Risikokontrolle im Unternehmen

Ein neues Modell für Governance und Risikomanagement, das am 20. Juli 2020 vom Institut für Interne Prüfer (IIA) der USA herausgegeben wurde, aktualisiert das seit Jahren beliebte Modell der drei Verteidigungslinien „Three-Lines-Defense-Model“ (kurz: TLoD) erheblich.

Der neue modifizierte Ansatz, der als „Drei-Linien-Modell“ bezeichnet wird, soll Organisationen dabei helfen, Strukturen und Prozesse zu identifizieren, die die Zielerreichung am besten unterstützen und eine starke Governance und ein starkes Risikomanagement ermöglichen.

Im Vorgängermodell wurden die drei Verteidigungslinien durch die operative Managementkontrolle als erste Linie, die Risiko- und Kontrollüberwachung als zweite und die unabhängige Prüfung durch die interne Revision als dritte Linie dargestellt.

Das neue Modell soll Interaktionen und Verantwortlichkeiten des Managements, der Internen Revision und der mit der Governance beauftragten Personen besser identifizieren und strukturieren, um eine effektivere Ausrichtung, Zusammenarbeit, Rechenschaftspflicht in Hinblick auf die Zielerfüllung zu erreichen.

Das Modell betont sechs Prinzipien in Bezug auf 1. Governance, 2. Lenkungsgremien, 3. Management und First- u. Second-Line-Rollen, 4. Third-Line-Rollen, 5. Third-Line-Unabhängigkeit sowie 6. Wertschöpfung und -schutz.

Die Rollen sind im neuen Modell für verschiedene Führungskräfte innerhalb einer Organisation klar definiert, einschließlich der Aufsicht durch den Vorstand oder das Kontrollorgan. Management- und Betriebsleiter, einschließlich Risiko und Compliance (First- und Second-Line-Rollen), und unabhängige Prüfung durch die Interne Revision (Third-Line-Rolle). Die (externe) Rolle der Wirtschaftsprüfer wird ebenfalls angesprochen. Zudem wird ein klares Verständnis der Verantwortlichkeiten und der Beziehungen zwischen den Rollen herausgearbeitet. Geeignete Maßnahmen stellen sicher, dass Aktivitäten und Ziele mit den priorisierten Interessen der Stakeholder in Einklang gebracht werden.

Das neue Modell ist auf beliebige Unternehmensorganisationen anwendbar, und bildet die Grundlage für ein solides Risikomanagement. Die Aktualisierungen tragen dazu bei, die Anwendung des Modells proaktiv und reaktiv in Unternehmensorganisationen zu modernisieren und zu stärken, um seinen nachhaltigen Nutzen und Wertbeitrag sicherzustellen.

Die IIA hat dazu folgende grafische Darstellung des neuen Modells erstellt.

 

 

Basierend auf dem traditionellen:

 

 

Haben Sie Fragen oder wünschen Sie Beratung in diesem Zusammenhang? Zögern Sie nicht und nehmen Sie mit uns Kontakt auf. Wir helfen Ihnen gerne und zielgerichtet.

Wichtige Trends und Erkenntnisse zu Cyber-Bedrohungen auch für Ihr Unternehmen

Der renommierte amerikanische IT-Secu­rity-Spezialist CrowdStrike hat in seinem jüngst im Juli veröffentlichen jährlichen Bedrohungsreport die internationale Bedrohungslage und die aktuell erkennbaren Trends bei den Cyber-Angriffsmethoden, sowie Zielstellungen der unterschiedlich motivierten Angreifer-Gruppen für das abgelaufene Jahr 2019 analysiert. Daraus hat CrowdStrike aktuelle Schutz-Empfehlungen insbesondere auch für Wirtschaftsunternehmen abgeleitet. Wir haben den Bericht ins Deutsche übersetzt und wichtige ausgewählte Infos und Trends für Sie aufbereitet.

