More Related Content Similar to B3 Act Lotusday 08 09 2009 (20) More from Andreas Schulte (20) B3 Act Lotusday 08 09 20091. B3
IT-Compliance durch IT-Sicherheit
“ In God we Trust, Everything else we measure ”
Referent: Heiner Frings
ACT IT-Consulting & Services AG
Lotusday 2009
Hagen, 8. September 2009 - Arcadeon
2. (IT)-Compliance durch IT-Sicherheit
Die Vortragspunkte:
Rechtliche Hintergründe?
Was muss ich tun, damit ich „compliant“ bin? Worauf muss ich
achten?
Was leistet die ACT konkret?
Was passiert, wenn ich nicht „compliant“ bin?
2 COPYRIGHT ACT © 2009
3. Rechtliche Hintergründe
Was ist „IT-Compliance“ überhaupt?
Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien etc., d.h.
die Übereinstimmung des Handelns mit diesen Vorgaben.
Gegenstand von IT-Compliance: Werden diese Vorgaben in Bezug auf die
IT des Unternehmens eingehalten? Grundlage: Verschiedene Rechtsquellen
Wesentliche Bestimmungen:
KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich)
- Herausragend: § 91 Abs. 2 AktG.
- Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein
Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft
gefährdende Entwicklungen früh erkannt werden.
BDSG (Bundesdatenschutzgesetz)
HGB (Handelsgesetzbuch) und AO (Abgabenordnung) i.V.m. GoBS
(Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme) und
GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen)
Basel II (RICHTLINIE 2006/48/EG DES EUROPÄISCHEN PARLAMENTS UND
DES RATES vom 14. Juni 2006 über die Aufnahme und Ausübung der Tätigkeit
der Kreditinstitute (Neufassung)
3 COPYRIGHT ACT © 2009
4. (IT)-Compliance Was muss ich tun?
(Fokus Innenverhältnis)
• Umsetzung der Compliance-Anforderungen durch
die IT sind z.B.:
• Korrekte Funktionsweise der Anwendungssysteme
• Verfügbarkeit und Verlässlichkeit im Betrieb
• Schutz der Daten und Informationen Commitment &
• Sicherheit der IT-Infrastruktur Policies
• Frühzeitige Erkennung und Vermeidung
von Risiken Risiko-
g
hun
• Transparenz, Nachvollziehbarkeit und analyse
wac
Dokumentation relevanter Prozesse Koordination
r
Übe
aller
Elemente
(Fokus Außenverhältnis)
• Sauber definierte Beziehungen zu anderen
Unternehmen, ( Bei Lieferung oder Inanspruchnahme von IT- Maßnahmen &
Information
Dienstleistungen z.B.) Verantwortlich-
& Kommunikation
• Outsourcing-Projekten (SLA, OLA, UC) keiten
• Serviceproviding-Projekten ,,
• ASP-Projekten ,,
4 COPYRIGHT ACT © 2009
5. Commitment & Policies
Aufgabe der Geschäftsleitung ist es, für ein organisatorisches Umfeld zu
sorgen sowie eine Unternehmenskultur zu fördern, die die Beachtung
gesetzlicher Bestimmungen sowie die Einhaltung freiwilliger
Vereinbarungen sicher stellen.
Zentrale Punkte:
• Zieldefinition hinsichtlich der Compliance zu geforderten
(gesetzlichen) und freiwilligen Verpflichtungen
• Durchgeführte Risikoanalyse
• Formulierung einer Compliance Policy des Top
Managements unter Berücksichtigung der
strategischen Unternehmensziele
• Förderung einer Compliance Kultur durch gelebte
Umsetzung in der Unternehmensführung
• Etablierung von Überprüfungsmechanismen
5 COPYRIGHT ACT © 2009
6. Risikoanalyse
Bewertung und Priorisierung der identifizierten Compliance-Risiken im
Hinblick auf mögliche Auswirkungen auf strategische Unternehmensziele,
Geschäftsabläufe sowie persönliche Haftung von Mitarbeitern und
Management.
