- Startseite | Universität des Saarlandes · von Cloud Audit Standards (FAIT5, IDW PS 860/PH) mit....

Langer Abend des Datenschutzes

Praxisbeispiele zu Cloud Computing, Cyber Security, Big Data

www.pwc.de

PwC

Agenda

Über PricewaterhouseCoopers (PwC)

PwC & der Datenschutz

Praxisbeispiel – Cloud Computing

1

Praxisbeispiel – Cyber Security

Praxisbeispiel – Big Data

2

3

4

5

Ihre Fragen6

2

Juli 2017Langer Abend des Datenschutzes

PwC

Über PricewaterhouseCoopers (PwC)

3


PwC

Traditionell gut 166 Jahre Erfahrung

Namensänderung zu Price, Waterhouse & Co.

Gründung der Treuhand-Vereinigung

Beitritt der Treuhand-Vereinigung zum Verbund Coopers & Lybrand

C&L Deutsche Revisionund Price Waterhouse Deutschland legen ihr Geschäft in der PwC Deutsche Revision zusammen

Namensänderung der PwC Deutsche Revision in PricewaterhouseCoopers AG Wirtschaftsprüfungs-gesellschaft

GründungPwC EuropeSamuel Lowell

Price gründet ein Unternehmen in London

Zusammenschluss mit weltweit ältester Strategieberatung Booz & Company und deren Umbenennung in Strategy&

Übernahme der cundus AG

1849 1874 1905 1957 1998 2005 2012 2014 2016

Übernahme PERSICON consultancy GmbH und PERSICON cert AG

4


PwC

Das starke globale Netzwerk von PwC

Pablo M.Partner in Santiago

Clara T.Consultant in Sydney

James W.Senior Manager in New York Steven H.

Manager in Abu Dhabi

Li Yang Z.Senior Consultant in Peking

223.468Kollegen

743 Standorte

157 Länder

5


PwC

PwC in Deutschland

Die Big Four in Deutschland(in € Mrd.)

#1

Stichtag: Deloitte: 31.05.16 EY: 30.06.16KPMG: 30.09.16 PwC: 30.06.16

€M

rd

.

0,96

1,57 1,601,90

Deloitte EY KPMG PwC

6


PwC

PwC in Deutschland

21Standorte

Berlin

Bielefeld

Bremen

Duisburg

Düsseldorf

Erfurt

Essen

Mannheim

München

Nürnberg

Osnabrück

Saarbrücken

Schwerin

Stuttgart

Frankfurt/Main

Hamburg

Hannover

Kassel

Kiel

Köln

Leipzig

Mitarbeiter:

10.364

Partner:

560

7


PwC

In allen Branchen und Märkten aktiv

Gesundheitswesen und Pharma

Familienunternehmenund Mittelstand

ÖffentlicherSektor

Energie-wirtschaft

FinancialServices

Technologie, Medien und Telekommunikation

Automobil-industrie

Kapitalmarktorientierte Unternehmen

Transport und Logistik

Industrielle

ProduktionInternatio-nale Märkte

Handel und Konsumgüter

8


PwC

Geschäftsfelder 2016/2017

Wirtschaftsprüfung und prüfungsnahe Dienstleistungen

731 Mio. €

Steuer- und Rechtsberatung

513,3 Mio. €

Unternehmensberatung

661,7 Mio. €

Assurance

38%

Tax

27%

Advisory

35%

Gesamt

1,9 Mrd.€

9


PwC

Risk Assurance SolutionStrategie, Organisation, Prozesse & Systeme

10


Interne Revisionsprüfung

Effiziente, wertorientierte Interne Revisionsprüfung.

• Outsourcing

• Co-sourcing

• IA Beratung

- Methodologie: Risikobewertung, Planung und Ausführung

- Modelle zur Ressourcenplanung

- Wirksamkeits- und Produktivitätsüberprüfungen

- Corporate Governance

Performance Assurance

Aufbau von internem und externem Vertrauen in die Unternehmensentwicklung durch unabhängige Beratung und Prüfung.

