Lotusday 2009Hagen, 8. September 2009 - Arcadeon

IT-Compliance durch IT-Sicherheit“ In God we Trust, Everything else we measure ”

Referent: Heiner FringsACT IT-Consulting & Services AG

B3

2 COPYRIGHT ACT © 2009

(IT)-Compliance durch IT-Sicherheit

Die Vortragspunkte:

Rechtliche Hintergründe?

Was muss ich tun, damit ich „compliant“ bin? Worauf muss ich achten?

Was leistet die ACT konkret?

Was passiert, wenn ich nicht „compliant“ bin?

3 COPYRIGHT ACT © 2009

Rechtliche Hintergründe

Was ist „IT-Compliance“ überhaupt?� Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien etc., d.h.

die Übereinstimmung des Handelns mit diesen Vorgaben .� Gegenstand von IT-Compliance: Werden diese Vorgaben in Bezug auf die

IT des Unternehmens eingehalten? Grundlage: Verschiedene Rechtsquellen� Wesentliche Bestimmungen:

� KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich)

- Herausragend: § 91 Abs. 2 AktG.- Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

� BDSG (Bundesdatenschutzgesetz)� HGB (Handelsgesetzbuch) und AO (Abgabenordnung) i.V.m. GoBS

(Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme) und GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen)

� Basel II (RICHTLINIE 2006/48/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Juni 2006 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute (Neufassung)

4 COPYRIGHT ACT © 2009

(Fokus Außenverhältnis)• Sauber definierte Beziehungen zu anderen

Unternehmen, ( Bei Lieferung oder Inanspruchnahme von IT-

Dienstleistungen z.B.)

• Outsourcing-Projekten (SLA, OLA, UC)• Serviceproviding-Projekten ,,• ASP-Projekten ,,

Risiko-analyse

Commitment &Policies

Maßnahmen &Verantwortlich-keiten

Information & Kommunikation

Überwachung

Koordination aller

Elemente

(IT)-Compliance Was muss ich tun?

(Fokus Innenverhältnis)• Umsetzung der Compliance-Anforderungen durch

die IT sind z.B.:• Korrekte Funktionsweise der Anwendungssysteme• Verfügbarkeit und Verlässlichkeit im Betrieb• Schutz der Daten und Informationen• Sicherheit der IT-Infrastruktur• Frühzeitige Erkennung und Vermeidung

von Risiken• Transparenz, Nachvollziehbarkeit und

Dokumentation relevanter Prozesse

5 COPYRIGHT ACT © 2009

Commitment & Policies

Aufgabe der Geschäftsleitung ist es, für ein organisatorisches Umfeld zu sorgen sowie eine Unternehmenskultur zu fördern, die die Beachtung gesetzlicher Bestimmungen sowie die Einhaltung freiwilliger Vereinbarungen sicher stellen.

Zentrale Punkte:• Zieldefinition hinsichtlich der Compliance zu geforderten

(gesetzlichen) und freiwilligen Verpflichtungen• Durchgeführte Risikoanalyse • Formulierung einer Compliance Policy des Top

Managements unter Berücksichtigung der strategischen Unternehmensziele

• Förderung einer Compliance Kultur durch gelebte Umsetzung in der Unternehmensführung

• Etablierung von Überprüfungsmechanismen

6 COPYRIGHT ACT © 2009

Risikoanalyse

Bewertung und Priorisierung der identifizierten Compliance-Risiken im Hinblick auf mögliche Auswirkungen auf strategische Unternehmensziele, Geschäftsabläufe sowie persönliche Haftung von Mitarbeitern und Management.

Zentrale Punkte für die IT-Organisation:• Ist ein IT-Sicherheitsmanagement implementiert?• Ist ein IT-Risikomanagement implementiert?• Existiert ein Notfallkonzept für Systeme der IT und der Infrastruktur?• Ist ein Lizenzmanagement implementiert?• Sind zwischen Servicenehmern und –Gebern klare Agreements etabliert?

