kategorisierung (Schutzbedarfsklas-sen).

SCHWERPUNKT THEMA


22

IT-Betrieb (inkl. Datensicherung)

Der IT-Betrieb hat die Erfüllung der Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie erge-ben, wirksam zu unterstützen.

Handlungsfelder:

• Die Komponenten der IT-Systeme sowie deren Beziehungen zueinander sind angemessen zu verwalten.

• Das Portfolio aus IT-Systemen ist angemessen zu steuern.

• Die Prozesse zur Änderung von IT-Systemen sind abhängig von Art, Umfang, Komplexität und Risikogehalt auszugestalten und umzusetzen.

• Anträge zur Änderung von IT-Systemen sind in geordneter Art und Weise aufzunehmen, zu dokumentie-ren, unter Berücksichtigung möglicher Umsetzungsrisiken zu bewerten, zu priorisieren, zu genehmigen sowie koordiniert und sicher umzusetzen.

• Die Meldungen über ungeplante Abweichungen vom Regelbetrieb (Störungen) und deren Ursachen sind in geeigneter Weise zu erfassen, zu bewerten, insbesondere hinsichtlich möglicherweise resultierender Risiken zu priorisieren und ggf. zu eskalieren.

• Die Vorgaben für die Verfahren zur Datensicherung sind in einem Datensicherungskonzept zu regeln.

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen. Die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation beim sonstigen Fremdbe-zug von IT-Dienstleistungen sind zu beachten.

Handlungsfelder:

• Beim Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten,

• Steuerung der Verträge betreffend den sonstigen Fremdbezug von IT-Dienstleistungen,

• Durchführung einer Vorab-Risikobewertung für jeden sonstigen Fremdbezug von IT-Dienstleistungen,

• Regelmäßige und anlassbezogene Überprüfung der Risikobewertungen, etwaige Vertragsanpassungen vornehmen sowie

• Überwachung der Leistungserbringungen im Rahmen des sonstigen Fremdbezugs.

Ansprechpartner: Jörg Wöhler (Principal Consultant, Lead IT Governance)

AKTUELLES


23

Aktuelles

WhatsApp und Datenschutz: Unter Umständen drohen Abmahnungen! Tatsächlich?

Fast jeder hat ihn. Den beliebten Messenger WhatsApp. Nun könnte Ungemach drohen. Die Frage stellt sich allerdings, warum und für wen?

Im Urteil AG Bad Hersfeld, 15.05.2017 - F 120/17 EASO finden sich die folgenden Orientierungssätze:

• „Wer den Messenger-Dienst "WhatsApp" nutzt, übermittelt nach den technischen Vorgaben des Diens-tes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetrage-nen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen.

• Wer durch seine Nutzung von "WhatsApp" diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden“

Schon bei der ersten Nutzung liest Whatsapp die Kontaktdaten aus, um festzustellen, ob bekannte Nutzer bereits WhatsApp nutzen. Mit dieser Datenverarbeitung bezüglich der betroffenen Kontakte dürfte der Be-treiber gegen nationales und europäisches Datenschutzrecht verstoßen, da hier auch Daten von Personen, die Whatsapp nicht nutzen, demgemäß also auch in eine Nutzung seitens Whatsapp keinesfalls eingewilligt haben, verarbeitet werden.

Es bleibt jedoch abzuwarten, ob hierfür auch der jeweilige Nutzer belangt werden kann. Zum einen handelt es sich um eine Einzelfall Entscheidung zum anderen dürfte es wahrscheinlicher sein, dass dem Betreiber „Schwierigkeiten“ drohen. Es sei also vor einer – teilweise jetzt schon im Internet verbreiteten - Abmahn-hysterie gewarnt.

Ansprechpartner: Christian Brockhausen (Principal Consultant, Lead Compliance)

AKTUELLES


24

Datenschutz kein zahnloser Tiger: Erstmals Geldbuße wegen Datenpanne in Frank-reich nach neuen Regelungen

Der Autovermieter Hertz muss 40.000 Euro an die französische Staatskasse zahlen, weil Daten von über 35.000 Kunden offen über seine Webseite zugänglich waren.

Von Mai 2018 an können Aufsichtsbehörden aller EU-Mitgliedsstaaten gemäß der Datenschutz-Grundver-ordnung Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Konzernen bis zu vier Prozent des weltwei-ten Umsatzes des Vorjahres verhängen.

