Langer Abend des Datenschutzes
Praxisbeispiele zu Cloud Computing, Cyber Security, Big Data
www.pwc.de
PwC
Agenda
Über PricewaterhouseCoopers (PwC)
PwC & der Datenschutz
Praxisbeispiel – Cloud Computing
1
Praxisbeispiel – Cyber Security
Praxisbeispiel – Big Data
2
3
4
5
Ihre Fragen6
2
Juli 2017Langer Abend des Datenschutzes
PwC
Über PricewaterhouseCoopers (PwC)
3
Juli 2017Langer Abend des Datenschutzes
PwC
Traditionell gut 166 Jahre Erfahrung
Namensänderung zu Price, Waterhouse & Co.
Gründung der Treuhand-Vereinigung
Beitritt der Treuhand-Vereinigung zum Verbund Coopers & Lybrand
C&L Deutsche Revisionund Price Waterhouse Deutschland legen ihr Geschäft in der PwC Deutsche Revision zusammen
Namensänderung der PwC Deutsche Revision in PricewaterhouseCoopers AG Wirtschaftsprüfungs-gesellschaft
GründungPwC EuropeSamuel Lowell
Price gründet ein Unternehmen in London
Zusammenschluss mit weltweit ältester Strategieberatung Booz & Company und deren Umbenennung in Strategy&
Übernahme der cundus AG
1849 1874 1905 1957 1998 2005 2012 2014 2016
Übernahme PERSICON consultancy GmbH und PERSICON cert AG
4
Juli 2017Langer Abend des Datenschutzes
PwC
Das starke globale Netzwerk von PwC
Pablo M.Partner in Santiago
Clara T.Consultant in Sydney
James W.Senior Manager in New York Steven H.
Manager in Abu Dhabi
Li Yang Z.Senior Consultant in Peking
223.468Kollegen
743 Standorte
157 Länder
5
Juli 2017Langer Abend des Datenschutzes
PwC
PwC in Deutschland
Die Big Four in Deutschland(in € Mrd.)
#1
Stichtag: Deloitte: 31.05.16 EY: 30.06.16KPMG: 30.09.16 PwC: 30.06.16
€M
rd
.
0,96
1,57 1,601,90
Deloitte EY KPMG PwC
6
Juli 2017Langer Abend des Datenschutzes
PwC
PwC in Deutschland
21Standorte
Berlin
Bielefeld
Bremen
Duisburg
Düsseldorf
Erfurt
Essen
Mannheim
München
Nürnberg
Osnabrück
Saarbrücken
Schwerin
Stuttgart
Frankfurt/Main
Hamburg
Hannover
Kassel
Kiel
Köln
Leipzig
Mitarbeiter:
10.364
Partner:
560
7
Juli 2017Langer Abend des Datenschutzes
PwC
In allen Branchen und Märkten aktiv
Gesundheitswesen und Pharma
Familienunternehmenund Mittelstand
ÖffentlicherSektor
Energie-wirtschaft
FinancialServices
Technologie, Medien und Telekommunikation
Automobil-industrie
Kapitalmarktorientierte Unternehmen
Transport und Logistik
Industrielle
ProduktionInternatio-nale Märkte
Handel und Konsumgüter
8
Juli 2017Langer Abend des Datenschutzes
PwC
Geschäftsfelder 2016/2017
Wirtschaftsprüfung und prüfungsnahe Dienstleistungen
731 Mio. €
Steuer- und Rechtsberatung
513,3 Mio. €
Unternehmensberatung
661,7 Mio. €
Assurance
38%
Tax
27%
Advisory
35%
Gesamt
1,9 Mrd.€
9
Juli 2017Langer Abend des Datenschutzes
PwC
Risk Assurance SolutionStrategie, Organisation, Prozesse & Systeme
10
Juli 2017Langer Abend des Datenschutzes
Interne Revisionsprüfung
Effiziente, wertorientierte Interne Revisionsprüfung.
• Outsourcing
• Co-sourcing
• IA Beratung
- Methodologie: Risikobewertung, Planung und Ausführung
- Modelle zur Ressourcenplanung
- Wirksamkeits- und Produktivitätsüberprüfungen
- Corporate Governance
Performance Assurance
Aufbau von internem und externem Vertrauen in die Unternehmensentwicklung durch unabhängige Beratung und Prüfung.
