Achtung, das US-Gesetz Cloud ACT (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Behörden den Zugriff auf alle ihre Daten – auch ohne richterlichen Beschluss. Alle gespeicherte Daten von US-Unternehmen auch im US-Ausland, werden so behandelt, als wären Sie auf Servern in der USA gespeichert. Dieses Gesetz gilt für Internet-Provider, IT-Dienstleister und Cloud-Anbieter mit Sitz in den USA und deren Kundenkreis. Ist ein Unternehmen in Europa Teil eines US-Unternehmens oder tauscht dieses Daten mit US-Unternehmen aus, unterliegt es dem Cloud-Act.

Der Cloud-Act betrifft sowohl personenbezogene als auch Unternehmensdaten von wirtschaftlichen Informationen, Geschäftsgeheimnisse und anderes geistiges Eigentum. Keine Sicherheiten vor dem Zugriff der US-Behörden bieten technische Verschlüsselung, Treuhänder Modelle oder bilaterale Abkommen. Damit besteht ein Rechtskonflikt mit der DS-GVO.

Cloud-Anbieter mit Sitz und Rechenzentrum in der EU bieten maximale Sicherheit und sind DSGVO-konform. Achten Sie auch auf Prüfzertifikate wie ISO27001, ISAE3402, C5, PS860 i. V. m. PH 9.860.1

Wir beraten und prüfen Cloudanbieter, auf die Einhaltung gesetzlicher sicherheitsrelevanter Vorgaben.

Das Leben ohne funktionierende Informations- und Kommunikationstechnik ist heute kaum noch vorstellbar. Die Gefährdungen durch Angriffe im Cyberraum nehmen allerdings seit Jahren zu und sie werden immer ausgefeilter. Daher reagierte Die Bundesregierung mit dem neuen Gesetz.

Der Deutsche Bundestag hat am Freitag, den 23.04.2021 das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme beschlossen. Dieses löst das alte IT-Sicherheitsgesetz aus Juli 2015 ab. Zweck des Gesetzes ist die Gewährleistung der Cyber- und Informationssicherheit, welche mit der zunehmenden Digitalisierung immer mehr Bedeutung erlangt.

Das neue IT-Sicherheitsgesetz wird Änderungen in verschiedenen Gesetzen zur Folge haben. Betroffen sind das BSIG, das TKG und das TMG, das SGB X und das Gesetz über die Elektrizitäts- und Gasversorgung, sowie die Außenwirtschaftsverordnung.

Wichtige Neuerungen sind:

  • Es wurden neue Begriffsbestimmungen definiert. Die gibt es jetzt für die Kommunikation des Bundes, Protokollierungsdaten, IT-Produkte, Systeme zur Angriffserkennung und kritische Komponenten.
  • Einbeziehung von Unternehmen im besonderen öffentlichen Interesse, welche in drei Kategorien geclustert werden. Die Anforderungen sind teilweise unterschiedlich.
  • Betreiber kritischer Infrastruktur müssen innerhalb eines Jahres nach Inkrafttreten des Gesetzes Angriffserkennungssysteme implementieren.
  • Betreiber von Unternehmen im besonderen öffentlichen Interesse müssen alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen. Damit liegt eine Augenmerk auf Zertifizierungen, Sicherheitsaudits und ähnlichen Schutzmaßnahmen.
  • Der Einbau kritischer Komponenten bedarf einer Garantie-Erklärung des Herstellers. Liegt diese nicht vor, kann das BSI den Einsatz bei Betreibern der kritischen Infrastruktur verbieten.
  • Es werden Voraussetzungen für ein nationales IT-Sicherheitskennzeichen geschaffen, das ist allerdings freiwillig. Gemeint ist damit nicht die CSA-Zertifizierung der EU.
  • Die Gesetzesverabschiedung stärkt die Rolle des BSI, dieser nähert sich immer mehr der Rolle als oberste Bundesbehörde. Für Unternehmen im besonderen öffentlichen Interesse und teilweise auch für Betreiber kritischer Infrastruktur wird die Umsetzung mit erheblichen Anpassungen verbunden sein.

    Die IEC 62443-Serie wurde entwickelt, um industrielle Kommunikationsnetze und Industrielle Automatisierungs- und Steuerungssysteme (IACS) durch einen systematischen Ansatz zu sichern.