Nicht neu ist zunächst die Erkenntnis, dass es auch weiterhin im Prinzip jedes Unternehmen treffen kann, und durch Nachlässigkeit bei den Schutzvorkehrungen ein kaum abschätzbarer wirtschaftlicher Schaden für das betroffene Unternehmen daraus erwachsen kann.

Aktuelle Cyber-Bedrohungsaktivitäten

So wurde beobachtet, dass 2019 das Ausmaß der gezielten und kriminell motivierten Cyber-Erpressungsangriffe insbesondere bei Wirtschaftsunternehmen mittels Ransomware regelrecht eskalierte. Sowohl die Anzahl der Erpressungsszenarien (kurz BGH = „Big Game Hunting“), als auch die Höhe der Lösegeldforderungen durch kriminelle Hackergruppen stiegen weltweit an.

Dabei versorgten die einschlägigen im Untergrund kommerziell tätigen ‘Ransom-as-aService-Entwickler‘ (RaaS), auch „eCrime-Enabler“ genannt, die aktiven Cyber-Erpresser-Gruppen mit immer raffinierterer Ransomware und konnten so ihrerseits ihr Geschäft weiter ausbauen. Entwickler von Malware-as-aService (MaaS) führten Ransomware-Module nach dem Baukastenprinzip ein, was die Handhabbarkeit erleichtert, um so auch den Markt weniger anspruchsvoller Cyber-Krimineller zu bedienen. Monetarisiert wird das operative Geschäft sowohl durch Verkauf, als auch durch Vermietung dieser „Werkzeuge“ an e-Kriminelle. Bankentrojaner wurden zweckentfremdet und nun verstärkt für DaaS-Operationen (Download-as-aService) wiederverwendet, was die Verbreitung von Malware an Dritte unterstützte, und einen enormen Welleneffekt in der gezielten Anwendung von Ransomware (BGH-Erpressungs-Kampagnen) im kriminellen Ökosystem bewirkte. Bei den Malware-Enablern werden Betreiber von Spambots, Download-Diensten sowie Entwickler von kriminellen „Loadern“ unterschieden.

Es ist weiterhin zu beobachten, dass die RaaS- sowie MaaS-Entwickler als Enabler ihre Malware-Produkte im Trend zunehmend durch die gezielte Auswahl ihrer Kundenpartner liefern, um ihr Risiko bei der Geschäftsanbahnung bzw. Rückverfolgung zu minimieren.

Staatlich gesteuerte und geförderte Cyber-Angriffe mit der Absicht der gezielten Wirtschafts-/Industrie-Spionage liegen weiterhin stark im Trend und in der Expansion, und erhöht so die Gefahr des Diebstahls von geistigem Eigentum insbesondere in den Sektoren Gesundheitswesen, Automobilbau, Rüstung, Finanzen, aber auch bei Regierungsorganisationen. China, Russland, Iran und Nordkorea sind hier sehr aktiv.

Der Anteil der leichter bekämpfbaren Malware-Angriffe sank von 60% auf 49% (von 2018 auf 2019), während die schwieriger erkennbaren und damit gefährlicheren Malware-freien Intrusions-Angriffe im gleichen Zeitraum von 40% auf 51% anwuchsen. Nach Regionen betrachtet sind Unternehmen und Institutionen in Nord-Amerika am stärksten gefährdet, gefolgt von Europa und Naher Osten.

