MANDANTENVERANSTALTUNG ZUR ......Thomas Tiede, Norbert Hermkes (IBS Schreiber GmbH) Cyber-Sicherheit...

MANDANTENVERANSTALTUNG ZUR

INFORMATIONSTECHNOLOGIE 2014

INHALT

Einführung

Update IT und Steuern

› GoBD

› Umsatzsteuer bei E-Produkten

› E-Bilanz, die neue Taxonomie

Ralf Körber, Holger Klindtworth (GBIT Ebner Stolz)

IT-Recht und IT-Governance

›Informations-&GestaltungspflichtenbeiUnternehmensdarstellungenimWebundin

SocialMedia

›ArchivierungspflichtenvonWebsites

AlbrechtvonBismarck,Dr.BjörnSchallock(RechtEbnerStolz)

Risiken bei mobilen Endgeräten

›IT-undCompliance-Risiken›HerausforderungBYOD–BringyourownDevice›LösungsansatzfürRisikenMDM–MobileDeviceManagement PhilippMattes,ClaudiaStange-Gathmann(GBITEbnerStolz)

Software für die Berechtigungsprüfung

›TransparenzvonBerechtigungskonzepten›PraxisbeispielCheckAud® für SAP®

›InternesKontrollsystemzumBerechtigungsmanagement ThomasTiede,NorbertHermkes(IBSSchreiberGmbH)

Cyber-Sicherheit

›Cyber-Sicherheitsinitiative›Netzeschützen›ZertifizierungenvonRZ-/Cloud-Anbietern Ralf Köber, Holger Klindtworth (GBIT Ebner Stolz)

Einführung | Leistungspakete GBIT

IT-Revision (JAP)

JAP (PS 330)

IKS-Prüfung (Autom. Kontrollen)

Datenanalyse (JET)

IT-Governance

ERP-Prüfung

SAP-Prüfung

Square-Ansatz

CheckAud (Berechtigungen)

NAVISION

etc.

Zertifizierung

Software (PS 880)

Service/RZ (PS 951)

Compliance (PS 980)

Projekte (PS 850)

IT-Steuer

E-Bilanz

E-Rechnung

GDPdU

GDPdU-Kasse

Datenanalyse

Massendaten-Analyse

IDEA/ACL

Doppelzahlungen

Excel-Prüfungen

Projektbegleitung

Projektmanagement

Design IKS

Migration

Redaktionelle Betreuung

Internat. Audit

Support globaler Teams

SOx

Innenrevision

Prozessprüfung

Quality Assessment (QA)

Fraud/Computerforensik

Risikomanagement, Compliance

Datenschutz

Datenschutz-Prüfung / -Check

Stellung ext. Datenschutzbeauftragten

Datenschutz-Coaching

IT-Valuation

IT-Due-Diligence

Softwarebewertung

Softwareauswahl

Lizenzprüfungen

SAP-Systemvermessung

Microsoft

etc.

IT-Sicherheit

Beurteilung Sicherheitskonzepte

IT-Sicherheitsmanagement

IT-Sicherheit Quick Check

Prüfung

Unternehmens-beratung

Steuer

Nexia

Corporate

Finance

1

Einführung | Themen

IT-Projekte (Gute wie Schlechte)

Rechenzentrum

Zertifizierung Software

Zertifizierung IT-Infrastruktur

Archive

Rechnungsverarbeitung

Innenrevision

Fraud

Kassen

Quality AssessmentCyber-Sicherheit

Lizenzmanagement

IT-Revision

SAP

Navision

2

Berechtigungen

IT-Strategie (Branchen)

Update IT und Steuern

› GoBD

› Umsatzsteuer bei E-Produkten

› E-Bilanz, die neue Taxonomie

Ralf Körber, Holger Klindtworth (GBIT Ebner Stolz)

Update IT und SteuernMandantenveranstaltung 2014 Geschäftsbereich IT-Revision

Hamburg · 24. September 2014

Gliederung

GoBD

Umsatzsteuer bei E-Produkten

E-Bilanz, die neue Taxonomie

INSIKA

2

GoBD

3

GoBD

4

Im April 2013 veröffentlichte die Finanzverwaltung den ersten Entwurf der GoBD*

Ziel: Die GoBD sollen die entsprechenden Verwaltungsanweisungen der GdPDU** und der GoBS*** zusammenfassen

Aktuelle Version: überarbeiteter Entwurf vom 11. April 2014 (Version 8)

Fachkreise sind auch mit dieser Version nicht einverstanden!

Es drohen verschärfte Anforderungen mit erheblichen Mehraufwand!

Historie

Änderungen im Vergleich zur Vorversion

Highlights

WeitereVorgehensweise

*Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum

Datenzugriff

** Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen

*** Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme

GoBD

Hauptänderungen im Vergleich zur letztjährigen Präsentation

Änderung der Gliederung

Erhöhung der Anzahl der Beispiele auf elf inkl. explizite Kennzeichnung

Teilweise Entschärfung der Zeitgerechtheit

Wesentliche Änderungen bei der Belegerfassung zugunsten der Unternehmen

Teilweise Änderungen hinsichtlich der Aufbewahrung von Handels- und Geschäftsbriefen,

wenn elektronisch erstellt und nur in Papierform aufbewahrt

Kleinere Ergänzungen beim Datenzugriff

Mit einer grundlegenden Neufassung oder Umstrukturierung des Entwurfs ist nicht zu rechnen!

Erwarten Sie daher bitte einen gewissen Mehraufwand bei der zukünftigen

ordnungsmäßigen Führung und Aufbewahrung Ihrer Bücher und Unterlagen!

(Abbau von Freiheitsgraden)5

GoBD

Allgemeine Anforderungen – Zeitgerechtheit

6

Vorversion Aktuelle Version

Jeder Geschäftsvorfall ist möglichst unmittelbar nach seiner Entstehung in einer Grundaufzeichnung oder in einem Grundbuch zu erfassen. Nach den GoB müssen die Geschäftsvorfälle laufend gebucht werden (Journal).

Jeder Geschäftsvorfall ist zeitnah, d. h. möglichst unmittelbar nach seiner Entstehung in einer Grundaufzeichnung oder in einem Grundbuch zu erfassen. Nach den GoB müssen die Geschäftsvorfälle grundsätzlich laufend gebucht werden (Journal). (Rz. 46)

„Länger als etwas zehn Tage darf ein unbarer Geschäftsvorfall grundsätzlich grundbuchmäßig nicht unerfasst bleiben.“

„Eine Erfassung von unbaren Geschäftsvorfällen innerhalb von zehn Tagen ist unbedenklich.“ (Rz. 47)

[…] Bei zeitlichen Abständen zwischen der Entstehung eines Geschäftsvorfalls und seiner Erfassung sind daher geeignete Maßnahmen zur Sicherung der Vollständigkeit zu treffen. (Rz. 47)

GoBD

Belegwesen (Belegfunktion)

7


„Zur Erfüllung der Belegfunktionen sind deshalb Angaben zur Kontierung, zum Ordnungskriterium für die Ablage und zum Buchungsdatum auf dem Papierbeleg erforderlich.

Mit dem elektronischen Beleg kann ein Datensatz mit Angaben zur Kontierung oder eine elektronische Verknüpfung (z. B. eindeutiger Index) verbunden werden.