    Sie umfasst derzeit neun Normen, Technische Berichte (TR) und Technische Spezifikationen (TS), wobei vier Teile noch in der Entwicklung sind. IACS finden sich in immer mehr Bereichen und Branchen, viele davon, wie z. B. Energieversorgung und -verteilung, Transportwesen, Fertigung usw. sind von zentraler Bedeutung für kritische Infrastrukturen (PH 9.860.2: Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen).

    Zu den IACS gehören auch Supervisory Control and Data Acquisition (SCADA)-Systeme, welche häufig von Organisationen eingesetzt werden, welche in Branchen mit kritischer Infrastruktur tätig sind, wie z. B. Stromerzeugung, -übertragung und -verteilung, Gas- und Wasserversorgungsnetze. Die Sicherstellung von Risikominderung und Ausfallsicherheit ist daher unerlässlich.

    Verhinderung von illegalem oder unangemessenem Zugriff

    In den Veröffentlichungen der IEC 62443 wird „der Begriff ‚Sicherheit‘ als Verhinderung des illegalen oder unerwünschten Eindringens, der absichtlichen oder unabsichtlichen Störung des ordnungsgemäßen und beabsichtigten Betriebs oder des unangemessenen Zugriffs auf vertrauliche Informationen in Integriertes Verwaltungs- und Kontrollsystem (InVeKoS) betrachtet.“

    Sicherheit „umfasst Computer, Netzwerke, Betriebssysteme, Anwendungen und andere programmierbare, konfigurierbare Komponenten des Systems“.

    Die IEC 62443-Normen decken alle Aspekte der Cybersicherheit in allen Phasen ab und sind ein Eckpfeiler eines „Secure-by-Design“-Ansatzes.

    Daher ist ein breiter Überblick über die IEC 62443-Publikationen notwendig, da sie für alle industriellen Kommunikationsnetze und IACS-Anwender relevant sind, einschließlich Anlagenbesitzer, Systemintegratoren, Gerätehersteller, Lieferanten, Anlagenbetreiber, Wartungsfachleute und alle privaten und staatlichen Organisationen, welche mit der Cybersicherheit von Steuerungssystemen zu tun haben oder davon betroffen sind (IEC / TS 62443-1-1 Industrielle Kommunikationsnetze, Netzwerk- und Systemsicherheit – Teil 1-1: Terminologie, Konzepte und Modelle).

    Die Normenreihe IEC 62443 ist in vier Teile gegliedert, welche Folgendes abdecken:

    • Allgemeines (IEC 62443-1.* – ein Teil von vier veröffentlicht)
      Die allgemeinen Dokumente geben einen Überblick über den industriellen Sicherheitsprozess und stellen wesentliche Konzepte vor.
    • Richtlinien und Verfahren (Policies & Procedures) (IEC 62443-2.* – drei Teile von vier veröffentlicht)
      Die Dokumente zu Policies & Procedures heben die Bedeutung von Richtlinien hervor – selbst die beste Sicherheit ist nutzlos, wenn die Mitarbeiter/innen nicht geschult und verpflichtet sind, sie zu unterstützen.
    • System (IEC 62443-3.* – alle drei Teile veröffentlicht)
      Da Sicherheit nur als integriertes System verstanden werden kann, bieten die Dokumente zum Thema „System“ wichtige Anleitungen zum Entwurf und zur Implementierung sicherer Systeme.
    • Komponenten (IEC 62443-4.* – beide Teile veröffentlicht)
      Da man ein solides Gebäude nicht aus schwachen Ziegeln bauen kann, beschreiben die Komponentendokumente die Anforderungen, welche für sichere Industriekomponenten erfüllt werden müssen.


    Informationstechnik (IT) und Betriebstechnik (OT)

    Internationale IEC-Normen wie ISO / IEC 27001 und IEC 62443 sind zusammen mit der Prüfung und Zertifizierung (Konformitätsbewertung) wichtige Werkzeuge für ein erfolgreiches und ganzheitliches Cybersicherheitsprogramm. Ein solcher Ansatz erhöht das Vertrauen der Stakeholder, indem er nicht nur den Einsatz von Sicherheitsmaßnahmen auf Basis von Best Practices nachweist, sondern auch, dass eine Organisation die Maßnahmen effizient und effektiv umgesetzt hat. Dies muss in eine übergreifende Strategie eingebunden werden, welche Menschen, Prozesse und Technologie umfasst. Dabei werden nicht nur die technischen Maßnahmen an sich betrachtet, sondern auch die Organisation rund um diese Maßnahmen, welche sicherstellt, dass Cyber-Angriffe rechtzeitig erkannt werden.