Als den wichtigsten Schutzparameter in der Cyberabwehr nennt CrowdStrike die Ausbruchszeit (breakout time), welche den Zeitraum vom Zeitpunkt des Eindringens des Bedrohungsakteurs in eine Netzwerkumgebung misst, bis zu dem Zeitpunkt, wo er sein eigentliches Angriffsziel erreicht bzw. seine Schadhandlung (mittels eingeschleuster Malware) unwiderruflich eingeleitet/umgesetzt hat. Eingerechnet ist somit auch die erforderliche Zeit des Angreifers für „lateral movement“ (verdecktes/unerkanntes, schrittweises Vordringen und Auskundschaften innerhalb des intrudierten Systems). Die Zielsetzungen reichen hierbei von Sabotage-Attacken zur unwiederbringlichen Zerstörung von Daten (unter Verwendung von Wiper-Malware), über gewollte Systemausfälle (z.B. auch durch DDoS-Attacken) zur Herbeiführung von Komplett-Abstürzen z.B. von Unternehmens-Websites bzw. Online-Diensten, bis hin zu gezielter Totalausfall-Sabotage von kritischen Infrastrukturen (wie z.B. Energie-/Wasserversorgung, Telekommunikation). Gerade auch das erfolgreiche und unerkannte Ausschleusen von sensiblen Datenbeständen durch eine zuvor programmierte  Backdoor im intrudierten System (d.h. nach Herstellung von Persistenz), ist ein leider weiterhin sehr reales Bedrohungsszenario.

Daher die klare Botschaft: CrowdStrike ermahnt geradezu jedes Unternehmen, sich in der Cyberabwehr systemisch und organisatorisch so aufzustellen, dass dieses in Stunden gemessene „Breakout-Zeitfenster“ nach den Anforderungen der 1-10-60-Regel geschützt bzw. Angriffsaktivitäten rechtzeitig abgeblockt werden können.

Dies heißt konkret: Erkennen von Bedrohungen innerhalb der ersten Minute, Verstehen der Bedrohungen innerhalb von 10 Minuten und Reaktion innerhalb von 60 Minuten.

Während sich die Ausbruchszeiten bei den eCrime-Intrusionen im Durchschnitt von 4,5h auf 9h erhöhten, sind die Ausbruchszeiten der weitaus gefährlicheren geheimdienstlich bzw. im Staatsauftrag agierenden Angreifer unverändert kurz. Daher ist eine schnelle Reaktionszeit in der Abwehr weiterhin essentiell.

Weitere Trends und TTPs des Jahres 2019 – Ein Auszug

Eine bemerkenswerte Änderung bei den Angriffs-TTPs (Taktiken, Techniken, Prozeduren) für 2019 ist der deutliche Anstieg von „Maskerading“, was sich durch die zunehmende Verwendung des EternalBlue-Exploit erklären lässt. Als Exploit bezeichnet man ein von Hackern genutztes Werkzeug und damit „Schadprogramm“, welches die Sicherheitslücke (Exploit-Gap) in einem Computersystem ausnutzt, um dort einzudringen. Von Maskerading wird gesprochen, wenn der Name oder Ort einer ausführbaren Datei böswillig manipuliert wird, um die Verteidigung zu unterlaufen.

Auch konnte beobachtet werden, dass bereits bekannte, voneinander unabhängige eCrime-Programme so raffiniert weiterentwickelt und miteinander kombiniert wurden, dass daraus unauffällige Programmstrukturen entstanden, die zunächst nicht detektiert werden konnten. Dies zeigt, dass eCrime-Gruppen voneinander lernen und sich durchaus gegenseitig inspirieren.

CrowdStrike verzeichnete einen allgemeinen Anstieg der e-kriminellen Akteure, welche kompromittierte Websites verwenden. So wurden u.a. mehrere schädliche Phishing-Seiten identifiziert, die zur Tarnung als Zielseite von Microsoft Office 365 fungierten. Die meisten dieser Seiten wurden wahrscheinlich auf legitimen Domains gehostet und durch Sicherheitslücken in CMS-Plugins gefährdet.

Im Bereich ‘DNS Tunneling‘ ist die Verwendung des DNS-Protokolls für Befehls- und Kontrollkommunikation (C2) eine nützliche Bedrohungstaktik für den Fall, dass andere gängige Internetprotokolle deaktiviert oder in einem Unternehmensumfeld engmaschig geknüpft sind.

Immer wieder beobachtete CrowdStrike erfolgreiche Eingriffe/Intrusionen in Netzwerkumgebungen, in denen Sicherheitskontrollen/-mechanismen vorhanden waren, welche den Angriff auch erfolgreich hätten abwehren können. Dennoch waren sie vom Unternehmen unzureichend konfiguriert oder aber nicht flächendeckend im Unternehmen bereitgestellt, aktiviert bzw. ausgerollt.