In Frankreich hat die zuständige Aufsichtsbehörde nun das erste Mal bereits von den in den durch die EU-DSGVO ermöglichten Sanktionsmöglichkeiten Gebrauch gemacht. Ermöglicht wurde dies durch die nationale Umsetzung der EU-DSGVO, welche der Aufsicht das Recht gibt, Geldbußen für Datenverstöße zu verhängen.

Die Datenpanne beim Unternehmen bestand darin, dass im Oktober 2016 persönliche Daten wie Name, Kon-taktdetails und Führerscheinnummern von 35.357 Nutzern der Webseite www.cartereduction-hertz.com frei zugänglich waren. Dies aufgrund eines individuellen Fehlers der IT.


AKTUELLES


25

Abbildung: Büro der Q_PERIOR, Leopoldstr. 28A in München

Seminar „Prävention von wirtschaftskriminellen Handlungen - Aktuelles, Trends und Praxisbeiträge“

Veranstaltungshinweis: 23.11.2017 München

Der nächste Termin

• 23.11.2017 München

Mehr Informationen und die Möglichkeit zur Anmeldung finden Sie hier

Die Referenten und Vorträge

Die nationalen und internationalen Entwicklungen im Bereich Corporate Governance, Anforderungen der nationalen Aufsicht sowie aktuelle Fälle messen dem Internen Kontrollsystem zur Verhinderung wirtschafts-krimineller Handlungen immer größere Bedeutung zu. Nicht zuletzt aufgrund der in jüngster Zeit verstärkten Berichterstattung in den Medien zum Thema Fraud ist eine besondere Sensibilisierung der Mitarbeiter, die Analyse des Gefährdungspotenzials und ein verstärkter Fokus der Internen Revision auf diese Themen not-wendig.

Parallel dazu wachsen aber auch die Erfahrungen zur erfolgreichen Bekämpfung und Aufdeckung wirtschafts-krimineller Handlungen. Daher möchten wir Ihnen einen Einblick in die aktuellen Entwicklungen geben und aufzeigen, wie sich durch die Verstärkung der Internen Kontrollen Fraud-Risiken erkennen und ggf. vermei-den lassen. Wir stellen Ihnen erfolgreiche Methoden und wirksame Werkzeuge zur Erkennung doloser Hand-lungen vor.

Es freut uns, dass wir Alexander Meinrad von der Allianz SE als Referenten gewinnen konnten. Er ist dort in der Funktion des Anti-Fraud Coordinator/ Investigator tätig und wird in seinem Vortrag „Anti Fraud Manage-ment in der Praxis am Beispiel der Allianz“ spannende Einblicke bieten.

Robert von Winter, Fraudexperte, wird zum Thema „Sensibilisierung für betrügerische Handlungen und Vor-gehen bei Deliktrevisionen“ sprechen. Im Mittelpunkt der Ausführungen werden die unterschiedlichen Aus-löser und begünstigenden Umstände von Fraud Risiken sowie die systematische Vorbereitung und Durchfüh-rung einer Sonderuntersuchung bei begründetem Anfangsverdacht auf eine wirtschaftskriminelle Handlung stehen. Der Vortrag wird durch zahlreiche Beispiele aus der jahrelangen Praxis des Referenten sehr anschau-lich und praxisnah gestaltet.

http://www.q-perior.com/event/seminar-praevention-von-wirtschaftskriminellen-handlungen/

AKTUELLES


26

Darüber hinaus werden Zoran Jotanovic von der Audicon GmbH zum Thema „Toolgestützte Fraud-Preven-tion and -Detection“ sowie Christian Brockhausen von der Q_PERIOR zu „Durchführung einer Gefährdungs-analyse Fraud“ referieren.

Wir würden uns freuen, Sie bei einer der nächsten Veranstaltungen begrüßen zu dürfen.

Wir bieten dieses Seminar auch als individualisierte Inhouse-Schulung an. Sprechen Sie uns gern dazu an.


SEMINARTERMINE


27

Seminartermine

Im Folgenden möchten wir Ihnen ausgewählte Seminare bei Q_PERIOR vorstellen

September bis November 2017

IKS II - Interne Risiko- und Kontrollsysteme aufbauen und fortlaufend überwachen

– DIIR (Mehr...)

13. – 15.09.2017

Systemisch prüfen – DIIR (Mehr...) 18. – 19.09.2017

IKS I - Risikoorientierte Prüfung von Prozessen – DIIR (Mehr...) 20. – 22.09.2017

Beurteilung von Risikokapitalmodellen - Stärken und Schwächen von Risikomodel-len und aktuariellen Funktionen – DVA (Mehr...)

21. – 22.09.2017

Digitaler Wandel in der Versicherungswirtschaft - Herausforderungen und Lösun-gen – DVA (Mehr...)