    Herausforderungen bei der Implementierung

    Obwohl die IEC 62443 viele Vorzüge und Vorteile hat, bringt die Implementierung der Norm auch einige Herausforderungen mit sich.

    Die Norm ist jedoch nicht vollständig. Einige der Spezifikationen in der Norm sind noch nicht veröffentlicht worden.

    Jedoch ist die Norm sehr umfangreich: Mit einem Gesamtumfang von bisher mehr als 800 Seiten und weiteren Spezifikationen, welche sukzessive veröffentlicht werden, ist ein erheblicher Zeit- und Arbeitsaufwand erforderlich, um den kompletten Standard zu lesen und zu verstehen.

    Mit unserem Prüfungsstandard nach IDW PS 860 (IT-Prüfung außerhalb der Abschlussprüfung) stellen wir die Erfüllung gesetzlicher oder regulatorischer Anforderungen. Die Prüfungshinweise sind vorgesehen für

    • Cloud / Cybersecurity
    • Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (PH 9.860.1)
    • Prüfung bei Betreibern kritischer Infrastrukturen (PH 9.860.2)
    • Konformität GoB Vorgaben

    Einhaltung von Industriestandards und anerkannter IT-Frameworks

    • PCI-DSS
    • ISO Normen
    • COSO, COBIT oder ITIL

    Mit unserer Bescheinigung stellen wir sicher, dass die Mechanismen, die implementierten Maßnahmen und Kontrollen einer Angemessenheitsprüfung (Zeitpunktbetrachtung) unterzogen werden und die Kriterien geeignet sind. Wir prüfen die Implementierung der Kontrollen und Maßnahmen zur Gewährleistung von Cyber-Sicherheit und unterziehen diese einer Wirksamkeitsprüfung (Zeitraumbetrachtung) und stellen somit sicher, dass die Kontrollen und Maßnahmen im Zeitraum wirksam waren.

    Durch die Pandemie wurde für viele Ihrer Kollegen das Zuhause zum neuen Arbeitsort. Eine vertraute Umgebung, aber ist sie sicher?

    Die Arbeit wird größtenteils über Home Internet Service Provider (ISPs), also über ungesicherte Router verrichtet. Nachbarn können Ihre Telefonate mithören und dabei sensible Informationen erhaschen. Vielleicht nutzt der Lebenspartner / die Lebenspartnerin auch noch das gleiche Arbeitsgerät und nutzt es für anderweitig geschäftliches. Kurz gesagt: es gibt keinen anderen beliebten Ort, wie das zu Hause Ihrer Mitarbeiter/innen für Cyber-Attacken.

    Fast täglich werden durch Hacker altbekannte Methoden wie Phishing-Mails verwendet. Dabei gehen die Betrüger mit der Zeit mit und nutzen die Pandemie schamlos aus. Sie lotsen Ihre Mitarbeiter/innen auf Webseiten, um angeblich Mund-Nasen-Bedeckungen, medizinische Gesichtsmasken sowie partikelfiltrierende Halbmasken (FFP) zu verkaufen oder führen das „Opfer“ auf Webseiten, um die neuesten Nachrichten lesen zu lassen (z. B. wie man sich von dem Virus erholen kann). Hacker haben sogar eine App entwickelt, welche sich als „Weltgesundheitsorganisation WHO“ ausgab. Diese Applikation war dem Original zum Verwechseln ähnlich. Sie war (be-)trügerisch und zog dem Anwender Informationen direkt vom Mobiltelefon ab. Altbekannte Sicherheitsvorkehrungen – wie Firewalls – kommen damit an ihre Grenzen, um Cyberbedrohungen dieser Art zu stoppen.

    Was aber tun? Wir müssen die Themen rund um Cybersicherheit neu überdenken, damit Mitarbeiter/innen aus der Ferne sicher arbeiten können.
    Cyber-Attacken vollständig aus dem Weg zu gehen ist leider nicht möglich. Jedoch ist nicht jede Bedrohung per se eine große Gefahr. Wichtig ist, dass Ihre Mitarbeiter/innen sensibilisiert werden, damit sie etwaige Maßnahmen zeitnah ergreifen können, um die gefährlichsten Cyberangriffe zu verhindern. Das macht den Unterschied zwischen einer erfolgreichen Remote-Belegschaft und einer anfälligen Belegschaft aus. Dem Unternehmen ist geraten eine „Home-Office-Policy“ zu erstellen, denn Unternehmen sind in der Nachweispflicht. Unternehmen brauchen ein klares Prozedere bei Datenpannen und IT-Problemen.