Daher die klare Botschaft: Bringen Sie Ihre Schutzmechanismen vollumfänglich zur Entfaltung und nutzen Sie Ihre Möglichkeiten voll aus, welche Ihre bestehenden Sicherheits-/Kontroll-Systeme bieten.

Angreifer erlangten und benutzten vermehrt gültige Anmeldeinformationen für eine Vielzahl von Cyberangriffs-Szenarien und bestätigen den Trend zu Malware-freien Angriffstechniken. Solange Unternehmen/Organisationen weiterhin grundlegende Benutzer-IDs und Passwörter für die Zugangs-Authentifizierung benutzen und es unternehmensintern an entsprechender Sensibilisierung der eigenen Mitarbeiter hinsichtlich der vielseitigen Möglichkeiten der unbefugten Erlangung von Zugangsmöglichkeiten im Rahmen der „Social-Engineering-Techniken“ gibt, solange wird sich dieser Trend weiter fortsetzen. Phishing-mails und –Links, darunter auch Email-Thread-Hijacking sowie Tandem-Drop, sowie Manipulation von Geschäftsemails sind hier nur ein Teil des eCrime-Repertoires.

Daher die klare Botschaft: Schützen Sie die Benutzer-Identitäten in Ihrem Unternehmen, sensibilisieren Sie Ihre Mitarbeiter durch gezielte Schulungsseminare und binden Sie diese bewusst und aktiv in den Kampf ein.

Haben wir Ihr Interesse geweckt? Haben Sie weitergehende Fragen oder Sorgen? Zögern Sie nicht und nehmen Sie einfach mit uns Kontakt auf. Wir helfen Ihnen gerne und beraten Sie zielgerichtet.

Das Arbeitsgericht Iserlohn entschied (Beschluss 2BV 5/19 vom 14.01.2020), dass Verstöße gegen die Datenschutzgrundverordnung (DSGVO) zur Auflösung des Betriebsrates führen können.

Quelle https://openjur.de/u/2240137.html

Verfahrensinhalt

Zwei Unternehmen, welche in der Automobilzuliefererbranche über einen Gemeinschaftsbetrieb miteinander verbunden waren, bemühten sich eine Tochtergesellschaft zu restrukturieren. Das Scheitern der verschiedenen Versuche führte zur Schließung der betreffenden Standorte der Tochtergesellschaft. Die daraus folgenden betriebsbedingten Kündigungen sämtlicher Arbeitnehmer/-innen führte zu einem Konflikt, welcher durch den Betriebsrat begleitet wurde. Der Betriebsratsvorsitzende versandte daraufhin eine E-Mail an eine Kanzlei für gewerkschaftlichen Rechtsschutz, sowie an andere Kanzleien. Der anhängige Link zu einem Ordner in einer Cloud bestand aus einer großen Datenmenge betriebsinterner Unterlagen, mit mehr als 150 MB (dies entspricht ca. 921 Seiten), [wie z.B. Abschriften von E-Mails, Schriftsätze, Kalenderauszüge, behördlichen Bescheide, Rechnungen Konzeptzeichnungen, Urlaubsanträge, Vertragstexte Präsentationen, Produktlinienkonzepte Bedarfsanforderungen, Lieferantenterminpläne, „Business Acquisation Planning“, tabellarische Auflistungen von Kundenanfragen hinsichtlich zu produzierender Teile u.a.] Diese Daten wurden durch den Empfänger im Kündigungsschutzverfahren genutzt. Der Konzern als Arbeitgeber begehrte daraufhin die Auflösung des Betriebsrats seines Gemeinschaftsbetriebes/ Tochtergesellschaft und hilfsweise den Ausschluss des Betriebsratsvorsitzenden.