Zur Erfüllung der Belegfunktionen sind deshalb Angaben zur Kontierung, zum Ordnungskriterium für die Ablage und zum Buchungsdatum auf dem Papierbeleg erforderlich.

Bei einem elektronischen Beleg kann dies auch durch die Verbindung mit einem Datensatz mit Angaben zur Kontierung oder durch eine elektronische Verknüpfung (z. B. eindeutiger Index, Barcode) erfolgen.

Ein Steuerpflichtiger hat andernfalls durch organisatorische Maßnahmen sicher-zustellen, dass die Geschäftsvorfälle auch ohne Angaben auf den Belegen in angemessener Zeit progressiv und retrograd nachprüfbar sind. (Rz. 64)

GoBD

Verfahrensdokumentation

8


Für jedes DV-System muss eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der - in Abhängigkeit von der Komplexität - Inhalt, Aufbau, Ablauf undErgebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist. [...]

Sie muss eine Einzelfallprüfung als auch eine Systemprüfung ermöglichen.

Da sich die Ordnungsmäßigkeit neben den elektronischen Büchern und sonst erforderlichen Aufzeichnungen auch auf die damit in Zusammenhang stehenden Verfahren und Bereiche des DV-Systems bezieht (siehe unter 3.), muss für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der Inhalt, Aufbau, Ablauf und Ergebnisse des DV-Verfahrens vollständig und schlüssig ersichtlich sind. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist. […] (Rz. 151)

Umsatzsteuer bei E-Produkten

9

Elektronische, Rundfunk- und Fernseh- und Telekommunikationsdienstleistungen B2C EU bis 31. Dezember 2014

10

Leistungsort: BRD (Ursprungslandprinzip)

gemäß § 3a Abs. 1 UStG

Rechnung mit 19% deutscher Umsatzsteuer

Anmeldung und Abführung der

Umsatzsteuer in der deutschen

Umsatzsteuerdeklaration

11

Leistungsort: Österreich (Bestimmungslandprinzip) gemäß § 3a Abs. 5 UStG n.F.

Rechnung mit 10% AT-Umsatzsteuer

Anmeldung und Abführung der Umsatzsteuer

durch Registrierung und Deklaration in Österreich

oder

Nutzung Mini One Stop Shop (MOSS, M1SS, zu deutsch: „kleine einzige Anlaufstelle“ = „KEA“ ) gemäß § 18h UStG

Elektronische, Rundfunk- und Fernseh- und Telekommunikationsdienstleistungen B2C EU ab 1. Januar 2015

Betroffene Dienstleistungen (Auswahl)Art. 58 und Anhang II MwStSystRL, Art. 6a und 6b VO(EU) Nr. 282/2011

12

Elektronische

Dienstleistungen

Bereitstellung von

Websites / Webhosting

Software mit Updates

Bildern, Texten und Informationen, Datenbanken, Musik, Filmen, Spielen, Glücksspielen und Lotterien

Sendungen und Veranstaltungen

Fernwartung von Software und Ausrüstungen

Automatisierte Fernunterrichtsleistungen

Rundfunk-/

Fernseh-

dienstleistungen

Rundfunk-/Fernsehprogramme, die über Kabel, Antenne oder Satellit verbreitet werden

Rundfunk - oder Fernsehsendungen, die über das Internet oder ein ähnliches elektronisches Netzwerk (IP-Streaming) verbreitet werden, wenn sie zeitgleich zu ihrer Verbreitung oder Weiterverbreitung durch einen Rundfunk- oder Fernsehsender übertragen werden.

Telekommu-

nikations-

dienstleistungen

Übertragung, Ausstrahlung oder Empfang von Signalen, Schrift, Bild und Ton oder Informationen jeglicher Art über Draht, Funk, optische oder andere elektromagnetische Medien

Festnetz- und Mobiltelefondienste zur wechselseitigen Ton-, Daten- und Videoübertragung, Videofonie, VoIP-Dienste

Sprachspeicherung (Voicemail), Anklopfen, Rufumleitung

Personenrufdienste (Paging-Dienste)

Fax, Telegrafie und Fernschreiben

Wo wird die Leistung erbracht?Beispiel elektronische Dienstleistung

13

Verlag

Kunde(Nichtunternehmer)

E-Book

DSL-Festnetz-anschluss

Smartphone

Ort Festnetzanschluss Ländercode SIM-Karte (IMSI)

Wo wird die Leistung erbracht? System widerlegbarer Vermutungen zum Leistungsort, Art. 24a, 24b, 24f VO (EU) Nr. 282/2011

14

Widerlegbare Vermutungen

Art der Leistungserbringung Leistungsort

Leistung an Orten wie Telefonzellen, Kiosk-Telefonen,

WLAN-Hot-Spots, Internetcafés, Restaurants oder Hotellobbys

Ort der Bereitstellung

An Bord von Schiffen, Flugzeugen oder Eisenbahnen bei

Personenbeförderung innerhalb der Gemeinschaft

Abgangsland des

Beförderungsmittels

Erbringung an einen Festnetzanschluss des

Dienstleistungsempfängers

Ort des Festnetzanschlusses

Erbringung über mobile Netze Ländercode SIM-Karte

Dienstleistungsempfänger

Erbringung über Decoder, Programm- oder Satellitenkarte (kein Festnetzanschluss)

Gerätestandort oder Lieferadresse des Geräts

Andere Fälle Leistungserbringung:

Bestimmung durch zwei einander

nicht widersprechende Beweismittel

Rechnungsanschrift, IP-Adresse Gerät, Geolokalisierung, Ort Bankverbindung, Mobilfunk-Ländercode SIM-Karte, Ort Festnetzanschluss, übrige wirtschaftlich relevante Informationen

15

Widerlegung von Vermutungen

Widerlegung Vermutung Leistungsort durchLeistungserbringer

Beweismittel fürWiderlegung

durch drei einander nicht widersprechende Beweismittel

Rechnungsanschrift Ort Bankverbindung Zulassungsdaten des

gemieteten Beförderungsmittels

übrige wirtschaftlich relevante Informationen

Widerlegung Vermutung Leistungsort durchFiskus

bei Hinweis auf falsche Anwendung oder

Missbrauch durch Leistungserbringer

Die Daten, auf denen die Bestimmung des Leistungsorts beruhen, müssen für Nachweiszwecke auch dokumen-

tiert und über die gesetzliche Aufbewahrungsdauer archiviert werden! Datenschutzvorschriften sind zu beachten!

Explizite Abfrage Bestätigung Richtigkeit Leistungsort durch Kunde?

Keine Widerlegungsmöglichkeit der Leistungsortvermutung durch Leistungsempfänger vorgesehen.

Wo wird die Leistung erbracht? System widerlegbarer Vermutungen zum Leistungsort, Art. 24a, 24b, 24f VO (EU) Nr. 282/2011

Mögliche Aufgaben

1. Ermittlung betroffener Dienstleistungen und Geschäftsprozesse

2. Anpassung betroffener Geschäftsprozesse: Kalkulationsanalyse, Recht, Steuern, IT

Geschäftsmodelle

Verträge / AGB

ERP-Systeme

3. Abstimmung mit evtl. involvierten Vertragspartnern

4. Umsetzung hinsichtlich Betriebswirtschaft, Recht, Steuern, IT

5. Registrierung für MOSS beim BZSt ab 1. Oktober 2014

6. Testphase

7. Going Live am 1. Januar 2015

16

Probleme aus IT-Sicht

17

Systeme müssen angepasst werden!