• Attestierung durch einen unabhängigen Dritten anhand von anerkannten Zertifizierungsstandards z. B. ISAE3402/SSAE16
• Nachhaltigkeit und Klimawandel
• Integrierte Berichterstattung
• Handelsrechtliche Prüfung
• Vertrags- und Compliance-Risiken
Business Resilience
Unterstützung von Mandanten, um die Widerstandsfähigkeit von Unternehmen durch Identifikation, Beurteilung, Minimierung und Verortung von Risiken zu erhöhen.
• Risk Management
• Einhaltung regulatorischer Anforderungen
• Betrugsrisiken und -kontrollen
• Business Continuity
IT Risk Assurance
Konzeption und Aufbau von Lösungen im Rahmen von IT-Risiken und Kontrollen, welche komplexe, ständigen Neuerungen unterworfenen IT-Landschaften mit maximaler Gewinnausschöpfung widerspiegeln.
• IT risk and governance
• Projekt-Assurance
• Informationssicherheit und Datenschutz
• Cloud Computing
• ERP Kontrollen
• Datensicherheit
Business Controls Beratung
Unterstützung von Mandanten zur Gestaltung, Implementierung und Optimierung ihrer internen Kontrollumgebung sowie der Beratung, Analyse und Verbesserungsplanung im Kontext geänderter Business-Anforderungen, regulatorischen Anforderungen oder Investitionsrentabilität
• Beratung
• Prüfung der Gestaltung und Wirksamkeit von Kontrollen z.B. S404, C-SOX, Industrie-spezifische Anforderungen etc.
• XBRL
Treasury
Risk Management und Wertschöpfung aus der Treasury Funktion
• Optimierung der Treasury und der Cash Governance sowie der Risiken und des Wirksamkeitsrahmens
• Berücksichtigung der finanzbuchhalterischen Bedeutung von Transaktionen
• Risiko- und Kontrollberatung hinsichtlich der Abläufe im Kapital-und Cash Management
PwC
PwC & der Datenschutz
11
Juli 2017Langer Abend des Datenschutzes
PwC
PwC Datenschutz Portfolio
Strategie &
BeurteilungDesign &
Konstruktion
Implemen-
tierung
Betrieb &
Überwachung
Organisation
Richtlinien &
Verfahren
Prozesse
Mitarbeiter
Technologie
Change
Management
Projekt
ManagementVe
rän
de
run
g
imp
lem
en
tie
ren
Ve
rän
de
run
g
en
twic
ke
ln
• Vorgehensmodell –
risikobasiert vs.
Vollständig
• Feststellung
Analysetiefe• wesentliche Änder-
ungen durch
DSGVO
• Besondere
unternehmens-
spezifische Risiken
durch DSGVO
• Ableitung Maßnahmen-
umfang (Best in Class –
Best Practice – Minimum
Requirements)
• Identifikation und
Priorisierung relevanter
Prozesse
• Rechtliche Bewertung –
Soll-Ist-Vergleich
• Ableitung von
Anpassungsbedarfen
auf den unterschied-
lichen Ebenen
• Rechtlich
• Organisatorisch
• Prozessual
• Technisch
• Entwicklung der
relevanter Änderungen
• Erstellung notwendiger
Dokumentationen
• Definition von Rollen
und
Verantwortlichkeiten
• Anpassung von
Regularien und
internen Vorgaben
• Überarbeitung von
Prozessen und deren
Kontrollen
• Unterweisung und
Wissenstransfer
• Integration geänderter
technischer
Anforderungen
• Überführung in den
Regelbetrieb
• Gewährleistung der
kontinuierlichen
Anforderungen unter
Compliance-
Gesichtspunkten
• Sicherstellung der
Überwachung der
Einhaltung
Kommunikation & Change Management
Projekt Management & Qualitätssicherung
12
Juli 2017Langer Abend des Datenschutzes
PwC
Expertise und Referenzen im Bereich Datenschutz
Prüfung des HR-Dienstleisters eines
Energieversorgers
auf Einhaltung der datenschutzrechtlichen Vorgaben (§ 11 BDSG)
Shared-Service-Center-Prüfung eines
Handelskonzerns
in Bezug auf die Einhaltung technischer und organisa-
torischer Maßnahmen
ISAE 3000-basierte Prüfung eines
Service Providers der Versicherungsbranche
in Bezug auf die Einhaltung datenschutzrechtlicher
Vorgaben
Vertragsprüfung im Rahmen der Dienstleister-
Steuerung einer
Versicherung
in Bezug auf die Einhaltung der §§ 9, 11 BDSG
PS 330-basierte Prüfung für einen
Elektronikhersteller
zur weltweiten IT-Compliance und
IT-Governance
Prüfung für einen weltweiten
Chemikalienhersteller
in Bezug auf die Einhaltung technischer und organisatorischer
Maßnahmen
Beratung zur Auftragsdaten-verarbeitung (ADV) in einem
Verlag
bei der Verarbeitung besonderer Arten
personenbezogener Daten
Tätigkeit als externer Datenschutzbeauftragter
für einen
Automobil-Zulieferer
inklusive der Überprüfung der Einhaltung des
Datenschutzes durch Auftragnehmer
13
Juli 2017Langer Abend des Datenschutzes
PwC
PwC Gremienarbeit zum Datenschutz
14
Juli 2017Langer Abend des Datenschutzes
Das Projekt „Next Generation Certification – NGCert“ versucht eine Grundlage für dynamische Zertifizierungen im Cloud-Umfeld zu bilden. PwC verbindet die innovativen Ideen des Projekts mit der Erfahrung von Zertifizierungsprojekten aus der Wirtschaft.