• Attestierung durch einen unabhängigen Dritten anhand von anerkannten Zertifizierungsstandards z. B. ISAE3402/SSAE16

• Nachhaltigkeit und Klimawandel

• Integrierte Berichterstattung

• Handelsrechtliche Prüfung

• Vertrags- und Compliance-Risiken

Business Resilience

Unterstützung von Mandanten, um die Widerstandsfähigkeit von Unternehmen durch Identifikation, Beurteilung, Minimierung und Verortung von Risiken zu erhöhen.

• Risk Management

• Einhaltung regulatorischer Anforderungen

• Betrugsrisiken und -kontrollen

• Business Continuity

IT Risk Assurance

Konzeption und Aufbau von Lösungen im Rahmen von IT-Risiken und Kontrollen, welche komplexe, ständigen Neuerungen unterworfenen IT-Landschaften mit maximaler Gewinnausschöpfung widerspiegeln.

• IT risk and governance

• Projekt-Assurance

• Informationssicherheit und Datenschutz

• Cloud Computing

• ERP Kontrollen

• Datensicherheit

Business Controls Beratung

Unterstützung von Mandanten zur Gestaltung, Implementierung und Optimierung ihrer internen Kontrollumgebung sowie der Beratung, Analyse und Verbesserungsplanung im Kontext geänderter Business-Anforderungen, regulatorischen Anforderungen oder Investitionsrentabilität

• Beratung

• Prüfung der Gestaltung und Wirksamkeit von Kontrollen z.B. S404, C-SOX, Industrie-spezifische Anforderungen etc.

• XBRL

Treasury

Risk Management und Wertschöpfung aus der Treasury Funktion

• Optimierung der Treasury und der Cash Governance sowie der Risiken und des Wirksamkeitsrahmens

• Berücksichtigung der finanzbuchhalterischen Bedeutung von Transaktionen

• Risiko- und Kontrollberatung hinsichtlich der Abläufe im Kapital-und Cash Management

PwC

PwC & der Datenschutz

11


PwC

PwC Datenschutz Portfolio

Strategie &

BeurteilungDesign &

Konstruktion

Implemen-

tierung

Betrieb &

Überwachung

Organisation

Richtlinien &

Verfahren

Prozesse

Mitarbeiter

Technologie

Change

Management

Projekt

ManagementVe

rän

de

run

g

imp

lem

en

tie

ren

Ve

rän

de

run

g

en

twic

ke

ln

• Vorgehensmodell –

risikobasiert vs.

Vollständig

• Feststellung

Analysetiefe• wesentliche Änder-

ungen durch

DSGVO

• Besondere

unternehmens-

spezifische Risiken

durch DSGVO

• Ableitung Maßnahmen-

umfang (Best in Class –

Best Practice – Minimum

Requirements)

• Identifikation und

Priorisierung relevanter

Prozesse

• Rechtliche Bewertung –

Soll-Ist-Vergleich

• Ableitung von

Anpassungsbedarfen

auf den unterschied-

lichen Ebenen

• Rechtlich

• Organisatorisch

• Prozessual

• Technisch

• Entwicklung der

relevanter Änderungen

• Erstellung notwendiger

Dokumentationen

• Definition von Rollen

und

Verantwortlichkeiten

• Anpassung von

Regularien und

internen Vorgaben

• Überarbeitung von

Prozessen und deren

Kontrollen

• Unterweisung und

Wissenstransfer

• Integration geänderter

technischer

Anforderungen

• Überführung in den

Regelbetrieb

• Gewährleistung der

kontinuierlichen

Anforderungen unter

Compliance-

Gesichtspunkten

• Sicherstellung der

Überwachung der

Einhaltung

Kommunikation & Change Management

Projekt Management & Qualitätssicherung

12


PwC

Expertise und Referenzen im Bereich Datenschutz

Prüfung des HR-Dienstleisters eines

Energieversorgers

auf Einhaltung der datenschutzrechtlichen Vorgaben (§ 11 BDSG)