Verarbeitungslogik (z. B. Steuerfindung)

Masken (z. B. Wohnortdatenfelder)

Formulare (z. B. Rechnungen)

Preisfindung und Kalkulation (z. B. variable MwSt-Anteile)

Schnittstellen

Nachvollziehbarkeit und Archivierung

Verfahrensdokumentation

Rechnungserstellung

Formvorschriften für Rechnungen des Bestimmungslandes

Nutzung von MOSS?

Probleme aus IT-Sicht

18

Sichere und ordnungsmäßige Archivierung

Daten zur Ermittlung des Leistungsortes müssen aus handels- und steuerrechtlicher Sicht archiviert werden

die Grundsätze der GoBS/GdPDU/GoBDmüssen eingehalten werden digitale Prüfrechte BP

Sicherheit der Daten muss gewährleistet sein

Ordnungsgemäße Löschung der Daten

Bei elektronischem Versand der notwendigen Rechnungen: Archivierung der Rechnungen/Mails

Archivierung der Lokalisierungsdaten (Nachweis des Ortes)

Abschließende Empfehlungen an Unternehmen aus IT-Sicht

Aufnahme unternehmensinterne Problemfelder

insbesondere „make-or-buy“ Entscheidung vorbereiten

Hohe Priorisierung von Verfahrensbeschreibungen während des gesamten Projektes

Insgesamt von der üblichen kaufmännischen Sorgfalt leiten lassen

aus heutiger Sicht ist es fraglich, ob das Finanzamt – soweit ordnungsgemäße Prozesse

vorhanden und dokumentiert sind – überhaupt eine Möglichkeit hat, den Leistungsort zu widerlegen.

19

E-Bilanz, die neue Taxonomie

20

Taxonomie 5.2 / 5.3

21

Taxonomie 5.2 vom 30. April 2013 veröffentlicht mit dem BMF-Schreiben vom 27. Juni 2013

gilt für Wirtschaftsjahre, die nach dem 31.12.2013 beginnen

AktuelleTaxonomie

Taxonomie 5.3 vom 2. April 2014 veröffentlicht mit dem BMF-Schreiben vom 13. Juni 2014

gilt für Wirtschaftsjahre, die nach dem 31.12.2014 beginnen

die Taxonomien können jedoch auch für die Wirtschaftsjahre 2014 bzw. 2014/2015 verwendet werden

ZukünftigeTaxonomie

Inhaltliche Änderungen / Weiterentwicklung der Taxonomie

Übernahme der Preview-Bestandteile in die Taxonomie 5.3

Tabellen-Darstellung für die Kapitalkontenentwicklung für Personen(handels-)gesellschaften sind

Bestandteil der neuen Taxonomie

Bisherige Datenstruktur der Kapitalkontenentwicklung (KKE) entfällt

Optimierung der Taxonomie für Vereine und Stiftungen

Optimierung der Ergänzungstaxonomie für verordnungsgebundene Branchen

Hochschulen, Landwirtschaft, Anbauverzeichnisse

Übermittlung von E-Bilanzen für inländische Betriebsstätten ausländischer Unternehmen

Ablauf der Nichtbeanstandungsregelung

22

Wesentliche Änderungen im Einzelnen

GCD-Modul (Stammdaten-Modul); Neue Zuordnungsschlüssel für…

… „Unternehmen mit wirtschaftlichen Geschäftsbetrieb oder Betrieb gewerblicher Art“

… „Übermittlungsvariante bei Körperschaft mit Gewinnermittlung für besondere Fälle“

… „Inländische Betriebsstätte eines ausländischen Unternehmens“

GAAP-Modul (Jahresabschluss-Modul)

Diverse Strukturoptimierungen

Ergänzung der Taxonomie-Positionen für Vereine und Stiftungen und Eigenbetriebe

Überarbeitung des Kapitalausweises bei Personengesellschaften

Bei inländischen Betriebsstätten ausländischer Unternehmen: Ergänzungen des

Berichtsbestandteils zur steuerlichen Gewinnermittlung sowie Einfügen neuer Positionen

Optimierung der steuerlichen Gewinnermittlung

etc.

23

INSIKA

24

INSIKA

Auslöser des INSIKA-Projekts:

INSIKA = INtegrierte SIcherheitslösung für messwertverarbeitende KAssensysteme

Aktuelle rechtliche Situation:

Gesetzlichen Grundlagen zur Einführung des Systems in 2008 vorerst gestoppt

In 2010 ein Schreiben vom BMF zur „Aufbewahrung digitaler Unterlagen bei Bargeschäften“

In 2012 Abschluss des INSIKA-Projekts

???

Es ist davon auszugehen, dass das INSIKA-Konzept bei Kassensystemen zukünftig gesetzlich

vorgeschrieben wird!

25

Veränderung der Daten in

Registrierkassen

Steuerausfälle durch

Manipulationen

Erarbeitung eines

Fachkonzeptes durch das BMF

Technische Lösung durch INSIKA-Projekt

INSIKA

26

Sicherheit entsteht aus den kryptografisch gesicherten Buchungsdaten

Registrierkasse steuert eine INSIKA-Smartcard nach festgelegten Regeln an

Die Smartcard kann über einen externen Kartenleser oder in die Kasse integriert werden

INSIKA-Smartcard erzeugt eine digitale Signatur für jeden Kassenbeleg und die dazugehörigen gespeicherten Buchungen

Die Vergabe einer Signatur aktualisiert automatisch den Summenspeicher und vergibt eine neue Sequenznummer

Die Prüfung der Kassendaten erfolgt über die gespeicherten und signierten Daten.

Konzept und Funktionsprinzip

Eingriffe in bestehende Systeme sind gering (einfache Implementierung)

Keine Zertifizierung des Gesamtsystems notwendig

Nachweis, dass die Daten unverändert und vollständig sind

Wettbewerb der Hersteller von Kassensystemen wird nicht behindert

Vorteile

Vielen Dank!