Zentrale Themen für die Organisation:• Bindende und regulatorische Verfahrensanweisungen in den

Unternehmen aufsetzen• Beobachtung und Früherkennung von Compliance-Themen• Auswirkungen im Falle eines Verstoßes, (Penalties)• Abgleich des Umfangs der ergriffenen Maßnahmen mit dem Risiko

und den Zielsetzungen des Vorstands und der Stakeholder?

7 COPYRIGHT ACT © 2009

Maßnahmen & Verantwortlichkeiten

Eindeutige Zuordnung von Verantwortlichkeiten zur Einhaltung derAnforderungen sowie Absicherung durch geeignete Maßnahmen zur Vermeidung und Aufdeckung von Compliance-Verstößen

Zentrale Punkte für die IT-Organisation:• Die Umsetzung notwendiger Maßnahmen muss gemessen, dokumentiert und

sichergestellt werden• Wie wird die Qualität gemessen (KPIs), • Wie wird der Kontinuierliche Verbesserungsprozess KVP gewährleistet?

Zentrale Themen für die Organisation:• Adressierung einzelner Maßnahmen an die (de)zentralen Einheiten• Eindeutige Abgrenzung von Zuständigkeiten und Kompetenzen � Vermeidung Doppelaktionen und Lücken

• Dokumentation von Abläufen, Informations- und Berichtswegen in Richtlinien und Verfahrensanweisungen

• Definition von konkreten Rollenverteilungen und Aktionsplänen für kritische Situationen

8 COPYRIGHT ACT © 2009

Information & Kommunikation

Informationserhebung, interne und externe Berichterstattung zum Compliance-Status sowie Schaffung einer Kultur und eines Bewusstseins für die Einhaltung der Compliance im gesamten Unternehmen

Zentrale Themen:

• Bewusstseinssensibilisierung des Managements und der Mitarbeiter durch Schulungen und Arbeitskreise für eine angemessene Kommunikation bei Compliance Themen

• Wie und in welchen Intervallen wird der Vorstand über die Situation informiert?

• Wie und in welchen Intervallen werden Aufsichtsgremien, Investorenund Öffentlichkeit über die Compliance-Situation informiert?

• Wie werden Indikatoren zur Einhaltung der Anforderungen erhoben?• Wie wird die Erfassung, Kommunikation und Auswertung

von Compliance-Verstößen sichergestellt?

9 COPYRIGHT ACT © 2009

Überwachung

Laufendes Prozess-Monitoring, Plausibilisierung und kontinuierlicheWeiterentwicklung/Nachhaltigkeit der Compliance und systematische Prüfung durch die Interne Revision, externe Gutachten und Sonderanalysen

Zentrale Themen:• Regelmäßige Überprüfung der Informationen zur Früherkennung

des Compliance Zustandes im internen Berichtsprozess • Wie erfolgt die Selektion und Freigabe von Compliance

Informationen für die externe Berichterstattung?• Wie werden die im Unternehmen implementierten Compliance-

Prozesse hinsichtlich Effektivität und Effizienz überprüft z.B. • durch Self Assessments• Audits• technische Messverfahren

• Berücksichtigung der Compliance Risiken bei der • der Internen Revision • strategischen Planung• und innerhalb des Risikomanagements

• Umsetzung des Anpassungsbedarfs am Compliance-System

10 COPYRIGHT ACT © 2009

ComplianceCompliance & IT& IT--SicherheitSicherheit

AuthentizitätEchtheit der Kommunikations-

partner

IntegritätUnversehrtheit und

Korrektheit der Daten

VerbindlichkeitDas Senden und Empfangen

von Daten kann nicht geleugnet

werden

VertraulichkeitDer unberechtigte Zugang zu

Daten wird unterbunden

VerfügbarkeitDer Zugriff auf die eigenen

Daten ist gesichert

• Eine IT-Infrastruktur gilt als sicher, wenn die Risiken, die beim Betrieb der IT-Infrastruktur aufgrund von Bedrohungen vorhanden sind, auf ein tragbares Maß beschränkt sind.

11 COPYRIGHT ACT © 2009

Was liefern wir ?