Das Bundesamt für Sicherheit in der Informationstechnik betreut das Thema Informationssicherheit für deutsche Regierungsbehörden. Für das BSI entwickelte PwC einen Standard zur Identifikation von Cloud Dienstleistern im öffentlichen Bereich.
BITKOM ist Deutschlands Interessensverband der Digitalwirtschaft, welcher mehr als 2,300 Unternehmen vertritt. Im Rahmen von Arbeitsgemeinschaften unterstützt PwC bei der Erstellung von Richtlinien, Best Practices und Umfragen.
ISO-Standards werden von einem Expertengremium in Zusammenarbeit mit technischen Experten entwickelt. Wenn der Bedarf für einen Standard festgestellt wird, diskutiert und vereinbart PwC einen Entwurf des Standards regelmäßig vor der eigene Nutzung.
Die Cloud Select Industry Group (C-SIG) arbeitet für die Europäische Kommission auf die Entwicklung einer Standardisierung für Cloud Computing hin. PwC hat bereits einen Standard und eine Zertifikationsmethode für Cloud Computing erstellt.
Die CSA ist eine Non-Profit-Organisation und engagiert sich, die sichere Einführung von Cloud Computing voran zu treiben. PwC beteiligt sich an Arbeitsgruppen, beispielsweise zur Entwicklung von Abhandlungen und Konzepten sowie gemeinsamen Vorträgen (z.B. CSA in Dublin).
PwC
PwC Gremienarbeit zum Datenschutz
15
Juli 2017Langer Abend des Datenschutzes
Das Institut der Wirtschaftsprüfer e.V. repräsentiert die beruflichen Interessen von Wirtschaftsprüfern. Wir sind Mitglied des Vorstands und arbeiten an der Entwicklung von Cloud Audit Standards (FAIT5, IDW PS 860/PH) mit.
ISACA ist ein Non-Profit-Verband mit globaler Mitgliedschaft für IT- und Informationssystem-Experten, die Prüfungs- und Kontroll-Standards und -Trainings anbieten. Zahlreiche PwC-Experten haben eine Zertifikation wie CISA, CISM oder COBIT.
Die AICPA repräsentiert den CPA Berufsstand bezüglich Regelaufstellung und Standardsetzung. PwC betätigt sich als Vertreter vor Gesetzgebern, öffentlichen Interessengruppen und anderen Berufsgruppen zur Nutzung neuer Standards (z.B. SOC1-3).
Die Open Data Center Alliance treibt die Einführung von Enterprise Cloud Computing durch das Teilen von Best Practices voran. Wir beteiligen uns in der Entwicklung von Konzepten, Best Practices, Nutzungs-Modellen und Standards (z.B. das Cloud Maturity Model).
Das Trusted Cloud Technology Programm des BMWi strebt eine Förderung von Forschung und Entwicklung von Cloud Infrastrukturen und sicheren Cloud-basierten Dienstleistungen an. PwC beteiligt sich und nutzt Ergebnisse wie das Trusted Cloud Data Privacy Seal.
Fraunhofer ist die größte europäische anwendungsorientierte Forschungsorganisation. Wir arbeiten bei mehreren Initiativen mit Fraunhofer zusammen, wie beispielsweise dem “Industrial Data Space”, bei dem Markus Vehlow als Vorstandsmitglied agiert.