27

Kronenstraße 3070174 StuttgartTel. +49 711 [email protected]

Ebner Stolz GmbH & Co. KG

Wirtschaftsprüfungsgesellschaft

Steuerberatungsgesellschaft

Ralf Körber

Prokurist WP/StB/CISA/CRISC

Ludwig-Erhard-Straße 120459 HamburgTel. +49 40 [email protected]




Holger Klindtworth

PartnerCISA/CIA/CISM

IT-Recht und IT-Governance

›Informations-&GestaltungspflichtenbeiUnternehmensdarstellungenimWebundin

SocialMedia

›ArchivierungspflichtenvonWebsites

AlbrechtvonBismarck,Dr.BjörnSchallock(RechtEbnerStolz)

Informations- und Gestaltungspflichten bei Websites und in Social-MediaArchivierungspflichten von WebsitesMandantenveranstaltung 2014 Geschäftsbereich IT-Revision


Agenda

I. Die Unternehmens-Homepage

II. Social Media (Facebook & Co.)

III. Typische Rechtsverstöße

IV. Archivierungspflichten von Websites ?

2

I. Unternehmens-Homepages

3

Fehlendes/unzureichendes Impressum

Anforderungen gemäß § 5 TMG (Firma, Rechtsform, HR-Nummer, Vertretungsberechtigung, Kontaktmöglichkeiten, USt-ID,)

Verletzung fremder Markenrechte

zumeist durch Fotos oder Bezeichnungen

Haftung teils verschuldensunabhängig, i.Ü. strenger Sorgfaltsmaßstab

Verletzung Urheberrechte Dritter

Texte, Fotos, Illustrationen, Grafiken, Filme, Musik

Datenschutzverstöße Problem der Verwendung von Auswertungs-/Statistiktools

Erläuterungen in einer „Datenschutzerklärung“

Sonderproblem: Facebook „Like-Button“ , d.h. zusätzl. Info-Pflichten

Sonderproblem Rechtsverletzungen durch von Nutzer generierten Inhalten

Urheberrechte, Persönlichkeitsrecht

Eigene Haftung des Websitebetreibers möglich („Zueigenmachen“ von durch Dritte geschriebenen Inhalten)

II. Social-Media (Facebook & Co)

4

Fehlendes/unzureichendes Impressum

Impressumspflicht gilt auch bei Facebook & Co

Impressum auch in Apps erforderlich

Datenschutzverstöße Notwendigkeit von Erläuterungen in einer „Datenschutzerklärung“

Verwendung von Auswertungs-/Statistiktools

Sonderproblem bei Facebook-Like-Button

Verletzung Urheberrechte Dritter

selbst eingestellte Inhalte und Postings von Dritten/Kunden

gleichermaßen bei XING, Facebook und Co. möglich

Verletzung fremder Markenrechte

zumeist auch hier durch Fotos oder Bezeichnungen

aber auch z.B. Vanity-URLs

Reputation Management „gefälschte“ Kommentare, getarnte Werbung

Verstoß gegen Impressumspflicht, mögliche Irreführung

Mitarbeiterhandeln wird dem Unternehmen zugerechnet

Social-Media-Guidelines für Mitarbeiter

III. Beispiele für typische Rechtsverstöße

5

Urheberrechte Fotos, Zeichnungen, Texte, Filme, Musik

sog. „kleine Münze“, gilt auch für Gebrauchskunst

Urheberbenennung nicht vergessen

eigene Rechtseinräumung absichern (Rechtekette!)

Bearbeitungsrecht einräumen lassen

d.h. sorgfältige Vereinbarungen mit eigenen Designern und Mitarbeitern

Markenrechte Wortmarken und Bildmarken

Ähnlichkeit der Marken kann für Verstoß ausreichen

Ersatzteil- und Zubehörgeschäft: Vorsicht mit Marken-Logos

Parallelimporte – „Erschöpfung“ des Markenrechts nur im EU/EWR-Raum

d.h. (Ähnlichkeits-) Recherchen durchführen

Unternehmenskennzeichen Wahl der Domain

Verfügbarkeit der Domain ist insoweit irrelevant

d.h. Firmenrecherchen durchführen

IV. Archivierungspflichten von Websites ?

6

Deutsche National Bibliothek Sammlung und Archivierung von in Deutschland (oder auf deutsch) veröffentlichter „Medienwerke“

seit 1913 Printwerke (Pflichtexemplare)

seit 2006 auf „unkörperliche Medienwerke“ erstreckt

DNBGAblieferungspflicht

„Medienwerke in unkörperlicher Form“ = „Darstellungen in öffentlichen Netzen“ (§ 3 III)

unentgeltlich bereitstellen, binnen 1 Woche seit öffentlicher Zugänglichmachung (§§ 14 III, 16)

Bußgeldbewehrt bis zu 10.000 EUR (§ 19 I,II)

PflAVAusnahmen

„Akzidenzen, die lediglich gewerblichen, geschäftlichen oder innerbetrieblichen Zwecken dienen“ (§§ 9 Nr. 1, 4 Nr. 13)

DNB: „Darunter fallen Webseiten mit Darstellungen der Angebote einzelner Unternehmen für Kunden.“

Ergebnis: Die Unternehmenshomepage muss nicht archiviert /abgeliefert werden !

Vielen Dank!

7





Albrecht von Bismarck

PartnerRechtsanwalt


›IT-undCompliance-Risiken›HerausforderungBYOD–BringyourownDevice›LösungsansatzfürRisikenMDM–MobileDeviceManagement

PhilippMattes,ClaudiaStange-Gathmann(GBITEbnerStolz)


Mandantenveranstaltung 2014 Geschäftsbereich IT-Revision


Agenda

Einführung

IT- und Compliance-Risiken

Herausforderung BYOD – „Bring Your Own Device“

Lösungsansätze Umsetzung – Mobile Device Management

Fazit

2

Einführung mobile Endgeräte

Mögliche Geräte können sein:

Smartphone

Tablet

Notebook

als auch statische Geräte (Heim-PC mittels VPN)

Bezeichnet langläufig den Einsatz privater Endgeräte (Eigentum des Mitarbeiters) zu dienstlichen Zwecken im Firmennetz.

Bring Your Own Device (BYOD)

Das Unternehmen kauft das mobile Endgerät für den Nutzer. Dieser darf es auch privat verwenden.

Company Owned, Personal Enabled (COPE)

3

Das Unternehmen kauft das mobile Endgerät für den Nutzer. Dieser darf es nicht privat verwenden.

Company Owned, Business only (COBO)

Choose Your Own Device (CYOD)

Das Unternehmen stellt eine Auswahl an mobilen Endgeräten zur Verfügung. Die private Nutzung ist gestattet.

Einführung mobile Endgeräte

Nach dem Forbes Magazine (2012) schätzen IT-Manager, dass ca. 40 % der Nutzer auf Firmeninhalte zugreifen, ABER 70 % der Nutzer behaupten, dies zu tun.

Ebenfalls lt. Forbes besagt eine Studie, dass es 2015 ca. 15 Billionen mit dem Netzwerk verbundene Geräte (z. B. Smartphones, Notebooks and Tablets) geben wird.

Laut Computerwoche verwenden Anfang 2012 ca. 25 % der befragten Unternehmen private Endgeräte mit Firmenapplikationen und es wird ein Rücklauf des BYOD Hype prognostiziert – zugunsten privater Nutzung von Firmengeräten.

Zahlen und Fakten

4

IT- und Compliance-Risiken

erhöhtes Verlustrisiko Sicherheitsniveau privater Geräte Trennung von privaten und dienstlichen Daten Datenintegrität und -sicherheit Administration diverser Endgeräte Archivierung/Aufbewahrung Schatten-IT

IT-Risiken

private Anwenderdaten unterliegen dem Fernmeldegeheimnis Firmendaten unterliegen der Verschwiegenheitspflicht Haftung bei Verlust / Diebstahl / Beschädigung Datenschutz

Kundendaten werden durch das BDSG geschützt Mitarbeiterdaten auch

Urheberrecht, Arbeitsrecht etc. Verstoß gegen interne Richtlinien z.B.