    Um irreparable und möglicherweise teure Datenschutzverletzungen (nach DSGVO und / oder BDSG) zu verhindern, empfehlen wir folgende Handlungsmöglichkeiten:

    Arbeitsdaten bleiben Arbeitsdaten

    • Laptops / Arbeitsgeräte außerhalb der Arbeitszeit ausschalten
    • Bildschirm sperren, sobald man den Arbeitsplatz verlässt (auch wenn nur für den Gang zur Toilette und wieder zurück)
    • Nicht gesperrter Bildschirm vor unbefugten Dritten (Mitbewohner/innen, Familienmitglieder/innen, Freunde etc.) schützen

    Nicht nachlassen bei Passwörtern

    • Es wird empfohlen, mindestens zwölf Zeichen zu verwenden (einschließlich Sonderzeichen und Zahlen)
    • Es wird empfohlen, das Kennwort regelmäßig (alle 30 Tage) zu wechseln

    Neustart

    • Dies ist wichtig, damit die Antivirensoftware sich regelmäßig aktualisiert
    • Dieser Vorgang minimiert die Anfälligkeit der (mobilen) Endgeräte

    Obacht vor verdächtigen E-Mails

    • Kennen Sie den Absender?
    • Sieht die Nachricht nach Spam aus?
    • Mitarbeiter/innen sollten Phishing-Versuche sofort löschen und melden

    Die beste Offensive gegen Cyberangriffe ist eine gute Verteidigungsstrategie. Diese beginnt damit, dass eine IT-Analyse durchgeführt wird. So wappnet sich ihr Unternehmen vor Datenschutzverletzungen:

    1. Für alle Endgeräte wie Laptops, muss die erforderliche Antivirensoftware vom Arbeitgeber zur Verfügung gestellt werden
    2. Alle Mitarbeiter/innen welche remote arbeiten, müssen an den regelmäßigen (alle zwölf Monate) Schulungen zur Informations- und Cybersicherheit teilnehmen. Über aktuelle Bedrohungslagen müssen die Mitarbeiter/innen zeitnah informiert werden
    3. Wir empfehlen eine mehrstufige Authentifizierung, um sicherzustellen, dass Mitarbeiter/innen ihre Identität über ihre Telefone bestätigen, bevor Sie auf vertrauliche Dateien zugreifen.
    4. Richten Sie eine verschlüsselte VPN-Verbindung ein, um den Zugang zu sicheren Informationen zu gewährleisten
    5. Ernennen Sie einen Datenschutzbeauftragten / Informationssicherheitsbeauftragten (Information Security Officer), um potenzielle Cyberangriffe melden zu können

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDi) Professor Ulrich Kelber verhängte im Dezember 2019 ein Bußgeld, wegen eines Verstoßes gegen Artikel 32 DSGVO in Höhe von 9.550.000,00 € gegen 1&1.

    1&1 Telecom GmbH legte Widerspruch gegen das verhängte Bußgeld ein. Nach Auffassung von 1&1 Telecom GmbH war das Bußgeld unverhältnismäßig und seine Bemessung ein Verstoß gegen das Grundgesetz. Der Datenschutzverstoß entstand durch ein unzureichendes Authentifizierungsverfahren, welches die Daten seiner Kunden im Rahmen der Kommunikation über sogenannte Callcenter schützen soll.

    Das Landgericht Bonn hat nunmehr entschieden, dass das verhängte Bußgeld dem Grunde nach berechtigt, aber im konkreten Einzelfall zu hoch war. (Hinweis: Der hinterlegter Link beinhaltet noch kein Volltexturteil !!!)

    In der Sache liege ein geringer Datenschutzverstoß vor und das Bußgeld wurde auf 900.000,00 Euro herabgesetzt.