Zentrale Themen für die Organisation:
• Bindende und regulatorische Verfahrensanweisungen in den
Unternehmen aufsetzen
• Beobachtung und Früherkennung von Compliance-Themen
• Auswirkungen im Falle eines Verstoßes, (Penalties)
• Abgleich des Umfangs der ergriffenen Maßnahmen mit dem Risiko
und den Zielsetzungen des Vorstands und der Stakeholder?
Zentrale Punkte für die IT-Organisation:
• Ist ein IT-Sicherheitsmanagement implementiert?
• Ist ein IT-Risikomanagement implementiert?
• Existiert ein Notfallkonzept für Systeme der IT und der Infrastruktur?
• Ist ein Lizenzmanagement implementiert?
• Sind zwischen Servicenehmern und –Gebern klare Agreements etabliert?
6 COPYRIGHT ACT © 2009
7. Maßnahmen & Verantwortlichkeiten
Eindeutige Zuordnung von Verantwortlichkeiten zur Einhaltung der
Anforderungen sowie Absicherung durch geeignete Maßnahmen zur
Vermeidung und Aufdeckung von Compliance-Verstößen
Zentrale Themen für die Organisation:
• Adressierung einzelner Maßnahmen an die (de)zentralen Einheiten
• Eindeutige Abgrenzung von Zuständigkeiten und Kompetenzen
Vermeidung Doppelaktionen und Lücken
• Dokumentation von Abläufen, Informations- und Berichtswegen
in Richtlinien und Verfahrensanweisungen
• Definition von konkreten Rollenverteilungen und Aktionsplänen
für kritische Situationen
Zentrale Punkte für die IT-Organisation:
• Die Umsetzung notwendiger Maßnahmen muss gemessen, dokumentiert und
sichergestellt werden
• Wie wird die Qualität gemessen (KPIs),
• Wie wird der Kontinuierliche Verbesserungsprozess KVP gewährleistet?
7 COPYRIGHT ACT © 2009
8. Information & Kommunikation
Informationserhebung, interne und externe Berichterstattung zum
Compliance-Status sowie Schaffung einer Kultur und eines Bewusstseins
für die Einhaltung der Compliance im gesamten Unternehmen
Zentrale Themen:
• Bewusstseinssensibilisierung des Managements und der Mitarbeiter
durch Schulungen und Arbeitskreise für eine angemessene
Kommunikation bei Compliance Themen
• Wie und in welchen Intervallen wird der Vorstand über die Situation
informiert?
• Wie und in welchen Intervallen werden Aufsichtsgremien, Investoren
und Öffentlichkeit über die Compliance-Situation informiert?
• Wie werden Indikatoren zur Einhaltung der Anforderungen erhoben?
• Wie wird die Erfassung, Kommunikation und Auswertung
von Compliance-Verstößen sichergestellt?
8 COPYRIGHT ACT © 2009
9. Überwachung
Laufendes Prozess-Monitoring, Plausibilisierung und kontinuierliche
Weiterentwicklung/Nachhaltigkeit der Compliance und systematische
Prüfung durch die Interne Revision, externe Gutachten und
Sonderanalysen
Zentrale Themen:
• Regelmäßige Überprüfung der Informationen zur Früherkennung
des Compliance Zustandes im internen Berichtsprozess
• Wie erfolgt die Selektion und Freigabe von Compliance
Informationen für die externe Berichterstattung?
• Wie werden die im Unternehmen implementierten Compliance-
Prozesse hinsichtlich Effektivität und Effizienz überprüft z.B.
• durch Self Assessments
• Audits
• technische Messverfahren
• Berücksichtigung der Compliance Risiken bei der
• der Internen Revision
• strategischen Planung
• und innerhalb des Risikomanagements
• Umsetzung des Anpassungsbedarfs am Compliance-System
9 COPYRIGHT ACT © 2009
10. Compliance & IT-Sicherheit
Vertraulichkeit Integrität
Der unberechtigte Zugang zu Unversehrtheit und
Daten wird unterbunden Korrektheit der Daten
Authentizität
Echtheit der Kommunikations-
partner
Verfügbarkeit Verbindlichkeit
Der Zugriff auf die eigenen Das Senden und Empfangen
Daten ist gesichert von Daten kann nicht geleugnet
werden
• Eine IT-Infrastruktur gilt als sicher, wenn die Risiken, die beim Betrieb der IT-
Infrastruktur aufgrund von Bedrohungen vorhanden sind, auf ein tragbares
Maß beschränkt sind.