Die Entscheidung des Arbeitsgerichtes Iserlohn

Die Übermittlung der Daten in diesem Größenumfang wurde durch das Arbeitsgericht Iserlohn gemäß § 23 Abs. 1 Betriebsverfassungsgesetz (BetrVG) als eine grobe Pflichtverletzung des Betriebsrates bewertet. Es wurde dem Antrag, zur Auflösung des Betriebsrates, durch die Arbeitgeberinnen stattgegeben. Neben der Vertrauensstellung des Betriebsrates wurden durch das Arbeitsgericht Iserlohn auch die Verstöße gegen die Datenschutzbestimmungen mit einbezogen. Verletzt wurde durch die massive Überschreitung der Kompetenzen der § 1 BetrVG.

Das Gericht setzte ein systematisches Vorgehen bei der Sammlung der Menge an Daten voraus, wodurch eine vertrauensvolle Zusammenarbeit, begründet durch eine konkrete Wiederholungsgefahr, zwischen Betriebsrat und Arbeitgeberinnen nicht mehr gegeben sei.

Ebenfalls kam das Arbeitsgericht zu dem Schluss, dass eine Rechtsgrundlage zur Datenverarbeitung nach Art. 6 DSGVO mit dem Zwecke der Weitergabe an Dritte ebenso wenig vorlag, wie aus § 26 Abs. 1 BDSG, da aufgrund mangelnder betriebsverfassungsrechtlicher Kompetenzen des Betriebsrats die Erforderlichkeit zur Übermittlung nicht gegeben ist. Der Einwand des Betriebsrates, dass dieser die Daten an Prozessbevollmächtigte übermittelt habe, welche der beruflichen Schweigepflicht unterliegen, wies das Gericht ab. Das Arbeitsgericht begründet die Ablehnung wie folgt: Die Beschäftigten einer gewerkschaftlichen Rechtsschutz GmbH unterliegen keiner anwaltlichen Schweigepflicht. Die E-Mails waren nicht persönlich an einen Ansprechpartner gerichtet, sondern lediglich allgemein an die jeweilige Anwaltskanzlei adressiert. Der Link zum Download der Dokumente war nicht Passwort-geschützt, was einen weiteren groben Verstoß darstellte. Die Daten hätten an unbeteiligte Dritte gelangen können und sind somit keinem überschaubaren Empfängerkreis zur Verfügung gestellt worden. Durch das Fehlen einer betriebsverfassungsrechtlichen Grundlage für die Datenübermittlung nimmt das Arbeitsgericht einen Verstoß gegen die Datenschutzgrundverordnung an. Der Betriebsrat könne für die Datenverarbeitung keine Rechtsgrundlage benennen. Aufgrund der mangelnden Einsicht des Betriebsrates, geht das Arbeitsgericht Iserlohn davon aus, dass der Betriebsrat sensible Daten der Arbeitgeberinnen erneut einem unüberschaubaren Personenkreis zur Verfügung stellte.

 

Auch ein Betriebsrat muss datenschutzrechtliche Bestimmungen beachten. Allein die Tatsache, dass er sich als Interessenvertretung für Arbeitnehmer/ -innen versteht, bedeutet nicht, dass er eine Legitimation zur Verarbeitung von Beschäftigtendaten hat.  Auch der Betriebsrat muss darstellen, wie und unter welchen Voraussetzungen er Beschäftigtendaten nutzt und welche Sicherheitsvorkehrungen zum Schutze der Daten er trifft.

Die Grundsätze des Datenschutzrechts sind für jedermann im Umgang mit personenbezogenen Daten bindend, egal ob mit Daten von Beschäftigten aber ebenso mit denen von Kunden. Für die methodische Sammlung, Analyse sowie Übermittlung von sensiblen Daten, in diesem Fall waren es die betriebsinternen Dokumente, hat auch das Betriebsverfassungsrecht enge Grenzen abgesteckt.