Internet und E-Mail-Nutzung Umgang mit betrieblichen Daten

Compliance-Risiken

5

Herausforderung BYOD – Bring your own Device

Quelle: Aruba Networks - BYOD in EMEA 2012

BYOD Akzeptanz nach Land

Zahlen und Fakten

BYOD Akzeptanz nach Region

6


Steigerung der Unternehmensattraktivität

Imagenutzen als innovatives modernes

Unternehmen

Mitarbeiterbindung und -zufriedenheit durch

„State of the Art“-Technologien und

Reduzierung auf ein Gerät – „Statussymbol“

Steigerung der Effizienz

Höhere Flexibilität der Mitarbeiter

(Datenzugriff)

Bessere Erreichbarkeit der Mitarbeiter

Bedienerfreundlichkeit

Mitarbeiterproduktivität erhöht sich (?)

Kosten- und Aufwandseinsparungen (?)

VORTEILE

7


Vermischung privat und dienstlicher Nutzung

IT-Systeme, Anwendungen und Dienste für

das private Umfeld entwickelt, kommen im

beruflichen Bereich zum Einsatz

begrenzter Zugriff auf private Geräte

Zuständigkeit der Gerätewartung,

Administration und Absicherung ->

Mitarbeiter wird zum Administrator

oder erhöhter interner

Administrationsaufwand

ggf. bei eingetretenem Schaden, Kosten- und

Haftungsrisiko der Mitarbeiter

Produktivitätsverschlechterung – private

Nutzung zur Arbeitszeit

Arbeitgeberwechsel – Handling der

Unternehmensdaten

NACHTEILE

8

„Wer sein Unternehmen in das mobile Zeitalter bringt, sollte vorher den Weg

abgesteckt haben.“ [Prof. Stefan Stieglitz]

Lösungsansätze | Vorbereitung Umsetzung

Wichtig: eine unternehmensweite mobile Strategie

Abstimmung der Ziele (mit anderen Abteilungen)

Zu klärende Fragen:

Organisatorisch: Welche Geräte (Typen und Hersteller), welche Gruppen, für welchen Zweck…?

Klärung der eigenen Anforderungen: Sicherheit vs. Nutzen

Definition von unternehmensspezifischer Richtlinien (Policies) wie bspw. Cloud

Zugriffsschutz / Trennung von Benutzergruppen (Vertrieb, Marketing etc.)

Definition des Support-Levels für Mitarbeiter-eigene Geräte

9

Lösungsansätze | Vorbereitung Umsetzung

10

getrennte Bereiche – Apps, Kontakte, Mails etc.

Ausschluss von Cloud-Nutzung

Verschlüsselung der Unternehmensdaten

aktuelles Changemanagement

Kontrollsoftware (für Einzelne)

Vereinbarungen/Richtlinien

offene Kommunikation

Schadensabwendung durch Kontrolle und Maßnahmen

Mobile Device Management

Wichtige, technischeLösungsansätze

Lösungsansätze | Mobile Device Management

Mobile Device Management

Mobile Endgeräte effizient

und sicher verwalten.

Mobile Device Management (MDM) oder auch Mobilgeräteverwaltung bedeutet, die zentrale Verwaltung von Mobilgeräten wie Smartphones, Sub-Notebooks, PDAs oder Tablet-Computern.

Das Werkzeug für mobile Endgeräte

11

Die Verwaltung der mobilen Endgeräte erfolgt durch eine Software, die folgende Aufgaben erledigt:


Mobile Device

Management

Remote Wipe Applikations-

management*Sicherheit herstellen

und verwalten

Kompatibilität zu mobilen Plattformen

Verwalten v. Geräte-

informationen*Zentrale

Dokumenten-und

Kommunikations-struktur*

Software-Stände

verwalten*

Compliance

Integration mobiler

Endgeräte

Bring yourown Advice

Einf. Handhabung

Lokalisierung

*ITIL-Anforderungen

12


Live-Demonstration anhand eines Mobile Device Management als Software as a Service (SaaS)

13

Fazit

Mobile Endgeräte bleiben ein Thema

bietet Chancen und Risiken

offensiver Umgang, um Schatten-IT zu vermeiden

stellt das Unternehmen vor Herausforderungen

mit technischen und organisatorischen Maßnahmen managen

Abwägung nach Schutzbedarf der Daten, Aufwand und rechtlichen Risiken

Quo vadis?

14

Vielen Dank für Ihre Aufmerksamkeit

15

„Jedes System kann unsicher sein.Man muss es nur dämlich verwalten.“

[Clifford Stoll in "Das Kuckucksei"]

1Zielsetzug

Erfassen des IST-Zustandes Mobile Endgeräte - Ziele an die des Unternehmens anpassen mittelfristige Planung für die Entwicklung der IT-Landschaft

2Abwägen

Identifizierung von Vor- und Nachteilen mögliche Risiken abschätzen anfallende Kosten richtig einschätzen

3techn.

Umsetzung

5Rollout

4Richtlinien-definition

Technische Voraussetzungen für den Einsatz im Unternehmen identifizieren

Geräteauswahl und Klassifizierung

Formulierung einer klaren, einheitlichen Richtlinie unter Einbeziehung des Betriebsrates und des bDSB

Erarbeitung einer Einführungsstrategie

Umsetzung (ggf. mit Testkandidaten)

Lösungsansätze | Richtlinie

16

Eigentumsfragen, Softwarelizenzen, Telemedienrecht, Datenschutz, Arbeitsvertrags- und Mitbestimmungsrechte, Haftungsrechte, Trennung privater und geschäftlicher Daten, Dienstvereinbarung, BYOD/Nutzungsrichtlinien

rechtliche Fragen

Änderungen in der zentralen IT-Infrastruktur, Support, Durchsetzung von IT-Sicherheitsrichtlinien

IT-betriebliche Aspekte

Verteilung der Kosten zwischen Arbeitgeber und Arbeitnehmer, steuerliche Aspekte

finanzielle und steuerliche Fragen

Lösungsansätze | Aspekte einer Richtlinie

17

Links und fremde Federn

http://www.forbes.com/sites/tomkemp/2012/02/15/mobile-device-management-hits-center-stage-

but-concerns-remain/

http://www.computerwoche.de/a/der-byod-hype-ebbt-ab,2522856

http://www.arubanetworks.com/wp-content/uploads/Aruba-Networks-Infographic-

v6.jpg?mkt_tok=3RkMMJWWfF9wsRoisqzOZKXonjHpfsX66eQpX6ag38431UFwdcjKPmjr1YEJRcB0d

vycMRAVFZl5nQ1KD%2BKUcoVU7fpPAFI%3D

http://www.bitkom.org/files/documents/20130404_LF_BYOD_2013_v2.pdf

https://www.bsi.bund.de/DE/Themen/weitereThemen/MobileSecurity/mobilesecurity_node.html

http://www.ip-insider.de/themenbereiche/management/management-software-und-

tools/articles/425666/

http://www.tecchannel.de/netzwerk/management/2047917/das_muessen_unternehmen_bei_der_ei

nfuehrung_einer_mdm_loesung_beachten/index3.html

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_downloads/anwender/mobilesec/BSI-

CS_052.html

18

19

Gereonstraße 43/65 50670 KölnTel. +49 221 20643 - [email protected]




Philipp Mattes

Wirtschaftsrjurist (LL.B.) u. Fachinformatiker





Claudia Stange-Gathmann

ProkuristinCISA/CIA/CISM/QA

Vielen Dank!