� Eine IT-Security-Strategie muss immer über die

technischen Lösungen hinaus auch die recht-

lichen Aspekte berücksichtigen.

(z.B. BDSG, KonTraG, HGB, BGB, HIPAA)

Analyse der Rechtslage

� unterschiedliche Szenarien, welchen Be-

drohungen Unternehmen bei der Nutzung von

IT-Technologien ausgesetzt sind.

Bedrohungsanalyse

� Ein Schaden, der aufgrund unzureichender oder

nicht umgesetzter IT-Sicherheitsmaßnahmen

eintritt, hat immer finanzielle Auswirkung, oft

daneben auch erheblichen Imageverlust.

Letzteres ist der Grund für die hohen Dunkel-

ziffern.

Schadens- & Schutzbedarfsanalyse

� Finanzielle Schäden sind meist wesentlich höher,

als die Kosten für die jeweils erforderlichen

Sicherheitslösungen. In jeder Organisation muss

das Verhältnis individuell ermittelt werden.

Kosten/Nutzenanalyse

Analyze

Report

Optimize

Certify

Strukturiertes Herangehen

12 COPYRIGHT ACT © 2009

Auditierung nach BSI-Grundschutz, ISO2700x

13 COPYRIGHT ACT © 2009

Pro

dukt

am

Mar

kt

Ship-ment

ComplianceCompliance Check mit SicherheitsbrilleCheck mit Sicherheitsbrille

Zeitachse t

Innerhalb dieses Zeitfensters besteht eine akute Angriffsgefahr

Bekanntwerden einerSicherheitslücke weltweit (Zero Day)

Schließen der Lückeoder impl. Workaround

Less ThanZero Day Z e r o D a y V u l n e r a b i l i t i e s

Erkennen der Lücke durch die eigenen Spezialisten

Prozess: VulnerabilityManagement

Notwendigkeit:Aktuelles Wissen über alle

Vulnerabilities weltweit,

möglichst früher als die

Bekanntgabe durch die

Herstellern.

Phase: Erkennen

Ziel:Deutliches Verschieben des

Zeitpunktes

Erkenntnis, dass dieLücke eine Bedrohung für die eigene IT darstellt

Prozess: ComplianceManagement

Notwendigkeit:AktuelleKenntnis der

eigenen IT-Infrastruktur, ob

Lücken eine Bedrohung

darstellen und mit welchem

Schaden zu rechnen ist.

Phase: Bedrohungs- &Schadensanalyse

Ziel:Deutliches Verschieben des

Zeitpunktes

Prozess: Compliance ManagementErgebnis:Definiert zu treffende Behebungsmaßnahmen

Prozess: Incident ManagementDefiniert Impact und Priorität, leitet das an eine

zentrale Stelle weiter, überwacht den

Behebungsprozess

Prozess: Change ManagementEntscheidet über die Möglichkeiten der Behebung, der

Workarounds oder Alternativen. Richtet sich nach

vorgegebenen Standards. (PCI-Standard)

Phase: Behebung der Maßnahmen

Gesamtziel:Deutliches Verschieben des Behebungszeitpunktes.

Deutliches Verringern des Angriffzeitfensters

14 COPYRIGHT ACT © 2009

Nächster Schritt: Sicherheitsmanagement

� Ständige automatische, zeitgesteuerte Überwachung von Teilnetzen sowie von verteilten Umgebungen

� Zentrale Zusammenführung der aktuellen Informationen als Basis exakter Entscheidungen

� Reporting mit Prioritäten für eine systematische und effiziente Beseitigung der Sicherheitslücken

� Maßnahmen mit Berücksichtigung der Auswirkung auf Ihre Geschäftsprozesse

� Intrusion-Detection, -PreventionSystem

� Malwareschutz� Integrierte intelligente Firewall

� Integration in IT-Servicemanagement� Incident-Management� Problem-Management� Change-Management

15 COPYRIGHT ACT © 2009

Risiko- & Notfallmanagement

Entspricht ihr Datensicherungskonzept den Anforderungen an die notwendigen Wiederherstellungsverfahren in Bezug auf• Lagerung der Sicherungen,• Zugriffsberechtigungen,• Verfügbarkeit im Notfall,• usw.

