IKS

Die Bundesregierung hat am 16.12.2020 den Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2019/2034 über die Beaufsichtigung von Wertpapierinstituten (WpIG) beschlossen. Das Gesetz ist zwischenzeitlich vom Bundestag verabschiedet worden und am 26.06.2021 in Kraft getreten.  Erneut werden mit diesem Gesetz europäische Vorgaben zur Regulierung von Finanzinstituten in nationales Recht umgesetzt. Das WpIG gilt dabei für sogenannte…

Das Zertifizierungsaudit ist überstanden, vor einer Weile sind Report und Urkunde angekommen, die bestätigen, dass man ein funktionierendes Informationssicherheitsmanagement System besitzt (kurz „ISMS“). Nun lehnen sich viele zurück „endlich geschafft, nun können wir wieder arbeiten.“ Dieser vermeintlich harmlose Satz birgt allerdings jede Menge Sprengstoff in sich. Erst einmal ist der Satz ein Zeichen das Informationssicherheit…

Der ISACA ist der weltweit führende Berufsverband für die Themen IT-Revision und IT-Governance. Bekannt ist der ISACA vor allem durch sein international anerkanntes Framework COBIT. Neben COBIT veröffentlichen auch die ISACA Landesverbände immer wieder interessante und praxisorientierte Leitfäden durch ihre Fachgruppen. Im Januar 2021 hat die Fachgruppe „IT-Compliance“ des ISACA Germany Chapters mit Hilfe des…

Die Welt und damit auch das Geschäftsleben werden zunehmend digitaler. Wurden vor Jahren viele Informationen noch als Papier übermittelt und auch archiviert, erfolgt beides zunehmend auf elektronischem Wege. Damit eröffnen sich aber auch ganz neue Wege des Zugriffs und der Werksspionage. Wo man früher wie bei James Bond aufwendig Einbrüche, Wanzen, versteckte Kameras und Richtmikrofone…

Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden. Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu…

Die am 27. April 2016 veröffentlichte und seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO bzw. Verordnung (EU) 2016/679) bzw. das Gesetz zur Anpassung des Datenschutzrechtes an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, kurz BDSG (neu), hat die Unternehmen vor neue Herausforderungen gestellt. Doch nicht nur das – in dem…

Die Prüfung des internen Kontrollsystems bei Dienstleistern nach dem Standard SSAE 18 Hintergrund Das Outsourcing von Geschäftsprozessen oder Teilen davon ist seit vielen Jahren ein normaler Vorgang und ermöglicht Unternehmen, sich auf Kernaufgaben und -kompetenzen zu konzentrieren. Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, ist meistens ein mittelbarer oder unmittelbarer Einfluss auf…

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist zum 25.05.2016 in Kraft getreten und wird zum 25.05.2018 wirksam. Damit wird sie ab dem 25.05.2018 die bereits seit 1995 geltende EU-Datenschutzrichtlinie Richtlinie 95/46/EG und das Bundesdatenschutzgesetz (BDSG) mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen. Verglichen mit anderen Ländern…

KRITIS – Ist mein Unternehmen betroffen und was heißt das? Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS-Verordnung (PDF) und dem IT-Sicherheitsgesetz wird versucht, eine einheitliche Basis zu schaffen, um einen Überblick über die aktuelle Lage von kritischen Infrastrukturen zu bekommen, schnell auf Probleme reagieren zu…

Relevante Aspekte der Cloud-Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.

Datenschutz Wie in Teil 3: „Rechtliche Aspekte beim Cloud Computing“ beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist…

Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im…

Abhängig vom gewählten Implementierungsmodell ergibt sich beim Einsatz von Cloud-Computing ein Kontrollverlust. Sicherheitsmaßnahmen des Internen Kontrollsystems liegen zumindest teilweise im Hoheitsbereich des Dienstleisters1. Aus diesem Grund lassen sich aus Anwendersicht innerhalb eines IKS nicht oder nur sehr schwierig alle Risikobereiche einer Cloud-Umgebung abdecken. Abbildung 1: Einflussbereiche nach Cloud-Modell Quelle: Eigene Darstellung in Anlehnung Loczewski, Thomas,…

Cloud Computing wird von vielen potentiellen Nutzern als risikobehaftet empfunden, vor allen Dingen, was die Speicherung von Daten anbelangt. Diese Sicherheitsbedenken stellen derzeit einen Hauptgrund für die Zurückhaltung vieler Unternehmen gegenüber Cloud Computing dar1. Doch mit welchen Risiken wird ein Unternehmen konfrontiert, wenn es Cloud Computing nutzen möchte? Allgemeine Risiken Bei Cloud-Computing-Systemen handelt es sich…

Laut einer Umfrage der Bitkom Research GmbH und der KPMG AG hat die Mehrheit der Unternehmen Sorge um Compliance-Anforderungen in Bezug auf die Nutzung von Cloud-Lösungen. Durch die Nutzung von Cloud-Lösungen werden einige Rechtsgebiete berührt. Im Folgenden werden die einschlägigen gesetzlichen Aspekte erläutert, die beim Einsatz von Cloud Computing in deutschen Unternehmen zu beachten sind.