Software für die Berechtigungsprüfung

›TransparenzvonBerechtigungskonzepten›PraxisbeispielCheckAud® für SAP®

›InternesKontrollsystemzumBerechtigungsmanagement

ThomasTiede,NorbertHermkes(IBSSchreiberGmbH)

IBS Schreiber GmbHInternational Business Services for auditing and consulting

Ebner Stolz – Mandantenveranstaltung zur Informationstechnologie 2014

Thema: Software für die Berechtigungsprüfung

• Vorstellung IBS Schreiber GmbH

• Was ist ein Risiko?

• Internes Kontrollsystem für Berechtigungen

• Praxisbeispiel CheckAud® for SAP ® Systems

IBS Schreiber GmbH

IBS Schreiber GmbH

Über 140 Seminarthemen:• Grundlagen / Management der Revision• Datenanalyse• Prüfen von SAP®-Systemen• IT-Revision• Datenschutz

SeminareIT-Sicherheit / ISO27001SAP-SicherheitDatenanalyseExterne betriebliche Beauftragte für

• IT-Sicherheit• Informationssicherheit

Sachverständige Prüfstelle für Datenschutz nach § 3 DSAVO

Externer Datenschutzbeauftragter

Datenschutz- und Datensicherheitskonzepte

CheckAud® for SAP ® Systems

Prüfung / Beratung

Datenschutz Software

Was ist ein Risiko?

Was ist ein Risiko?IT Risiko (laut ISO 27001):

• Risiko ist die kalkulierte Prognose eines möglichen Schadens bzw. Verlustes im negativen Fall (Gefahr) oder eines möglichen Nutzens bzw. Gewinns im positiven Fall (Chance).

• Risiko ist die nach Eintrittswahrscheinlichkeit und Auswirkung eingeschätzte, konkrete Bedrohung eines Systems bzw. einer Organisation.

(Quelle: http://www.iso27001-it-sicherheit.de/ISMS_Risikoanalyse.htm)

Was ist ein Risiko?

Beispiele für Risiken im Berechtigungsumfeld:

• Anlage von Kreditoren, Rechnung erstellen, zahlen

• Anlage einer Bestellung, Freigabe der Bestellung, Buchung des Wareneingangs, Auslösen der Zahlung

• Verschrotten von Fertigprodukten

• Lesen der Daten von Entwicklungen (Rezepturen, Konstruktionen, …)

• Lesen der Mitarbeiterdaten (Gehälter, Kredite, Pfändungen, …)

• Berechtigungen, mit denen gegen Gesetze und Verordnungen verstoßen werden kann, z.B.:

– Elektronisches Radieren (verboten gem. §239 HGB)– Löschen von aufbewahrungspflichtigen Protokollen /verboten gem. §257 HGB)

Was ist ein Risiko?

Gegenmaßnahmen:

• Ein sicheres, transparentes und flexibles Berechtigungskonzept

• Ein internes Kontrollsystem zum Berechtigungsmanagement

• Regelmäßige Kontrollen der vergebenen Berechtigungen

• Definierte Verantwortlichkeiten im Prozess der Vergabe und Kontrolle der Berechtigungen

• Ein definierter Prozess für die berechtigungsseitige Einbindung neuer Systeme / Funktionen (inkl. Eigenentwicklungen)

GRC–Software CheckAud® 2015

Risikomanagement im SAP® - System

Brutto-Risiko: Benutzer können auf alle Ressourcen zugreifen, d.h. Schädigung des Unternehmens, Gesetzesverstöße …

Minimierung der Eintrittswahrscheinlichkeit

Prävention

Erkennen der kritischen Berechtigungskombinationengesetzliche Vorgaben, Unternehmensregelwerk, ...

Erstellen, Umsetzen und Pflegen eines BerechtigungskonzeptsZugriffsschutz, Funktionstrennung, ...

Netto-Risiko: Berechtigungskonzept enthält Lücken oder wird unzureichend gepflegt

Detektion

Lücken im Berechtigungskonzept vor der Ausnutzung erkennen

Entstehung neuer Lücken verhindern

Ausnutzung von Lücken aufdecken

Verbesserung der Prävention

Gegenmaßnahmen einleiten

Korrektur

„Ad hoc“-Maßnahmen zur Schadensminimierung

Präventionsempfehlungen

Schadenshöhe minimieren,

Prävention verbessern

Rest-Risiko: Trotz entsprechenden Gegenmaßnahmen ist das Risiko nicht gleich null, sondern es verbleibt ein (bewertetes und akzeptiertes) Restrisiko.

CheckAud®• Prüfung sämtlicher Berechtigungen im SAP® System

• über 1.200 vordefinierte Abfragen (z.B. gesetzeskritische

Berechtigungen)

• Einsatzbereite Funktionstrennungs-Matrix (S.o.D.) u.a. für FI

• Continuous Auditing z.B. von Berechtigungen, Parametern

und Log-Dateien

• Simulation von Berechtigungsänderungen vor der Vergabe

• Regelmäßige Anpassung der Abfragen an SAP ® -

Änderungen

• Best Practice Guides

Management Summary

CheckAud®

Funktionsprinzip

Export

Scan - Modul• Erfordert nur Kommunikations-Benutzer• Standardisiertes Auslesen rel. SAP® Tabellen• Scan - Umfang konfigurierbar

Audit - Modul• Durchführung der Prüfung• Aufbereitung, Darstellung der Ergebnisse

Datenbank

Konvertierung

Snapshot

Demo CheckAud® 2015

Risikomanagement im CheckAud® 2015 Auf der Basis der individuellen Risiko-Scores wird durch Berechnung eines

gewichteten Mittelwertes für jeden Prüfbereich und für das SAP® System ein Gesamt-Score berechnet und als Dashboard dargestellt.

Individuelle Risikobewertung Individuelle Konfiguration der Risikobewertung für jeden Prüfungsschritt

gemäß der unternehmensinternen Vorgaben.

Für jede Abfrage kann ein individueller Risiko-Score berechnet werden. Dieser ist definiert als Produkt aus der Eintrittswahrscheinlichkeit (Anzahl der tatsächlich berechtigten

SAP® Benutzer) und dem möglichen Schadenspotential (7 Stufen: None – Critical).

Technische und organisatorische Ausnahmeregelungen (kompensierende Kontrollen) können konfiguriert und mit in die Score-Betrachtung eingerechnet werden.

Ermittlung eines vergleichbaren Score-Wertes zur Beurteilung der Sicherheit des SAP® Systems.

Einmal konfiguriert und regelmäßig gepflegt, stellt CheckAud® ein zentrales Element des Risikomanagements in SAP®-Systeme dar.