Shared-Service-Center-Prüfung eines

Handelskonzerns

in Bezug auf die Einhaltung technischer und organisa-

torischer Maßnahmen

ISAE 3000-basierte Prüfung eines

Service Providers der Versicherungsbranche

in Bezug auf die Einhaltung datenschutzrechtlicher

Vorgaben

Vertragsprüfung im Rahmen der Dienstleister-

Steuerung einer

Versicherung

in Bezug auf die Einhaltung der §§ 9, 11 BDSG

PS 330-basierte Prüfung für einen

Elektronikhersteller

zur weltweiten IT-Compliance und

IT-Governance

Prüfung für einen weltweiten

Chemikalienhersteller

in Bezug auf die Einhaltung technischer und organisatorischer

Maßnahmen

Beratung zur Auftragsdaten-verarbeitung (ADV) in einem

Verlag

bei der Verarbeitung besonderer Arten

personenbezogener Daten

Tätigkeit als externer Datenschutzbeauftragter

für einen

Automobil-Zulieferer

inklusive der Überprüfung der Einhaltung des

Datenschutzes durch Auftragnehmer

13


PwC

PwC Gremienarbeit zum Datenschutz

14


Das Projekt „Next Generation Certification – NGCert“ versucht eine Grundlage für dynamische Zertifizierungen im Cloud-Umfeld zu bilden. PwC verbindet die innovativen Ideen des Projekts mit der Erfahrung von Zertifizierungsprojekten aus der Wirtschaft.

Das Bundesamt für Sicherheit in der Informationstechnik betreut das Thema Informationssicherheit für deutsche Regierungsbehörden. Für das BSI entwickelte PwC einen Standard zur Identifikation von Cloud Dienstleistern im öffentlichen Bereich.

BITKOM ist Deutschlands Interessensverband der Digitalwirtschaft, welcher mehr als 2,300 Unternehmen vertritt. Im Rahmen von Arbeitsgemeinschaften unterstützt PwC bei der Erstellung von Richtlinien, Best Practices und Umfragen.

ISO-Standards werden von einem Expertengremium in Zusammenarbeit mit technischen Experten entwickelt. Wenn der Bedarf für einen Standard festgestellt wird, diskutiert und vereinbart PwC einen Entwurf des Standards regelmäßig vor der eigene Nutzung.

Die Cloud Select Industry Group (C-SIG) arbeitet für die Europäische Kommission auf die Entwicklung einer Standardisierung für Cloud Computing hin. PwC hat bereits einen Standard und eine Zertifikationsmethode für Cloud Computing erstellt.

Die CSA ist eine Non-Profit-Organisation und engagiert sich, die sichere Einführung von Cloud Computing voran zu treiben. PwC beteiligt sich an Arbeitsgruppen, beispielsweise zur Entwicklung von Abhandlungen und Konzepten sowie gemeinsamen Vorträgen (z.B. CSA in Dublin).

PwC

PwC Gremienarbeit zum Datenschutz

15


Das Institut der Wirtschaftsprüfer e.V. repräsentiert die beruflichen Interessen von Wirtschaftsprüfern. Wir sind Mitglied des Vorstands und arbeiten an der Entwicklung von Cloud Audit Standards (FAIT5, IDW PS 860/PH) mit.

ISACA ist ein Non-Profit-Verband mit globaler Mitgliedschaft für IT- und Informationssystem-Experten, die Prüfungs- und Kontroll-Standards und -Trainings anbieten. Zahlreiche PwC-Experten haben eine Zertifikation wie CISA, CISM oder COBIT.

Die AICPA repräsentiert den CPA Berufsstand bezüglich Regelaufstellung und Standardsetzung. PwC betätigt sich als Vertreter vor Gesetzgebern, öffentlichen Interessengruppen und anderen Berufsgruppen zur Nutzung neuer Standards (z.B. SOC1-3).

Die Open Data Center Alliance treibt die Einführung von Enterprise Cloud Computing durch das Teilen von Best Practices voran. Wir beteiligen uns in der Entwicklung von Konzepten, Best Practices, Nutzungs-Modellen und Standards (z.B. das Cloud Maturity Model).

Das Trusted Cloud Technology Programm des BMWi strebt eine Förderung von Forschung und Entwicklung von Cloud Infrastrukturen und sicheren Cloud-basierten Dienstleistungen an. PwC beteiligt sich und nutzt Ergebnisse wie das Trusted Cloud Data Privacy Seal.