PwC
Projektbeispiel
Ermittlung vonHandlungsbedarf
durch die EU-DSGVO
16
Juli 2017Langer Abend des Datenschutzes
PwC
Projektablauf
Planung des Umsetzungs-projekts
• Kennenlernen des Teams
• Identifikation der zu untersuchenden Organisation
• Bestimmung des Scopes für die Aufnahme
• Festlegen der weiteren Projektorganisation
1
• Aufnahme des Ist-Zustands in 3 Arbeitspaketen:
• IT,
• Zentrale Datenschutz-organisation,
• Geschäftsprozesse
2
• Auswerten der Ergebnisse der Ist-Analyse
• Beschreiben der Gaps & Maßnahmen-feststellung zum Erreichen der Mindest-anforderungen aus der DS-GVO
3 4
• Vorstellen der Projektergebnisse
• Feedback zu Projektablauf
• Abschluss-besprechung
5
Projektmanagement
Bestands-aufnahme
Maßnahmen-planung
Abschluss-besprechung
• Erarbeiten eines Projektplans für eine Umsetzung der Maßnahmen bis Mai 2018
Initialisierung
17
Juli 2017Langer Abend des Datenschutzes
PwC
Phase 2: Bestandsaufnahme
• Unterstützung bei der Terminkoordination für die Interviews mit den einzelnen Ansprechpartnern
• Sicherstellen der Verfügbarkeit identifizierter Ansprechpartner und benötigter Dokumentation sowie von Eskalationswegen
• Umfang der Bestandsaufnahme ist festgelegt
• Bestandsaufnahme ist abschließend durchgeführt
• Ergebnisse der Bestandsaufnahme sind abgestimmt
Beistellleistungen Ergebnisse dieser Phase
• Durchführung einer umfassenden Bestandsaufnahme in drei Arbeitspaketen (AP):
• Abstimmung der Ergebnisdokumenation der Bestandsaufnahme hinsichtlich Vollständigkeit im Rahmen eines Workshops mit den Projektverantwortlichen
Wesentliche PwC-Aktivitäten
AP IT: AP Zentrale Datenschutzorganisation:
AP Geschäftsprozesse:
Datenschutzrechtliche Bewertung von zur Verarbeitung personenbezogener Daten genutzten IT-Applikationen mit Applikationsverantwortlichen o.ä.
Aufnahme der zentralen Datenschutzorganisation in enger Zusammenarbeit mit dem Datenschutzbeauftragten
Durchführung von Interviews zu datenschutzrechtlich relevanten Geschäftsprozessen und -ketten mit den entsprechenden Fachbereichen
1 2 3
18
Juli 2017Langer Abend des Datenschutzes
PwC
Phase 3: Beispiel Risikoanalyse identifizierterLücken zur DSGVO
Beispielhafte Ergebnisse zur Maßnahmenplanung
PwC Risk Matrix
Durch Festhalten und Priorisieren der identifizierten Risiken lassen sich diese zielgerichtet bearbeiten. Die graphische Darstellung ermöglicht einen schnellen Überblick über die Aktionsfelder (roter Bereich)..
0
1
2
3
4
5
0 1 2 3 4 5
EIN
TR
ITT
SW
AH
RS
CH
EIN
LIC
HK
EIT
AUSWIRKUNGEN
RISIKOMATRIX
19
Juli 2017Langer Abend des Datenschutzes
PwC
Phase 3: Beispiel Maßnahmensteckbriefe
Beispielhafte Ergebnisse zur Maßnahmenplanung
Übersicht
In dem Steckbrief sind alle Informationen über die Maßnahme kurz und prägnant zusammengefasst.
Entscheidungen
Gleichzeitig bildet der Steckbrief einen Teil des Entscheidungsprozesses ab, indem Handlungsalternativen aufgezeigt werden und die Entscheidung für die Umsetzungsmaßnahme begründet wird. Dies führt zu einer höhere Akzeptanz der Maßnahmen im betroffenen Bereich.