21. – 22.09.2017

Der professionelle Revisionsbericht – H+P (Mehr...) 25. – 26.09.2017

Einführung in die Prüfung von Kapitalanlagen von VU – DIIR (Mehr...) 25. – 26.09.2017

IT-Revision und IT-Compliance, steigende Herausforderungen in der Branche – DVA (Mehr...)

27. – 29.09.2017

Lehrgang Geprüfte/-r Facharchitekt/-in in Versicherungsunternehmen (DVA) Ein-führung in die Facharchitektur – Modul 1 Grundlagen der Facharchitektur und des Anforderungsmanagements – DVA (Mehr...)

27. – 29.09.2017

Prüfung Fit&Proper – DIIR (Mehr...) 27.09.2017

Prüfung der Wirtschaftlichkeit von Geschäftsprozessen – DIIR (Mehr...) 28. – 29.09.2017

Prüffeld Outsourcing – H+P (Mehr...) 09. – 10.10.2017

Intensivseminar: Managementreporting - Komplexe quantitative Zusammenhänge aussagekräftig und zielgruppenadäquat transportieren – DVA (Mehr...)

09. – 10.10.2017

Einführung in die Interne Revision – DIIR (Mehr...) 16. – 19.10.2017

Prüfung von IT-Dienstleistern und ausgelagerten Funktionen (Outsourcing) – DVA (Mehr...)

23. – 24.10.2017

Prüfung der Wirtschaftlichkeit von Geschäftsprozessen – DIIR (Mehr...) 23. – 25.10.2017

Projekte prüfen aus Sicht der Internen Revision – DIIR (Mehr...) 25. – 27.10.2017

Aufbau einer modernen Revisionsabteilung – DIIR (Mehr...) 26. – 27.10.2017

Neu: Revision des Personalbereichs – AIR (Mehr...) 30. – 31.10.2017

Einführung in die Interne Revision – DIIR (Mehr...) 31.10. – 03.11.2017

Grundlagen des Business Process Management (BPM) & Prozessmodellierung – Modul 1 Übergreifende Konzepte, Werkzeuge und Methoden – DVA (Mehr...)

06. – 07.11.2017


Projekte prüfen aus Sicht der Internen Revision – SVIR (Mehr...) 06. – 08.11.2017

Prüfung Versicherungsmathematische Funktion (gem. Solvency II) – DIIR (Mehr...) 08.11.2017

Aufbau eines IKS unter Solvency II – DVA (Mehr...) 09. – 11.11.2017

Implementierung eines ISMS unter Solvency II – DVA (Mehr...) 10.11.2017

http://www.diir.de/akademie/seminare/



http://www.versicherungsakademie.de/startseite/


http://www.haub-seminare.de/seminare/






http://www.haub-seminare.de/seminare/







http://www.internerevision.at/seminare/




https://www.svir.ch/aus-weiterbildung/




SEMINARTERMINE


28

Prüfung von Kapitalmodellen im VU – DIIR (Mehr...) 13. – 14.11.2017

Einführungsseminar "Grundlagen Interne Revision" – SVIR (Mehr...) 13. – 16.11.2017


FRAUD nachhaltig vermeiden - Erkennung und Prävention – DIIR (Mehr...) 20. – 21.11.2017

Aufbau eines Indikatorensystems und Einbindung in das Risikomanagement - Ge-staltung eines Frühwarnsystems – DVA (Mehr...)

23.11.2017

Prävention von wirtschaftskriminellen Handlungen – Q_PERIOR (Mehr...) 23.11.2017

IT-Anwendungsarchitektur in VU - Optimale Datensicherheit – Aufbau, Basiswissen und Methoden zur Erstellung und Pflege – DVA (Mehr...)

27.11.2017

Einführung in die Interne Revision – DIIR (Mehr...) 27. – 30.11.2017

Haben Sie Interesse an einer Inhouse-Schulung? Sprechen Sie uns gern direkt an!

Ansprechpartner: Dr. Peter Wesel (Managing Consultant, Internal Audit)


https://www.svir.ch/aus-weiterbildung/




http://www.q-perior.com/



WHO IS WHO


29

Florian Neu Consultant

Who is Who Who is who

Florian Neu

In jeder Ausgabe stellen wir Ihnen Mitglieder unseres Teams bzw. Kollegen, die der Revision oder dem Risi-komanagement nahestehen, vor. Diesmal Florian Neu, Consultant Compliance.

Was gefällt Ihnen bei Q_PERIOR am besten? Dass man schon vor dem ersten Tag mit offenen Ar-men empfangen wird.