10 COPYRIGHT ACT © 2009
11. Was liefern wir ?
Strukturiertes Herangehen
Analyse der Rechtslage Bedrohungsanalyse
Eine IT-Security-Strategie muss immer über die
technischen Lösungen hinaus auch die recht- unterschiedliche Szenarien, welchen Be-
lichen Aspekte berücksichtigen. drohungen Unternehmen bei der Nutzung von
(z.B. BDSG, KonTraG, HGB, BGB, HIPAA) IT-Technologien ausgesetzt sind.
Analyze
Report
Optimize
Schadens- & Schutzbedarfsanalyse Kosten/Nutzenanalyse
Certify
Ein Schaden, der aufgrund unzureichender oder Finanzielle Schäden sind meist wesentlich höher,
nicht umgesetzter IT-Sicherheitsmaßnahmen als die Kosten für die jeweils erforderlichen
eintritt, hat immer finanzielle Auswirkung, oft Sicherheitslösungen. In jeder Organisation muss
daneben auch erheblichen Imageverlust. das Verhältnis individuell ermittelt werden.
Letzteres ist der Grund für die hohen Dunkel-
ziffern.
11 COPYRIGHT ACT © 2009
13. Compliance Check mit Sicherheitsbrille
Prozess: Vulnerability Prozess: Compliance Prozess: Compliance Management
Management Management Ergebnis:
Definiert zu treffende Behebungsmaßnahmen
Notwendigkeit: Notwendigkeit: Prozess: Incident Management
Aktuelles Wissen über alle AktuelleKenntnis der Definiert Impact und Priorität, leitet das an eine
Vulnerabilities weltweit, eigenen IT-Infrastruktur, ob zentrale Stelle weiter, überwacht den
Lücken eine Bedrohung Behebungsprozess
Produkt am Markt
möglichst früher als die
Bekanntgabe durch die darstellen und mit welchem Prozess: Change Management
Schaden zu rechnen ist. Entscheidet über die Möglichkeiten der Behebung, der
Herstellern.
Phase: Bedrohungs- & Workarounds oder Alternativen. Richtet sich nach
vorgegebenen Standards. (PCI-Standard)
Phase: Erkennen Schadensanalyse
Phase: Behebung der Maßnahmen
Ziel:
Ziel: Deutliches Verschieben des Gesamtziel:
Deutliches Verschieben des Zeitpunktes Deutliches Verschieben des Behebungszeitpunktes.
Zeitpunktes Deutliches Verringern des Angriffzeitfensters
Less Than
Zero Day Zero Day Vulnerabilities
Innerhalb dieses Zeitfensters besteht eine akute Angriffsgefahr
Zeitachse t
Ship- Bekanntwerden einer Erkennen der Erkenntnis, dass die Schließen der Lücke
ment Sicherheitslücke Lücke durch die Lücke eine Bedrohung oder impl. Workaround
weltweit (Zero Day) eigenen Spezialisten für die eigene IT darstellt
13 COPYRIGHT ACT © 2009
14. Nächster Schritt: Sicherheitsmanagement
Ständige automatische, zeitgesteuerte Überwachung von Teilnetzen sowie von
verteilten Umgebungen
Zentrale Zusammenführung der aktuellen Informationen als Basis exakter
Entscheidungen
Reporting mit Prioritäten für eine systematische und
effiziente Beseitigung der Sicherheitslücken
Maßnahmen mit Berücksichtigung der Auswirkung
auf Ihre Geschäftsprozesse
Intrusion-Detection, -Prevention
System
Malwareschutz
Integrierte intelligente Firewall
Integration in IT-Servicemanagement
Incident-Management
Problem-Management
Change-Management
14 COPYRIGHT ACT © 2009
15. Risiko- & Notfallmanagement
1 Sind Sie sich der Risiken, denen Ihr Unternehmen ausgesetzt ist, bewusst?
Wie ist der Begriff Notfall für Ihr Unternehmen definiert?