    Damit urteilte erstmals ein deutsches Gericht im Rahmen eines DSGVO-Millionenbußgeldverfahrens. Trotz Reduzierung des Bußgeldes zeigte sich der BfDi nicht unzufrieden mit der Entscheidung. Zitat: “ Ich bin überzeugt, dass diese Entscheidung in den Chef- Etagen von Unternehmen wahrgenommen wird.“

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber fordert die Bundesregierung auf, das Urteil des Europäischen Gerichtshofes (EuGH) zur Vorratsdatenspeicherung als Grenze für zukünftige Gesetze zu sehen: Es ist nicht nachvollziehbar, dass ein Jahr vor der Bundestagswahl im Schnellverfahren anstehende Gesetze im Bereich Telekommunikation geplant sind, die der Linie des EuGH widersprechen. Vielmehr sollte sich Deutschland während seiner Ratspräsidentschaft dafür einsetzen, dass auf europäischer Ebene keine neuen Regelungen zur Vorratsdatenspeicherung entstehen. Das gilt insbesondere für die aktuell diskutierte ePrivacy Verordnung.

    Der BfDI äußert sich bereits seit Jahren kritisch zu einer anlasslosen Vorratsdatenspeicherung und sieht sich durch das Urteil des EuGH bestätigt. Mit diesem wegweisenden Urteil wird die anlasslose und pauschale Vorratsdatenspeicherung von Verkehrs- und Standortdaten, die dokumentieren, wer mit wem, wann, wie lange und von wo aus telefoniert hat, für unvereinbar mit europäischem Recht erklärt.

    Gleichzeitig stellt der EuGH klar, dass zur Abwehr von schweren Straftaten und zur Sicherstellung der nationalen Sicherheit weiterhin unter bestimmten Bedingungen eine Vorratsdatenspeicherung möglich ist. Die jeweilige nationale Anordnung zur Vornahme der Speicherung muss jedoch zeitlich befristet sein und einer wirksamen Überprüfung durch ein Gericht oder eine unabhängige Verwaltungsbehörde unterliegen.

    Der europäische und deutsche Gesetzgeber sollten sich bei zukünftigen Rechtssetzungsvorhaben am Urteil des EuGH orientieren. Auch die Parteien sollten das Urteil in ihren Wahlprogrammen für die Bundestagswahl im kommenden Jahr berücksichtigen.

    Pressemitteilung des BfDI vom 7. Oktober 2020

    Wenn Sie eine IT-Audit-Checkliste erstellen, erstellen Sie ein System zur Bewertung der Nachhaltigkeit der Informationstechnologie-Infrastruktur Ihres Unternehmens. Sie prüfen ihre IT-Richtlinien, -Verfahren und betrieblichen Abläufe. Es ist wichtig zu verstehen, wo Sie sich gerade befinden, wo Ihre Stärken liegen und welche Schwächen Sie haben, denn dies dient der Ermittlung der Wachstumschancen des Unternehmens. Ein IT-Audit kann dabei helfen, potenzielle Sicherheitsrisiken zu identifizieren und ihre Software und Hardware neu zu bewerten.

    Unternehmen sind dafür verantwortlich, ihre informationstechnischen Verfahren regelmäßig zu überprüfen. Dieser Prozess trägt zum Schutz der Kunden, Lieferanten, Aktionäre und Mitarbeiter bei. Mit einer vorhandenen IT-Audit-Checkliste können Unternehmen vierteljährlich oder jährlich eine umfassende Risikobewertung durchführen. Diese Bewertung kann verwendet werden, um einen jährlichen Prüfungsplan zu erstellen, der alle wesentlichen Bereiche eines Unternehmens über einen gewissen Zeitraum abdeckt. Dabei sollten auch strategische, in die Zukunft gerichtete Aspekte mit berücksichtigt werden.

    Die Checkliste für die IT-Bewertung kann von Netzwerkfehlern bis hin zu unzureichenden Datenflüssen, Protokollierung ungenauer Informationen, die möglicherweise die Daten des Unternehmens gefährden könnten, enthalten. Ein weiterer Vorteil einer IT-Audit-Checkliste besteht darin, dass sie eine Richtlinie für Ihre Mitarbeiter darstellt. Wenn Mitarbeiter verstehen, was zum Schutz von Daten erforderlich ist und auf welche Bereiche sie sich konzentrieren müssen, können sie potenzielle Risiken oder Schwächen proaktiv identifizieren. Sobald sie identifiziert sind, ist es einfacher, einen Plan zu erstellen, um etwaige prozessuale Fehler zu beheben. Des Weiteren besteht die Möglichkeit Mitarbeiter mit einer internen IT Audit Checkliste auf interne oder externe Audits vorzubereiten. Somit wird Transparenz geschafft und Weichen für eine reibungslosen Ablaufs einer Auditierung werden gestellt.