Fraunhofer ist die größte europäische anwendungsorientierte Forschungsorganisation. Wir arbeiten bei mehreren Initiativen mit Fraunhofer zusammen, wie beispielsweise dem “Industrial Data Space”, bei dem Markus Vehlow als Vorstandsmitglied agiert.

PwC

Projektbeispiel

Ermittlung vonHandlungsbedarf

durch die EU-DSGVO

16


PwC

Projektablauf

Planung des Umsetzungs-projekts

• Kennenlernen des Teams

• Identifikation der zu untersuchenden Organisation

• Bestimmung des Scopes für die Aufnahme

• Festlegen der weiteren Projektorganisation

1

• Aufnahme des Ist-Zustands in 3 Arbeitspaketen:

• IT,

• Zentrale Datenschutz-organisation,

• Geschäftsprozesse

2

• Auswerten der Ergebnisse der Ist-Analyse

• Beschreiben der Gaps & Maßnahmen-feststellung zum Erreichen der Mindest-anforderungen aus der DS-GVO

3 4

• Vorstellen der Projektergebnisse

• Feedback zu Projektablauf

• Abschluss-besprechung

5

Projektmanagement

Bestands-aufnahme

Maßnahmen-planung

Abschluss-besprechung

• Erarbeiten eines Projektplans für eine Umsetzung der Maßnahmen bis Mai 2018

Initialisierung

17


PwC

Phase 2: Bestandsaufnahme

• Unterstützung bei der Terminkoordination für die Interviews mit den einzelnen Ansprechpartnern

• Sicherstellen der Verfügbarkeit identifizierter Ansprechpartner und benötigter Dokumentation sowie von Eskalationswegen

• Umfang der Bestandsaufnahme ist festgelegt

• Bestandsaufnahme ist abschließend durchgeführt

• Ergebnisse der Bestandsaufnahme sind abgestimmt

Beistellleistungen Ergebnisse dieser Phase

• Durchführung einer umfassenden Bestandsaufnahme in drei Arbeitspaketen (AP):

• Abstimmung der Ergebnisdokumenation der Bestandsaufnahme hinsichtlich Vollständigkeit im Rahmen eines Workshops mit den Projektverantwortlichen

Wesentliche PwC-Aktivitäten

AP IT: AP Zentrale Datenschutzorganisation:

AP Geschäftsprozesse:

Datenschutzrechtliche Bewertung von zur Verarbeitung personenbezogener Daten genutzten IT-Applikationen mit Applikationsverantwortlichen o.ä.

Aufnahme der zentralen Datenschutzorganisation in enger Zusammenarbeit mit dem Datenschutzbeauftragten

Durchführung von Interviews zu datenschutzrechtlich relevanten Geschäftsprozessen und -ketten mit den entsprechenden Fachbereichen

1 2 3

18


PwC

Phase 3: Beispiel Risikoanalyse identifizierterLücken zur DSGVO

Beispielhafte Ergebnisse zur Maßnahmenplanung

PwC Risk Matrix

Durch Festhalten und Priorisieren der identifizierten Risiken lassen sich diese zielgerichtet bearbeiten. Die graphische Darstellung ermöglicht einen schnellen Überblick über die Aktionsfelder (roter Bereich)..

0

1

2

3

4

5

0 1 2 3 4 5

EIN

TR

ITT

SW

AH

RS

CH

EIN

LIC

HK

EIT

AUSWIRKUNGEN

RISIKOMATRIX

19


PwC

Phase 3: Beispiel Maßnahmensteckbriefe

Beispielhafte Ergebnisse zur Maßnahmenplanung

Übersicht

In dem Steckbrief sind alle Informationen über die Maßnahme kurz und prägnant zusammengefasst.

Entscheidungen

Gleichzeitig bildet der Steckbrief einen Teil des Entscheidungsprozesses ab, indem Handlungsalternativen aufgezeigt werden und die Entscheidung für die Umsetzungsmaßnahme begründet wird. Dies führt zu einer höhere Akzeptanz der Maßnahmen im betroffenen Bereich.