Ein neuer Leak im Umlauf: Die Bundesregierung plant ein neues „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“ (TTDSG). Dieses neue Gesetz des Bundeswirtschaftsministeriums (BMWi) soll zukünftig im Bereich der Telemedien und der Telekommunikation für Rechtssicherheit sorgen. Es existieren noch verschiedene Gesetze ( DSGVO, TMG und TKG) nebeneinander. Es soll eine Bündelung des Datenschutzes mit dem TTDSG erfolgen. Ein noch nicht veröffentlichter Referentenentwurf (https://www.heise.de/downloads/18/2/9/4/6/4/2/1/20200731_RefE_TTDSG_cleaned.pdf) liegt bereits vor.

Im Ziel des Gesetzes ist die Rechtsklarheit für alle betroffenen Parteien benannt. Mit dem Gesetzentwurf soll eine geschlossene und von den Bestimmungen des Telemediengesetzes und des Telekommunikationsgesetzes getrennte gesetzliche Reglung zum Datenschutz und zum Schutz der Privatsphäre geschaffen werden Dabei sollen zugleich die erforderlichen Anpassungen an die DSGVO erfolgen.“

Ein wichtiger Hinweis: „Die in Deutschland insbesondere in Hinblick auf das Setzen von Cookies umstrittene Frage der Umsetzung von Artikel 5 Absatz 3 der E-Privacy-Richtlinie soll mit diesem Gesetzentwurf geklärt werden.“

Der Geltungsbereich des neuen Gesetzes wird u.a. im

§1 des geplanten Gesetzestextes definiert, Zitat: Dieses Gesetz regelt den Schutz personenbezogener Daten der Endnutzer von elektronischer Kommunikation bei der Erhebung und Verwendung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig elektronische Kommunikationsdienste in öffentlichen elektronischen Kommunikationsnetzen betreiben, einschließlich öffentlicher elektronischer Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen, erbringen oder anderen Erbringung mitwirken, und von Telemedien.“

§3 trifft Regelungen zu Personal Information- Management-Services (PIMS)

Dies umfasst z.B. Arbeitszeiterfassungssysteme, welche lt. Entwurf PIMS in der Nutzung freiwillig sein müssen. Kein Dienstanbieter darf laut Entwurf einen Nutzer dazu zwingen, ein PIMS zu verwenden.

§9 geht bei „Einwilligung bei Endeinrichtungen“ auch auf Cookies ein.

Dort heißt es, dass es unter drei Bedingungen eine Ausnahme zur Einwilligungspflicht geben soll. Wenn es,

  1. „technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln (…)“
  2. „vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen“
  3. „zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.“

 

Die Aufsicht ist neu geregelt: Der Gesetzentwurf bereinigt die Regelungen des Telemediengesetz (TMG) um diejenigen Bestimmungen, die aufgrund des Vorranges der DSGVO nicht mehr anwendbar sind.

Einheitliche Zuständigkeit für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDi) ist nun geplant. Der BfDi soll in diesem Bereich zukünftig die Aufsicht über den gesamten Schutz der personenbezogenen Daten übernehmen. Damit ist z.B. die BNetzA für das Abhörverbot und die Einhaltung von Informationspflichten unbeteiligt.

Bußgelder werden an die DSGVO angeglichen.

Es ist ein zeitnahes Inkrafttreten ohne Übergangsfristen geplant.

 

Gez. M. Reichenbacher

In einer Pressemitteilung vom 19.08.2020 positioniert sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDi) Professor Ulrich Kelber zum PDSG und deren Anwendungsfolgen.

Zitat: ”Die Nutzerinnen und Nutzer werden in Bezug auf die von den Leistungserbringern in der ePA (elektronische Patientenakte) gespeicherten Daten zu einem „Alles oder Nichts“ gezwungen. Jede Person, der die Versicherten Einsicht in diese Daten gewähren, kann alle dort enthaltenen Informationen einsehen.” Zitat Ende.

Das vollständige Positionspapier finden sie auf der Internetseite des BfDi:

https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/20_BfDI-zu-PDSG.html

 

Gez. M. Reichenbacher