    Wenn Sie bereits über eine IT-Audit-Checkliste verfügen, fragen Sie sich möglicherweise, ob diese noch wirksam ist. Die heutige Technologie entwickelt sich jedoch rasant weiter, dabei müssen ältere Prüfungsverfahren aktualisiert werden. Um dem gerecht zu werden, muss entschieden werden, welche Prioritäten im IT-Management gesetzt werden. Eine IT-Audit Checkliste kann als Leitfaden dienen. Dabei werden auf Basis vergangener Audits Aktualisierungen in der Checkliste vorgenommen, welche das Potential haben, neue Schwachstellen oder neue Problembereiche zu identifizieren.

    Wenn Ihr Unternehmen beispielsweise expandiert, erwägen Sie möglicherweise den Kauf zusätzlicher Hardware und gewähren neuen Mitarbeitern Zugriff auf vertrauliche Informationen. Diese Art der Erweiterung erfordert einen genauen Blick auf Ihre IT-Abläufe und -Prozesse. Prozessbegleitend aktualisieren Sie ihre IT-Audit-Checkliste aktualisieren, um sicherzustellen, dass Sie Ihre neuen und aktualisierten Verfahren und Prozesse nicht aus den Augen verlieren.

    Viele Unternehmen wachsen so schnell, dass sie mit der Dokumentation der IT-Prozesse und -verfahren nicht mehr hinterherkommen und die Gefahr besteht, dass Abläufe unterschiedlich gehandhabt werden und sich darin Risiken verstecken Für Ihre Unternehmensinterne IT-Audit-Checklisten bedeutet das, dass möglicherweise nicht die IT-Realität des Unternehmens widerspiegelt wird.

    Ein Teil der Aktualisierung Ihrer IT-Audit-Checkliste besteht darin, die aktuellen Risiken für Ihr Unternehmen zu identifizieren, Prozesse und Verfahren zu erstellen, um diese zu beheben, und dann alle diese Informationen in die IT-Audit-Checkliste aufzunehmen. Möglicherweise ist sich das Management nicht sicher, welchen neuen Risiken das Unternehmen ausgesetzt ist. Um unerkannte Risiken zu minimieren kann mit Hilfe von Fachexperten aus dem IT-Umfeld oder IT-Auditoren entgegengewirkt werden, um die aktuelle technologische Situation zu bewerten und die potenziellen Risiken zu ermitteln. Weil einige Risiken branchenunabhängig sind, haben viele Unternehmen auch ähnliche gelagerte Risiken.

    Beispiele branchenunabhängiger IT-Risiken:

    • Markenschutz, Compliance Verstöße, Vertraulichkeitsverletzungen
    • Informationssicherheitslücken
    • Datenverlust aufgrund steigender Anzahl mobiler Geräte
    • Daten-Diebstahl, Produktivitätsverlust, Hardwareschäden und Kosten aufgrund zunehmender Malware-Epidemien
    • Datenmanagement Systeme (DMS) und Cloud Computing
    • Datenverlust und Compliance-Verstöße verursacht durch elektronische Archivierung

    Es gibt also mehrere gute Gründe eine IT-Audit-Checkliste auf dem neuesten Stand zu halten und IT-Prozesse und Verfahrensdokumentationen konsequent zu überprüfen und zu verbessern.

    Eine sich ständig ändernde IT-Technologie kann aus verschiedenen Gründen gefährdet sein. Hinzu kommt, dass sich Hacker und Cybersicherheitsbedrohungen ständig weiterentwickeln. Wenn Sie eine IT-Audit-Checkliste erstellen, setzen Sie sich proaktiv mit der Realität der heutigen IT-Welt auseinander und leisten Ihren Beitrag zum Schutz Ihres Unternehmens. Die Checkliste verdeutlicht die zu überprüfenden Bereiche, in denen Dokumente der Prozesse und Verfahren fehlen oder in denen sie möglicherweise überhaupt nicht vorhanden sind. Das Wachstum Ihres Unternehmens kann zu zusätzlichen IT-Risiken führen, die Sie in der Vergangenheit möglicherweise nicht hatten. Mithilfe Ihrer Checkliste können Sie potenzielle Probleme identifizieren und den Schutz einrichten, bevor ein Problem tatsächlich auftritt. Zu viele Unternehmen haben keine regelmäßige konsistente Überprüfung, was bedeutet, dass sie sich potenziellen Risiken in Hinblick auf die Cybersicherheit aussetzen.