2 Welche Auswirkungen hat der Ausfall unternehmenskritischer IT-Prozesse für das Unternehmen
(Umsatzverlust, zukünftige Auftragseinbußen, Zahlungsverpflichtungen, Vertragsstrafen, Ausfallzeiten des
operativen Betriebs, Imageverlust)?
3 Können Sie den IT-Betrieb nach einem Notfall in einem definierten Zeitraum kontrolliert wiederherstellen?
4 Kennen Sie die notwendige Wiederherstellungszeit ihrer Prozesse nach einem Notfall?
5 Gibt es ein Notfallkonzept, das regelt, durch welche Maßnahmen der IT-Betrieb nach einem Notfall in
angemessener Zeit wieder aufgenommen werden kann? Stellen Sie fest, ob
• Maßnahmen für den Notbetrieb sich in Einklang mit der Risikobeurteilung des Unternehmens befinden,
• bei der Umsetzung der Maßnahmen eine Analyse der Geschäftsprozesse erfolgte und sichergestellt
wurde,
• alle rechnungslegungsrelevanten IT-gestützten Geschäftsprozesse abgedeckt werden,
• Maßnahmen dokumentiert und Verfahren etabliert sind, die die Regeln zur Anpassung bzw. Änderung
dieser Dokumentation beschreiben,
• Notfallmaßnahmen den Mitarbeitern bekannt sind.
6 Sind die Wiederherstellungsprozesse so beschrieben, dass die Wiederherstellungsreihenfolge präzise
dokumentiert ist?
7 Sind die Verträge zur Leistungserbringung externer Dienstleister (Hersteller/Lieferanten) aktuell bzw.
vollständig dokumentiert?
Ist ein Verfahren etabliert, dass die Regeln zur Anpassung bzw. Änderung dieser Dokumentation beschreibt?
8 Entspricht ihr Datensicherungskonzept den Anforderungen an die notwendigen Wiederherstellungsverfahren
in Bezug auf
• Lagerung der Sicherungen,
• Zugriffsberechtigungen,
• Verfügbarkeit im Notfall,
• usw.
15 COPYRIGHT ACT © 2009
16. Risiko- & Notfallmanagement
• Verhütung
Parameter
Kosten
• Eintrittswahr- • Reduktion
• Identifizierung vs.
scheinlichkeit • Transfer
Eintrittswahrsch.
• Auswirkungen • Maßnahmen
und Auswirkung
• Akzeptanz
analyse
Risiko-
Identifikation Bewertung Identifikation der Auswahl der
der Risiken der Risiken Gegenmaßnahmen Gegenmaßnahmen
management
Risiko-
Beobachten und Planen und
berichten beschaffen
• Risikoprofile
Parameter
• Risikobudget
• Menschen
• Risikofelder • Risikoowner
• Material
• Eintrittsindikatoren
• Risikoprotokoll
16 COPYRIGHT ACT © 2009
17. Was passiert, wenn ich
nicht „compliant“ bin?
Die zivilrechtliche Haftung
Werden innerhalb eines Unternehmens erforderliche Maßnahmen schuldhaft
nicht oder nicht hinreichend getroffen, so droht bei einem dadurch eingetretenen
Schaden bei Dritten stets eine entsprechende Schadensersatzverpflichtung.
Solche Schadensersatzansprüche ergeben sich dabei entweder
aus einem Vertrag mit dem Geschädigten (z.B. Kunde oder Lieferant) oder
aus Gesetz (z.B. §§ 823 ff BGB oder § 7 BDSG)
Daneben besteht die zivilrechtliche Verantwortlichkeit der Organe des
Unternehmens, sofern ihr – schuldhaftes – Handeln (Tun oder Unterlassen)
Schäden für das Unternehmen bewirkt hat.
Die strafrechtliche Haftung
Neben der zivilrechtlichen Haftung kommt auch eine strafrechtliche
Verantwortlichkeit – je nach Einzelfall – in Betracht.
z.B. bei Verstößen gegen das BDSG
17 COPYRIGHT ACT © 2009