Kritische Berechtigungen 1/2

Funktionstrennung

Prüfung sucht Benutzer, denen diese Rechte zugewiesen sind

Kombination von SAP®-Berechtigungsobjekten

Detailliert bis zu den Feldwerten

Kritische Berechtigungen 2/2Zu jedem als berechtigt gefundenen Benutzer werden noch zusätzliche Informationen dargestellt: Anwendungsberechtigungen Transaktionsberechtigungen Vergebene Feldwerte Rechteherkunft

Export, Reporting, Management View Umfassendes, detailliertes Reporting für das Management und den Fachbereichen

Hinweise für Ad-hoc-Maßnahmen zur Schadensminimierung

Empfehlungen zur Verbesserung der Prävention

Best Practice Guides, Leitfäden

Zielgruppen Revision

Entspricht das SAP® System den Ordnungsmäßigkeitsvorgaben?

AdministrationPrüfen bevor der Prüfer kommt!

FachabteilungenDer Data- oder Processowner überwacht seine Daten!

IT- und Informationssicherheit / CIO / CISOWerden interne sowie gesetzliche Sicherheitsvorgaben eingehalten?

Betriebs- und PersonalräteKann im SAP® System Leistungs- und Verhaltenskontrolle vorgenommen werden?

DatenschutzSind personenbezogene Daten ausreichend geschützt?

WirtschaftsprüferDie Jahresabschlussprüfung: Ergebnisse schnell und zielgerichtet.

Fragen?

IBS Schreiber GmbHZirkusweg 1, 20359 Hamburg

Tel.: (040) 69 69 85 ‐ 15Fax: (040) 69 69 85 ‐ 31

E‐Mail: sales@ibs‐schreiber.de

Cyber-Sicherheit

›Cyber-Sicherheitsinitiative›Netzeschützen›ZertifizierungenvonRZ-/Cloud-Anbietern

Ralf Köber, Holger Klindtworth (GBIT Ebner Stolz)

Cyber-Sicherheit und ZertifizierungLagebild und aktuelle InitiativenMandantenveranstaltung 2014 Geschäftsbereich IT-Revision

Hamburg,· 24. September 2014

Agenda

I. Cyber-Sicherheit

1. Cyber-Sicherheit – Begriffsdefinition

2. Aktuelle Lage und Trends

3. Wie kann man sich besser gegen Cyberangriffe aufstellen?

4. Weiterführende Informationen und Links

II. Multizertifizierung

2

I. Cyber-Sicherheit

3

Cyber-Sicherheit – Begriffsdefinition

Cyber-Sicherheit erweitert das Aktionsfeld der klassischen IT-Sicherheit auf den gesamten Cyber-Raum

Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein.

Definition nachBSI

Damit wird praktisch die gesamte moderne Informations- und Kommunikationstechnik zu einem Teil des Cyber-Raums.

4

Cyber-Raum

Beispiele:

Unternehmensnetzwerke – Kommunikationsdienste, Industrieanlagen

Mobilfunknetze – Smartphone, Apps

Internet / Cloud – Auslagerung von Applikationen, Plattformen und Infrastruktur

Smart Home - Vernetzung der Haustechnik, Haushaltsgeräte

Car IT - Vernetzung der Fahrzeuge

soziale Netzwerke

Cisco Prognose: > 50 Milliarden Devices in 2020

„Der Cyber-Raum umfasst alle durch das Internet über territoriale Grenzen hinweg weltweit erreichbaren Informationsinfrastrukturen.“

5

Aktuelle Lage und Trends

6


„Innenminister veröffentlicht Entwurf

für IT-Sicherheitsgesetz“ - 18.08.2014

7


die gesetzliche Meldepflicht von IT-Sicherheitsvorfällen und die Einhaltung von "IT-Mindeststandards" durch die Wirtschaft.

Höhere IT-Sicherheitsstandards der Telekommunikationsanbieter (Provider) zusammen mit einer Meldepflicht, die Kunden über IT-Sicherheitsvorfälle zu benachrichtigen. Nach oder mit dieser Benachrichtigung müssen TK-Anbieter Lösungswege vorschlagen, wie etwaige Schäden bei IT-Anwendersystemen (Computer, Tablets, Smartphones) behoben werden können.

Verbindliche Vorgaben für das Schutzniveau der IT-Systeme des Bundes durch das BSI.

Stärkung der Rolle des BSI durch klarere "Warnbefugnisse" und durch die Etablierung des BSI als internationale Zentralstelle für IT-Sicherheit.

Ausweitung der Rolle des BKA auf dem Gebiet der Strafverfolgung. Es soll bundesweit für alle Cyberdelikte zuständig sein („Cyber-FBI“).

Die wichtigsten Punkte des Entwurfes

8


Welche Unternehmen sind durch die Meldepflicht betroffen?

Drohender Image Verlust bei „nicht-anonymisierter“ Meldung?

Welche Standards werden vom Gesetzgeber vorgegeben?

Welche Sicherheitsvorfälle/Ereignisse müssen gemeldet werden?

„Rechte“ von BSI und BKA? Ermächtigungsgesetz ?

„Offene Fragen“ zum IT-Sicherheits-gesetz (Auswahl)

9

Wie kann man sich besser gegen Cyberangriffe aufstellen?

Allianz für Cyber-Sicherheit veröffentlicht einen

Leitfaden zur Durchführung von Cyber-Sicherheits-

Checks

Der Leitfaden richtet sich an alle Interessenten, die

sich direkt oder indirekt mit der Cyber-Sicherheit

befassen

eine praxisorientierte Vorgehensweise zur

Beurteilung der Cyber-Sicherheit in Unternehmen

und Behörden

Der Leitfaden liefert konkrete Vorgaben für die

Durchführung eines Cyber-Sicherheits-Checks

Dieses Dokument ist als Orientierungshilfe für

Einsteiger und als Handlungsanleitung für

Verantwortliche, die einen Cyber-Sicherheits-Check

veranlassen oder durchführen möchten, gedacht.

10

Wie kann man sich besser gegen Cyberangriffe aufstellen?

Beispiel einer Maßnahme aus dem Cyber-Sicherheits-Check

Maßnahme „E“ Sichere Interaktion mit dem Internet

Der Browser inkl. aller Erweiterungen (Flash, Java, ActiveX, usw.) verfügt über starke Sicherheitseigenschaften und ist bei einer hohen Cyber-Sicherheits-Exposition besonders abgeschottet (z. B. Sandbox).

Eingehender E-Mail-Verkehr wird zentral auf Bedrohungen, wie Schadprogramme und Phishing-Angriffe, untersucht.

Für die Darstellung von Dokumenten aus externen Quellen werden sichere Darstellungsoptionen verwendet.