    Leider verfügt nicht jedes Unternehmen über eine IT-Abteilung. Dies bedeutet, dass externe Unterstützung erforderlich ist, um eine IT-Audit-Checkliste effektiv zu erstellen. Im Grunde genommen wird eine interne Revision durch externe Mitarbeiter gestellt.  Auch Start-Ups stehen oftmals nach geraumer Zeit vor dem Problem, die Prozesse und Abläufe dahingehend zu schärfen, dass die Compliance eingehalten wird.

    Wir von Independent Consulting + Audit Professionals GmbH haben die Expertise Ihr Unternehmen revisionssicher zu gestalten. Wir helfen Ihnen dabei Ihre IT Audit-Checkliste zu erstellen, ihre Mitarbeiter auf die IT-Prüfungen vorzubereiten, damit diese effektiv und effizient durchgeführt werden können. Wir helfen Ihnen IT-Risiken zu identifizieren und zu bewerten, um sie dann auch proaktiv anzugehen, bevor Hacker und Cybersicherheitsbedrohungen Ihr Unternehmen schädigen.

    Der unbefugte Zugriff auf Ihre Daten kann verheerende Folgen haben. Neben einem Reputationsschaden gehen finanzielle und rechtliche Schäden einher. Datenverletzungen pro Angriff können schnell in die Millionen gehen. Wenn ein Incident vertrauliche Informationen enthält, kann dies Ihrem Unternehmen finanziellen Schaden zufügen. Independent Consulting + Audit Professionals GmbH hat sich mit Cybersicherheit intensiv beschäftigt und versteht die Herausforderung, vor der sich viele kleine und mittelständische Unternehmen sehen, um realistische und wirksame Schutzmaßnahmen zu etablieren.

    Mit unseren Cybersicherheits-Dienstleistungen können Sie die Informationen und Informationssysteme Ihres Unternehmens vor unbefugtem Zugriff, Verwendung, Offenlegung, Unterbrechung, Änderung oder Zerstörung schützen und deren Verfügbarkeit, Vertraulichkeit und Integrität sicherstellen. Unser Beratungsansatz ermöglicht es, IT-Investitionen an Ihre Geschäftsanforderungen anzupassen. Nur durch ein ausgeglichenes Verhältnis zwischen adäquaten Investitionen zur Informationssicherheit und einem Verständnis für akzeptable Risiken ergibt sich der Mehrwert, den die Informationssicherheit bieten kann.

    Wir arbeiten eng mit Ihnen zusammen, um das gesamte Ausmaß Ihres Cyber-Risikos zu verstehen, angefangen bei den spezifischen Risikofaktoren Ihrer Branche, bis hin zu den spezifischen Sicherheitsrichtlinien, die Sie eingeführt haben.

    Independent Consulting +Audit Professionals bietet eine breite Palette von Funktionen für Cybersicherheitsrisiken und -bewertungen. Wir unterstützen Sie bei allen Governance und Compliance Anforderungen.

    Darüber hinaus unterstützen wir Sie bei der Entwicklung oder Verbesserung vorhandener Richtlinien, Verfahren und Kontrollen. Wir überprüfen vorhandene Gerätekonfigurationen und ermitteln für Sie die wirtschaftlichen Auswirkungen Ihres aktuellen Cybersicherheitsrisikos.  Bei der Bewertungsmethodik bedienen wir uns Standardrahmen wie ISO, COBIT, NIST, ITIL und COSO oder wir verfolgen spezifischen Anforderungen ihres Unternehmens.

    Folgende Dienstleistungen bieten wir diesbezüglich an:

    • Überprüfung des Sicherheitskonzepts
    • Sanierung der Infrastruktur
    • Bewertung der Cyber-Risiken
    • Penetrationstests, Schwachstellenbewertungen
    • Bewertung von Webanwendungen und Webdiensten
    • Bewertung von Mobilanwendungen
    • Social Engineering- und Facility-Breach-Übungen IT-Risikobewertungen
    • IT-Audit- und Compliance
    • Entwicklung von Cybersicherheitsstrategien und Architektur Cybersecurity Awareness und Education
    • Incident Response
    • Unterstützung für digitale Forensik

     

    Durch unseren ganzheitlichen Ansatz im Rahmen der Cybersicherheit tragen wir dazu bei, dass sich Ihr Unternehmen gegenüber den Risiken des digitalen Zeitalters gewappnet ist.