8

Sind die Verträge zur Leistungserbringung externer Dienstleister (Hersteller/Lieferanten) aktuell bzw. vollständig dokumentiert?Ist ein Verfahren etabliert, dass die Regeln zur Anpassung bzw. Änderung dieser Dokumentation beschreibt?

7

Sind die Wiederherstellungsprozesse so beschrieben, dass die Wiederherstellungsreihenfolge präzise dokumentiert ist?

6

Gibt es ein Notfallkonzept, das regelt, durch welche Maßnahmen der IT-Betrieb nach einem Notfall in angemessener Zeit wieder aufgenommen werden kann? Stellen Sie fest, ob• Maßnahmen für den Notbetrieb sich in Einklang mit der Risikobeurteilung des Unternehmens befinden,• bei der Umsetzung der Maßnahmen eine Analyse der Geschäftsprozesse erfolgte und sichergestellt

wurde,• alle rechnungslegungsrelevanten IT-gestützten Geschäftsprozesse abgedeckt werden,• Maßnahmen dokumentiert und Verfahren etabliert sind, die die Regeln zur Anpassung bzw. Änderung

dieser Dokumentation beschreiben,• Notfallmaßnahmen den Mitarbeitern bekannt sind.

5

Kennen Sie die notwendige Wiederherstellungszeit ihrer Prozesse nach einem Notfall?4

Können Sie den IT-Betrieb nach einem Notfall in einem definierten Zeitraum kontrolliert wiederherstellen?3

Welche Auswirkungen hat der Ausfall unternehmenskritischer IT-Prozesse für das Unternehmen (Umsatzverlust, zukünftige Auftragseinbußen, Zahlungsverpflichtungen, Vertragsstrafen, Ausfallzeiten des operativen Betriebs, Imageverlust)?

2

Sind Sie sich der Risiken, denen Ihr Unternehmen ausgesetzt ist, bewusst? Wie ist der Begriff Notfall für Ihr Unternehmen definiert?

1

16 COPYRIGHT ACT © 2009

Risiko- & Notfallmanagement

Ris

iko-

anal

yse

Ris

iko-

man

agem

ent

Par

amet

erP

aram

eter

Identifikationder Risiken

Bewertungder Risiken

Identifikation derGegenmaßnahmen

Auswahl derGegenmaßnahmen

Beobachten undberichten

Planen undbeschaffen

• Identifizierung• Eintrittswahr-

scheinlichkeit• Auswirkungen

• Verhütung• Reduktion• Transfer• Maßnahmen • Akzeptanz

Kostenvs.

Eintrittswahrsch. und Auswirkung

• Risikoprofile• Risikobudget• Risikoowner• Eintrittsindikatoren• Risikoprotokoll

• Menschen• Material

• Risikofelder

17 COPYRIGHT ACT © 2009

Was passiert, wenn ich nicht „compliant“ bin?

Die zivilrechtliche Haftung� Werden innerhalb eines Unternehmens erforderliche Maßnahmen schuldhaft

nicht oder nicht hinreichend getroffen, so droht bei einem dadurch eingetretenen Schaden bei Dritten stets eine entsprechende Schadensersatzverpflichtung .

� Solche Schadensersatzansprüche ergeben sich dabei entweder � aus einem Vertrag mit dem Geschädigten (z.B. Kunde oder Lieferant) oder� aus Gesetz (z.B. §§ 823 ff BGB oder § 7 BDSG)

� Daneben besteht die zivilrechtliche Verantwortlichkeit der Organe des Unternehmens, sofern ihr – schuldhaftes – Handeln (Tun oder Unterlassen) Schäden für das Unternehmen bewirkt hat.

Die strafrechtliche Haftung� Neben der zivilrechtlichen Haftung kommt auch eine strafrechtliche

Verantwortlichkeit – je nach Einzelfall – in Betracht.

� z.B. bei Verstößen gegen das BDSG