Wir als IT Experten verstehen die Logik und das Konzept in den ERP Systemen und können Fragen und Buchungsvorgänge durch Datenanalysen schnell transparent machen.

Wechsel von ERP-Systemen bei Mandanten bringen veränderte Abläufe mit nd andere Darstellungen der Zahlen. Das Unternehmen hat aber seine Prozesse noch nicht umgestellt.

Am 03. Februar 2020 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutz-Kompendium in der aktuellen Version 2020 veröffentlicht. Die Aktualisierung des IT—Grundschutz-Kompendiums erfolgt inzwischen jährlich.

Die zahlreichen Änderungen erfordern von den IT Sicherheits Verantwortlichen im Unternehmen in großem Umfang Nacharbeiten, um die Basisanforderungen zu sichten und anzupassen – der überwiegende Teil muss nur einmal angeschaut werden. Dies kann man gut in die jährlich vorgesehene Aktualisierung der Regelungen mit einfließen lassen. Der Umfang zeigt sich deutlich bei den Anforderungen in den einzelnen thematischen Bausteinen mit ca. 1.700 Änderungen.

Im BSI-Grundschutz werden drei Anforderungsstufen unterschieden: Basisanforderungen, Standardanforderungen und Anforderungen für erhöhten Schutzbedarf. Welche Kriterien man ansetzen sollte, um das passende Schutzniveau für seine Geschäftsprozesse und die damit verbundenen Anforderungen festzulegen, definiert der BSI-Standard 200-2 IT-Grundschutz-Methodik (PDF) und darin explizit das Kapitel 3.2.3 „Bestimmung des angemessenen Sicherheitsniveaus der Geschäftsprozesse“.

Die Neuerungen zeigen sich neben der umfangreichen Überarbeitung der Anforderungen auch in Verschiebungen und Konsolidierungen von Bausteinen. Zwei neue Bausteine sind hinzugekommen. Das BSI stellt eine Detailübersicht von 67 Seiten bereit, welches die Änderungen besser erkennen und verarbeiten lässt. Sieben Bausteine erhielten neue Namen und ein Baustein wurde in eine andere Schicht verschoben. Die neuen Bausteine sind der wichtige Baustein „CON.8 Software-Entwicklung“ und der Baustein „INF.5 Raum sowie Schrank für technische Infrastruktur“.

Kein Passwortwechsel mehr, der rein zeitlich gesteuert ist!

Die neue Basis-Anforderung „ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme“ verdeutlicht die Forderung, rein zeitlich definierte Passwortwechsel zu meiden und nur aufgrund eines validen Bedarfs die Benutzer zum Wechsel aufzufordern. Hier gibt es auch viele Hinweise zur praktischen Handhabung von Passwörtern, beispielsweise das Wechseln von Standardpasswörtern oder das testen, ob die gesamte Passwortlänge bei der Sicherheitsprüfung von Anwendungen und IT-Systemen genutzt wird. Weitere Forderungen sind das sichere Speichern, das verschlüsselte Übertragen und das Anzeigen minimalistischer Hinweise bei Falscheingaben.

Im Baustein „ORP.4 Identitäts- und Berechtigungsmanagement“ gab es auch eine kritische Änderung, die vor allem fordert, dass Authentisierungsinformationen kryptografisch sicher übertragen und gespeichert werden MÜSSEN. Dies stellt eindeutig eine weitere Verbesserung der Sicherheit dar, wird aber nicht in allen Teilen ohne weiteres umsetzbar sein. Das kann durchaus erhebliche Auswirkungen in der Konzeption der IT Sicherheitsarchitektur haben. Die BERLINCOUNSEL Consulting GmbH steht Ihnen bei der schnellen und effizienten Anpassung der aktuellen Vorgaben und Prozesse mit einem kompetenten Team zur Seite. Mit unserem effektiven Online-Systematik können wir Sie gerade in der aktuellen Lage mit solchen Aufgaben auch remote effektiv unterstützen – sprechen Sie uns an!

Die Independent Audit Proffessionals stehen Ihnen bei der schnellen und effizienten Anpassung der aktuellen Vorgaben und Prozesse mit einem kompetenten Team zur Seite. Mit unserem effektiven Online-Systematik können wir Sie gerade in der aktuellen Lage mit solchen Aufgaben auch remote effektiv unterstützen – sprechen Sie uns an!

T-SiG, IT-SiG 2.0, EU NIS-RL, EU Cybersecurity Act

Mehr als vier Jahre ist es her, dass das „erste“ IT-Sicherheitsgesetz (IT-SiG) für Furore sorgte, nachdem es am 12. Juni 2015 vom Bundestag beschlossen wurde. Vieles war damals neu, und fast alles damit auch unklar. Klar war nur: Die Betreiber von sog. „Kritischen Infrastrukturen“ müssen aktiv Maßnahmen zur Cyberabwehr ergreifen. Dabei gab es nicht nur teils hitzige Diskussionen über den Anwendungsbereich der Regelungen – u.a. war strittig, ob auch eine kleine Arztpraxis, die aber das einzige medizinische Angebot in einem erheblichen Umkreis darstellt, kritisch ist – sondern auch im Hinblick auf die sanktionsbewehrten Maßnahmen, die von den Betreibern ebenjener Kritischen Infrastrukturen umzusetzen waren. Der Begriff „Stand der Technik“ entwickelte sich zu jener Zeit zum geflügelten Wort und war in aller Munde. Mittlerweile gibt es einen Konsens darüber, dass der Stand der Technik zumindest die Umsetzung eines betrieblichen IT-Sicherheit-Managementsystems (ISMS) erfordert (TeleTrusT).