20
Juli 2017Langer Abend des Datenschutzes
PwC
Praxisbeispiel – Cloud Computing
21
Juli 2017Langer Abend des Datenschutzes
PwC
Versprechen und Vorbehalte bei Cloud Computing
3. „Cloud Computing ist nicht immer verfügbar “
2. „ Cloud Computing wider-spricht der Compliance“
1. „Cloud Computing reduziert die IT-Kosten“
1. „Cloud Computing ist nicht sicher“
2. „Cloud Computing ist schnell & einfach zu betreiben. “
3. „Cloud Computing unter-stützt flexibel das Business “
Versprechen Vorbehalte
22
Juli 2017Langer Abend des Datenschutzes
PwC
TheorieDefinition & Risiko Bereiche
Elastic Provisioning
Operating System
Database
Application
IT stack ohne Cloud Computing
In m
oti
on
StorageVirtualization
Network
Service Orchestration
OS Virtualization
Internet Access
Network Virtualization
Data Center
MobileDevices
Sta
ble
IT stack mit Cloud Computing
Multi Tenancy
Network
Operating System
Database
Application
Sta
ble
Data CenterData Location
23
Juli 2017Langer Abend des Datenschutzes
PwC
TheorieWer ist verantwortlich?
User
Hardware (physic)
BuildingPower Cooling Fire Access BCM
Virtualization
IaaSNetwork Storage Computing OS
PaaSStandard Proprietary
SaaS (1:n)
Cloud Management
Public
CloudPrivate
Cloud
Outsourced
Private
Cloud
Provider
Verantwortung:
Managed
Private
Cloud
Hybrid
Cloud
ag
ile
sta
ble
Delivery Model Deployment Model
24
Juli 2017Langer Abend des Datenschutzes
PwC
Readiness Assessment
Was wir für SIE tun…
• Positionsbestimmung unter Einbeziehung aller strategischen, finanziellen, betrieblichen, steuerlichen, juristischen und compliance-bezogenen Aspekte
• Interviews mit Stakeholder (170 Fragen /24 Gebiete)
• Identifikation von Optimierungsbedarf sowie Erarbeitung von Handlungsempfehlungen
• Unterstützung bei Umsetzung der Handlungsempfehlungen
Was SIE davon haben…
• Awareness und Alignment der Cloud Stakeholders
• Transparenz über Befürworter, Gegner und Erfolgsfaktoren
• Cloud Service-Wünsche interner Kunden
• Leitplanken & Gewissheit für nachfolgende Cloud Vorhaben
25
Juli 2017Langer Abend des Datenschutzes
PwC
Cloud Provider Zertifizierung
Was wir für SIE tun…
• Risikoanalyse von Cloud Services bei Cloud Providern
• Data Center Validierungen
• Projektbegleitende Qualitätssicherung von Cloud Projekten
• Bewertung der Kontrollen mit anschließender Zertifizierung gemäß international anerkannter Standards wie ISO, SOC, ISAE, SSAE, etc.
Was SIE davon haben…
• Nachweis über ein angemessenes und wirksames Kontrollsystem für die Kunden des Cloud Providers
• Vollständiges Control Framework
• Aktualität von IT-Policies, IT-Guidelines und IT-Procedures
• Baseline Protection im Bereich Cloud
• Cloud geeignete ITSM Prozesse
26
Juli 2017Langer Abend des Datenschutzes
PwC
Shadow Cloud Discovery
Was wir für SIE tun…
• Ermitteln und Analysieren genutzter Cloud Services
• Aufdecken von Lücken bei der Cloud Governance bzw. Umsetzung der Cloud Strategie
• Validierung der Bedeutung für die eigenen Prozesse
• Identifizieren der Risiken und deren Auswirkungen (Finanzen, Compliance, Sicherheit, Datenschutz, Recht).
Was SIE davon haben…
• Reduktion der Risiken von Shadow Cloud (inkl. Regulatorischer Vorgaben)
• Erhöhte Zuverlässigkeit von Geschäfts- und IT-Prozessen
• Stärkung der Kontrolle über Vertraulichkeit von Daten
• Stärken des bewussten Umgangs mit Unternehmensdaten
• Analyse der IT-Landschaft
• Ermitteln eines Risikoprofils
• Definieren der benötigten Daten
• Extrahieren eines beispielhaften Logs
• Konfigurieren des Tools
• Erhalten der Log Datei
• Verarbeiten der Log Datei
• Analyse der Cloud Nutzung
• Erneutes Ausführen oder gezieltes Nachforschen
• Kontrollieren und säubern der Resultate
• Bewerten der Risiken
• Aufdecken von Korrelationen
• Sammeln und vorstellen der Ergebnisse
• Diskussion über die Auswirkungen
• Einigen über weiteres Vorgehen
• Entwickeln von Empfehlungen
• Unterstützen der Implementierung
• …
Separates Projekt
Workshopdurchführen
Toolsvorbereiten
Protokolleanalysieren
Resultatebewerten
Ergebnisvorstellen
Maßnahmenentwickeln
Ziel des initialen Workshops
Definition von Zielen und Prioritäten der Auswertung
Nachvollziehung der IT-Landschaft und IT-Organisation
Darlegung bekannter und relevanter Risiken im Zusammenhang mit Shadow Cloud
Identifizierung von Stakeholdern
Identifizierung von Ansprechpartnern für die Extrahierung der Logs, Interviews usw.