20


PwC

Praxisbeispiel – Cloud Computing

21


PwC

Versprechen und Vorbehalte bei Cloud Computing

3. „Cloud Computing ist nicht immer verfügbar “

2. „ Cloud Computing wider-spricht der Compliance“

1. „Cloud Computing reduziert die IT-Kosten“

1. „Cloud Computing ist nicht sicher“

2. „Cloud Computing ist schnell & einfach zu betreiben. “

3. „Cloud Computing unter-stützt flexibel das Business “

Versprechen Vorbehalte

22


PwC

TheorieDefinition & Risiko Bereiche

Elastic Provisioning

Operating System

Database

Application

IT stack ohne Cloud Computing

In m

oti

on

StorageVirtualization

Network

Service Orchestration

OS Virtualization

Internet Access

Network Virtualization

Data Center

MobileDevices

Sta

ble

IT stack mit Cloud Computing

Multi Tenancy

Network

Operating System

Database

Application

Sta

ble

Data CenterData Location

23


PwC

TheorieWer ist verantwortlich?

User

Hardware (physic)

BuildingPower Cooling Fire Access BCM

Virtualization

IaaSNetwork Storage Computing OS

PaaSStandard Proprietary

SaaS (1:n)

Cloud Management

Public

CloudPrivate

Cloud

Outsourced

Private

Cloud

Provider

Verantwortung:

Managed

Private

Cloud

Hybrid

Cloud

ag

ile

sta

ble

Delivery Model Deployment Model

24


PwC

Readiness Assessment

Was wir für SIE tun…

• Positionsbestimmung unter Einbeziehung aller strategischen, finanziellen, betrieblichen, steuerlichen, juristischen und compliance-bezogenen Aspekte

• Interviews mit Stakeholder (170 Fragen /24 Gebiete)

• Identifikation von Optimierungsbedarf sowie Erarbeitung von Handlungsempfehlungen

• Unterstützung bei Umsetzung der Handlungsempfehlungen

Was SIE davon haben…

• Awareness und Alignment der Cloud Stakeholders

• Transparenz über Befürworter, Gegner und Erfolgsfaktoren

• Cloud Service-Wünsche interner Kunden

• Leitplanken & Gewissheit für nachfolgende Cloud Vorhaben

25


PwC

Cloud Provider Zertifizierung


• Risikoanalyse von Cloud Services bei Cloud Providern

• Data Center Validierungen

• Projektbegleitende Qualitätssicherung von Cloud Projekten

• Bewertung der Kontrollen mit anschließender Zertifizierung gemäß international anerkannter Standards wie ISO, SOC, ISAE, SSAE, etc.


• Nachweis über ein angemessenes und wirksames Kontrollsystem für die Kunden des Cloud Providers

• Vollständiges Control Framework

• Aktualität von IT-Policies, IT-Guidelines und IT-Procedures

• Baseline Protection im Bereich Cloud

• Cloud geeignete ITSM Prozesse

26


PwC

Shadow Cloud Discovery


• Ermitteln und Analysieren genutzter Cloud Services

• Aufdecken von Lücken bei der Cloud Governance bzw. Umsetzung der Cloud Strategie

• Validierung der Bedeutung für die eigenen Prozesse

• Identifizieren der Risiken und deren Auswirkungen (Finanzen, Compliance, Sicherheit, Datenschutz, Recht).


• Reduktion der Risiken von Shadow Cloud (inkl. Regulatorischer Vorgaben)

• Erhöhte Zuverlässigkeit von Geschäfts- und IT-Prozessen

• Stärkung der Kontrolle über Vertraulichkeit von Daten

• Stärken des bewussten Umgangs mit Unternehmensdaten

• Analyse der IT-Landschaft

• Ermitteln eines Risikoprofils

• Definieren der benötigten Daten

• Extrahieren eines beispielhaften Logs

• Konfigurieren des Tools

• Erhalten der Log Datei

• Verarbeiten der Log Datei

• Analyse der Cloud Nutzung

• Erneutes Ausführen oder gezieltes Nachforschen

• Kontrollieren und säubern der Resultate

• Bewerten der Risiken

• Aufdecken von Korrelationen

• Sammeln und vorstellen der Ergebnisse

• Diskussion über die Auswirkungen

• Einigen über weiteres Vorgehen

• Entwickeln von Empfehlungen

• Unterstützen der Implementierung

• …

Separates Projekt

Workshopdurchführen

Toolsvorbereiten

Protokolleanalysieren

Resultatebewerten

Ergebnisvorstellen

Maßnahmenentwickeln

Ziel des initialen Workshops

Definition von Zielen und Prioritäten der Auswertung

Nachvollziehung der IT-Landschaft und IT-Organisation

Darlegung bekannter und relevanter Risiken im Zusammenhang mit Shadow Cloud

Identifizierung von Stakeholdern

Identifizierung von Ansprechpartnern für die Extrahierung der Logs, Interviews usw.

