-
Herausforderungen der IT-Strategie in agilen Organisationen
Die Bundesfinanzanstalt (BaFin) hat in ihrem letzten Rundschreiben 10/2017 für BAIT die Mindestanforderungen an die IT-Strategie konkretisiert und empfehlt den Geschäftsführern die Anforderungen zur strategischen Ausrichtung von IT-Systemen. Dafür sollte die gesamte IT-Infrastruktur von Vorstand und Aufsichtsrat einmal jährlich einer genauen Überprüfung unterzogen werden.
-
Von der Kür zur Pflicht: B3S für Krankenhäuser
von Dr. Klaus-Dieter Krause Das Thema Sicherheit beim Einsatz von digitalen Prozessen spielt in Krankenhäusern nicht erst seit dem Frühjahr 2016 eine wichtige Rolle, als die durch die Ransomware „Locky“ bekannt gewordenen Zwischenfälle unzählige Prozesse in den betroffenen Häusern nachhaltig negativ beeinflussten. Der Kostendruck sowie die u.a. damit verbundene Digitalisierung vieler Prozesse in den Krankenhäusern hat dazu geführt, dass die…
-
Vorteile einer ISO/IEC 27001 Zertifizierung
Die Welt und damit auch das Geschäftsleben werden zunehmend digitaler. Wurden vor Jahren viele Informationen noch als Papier übermittelt und auch archiviert, erfolgt beides zunehmend auf elektronischem Wege. Damit eröffnen sich aber auch ganz neue Wege des Zugriffs und der Werksspionage. Wo man früher wie bei James Bond aufwendig Einbrüche, Wanzen, versteckte Kameras und Richtmikrofone brauchte, kann der Datendieb nun…
-
ISACA Germany Chapter veröffentlicht Leitfaden zu IT-Compliance
Der ISACA ist der weltweit führende Berufsverband für die Themen IT-Revision und IT-Governance. Bekannt ist der ISACA vor allem durch sein international anerkanntes Framework COBIT. Neben COBIT veröffentlichen auch die ISACA Landesverbände immer wieder interessante und praxisorientierte Leitfäden durch ihre Fachgruppen. Im Januar 2021 hat die Fachgruppe „IT-Compliance“ des ISACA Germany Chapters mit Hilfe des dpunkt.Verlags den Leitfaden „IT-Compliance –…
-
ISO27001: Nach dem Audit ist vor dem Audit
Das Zertifizierungsaudit ist überstanden, vor einer Weile sind Report und Urkunde angekommen, die bestätigen, dass man ein funktionierendes Informationssicherheitsmanagement System besitzt (kurz „ISMS“). Nun lehnen sich viele zurück „endlich geschafft, nun können wir wieder arbeiten.“ Dieser vermeintlich harmlose Satz birgt allerdings jede Menge Sprengstoff in sich. Erst einmal ist der Satz ein Zeichen das Informationssicherheit und all die Prozesse, die…
-
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil A – Allgemeine Risiken
Abhängig vom gewählten Implementierungsmodell ergibt sich beim Einsatz von Cloud-Computing ein Kontrollverlust. Sicherheitsmaßnahmen des Internen Kontrollsystems liegen zumindest teilweise im Hoheitsbereich des Dienstleisters1. Aus diesem Grund lassen sich aus Anwendersicht innerhalb eines IKS nicht oder nur sehr schwierig alle Risikobereiche einer Cloud-Umgebung abdecken. Empfehlungen und prozessunabhängige Kontrollen für Cloud-Risiken Im folgenden Abschnitt wird auf die zuvor identifizierten Risiken eingegangen. Es…
-
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil B – Cloud-spezifische Risiken
Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil). Kontroll-ID Kontrollziel Maßnahme…
-
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil C – Compliance
Datenschutz Wie in Teil 3: „Rechtliche Aspekte beim Cloud Computing“ beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist ein angemessenes Datenschutzniveau sicherzustellen. Einen…
-
Cloud Computing: Service-Level Agreements, Zertifikate und Auditierung
Relevante Aspekte der Cloud-Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.
-
KRITIS – was bedeutet das für uns?
KRITIS – Ist mein Unternehmen betroffen und was heißt das? Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS-Verordnung (PDF) und dem IT-Sicherheitsgesetz wird versucht, eine einheitliche Basis zu schaffen, um Was eine kritische Infrastruktur ist, wird vom BMI (Bundesministerium des Inneren) festgelegt und über Kriterien mit dem KRITIS-V-Gesetz geregelt. Die IT…