Nachvollziehung bereits vorhandener Sicherheitsmaßnahmen
Analyse der Cloud Strategie, bspw. der freigegebenen Cloud Services
Freigegebene Services
Erwartungen
IT-Landschaft
Vorhandene Sicherheits-maßnamen
Ansprech-partner
Risiken
Stake-holder
Workshop
Anwender
Evernote
Google Compute Engine
ServiceNow
Salesforce
Entwickler
AmazonWeb Services
Windows Azure
Dropbox
MicrosoftOneDrive
Google DriveOffice 365
PDF2docx
27
Juli 2017Langer Abend des Datenschutzes
PwC
HR Implementation
Was wir für SIE tun…
• HR-IT-Strategie, Effektivität und Effizienz von HR-Systemen, Softwareauswahl und HR-IT-Compliance
• HR-IT Cloud Software Implementierungen für hybride SaaS Architekturen (inkl. Betriebs- und Supportkonzepte)
• Analyse, Konzeption, Umsetzung, Optimierung von HR-IT Strategien und technischen HR Lösungen (z.B. Schnittstellen)
Was SIE davon haben…
• Umfangreiche und zertifizierte Expertise für eine Vielzahl von HR Lösungen (SuccessFactors, Workday, Oracle, Taleo)
• Erfahrungen aus einer großen Anzahl von Kundenprojekten
• Fokussierte und revisionssichere Implementierungen
28
Juli 2017Langer Abend des Datenschutzes
PwC
Praxisbeispiel – Cyber Security
29
Juli 2017Langer Abend des Datenschutzes
PwC
Entstehungsgeschichte
ErsteVernetzungen
1980
World Wide Web 1981
E-commerce Start1996
Homeland Security
2001
Cybercrime
2006
AusbauBreitbandnetz
2015
IBM PC
New Economy
Spamming & Phishing
ID Diebstahl
Cyberwar (Stuxnet)
> 1.000 Viren
Erster Virus
Virus Desig SW
Quelle: https://www.internet-sicherheit.de/fileadmin/docs/downloads/andere_studien_dokumente/bsi/2014_03_Leitfaden-Cyber-Sicherheits-Check.pdf Seite 12
Erste App
30
Juli 2017Langer Abend des Datenschutzes
PwC
Beispiele für bekannte Sicherheitsvorfälle
Sony, 2011
Binnen kurzer Zeit kam es zu mehreren Angriffen auf Sony darunter Playstation Network. Dabei wurden über 100 Mio. personenbezogene Daten von Nutzern gestohlen.
Facebook, 2013
Durch ein tempo-rären Bug im “Download YourInformation”-Tool bestand die Möglichkeit das teilen von E-Mail Adressen und Telefon Daten von ca. 6 Mio. Nutzern.
Snapchat, 2013
Telefonnummern und Nutzernamen von 4,6 Millionen Snapchat-Usern wurden veröffentlicht.
Adobe, 2014
Hacker brachen in eine Datenbank von Adobe ein und erlangten Zugang zu mehreren Millionen Kundendaten.
1 2 3 4
Bundestag, 2015: Trojaner tarnte sich als E-Mail der Vereinten Nationen! Titel: "Ukraine conflict with Russia leaves economy in ruins"
…
31
Juli 2017Langer Abend des Datenschutzes
PwC
Risiken für Unternehmen
Datenverluste, Datenschutzverletzungen
Gezielte Angriffe auf Computernetzwerke von außen Wirtschaftsspionage
Verletzung geistigerEigentumsrechte Ertragsausfälle durch
Betriebsunterbrechungen
Vertrauensverlust bei Geschäftspartner
Image-Schaden
Ausspähen von Daten/ GeschäftsgeheimnissenVerstoß gegen
Compliance- und Gesetzesauflagen
32
Juli 2017Langer Abend des Datenschutzes
PwC
Was nun? Technology Domain Convergence
33
September 2015RAS Vertriebsmeeting
InformationTechnology
Computerressourcen und Netzwerkkonnektivität zurVerarbeitung und Verwaltung von Daten im Rahmen der Unterstützung von Organisation und Transaktionen.