    On-Premise- oder Cloud-basierte Lösungen wie Software-as-a-Service-Plattformen (SaaS) bieten selbstverständlich Vorteile, aber auch Risiken, die sich z.B. in den Bereichen Datenverwaltung, Datensicherheit, Datenschutz, Transaktionsintegrität u.a. widerspiegeln. Vor allem dann, wenn Informationen in diese neu gekoppelten IT-Landschaften und aus diesen herausfließen. Im Rahmen dieser Transformation ist es wichtig sicherzustellen, dass Risiken und Kontrollen in neue Geschäftsprozesse eingebettet sind.

    Durch die Bewertung von Risiken und das Entwerfen von effizienten Kontrollen während der Implementierung kann Ihr Unternehmen folgendes erreichen:

    • Sie vermeiden Ineffizienzen und möglicherweise Compliance-Verstöße
    • Sie Reduzieren den Control Design Aufwand
    • Sie stellen sicher, dass das Unternehmen einen Mehrwert aus ihren Investitionen zieht

    Independent Consulting + Audit Professionals unterstützt Ihr Unternehmen beim Aufbau ihres angepassten und neuen Risikomanagementsystems. Wir helfen Ihnen auf ihrem Weg zu einer digital integrierten Umgebung, mit der Sie neue Technologien und die Flexibilität ihrer Cloud besser nutzen können. Wir helfen Ihnen dabei, einen Mehrwert in Ihrem Technologie-Ökosystem zu gewinnen, indem wir Risiken in Bezug auf Systeme, Sicherheit, Daten, Berichterstellung und Programme feststellen, bewerten und minimieren.

    Unser Ansatz beginnt mit einem umfassenden Verständnis Ihrer Unternehmensprozesse und richtet den Fokus auf das, was Sie durch die Implementierung erreichen möchten, und konzentriert sich auf Ihre spezifischen Unternehmensrisiken.

    Wir verfügen über umfassende branchenspezifische technologische Kompetenzen, einschließlich Systeme und Anwendungen. Unsere Erfahrungen mit Systemen und Anwendungen, einschließlich On-Premise-, Cloud- und Hybridumgebungen, unterstützen unsere ganzheitliche Sichtweise in Ihrem Unternehmen. Unabhängig davon, ob Sie Cloud-basierte Plattformen, wie z.B. Salesforce und ERPs wie SAP, Navision und Oracle nutzen, können wir Ihre Systeme optimieren, damit Sie mehr Sicherheit und Kontrolle haben und den Compliance-Anforderungen genügen.

    In einer Pressemitteilung vom 28.08.2020 fordert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDi) Professor Ulrich Kelber in einer Entschließung die verfassungskonforme Umsetzung der Registermodernisierung. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber lehnt die geplante Nutzung der Steuer-Identifikationsnummer als übergreifendes Ordnungsmerkmal ab.

    Zitat des BfDI: „Die Pläne für die Registermodernisierung sind in vielen Punkten gar nicht schlecht und durchaus im Interesse der Bürgerinnen und Bürger. Doch durch die Verwendung einer einheitlichen Identifikationsnummer besteht ein erhebliches Risiko der missbräuchlichen Zusammenführung der Daten aus unterschiedlichen Registern. Damit werden viele Sicherheitsmaßnahmen entwertet. Ich hoffe, dass uns nicht wieder erst das Bundesverfassungsgericht vor einem zu neugierigen Staat schützen muss.“

    Die DSK hatte bereits 2019 in einer Entschließung darauf hingewiesen, dass die Schaffung solcher einheitlichen und verwaltungsübergreifenden Personenkennzeichen beziehungsweise Identifikatoren gefährlich sein könnte, weil personenbezogene Daten in großem Maße leicht verknüpft und zu einem umfassenden Persönlichkeitsprofil vervollständigt werden könnten. Der aktuelle Gesetzesentwurf zur Registermodernisierung sieht vor, dass bei mehr als 50 Registern die Steuer-Identifikationsnummer als zusätzliches Merkmal erfasst werden sollen.

    ———————————————————————-

    Die vollständige Entschließung und vertiefende Informationen finden sie auf der Internetseite des BfDi:

    https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/21_Registermodernisierung.html