Nachvollziehung bereits vorhandener Sicherheitsmaßnahmen

Analyse der Cloud Strategie, bspw. der freigegebenen Cloud Services

Freigegebene Services

Erwartungen

IT-Landschaft

Vorhandene Sicherheits-maßnamen

Ansprech-partner

Risiken

Stake-holder

Workshop

Anwender

Evernote

Google Compute Engine

ServiceNow

Salesforce

Entwickler

AmazonWeb Services

Windows Azure

Dropbox

MicrosoftOneDrive

Google DriveOffice 365

PDF2docx

27


PwC

HR Implementation


• HR-IT-Strategie, Effektivität und Effizienz von HR-Systemen, Softwareauswahl und HR-IT-Compliance

• HR-IT Cloud Software Implementierungen für hybride SaaS Architekturen (inkl. Betriebs- und Supportkonzepte)

• Analyse, Konzeption, Umsetzung, Optimierung von HR-IT Strategien und technischen HR Lösungen (z.B. Schnittstellen)


• Umfangreiche und zertifizierte Expertise für eine Vielzahl von HR Lösungen (SuccessFactors, Workday, Oracle, Taleo)

• Erfahrungen aus einer großen Anzahl von Kundenprojekten

• Fokussierte und revisionssichere Implementierungen

28


PwC

Praxisbeispiel – Cyber Security

29


PwC

Entstehungsgeschichte

ErsteVernetzungen

1980

World Wide Web 1981

E-commerce Start1996

Homeland Security

2001

Cybercrime

2006

AusbauBreitbandnetz

2015

IBM PC

New Economy

Spamming & Phishing

Facebook

ID Diebstahl

Cyberwar (Stuxnet)

> 1.000 Viren

Erster Virus

Virus Desig SW

Quelle: https://www.internet-sicherheit.de/fileadmin/docs/downloads/andere_studien_dokumente/bsi/2014_03_Leitfaden-Cyber-Sicherheits-Check.pdf Seite 12

Erste App

30


PwC

Beispiele für bekannte Sicherheitsvorfälle

Sony, 2011

Binnen kurzer Zeit kam es zu mehreren Angriffen auf Sony darunter Playstation Network. Dabei wurden über 100 Mio. personenbezogene Daten von Nutzern gestohlen.

Facebook, 2013

Durch ein tempo-rären Bug im “Download YourInformation”-Tool bestand die Möglichkeit das teilen von E-Mail Adressen und Telefon Daten von ca. 6 Mio. Nutzern.

Snapchat, 2013

Telefonnummern und Nutzernamen von 4,6 Millionen Snapchat-Usern wurden veröffentlicht.

Adobe, 2014

Hacker brachen in eine Datenbank von Adobe ein und erlangten Zugang zu mehreren Millionen Kundendaten.

1 2 3 4

Bundestag, 2015: Trojaner tarnte sich als E-Mail der Vereinten Nationen! Titel: "Ukraine conflict with Russia leaves economy in ruins"

…

31


PwC

Risiken für Unternehmen

Datenverluste, Datenschutzverletzungen

Gezielte Angriffe auf Computernetzwerke von außen Wirtschaftsspionage

Verletzung geistigerEigentumsrechte Ertragsausfälle durch

Betriebsunterbrechungen

Vertrauensverlust bei Geschäftspartner

Image-Schaden

Ausspähen von Daten/ GeschäftsgeheimnissenVerstoß gegen

Compliance- und Gesetzesauflagen

32


PwC

Was nun? Technology Domain Convergence

33

September 2015RAS Vertriebsmeeting

InformationTechnology

Computerressourcen und Netzwerkkonnektivität zurVerarbeitung und Verwaltung von Daten im Rahmen der Unterstützung von Organisation und Transaktionen.