Unerwünschte aktive Inhalte werden zentral gefiltert

Es existieren verbindliche Vorgaben zur sicheren Nutzung von Cloud-Services und anderen Diensten im Internet

Basismaßnahmen

11

Weiterführende Informationen und Links

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme

(IT-Sicherheitsgesetz)

http://www.bmi.bund.de/DE/Nachrichten/Dossiers/ITSicherheit/itsicherheit_node.html

Leitfaden Cyber-Sicherheits-Check & Muster-Beurteilungsbericht

https://www.allianz-fuer-cybersicherheit.de

Bundesamt für Sicherheit in der Informationstechnik

https://www.bsi.bund.de

Deutschland sicher im Netz e.V.

https://www.sicher-im-netz.de

heise Security

http://www.heise.de/security/

12

II. Multizertifizierung

13

Multi-Zertifizierung

„Multi-Zertifizierung ist der Nachweis der Erfüllung mehrerer Anforderungskataloge, die

sich aus unterschiedlichen regulatorischen Quellen ergeben, durch eine Prüfung.“

14

IT-Infrastruktur

Es geht komplexer - Infrastruktur eines typischen Web-Portals

15

ERP

Kunde

Portal

Sign on Identifizierung

ISP

Web-ShopPayment Provider

Bank FinanzamtContent CMS

Archiv

ID

BestellungZahlung

LeistungZahlung

MeldungenBericht

FIBU

PCI-DSSGwG

GwG

BDSG

GDPDU

UStG/AO

HGBMediadatenUrheberrecht

Zu Grunde liegende Anforderungen (Auswahl)

Handelsrecht

HGB GoB Schutz der

kaufmännischen Daten (Bilanz/GuV)

Steuerrecht

UStG! AO (GDPdU) GoBS/GoBD Ein- und Aus-

gangsrechnungen

Datenschutz

BDSG Bewegungsprofile

Käuferdaten

Vertragsrecht

HonorarverträgeAutoren

Lizenzverträge

Ordnungsmäßigkeit

Sicherheit

Nachvollziehbarkeit und Verfahrensdokumentation

Internes Kontrollsystem/Internes Kontrollverfahren/Internes Steuerungssystem

Geldwäsche

GwG, GwBekErG

Kreditkarten-regelungen

PCI-DSS

16

Compliance-Nachweis & Enthaftung durch Prüfung

17

Lösung: Multi-Audits auf Basis IDW PS 951 unter Einbeziehung von ggf. „akkreditierten“ Spezialisten

Organe des Unternehmens

HGB

Compliance NachweisEnthaftung

WPPCI

Auditor?

BaFin/ WP

PCI DSS BDSG MaRisk

Pfl

ich

t

…

“Basisgesetz” > Handelsgesetzbuch (HGB)

Wurde am 10. Mai 1897 erlassen, und trat gemeinsam mit dem BGB am 1. Januar 1900 in Kraft

Enthält die zentralen Vorschriften zum Führen von Handelsbüchern

18

Vollständigkeit

Richtigkeit

Zeitgerechtigkeit

Ordnung

Nachvollziehbarkeit

Unveränderlichkeit

IT-Sicherheit sorgt für Gewährleistung dieser Grundsätze

Ohne Sicherheit der IT keine Ordnungsmäßigkeit der Buchführung

Klassische Sicht vs. Cloud Sicht

Zunehmend ausgelagerte Funktionen in den Unternehmen

Rechenzentrum, Prozesse ….(z.B. in die Cloud)

Sicht WP Sicht Cloud

19

IT-gestützte Geschäftsprozess

IT-Anwendungen

IT-Infrastruktur

IT-SystemTypisierter Aufbau ohne Einsatz

von Cloud Computing

IT-K

on

tro

llsy

ste

m(I

T-O

rgan

isati

on

/-U

mfe

ld)

Betriebssysteme

Netzwerke

Hardware

Rechenzentrum

IT-gestützte Geschäftsprozess

IT-Anwendungen

IT-Infrastruktur

IT-SystemTypisierter Aufbau bei Einsatz

von Cloud Computing

Service Orchestrierung

Multi-Tenancy

Elastische Provisionierung(Virtualisierung)

Betriebssysteme

Netzwerke

Hardware

Internet

Daten-Lokation

Rechenzentren

Software as a Service (SaaS)

Cloud Computing Servicemodelle

Platform as a Service (PaaS)

Infrastructure as a Service (IaaS)

Neuer Datenschutz-Standard durch GDD / BvD

Gemeinsamer Standard von GDD und BvD

zur Auftragsdatenverarbeitung

Konkretisierung der Anforderungen

nach § 11 BDSG zur Auftragsdatenverarbeitung

(s. auch Anhang zu § 9

Technisch-Organisatorische-Maßnahmen)

Möglichkeit der Zertifizierung durch

einen akkreditierten Prüfer

20

Berichterstattung | Datenschutzaudit

21

BDSG § 9 Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.

BDSG § 9 (Anlage)Technische und organisatorische Maßnahmen

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Weitergabekontrolle

Eingabekontrolle

Auftragskontrolle

Verfügbarkeitskontrolle

Möglichkeit der getrennten Verarbeitung

Anforderungen MaRisk

Qualität/QuantitätKompetenzAbhängigkeiten

AT 7.1Personal

Personal

AnforderungenStandardsZugriffsrechteTestVeränderungenAbnahmeImplemen-tierung

AT 7.2Technisch-organisa-torischeAusstattung

Tech./Org.

Business-Impact-und RisikoanalyseNotfalltestsAbgestimmte KonzepteFortführung/Wiederanlauf

AT 7.3Notfallkonzept

Notfall

FremdbezugRisikoanalyseLeitungs-aufgabenWeisungsrechte

AT 9Outsourcing

Recht

RisikoanalyseSchädenReportingSteuerung

BTR 4Operationelle Risiken

Risiko

22

Berichterstattung | Konkrete Ausgestaltung Beispiel | Testmanagement

23

Kontrollziel Tests erfolgen in einer vom produktiven System getrennten Systemumgebung. Die Übertragung zwischen den Systemumgebungen erfolgt unter Berücksichtigung von Funktionstrennungsaspekten.

Kontrolle Tests: Es sind Vorgaben zur Durchführung und Dokumentation von Tests vorhanden. Die Einhaltung dieser Vorgaben ist Voraussetzung für die Durchführung der Tests.

(Mögliche) Berichterstattung

Voraussetzung für ein angemessenes Test- und Freigabeverfahren ist die Trennung von Entwicklungs- und Testsystem von dem produktiv eingesetzten System. Dies ist in den Richtlinien zu Test und Freigabeverfahren vorgesehen. Dies entspricht den Anforderungen laut IDW RS FAIT 1 Tz. 102 und den Anforderungen nach MaRisk AT 7.2. Tz. 3. Die Richtlinien für den Zugriff auf die Testdaten beinhalten die Zugriffs- und Weitergabekontrolle im Rahmen der Auftragsdatenverarbeitung nach BDSG §9.

Fazit

24

Die Anzahl von Anforderungen wächst täglich…

…die Notwendigkeit eines Nachweises der Compliance ebenfallsZ.B. Meldepflicht Cyber-Attacken

Es besteht zumindest die handelsrechtliche Pflichtprüfung durch den WP

Mutli-Zertifizierung ist die Klappe, die mehrere Compliance-Fliegen mit einer Prüfung erschlagen kann

Vielen Dank!

25

Kronenstraße 3070174 StuttgartTel. +49 711 [email protected]




Ralf Köber

PrüfungsleiterCISSP





Holger Klindtworth

PartnerCISA/CIA/CISM

MANDANTENVERANSTALTUNG ZUR ......Thomas Tiede, Norbert Hermkes (IBS Schreiber GmbH) Cyber-Sicherheit...

Documents

Transcript of MANDANTENVERANSTALTUNG ZUR ......Thomas Tiede, Norbert Hermkes (IBS Schreiber GmbH) Cyber-Sicherheit...