Operational Technology
Systeme zur Überwachung und Steuerung von physischen Prozessen oder zur Unterstützung der Produktion oder Auslieferung von Produkten und Dienstleistungen.
Consumer (Products and Services)
Technology
Computerressourcen und Netzwerkkonnektivität in Verbindung mit oder als Unterstützung von externen, an Endkunden gerichtete Produkte und Services.
Cyber Security umfasst alle drei Technologiebereiche.
PwC
Integration des DatenschutzmanagementsOrganisatorische, methodische und prozessuale Integration
ISMS nach ISO/IEC 27001 (Auszug) Datenschutzmanagement
Formaler ISMS Scope
Risikomanagement
Interne Audits
Kennzahlen
Managementbewertungen
Organisation der Informationssicherheit
Richtlinien für Informationssicherheit
Risikomanagement
Datenschutz Audits (ADV und intern)
Berichtswesen (Implementierungsstand, Maßnahmen)
Datenschutz Berichtswesen
Datenschutzorganisation
Richtlinien für Datenschutz
34
Juli 2017Langer Abend des Datenschutzes
PwC
Prüfung nach C5 und TCDP in einem Audit
Synergien zur parallelen Durchführung eines Security (BSI C5) und Datenschutz (BMWi TCDP) Audits
TCDP Anforderungen durch BSI:
• Security und Datenschutz sind die beiden größten Herausforderungen im Cloud Computing (siehe auch PwC Cloud-Studie).
• Security und Datenschutz sind undbleiben zwei gleichberechtigteund eigenständige Themen.
• Der Anteil von Security nimmt im Datenschutz kontinuierlich zu.
• Überschneidungen sinddamit unvermeidlich.
Security
Daten-schutz
3 8 9nicht erfüllt teilweise
erfüllterfüllt
35
Juli 2017Langer Abend des Datenschutzes
PwC
Wie wird sich das Thema weiterentwickeln (Ausblick)
Trends 2018
• Datenschutz und Informationssicherheit bestimmen noch stärker die öffentliche Diskussion.
• Dem Schutz von kritischen Infrastrukturen gilt besonderes Augenmerk (ITSiG).
• Das „Internet der Dinge bringt“ (u.a. SmartHome) gewinnt an Bedeutung.
• Der Umsatz in diesem Bereich wird massiv zunehmen (SW, HW, Beratung).
• Informationssicherheit „Made in Germany“ immer wichtiger.
• Cyberkrieg könnte durch politische motivierte Angriffe entstehen.
Anzahl der Cyber-Angriffe steigen und werden qualifizierter
36
Juli 2017Langer Abend des Datenschutzes
https://www.youtube.com/watch?v=XOGof8Bv9CE
PwC
Praxisbeispiel – Big Data
37
Juli 2017Langer Abend des Datenschutzes
PwC
Die Vision des IDS
Der IDS soll ein dezentrales Netzwerk vertrauenswürdiger, sicher austauschbarer Daten ermöglichen und damit zu einer effizienteren und innovativen Wertschöpfung
in allen Bereichen der Wirtschaft beitragen.
Unternehmen6
Service G
Unternehmen2
Service C
Unternehmen3
Service D
Service
E
Unternehmen4
Service F
Unternehmen5
Unternehmen1
Service
B
Service
A
38
Juli 2017Langer Abend des Datenschutzes
PwC
Industrial Data Space
Vorteile des IDS
Souveränität
Data und Services
Vertrauen
Zertifizierte Mitglieder
Dezentral
Verteilte Architektur
Offenheit
Neutral andUser-Driven
Governance
Gemeinsame Regeln
Skalierbarkeit
Netzwerk EffektEcosystem
Plattform und Services
Security
Daten-austausch
39
Juli 2017Langer Abend des Datenschutzes
PwC
Einbindung von PwC im IDS-Umfeld
Fraunhofer
Politik
IDS wird auf höchster politischer Ebene unterstützt, angetrieben und gefördert:
• BMBF
• EU-Kommission
• Bundeskanzleramt
• BMWi
Unternehmen, die für eine zukünftigetechnische und betriebliche Umsetzung des IDS sorgen:
• Data Broker
• App Store-Betreiber
• Infrastructure-Betreiber
• Technisches und betriebliches Design von IDS
• Entwicklung der Grund-architektur und Software
• Proof-of-Concept
• Entwicklung und Umsetzung von Use Cases
Mitglieder IDS e. V. /Nutzer von IDS
Integratoren und Betreiber
Anbindung an ähnliche Datenaustauschplattformen von anderen Unternehmen. RAS hat ein Industrial Data-Projekt mit SAP und SIEMENS (Fokus industrielle Sicherheitsanforderungen HANA Cloud-Plattform).