Operational Technology

Systeme zur Überwachung und Steuerung von physischen Prozessen oder zur Unterstützung der Produktion oder Auslieferung von Produkten und Dienstleistungen.

Consumer (Products and Services)

Technology

Computerressourcen und Netzwerkkonnektivität in Verbindung mit oder als Unterstützung von externen, an Endkunden gerichtete Produkte und Services.

Cyber Security umfasst alle drei Technologiebereiche.

PwC

Integration des DatenschutzmanagementsOrganisatorische, methodische und prozessuale Integration

ISMS nach ISO/IEC 27001 (Auszug) Datenschutzmanagement

Formaler ISMS Scope

Risikomanagement

Interne Audits

Kennzahlen

Managementbewertungen

Organisation der Informationssicherheit

Richtlinien für Informationssicherheit

Risikomanagement

Datenschutz Audits (ADV und intern)

Berichtswesen (Implementierungsstand, Maßnahmen)

Datenschutz Berichtswesen

Datenschutzorganisation

Richtlinien für Datenschutz

34


PwC

Prüfung nach C5 und TCDP in einem Audit

Synergien zur parallelen Durchführung eines Security (BSI C5) und Datenschutz (BMWi TCDP) Audits

TCDP Anforderungen durch BSI:

• Security und Datenschutz sind die beiden größten Herausforderungen im Cloud Computing (siehe auch PwC Cloud-Studie).

• Security und Datenschutz sind undbleiben zwei gleichberechtigteund eigenständige Themen.

• Der Anteil von Security nimmt im Datenschutz kontinuierlich zu.

• Überschneidungen sinddamit unvermeidlich.

Security

Daten-schutz

3 8 9nicht erfüllt teilweise

erfüllterfüllt

35


PwC

Wie wird sich das Thema weiterentwickeln (Ausblick)

Trends 2018

• Datenschutz und Informationssicherheit bestimmen noch stärker die öffentliche Diskussion.

• Dem Schutz von kritischen Infrastrukturen gilt besonderes Augenmerk (ITSiG).

• Das „Internet der Dinge bringt“ (u.a. SmartHome) gewinnt an Bedeutung.

• Der Umsatz in diesem Bereich wird massiv zunehmen (SW, HW, Beratung).

• Informationssicherheit „Made in Germany“ immer wichtiger.

• Cyberkrieg könnte durch politische motivierte Angriffe entstehen.

Anzahl der Cyber-Angriffe steigen und werden qualifizierter

36


https://www.youtube.com/watch?v=XOGof8Bv9CE

https://www.youtube.com/watch?v=XOGof8Bv9CE

PwC

Praxisbeispiel – Big Data

37


PwC

Die Vision des IDS

Der IDS soll ein dezentrales Netzwerk vertrauenswürdiger, sicher austauschbarer Daten ermöglichen und damit zu einer effizienteren und innovativen Wertschöpfung

in allen Bereichen der Wirtschaft beitragen.

Unternehmen6

Service G

Unternehmen2

Service C

Unternehmen3

Service D

Service

E

Unternehmen4

Service F

Unternehmen5

Unternehmen1

Service

B

Service

A

38


https://youtu.be/94w36MewpuY


PwC

Industrial Data Space

Vorteile des IDS

Souveränität

Data und Services

Vertrauen

Zertifizierte Mitglieder

Dezentral

Verteilte Architektur

Offenheit

Neutral andUser-Driven

Governance

Gemeinsame Regeln

Skalierbarkeit

Netzwerk EffektEcosystem

Plattform und Services

Security

Daten-austausch

39



PwC

Einbindung von PwC im IDS-Umfeld

Fraunhofer

Politik

IDS wird auf höchster politischer Ebene unterstützt, angetrieben und gefördert:

• BMBF

• EU-Kommission

• Bundeskanzleramt

• BMWi

Unternehmen, die für eine zukünftigetechnische und betriebliche Umsetzung des IDS sorgen:

• Data Broker

• App Store-Betreiber

• Infrastructure-Betreiber

• Technisches und betriebliches Design von IDS

• Entwicklung der Grund-architektur und Software

• Proof-of-Concept

• Entwicklung und Umsetzung von Use Cases

Mitglieder IDS e. V. /Nutzer von IDS

Integratoren und Betreiber

Anbindung an ähnliche Datenaustauschplattformen von anderen Unternehmen. RAS hat ein Industrial Data-Projekt mit SAP und SIEMENS (Fokus industrielle Sicherheitsanforderungen HANA Cloud-Plattform).