Was treibt Sie an?

Beruflich: Ein „WOW“ des Kunden bei Projektab-schluss. Privat: Jeden Tag etwas besser machen.

Welches war Ihr schönstes Musikerlebnis? BUSHIDO live – Sudhaus Tübingen 31.01.2004: Dort habe ich mit der wundervollsten Frau gearbei-tet, die später die Mutter meiner Kinder werden sollte (auch wenn Sie sich nicht an mich erinnern kann).

Welche Themen würden Sie gern beschleunigen? Erst die Weltherrschaft und dann den Weltfrieden.

Welche Freizeitaktivitäten üben Sie aus? Segeln, Golf und TV

Was sind Ihre persönlichen Motivationen? “The only person you need to be better than is the person you were yesterday.”

“Rege Dich nicht über Dinge auf, die Du nicht ändern (mehr) kannst.”

Was hat Sie am meisten beeindruckt? NBA Finals 2016: Wie Cleveland die Serie nach ei-nem 1-3 Rückstand noch 4-3 gewonnen hat.

Wen bewundern Sie am meisten? Menschen, die 2017 noch immer ohne Internet und Smartphone leben können.

Was können Sie besonders gut kochen? Ich würde mich als guten Allrounder bezeichnen.

Was tun Sie, um sich zu entspannen? Jegliche Berichterstattung rund um die NBA & die BBL + TV.

Was beherrschen Sie im Haushalt besonders gut? Den Staubsauger.

Wo hätten Sie gern Ihren Zweitwohnsitz? Den brauche ich nicht. Jeder Ort hat zu seiner Zeit ausreichend Charme.

Was haben Sie als schönstes Kauferlebnis emp-funden? Den Tag, an dem Amazon Same-Day-Delivery ein-geführt hat.

Nennen Sie ein unentdecktes Traumreiseziel: Kanada – und das hoffentlich nicht mehr lange…

IMPRESSUM

30

Impressum

Together With You – Q_PERIOR

Q_PERIOR AG, Am Sandtorkai 54, 20457 Hamburg, Germany Office: +49 40 466 5691 - 00 Fax: +49 40 466 5691 - 01 E-Mail: [email protected] Internet: http://www.q-perior.com Sitz der Q_PERIOR AG: München Vorstand: Karsten Höppner, Klaus Leitner, Dr. Bernhard Braunmüller Vorsitzender des Aufsichtsrats: Michael Girke Registergericht: Amtsgericht München Registernummer: HRB 140669

Aktuelle Anzahl der Ausgaben (Versand im Zwei-Monatsrhythmus): ca. 8.500 Für eine Bestellung bzw. Abbestellung des „Q_PERIOR Audit & Risk Newsletters“ senden Sie bitte eine E-Mail an eine der folgenden Adressen: Bestellung des Q_PERIOR Audit & Risk Newsletters

Abbestellung des Q_PERIOR Audit & Risk Newsletters Für alle weiteren Anliegen senden Sie bitte eine E-Mail an diese Adresse: [email protected]

Disclaimer

Alle Links zu externen Anbietern wurden zum Zeitpunkt ihrer Aufnahme auf ihre Richtigkeit überprüft. Da sich das Internet jederzeit wandelt, kann Q_PERIOR nicht garantieren, dass diese Links zum Zeitpunkt des Besuchs a) noch zum Ziel führen oder b) noch diesel-ben Inhalte besitzen, wie zum Zeitpunkt der Aufnahme.

Insbesondere macht sich Q_PERIOR nicht die Inhalte der Links zu Eigen und übernimmt dafür auch keine Verantwortung. Links zu externen Anbietern stellen keine Wertung oder eine Empfehlung der Q_PERIOR dar.

Der Inhalt dieses Newsletters ist urheberrechtlich geschützt. Ohne Genehmigung der Q_PERIOR darf der Inhalt dieser Seite in keiner Form reproduziert und/oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.

© Q_PERIOR, München, Deutschland, 2017. All rights reserved.

http://www.q-perior.com/

mailto:[email protected]?subject=Bestellung%20des%20Q_PERIOR%20Audit%20and%20Risk%20Newsletters

mailto:[email protected]?subject=Kündigung%20des%20Q_PERIOR%20Audit%20and%20Risk%20Newsletters

mailto:[email protected]

Documents

Q PERIOR Audit & Risk Newsletter · AKTUELLES Q_PERIOR Audit & Risk Newsletter – 2017 – Ausgabe 4 2 Liebe Audit & Risk Newsletter Leserinnen und Leser, ich freue mich, Ihnen eine