Kurz nach Einführung des IT-SiG folgte im Jahr 2016 die europäische Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen. Diese sog. NIS-Richtlinie enthält analoge Regelungen wie das IT-SiG, bezieht aber auch explizit die Anbieter von „digitalen Diensten“ ein, die von hoher Bedeutung für den digitalen Binnenmarkt sind, also etwa Online-Marktplätze, Suchmaschinen und Cloud-Computing-Provider. Zwischenzeitlich wurde durch die BSI-Kritisverordnung (BSI-Kritis) dann auch der Anwendungsbereich des IT-SiG zahlenmäßig festgelegt – und damit war klar, dass die „kleine Arztpraxis“ nicht von den entsprechenden IT-Sicherheitspflichten betroffen ist.

Nachdem man in den Betrieben dann erst einmal eine Weile mit der Implementierung der neuen gesetzlichen Pflichten befasst war, nutzten EU- und Bundesgesetzgeber die Gelegenheit, weitere rechtliche Regelungen zur Cybersecurity auf den Weg zu bringen. So wurde im April 2019 der Referentenentwurf des BMI für ein „IT-Sicherheitsgesetz 2.0“ veröffentlicht. Dieser Entwurf des zweiten Gesetzes enthält umfassende Neuerungen: Das BSI darf demnach aktiv Sicherheitsrisiken und Angriffsmethoden detektieren, kann Informationen über sicherheitsrelevante Eigenschaften von Produkten (z.B Router, SmartTV) sammeln, Hersteller müssen für KRITIS-Kernkomponenten die Lieferketten nachweisen können und der Adressatenkreis der ursprünglichen Regelungen wird ausgedehnt. In eine ganz ähnliche Richtung geht auch die EU mit ihrem jüngst in Kraft getretenen „Cybersecurity Act“, der nicht nur die Befugnisse der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) aufstockt, sondern auch den Grundstein für ein EU-weit geltendes System der Zertifizierung von Cybersicherheit legt (europa.eu).

Die Independent Audit Proffessionals beraten Sie gerne bei der Implementation eines ISMS und unterstützt bei der Abbildung der BSI-KRITIS Anforderungen im Unternehmen.

Im Zuge der Digitalisierung ist der Einsatz moderner Informations- und Kommunikationstechnik für Unternehmen unverzichtbar geworden. Die stetig wachsende Menge an Geschäftsunterlagen und -informationen in jeglicher Form (Papier-/Digitalform) wird in Unternehmen oft manuell und lokal archiviert oder in den dazugehörigen Aktenordnern abgelegt. Mit einer derartigen Archivierung gehen Unternehmen das Risiko ein, dass die archivierten Dokumente und Informationen nicht rechtzeitig oder schlimmstenfalls gar nicht auffindbar sind.

Damit die Informationen und Geschäftsprozesse nachhaltig und effizient organisiert werden, ist ein unternehmensgerechtes Dokumentenmanagement-System (DMS) notwendig, das die elektronischen Geschäftsunterlagen verwaltet, die Papierunterlagen mit Hilfe automatisierter Workflows digitalisiert und die aufbewahrungspflichtigen Daten anforderungsgerecht archiviert. Zudem werden die Geschäftsinformationen mit Einsatz eines Dokumentenmanagement-Systems (DMS) strukturiert und klassifiziert erfasst. Das unternehmensgerechte digitalisierte Archivsystem versetzt die Dateneigner (Datenbearbeiter) in die Lage, die Arbeitsabläufe effizienter und schneller zu gestalten. Ein adäquates Informationsmanagement-System steigert die Produktivität und reduzieren die Kosten des Unternehmens.

Um die Vorteile eines Dokumentenmanagement-System (DMS) zu nutzen und Ihre Konkurrenzpotentiale zu induzieren, sind zwei wesentliche Aspekte – nämlich die Auswahl und die Einführung des Dokumentenmanagement-systems (DMS) – zu berücksichtigen. Welchen Nutzen für Ihr Unternehmen ein Dokumentenmanagement-System (DMS) explizit anbietet und welches Dokumenten-Management-System (DMS) für Ihr Unternehmen vorteilhaft ist, lässt sich durch einen umfassenden Überblick des Anbietermarktes und umfangreiche Kenntnisse der komplexen Anforderungen beurteilen.

Die richtige Auswahl Ihres unternehmensgerechten Dokumentenmanagement-System (DMS) erfordert:

Die Festlegung auf ein unternehmensgerechtes Dokumenten-Management-System erfordert:

  • eine Analyse des Ist-Zustandes der Geschäftsprozesse und Geschäftsdokumente, welche in einem Lastenheft definiert wird,
  • die Identifizierung der funktionalen und technischen Anforderungen an die revisionssichere Aufbewahrung der als relevant identifizierten Dokumente und
  • die Entwicklung des Soll-Zustandes, welches die Lösungsansätze bzw. die Grundlage für die Implementierung der vorhandenen technischen Lösung weit herangezogen, die in einem Pflichtenheft beschrieben wird.

Darüber hinaus sichert eine erfolgreiche Einführung des Dokumentenmanagement-System weitere Erfolgsfaktoren des Unternehmens, wie z.B.:

  • die Optimierung  und/oder Ablösung der Ablage im Dateisystem,
  • die Prozessoptimierung durch bessere Verfügbarkeit bzw. Auffindbarkeit von Dokumenten,
  • die Qualitätssteigerung durch Aktualität und strukturierte Dokumente und
  • die Aufrechterhaltung eines unternehmensübergreifenden Überblicks über das Gesamtunternehmen.

Wir, die Independent Audit Professionals, leisten einen wichtigen Wertbeitrag dazu und unterstützen Sie bei der Auswahl und erfolgreichen Einführung Ihres Dokumentenmanagement-Systems. Gern entwickeln wir ein auf Ihre Situation und Ziele ausgerichtetes System!