Non-IDS-Datenplattformen

ExterneAnbindung

Positio-nierung

UseCases

Entwick-

lungTechnologie und Betrieb

PwC

40


PwC

PwC Aktivitäten (z.B. Politik & Veranstaltungen)

CeBIT 2016 EU-Kommission Roundtable

Vorträge

Unternehmen3

Unternehmen1

Unternehmen2

Unternehmen4

41


PwC

Herausforderungen der Nutzer

Service Beschreibung Zielgruppe Potentiale

IDSInnovation

Entwicklung von branchenspezifischen und innovativen IDS Strategien/Use Case-Ideen unter Zuhilfenahme des IDS Incubator im DCX.

• Neue Anwender

IDSKonzeptionierung

Überführung der Use Case-Ideen in konkrete Konzepte (Anforderungskonzept, Design Konzept, Fachkonzept, Datenmodell).

• Bestehende Anwender• Neue Anwender

IDS Pilotierung

Unterstützung Aufbau und Umsetzung eines Piloten (PoC) für einen Testbetrieb (inkl. Definition & Durchführung von Testfällen).


IDSIntegration

Entwicklung von Ansätzen zur Integration von Architektur, Systemen, Schnittstellen, Prozessen, IT-Sicherheit, Drittanbietern.


IDSImplementierung

Überführung von Use Cases in den Betrieb inkl. Datenmigration, Anbindung an relevante Datenquellen, Post Implementation Review.


IDS-Digital Trust Services

Zulassung, Prüfung und Zertifizierung von Datensicherheit und Datenschutz unter Benutzung der Blockchain-Technologie.

• Alle Anwender• Integratoren• Betreiber• Non-IDS-Plattformen

….. ….. • …..

PwC IDS-Services Entwicklung neuer LoS/x-LoS Services auf Basis von IDS (Steuervalidierung, Intercompany Abrechnung, Cash Pooling, Halo/Helix Ergänzung, Cyber Defense).

• PwC-Mandanten

42


PwC

Ihre Fragen…

43


PwC

Einstieg bei PwC…

44


Vielen Dank für Ihre Aufmerksamkeit

Die PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft bekennt sich zu den PwC-

Ethikgrundsätzen (zugänglich in deutscher Sprache über www.pwc.de/de/ethikcode) und zu den Zehn

Prinzipien des UN Global Compact (zugänglich in deutscher und englischer Sprache über

www.globalcompact.de).

© Juli 2017 PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten.

„PwC“ bezeichnet in diesem Dokument die PricewaterhouseCoopers GmbH

Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International

Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIL ist eine rechtlich selbstständige

Gesellschaft.

Markus VehlowPricewaterhouseCoopers GmbHRisk Assurance Solutions(Partner)

Friedrich-Ebert-Anlage 35-37D-60325 Frankfurt am MainTel: +49 69 / 95 85 - 2293E-Mail: [email protected]

PwC

Welcome–

Next Generation

PwC

The Experience Center: Now open for business!

Amsterdam

46


Hallandale

San Francisco

Los Angeles

ChicagoToronto

Sao Paulo

LondonBelfast

Stockholm

Paris

Zurich

Johannesburg

Rome

Prague

Dubai

Melbourne

Shanghai

Hong Kong

Sydney

PwC

Welcome–

Next Generation

PwC

The Experience Center: Now open for business!

Brussels Frankfurt Amsterdam

47


PwC

Welcome–

Next Generation

PwC

48

Juli 2017

PwC

Social–

Next Generation

PwC

49

Juli 2017

PwC

Workbench–

Next Generation

PwC

50

Juli 2017

- Startseite | Universität des Saarlandes · von Cloud Audit Standards (FAIT5, IDW PS 860/PH) mit....

Documents

Transcript of - Startseite | Universität des Saarlandes · von Cloud Audit Standards (FAIT5, IDW PS 860/PH) mit....