Non-IDS-Datenplattformen
ExterneAnbindung
Positio-nierung
UseCases
Entwick-
lungTechnologie und Betrieb
PwC
40
Juli 2017Langer Abend des Datenschutzes
PwC
PwC Aktivitäten (z.B. Politik & Veranstaltungen)
CeBIT 2016 EU-Kommission Roundtable
Vorträge
Unternehmen3
Unternehmen1
Unternehmen2
Unternehmen4
41
Juli 2017Langer Abend des Datenschutzes
PwC
Herausforderungen der Nutzer
Service Beschreibung Zielgruppe Potentiale
IDSInnovation
Entwicklung von branchenspezifischen und innovativen IDS Strategien/Use Case-Ideen unter Zuhilfenahme des IDS Incubator im DCX.
• Neue Anwender
IDSKonzeptionierung
Überführung der Use Case-Ideen in konkrete Konzepte (Anforderungskonzept, Design Konzept, Fachkonzept, Datenmodell).
• Bestehende Anwender• Neue Anwender
IDS Pilotierung
Unterstützung Aufbau und Umsetzung eines Piloten (PoC) für einen Testbetrieb (inkl. Definition & Durchführung von Testfällen).
• Bestehende Anwender• Neue Anwender
IDSIntegration
Entwicklung von Ansätzen zur Integration von Architektur, Systemen, Schnittstellen, Prozessen, IT-Sicherheit, Drittanbietern.
• Bestehende Anwender• Neue Anwender
IDSImplementierung
Überführung von Use Cases in den Betrieb inkl. Datenmigration, Anbindung an relevante Datenquellen, Post Implementation Review.
• Bestehende Anwender• Neue Anwender
IDS-Digital Trust Services
Zulassung, Prüfung und Zertifizierung von Datensicherheit und Datenschutz unter Benutzung der Blockchain-Technologie.
• Alle Anwender• Integratoren• Betreiber• Non-IDS-Plattformen
….. ….. • …..
PwC IDS-Services Entwicklung neuer LoS/x-LoS Services auf Basis von IDS (Steuervalidierung, Intercompany Abrechnung, Cash Pooling, Halo/Helix Ergänzung, Cyber Defense).
• PwC-Mandanten
42
Juli 2017Langer Abend des Datenschutzes
PwC
Ihre Fragen…
43
Juli 2017Langer Abend des Datenschutzes
PwC
Einstieg bei PwC…
44
Juli 2017Langer Abend des Datenschutzes
Vielen Dank für Ihre Aufmerksamkeit
Die PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft bekennt sich zu den PwC-
Ethikgrundsätzen (zugänglich in deutscher Sprache über www.pwc.de/de/ethikcode) und zu den Zehn
Prinzipien des UN Global Compact (zugänglich in deutscher und englischer Sprache über
www.globalcompact.de).
© Juli 2017 PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten.
„PwC“ bezeichnet in diesem Dokument die PricewaterhouseCoopers GmbH
Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International
Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIL ist eine rechtlich selbstständige
Gesellschaft.
Markus VehlowPricewaterhouseCoopers GmbHRisk Assurance Solutions(Partner)
Friedrich-Ebert-Anlage 35-37D-60325 Frankfurt am MainTel: +49 69 / 95 85 - 2293E-Mail: [email protected]
PwC
Welcome–
Next Generation
PwC
The Experience Center: Now open for business!
Amsterdam
46
Juli 2017Langer Abend des Datenschutzes
Hallandale
San Francisco
Los Angeles
ChicagoToronto
Sao Paulo
LondonBelfast
Stockholm
Paris
Zurich
Johannesburg
Rome
Prague
Dubai
Melbourne
Shanghai
Hong Kong
Sydney
PwC
Welcome–
Next Generation
PwC
The Experience Center: Now open for business!
Brussels Frankfurt Amsterdam
47
Juli 2017Langer Abend des Datenschutzes
PwC
Welcome–
Next Generation
PwC
48
Juli 2017
PwC
Social–
Next Generation
PwC
49
Juli 2017
PwC
Workbench–
Next Generation
PwC
50
Juli 2017
Top Related