Fachbeiträge & Kommentare zu Informationssicherheit

Überblick Ein wesentlicher Grund dafür, dass neue digitale Technologien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden, sind für viele Betriebe die Risiken der Datensicherheit. Tatsächlich bringt die Nutzung digitaler Technologien für Unternehmen Gefahrenpotenzial mit sich – doch noch mehr Vorteile. Diese Vorteile zu nutzen und dabei die Risiken im Griff zu beh...mehr

In einem Dachdeckerbetrieb werden Smartphones und Tablets auch im Arbeitskontext eingesetzt, und zwar zur Baustellensteuerung sowie zur Zeiterfassung. Die mobil erfassten Daten, z. B. zu Projektfortschritt und verwendetem Material, landen in Echtzeit auf dem Server des Betriebs. Die Mitarbeitenden können somit Informationen zum Auftrag, aktuelle Änderungen und sämtliche Doku...mehr

Nahezu alle Unternehmen setzen digitale Technologien ein: um Prozesse zu steuern, Lager zu verwalten, Informationen in Echtzeit zu teilen, Dokumente zu verwalten, Personaleinsatz zu planen oder Software-Anwendungen in der Cloud zu nutzen. Neben den vielen Möglichkeiten bieten die Technologien zugleich großes Gefahrenpotenzial – was Betriebe erkannt haben: Studien[1] zufolge ...mehr

Möglicherweise hat es sich bereits in den Schilderungen der 3 Szenarien aus den vorangegangenen Kapiteln erschlossen: Die Ursachen für Mängel der Datensicherheit entstehen immer auf dem Fundament einer Gemengelage aus technischen, organisatorischen und/oder personellen Gründen (Abb. 2). Abb. 2: Mögliche Ursachen für Sicherheitspannen – Beispiele Abb. 2 zeigt, dass Datensicherh...mehr

Datensicherheit oder IT-Sicherheit bezeichnet einen Zustand in einem Betrieb, in dem die Risiken für die Informationssicherheit, die beim Einsatz von digitalen Technologien aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch passende Maßnahmen auf ein tragbares Maß reduziert sind. Erst durch Gewährleistung des Schutzes von IT-Systemen und Daten (IT-/Cyber-Secur...mehr

Vorschriften für die Buchführung und für Aufzeichnungen mittels elektronischer Aufzeichnungssysteme enthält die AO. Mit Ausnahme der Jahresabschlüsse, der Eröffnungsbilanz und der Unterlagen, sofern es sich bei letztgenannten Unterlagen um amtliche Urkunden oder handschriftlich zu unterschreibende nicht förmliche Präferenznachweise handelt, können genannten Unterlagen auch a...mehr

mehr

Rz. 3 Vorkehrungen nach Abs. 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeitenden. Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme (BSI, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Faktor-Mensch/Awareness/awareness_nod...mehr

Rz. 5 Die Krankenhäuser können die Verpflichtungen nach den Abs. 1 und 2 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden. Dessen Eignung muss vom BSI nach § 30 Abs. 8 BSI-Gesetz festgestellt werden. Einen entsprechenden I...mehr

Rz. 7 Weichert, Cloud Computing für SGB V – Leistungserbringer und Kassen, SGb 2024, 406. Bundesamt für Sicherheit in der Informationstechnik, Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung. DKG, Informationssicherheit im Krankenhaus – Branchenspezifischer Sicherheitsstandard (B3S).mehr

Überblick Der Steuerberater ist gem. seiner Berufsordnung zur Verschwiegenheit verpflichtet. Er erhält von Berufs wegen zwangsläufig sehr viele personenbezogene Daten (nicht nur die seiner Mandanten) und verarbeitet sie in automatisierter Form. Grundsätzlich ist jede Steuerberatungskanzlei zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, i. d. R. sind ...mehr

Wie lässt sich denn nun aber genau das Risiko "berechnen"? Wieder hilft hier Erwägungsgrund 76 DSGVO weiter: "Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurte...mehr

Rz. 15 Nach ESRS G1.6 sind die Verfahren zur Ermittlung der wesentlichen Auswirkungen, Risiken und Chancen im Zusammenhang mit der Unternehmensführung zu beschreiben. Unternehmen haben ferner alle relevanten Kriterien offenzulegen, die bei der Wesentlichkeitsanalyse verwendet werden, einschl. des Standorts, der Tätigkeit, des Sektors und der Struktur der Transaktion. ESRS G1...mehr

Gesetzestext (1) Die Kommission erlässt Durchführungsrechtsakte zur Einrichtung des dezentralen IT-Systems, durch die sie Folgendes festlegt:mehr

Gesetzestext (1) Die Kommission erlässt Durchführungsrechtsakte zur Einrichtung des dezentralen IT-Systems, durch die sie Folgendes festlegt:mehr

Im Folgenden wird aufgezeigt, wie die effiziente, sichere und datenschutzkonforme Verarbeitung von Arbeitsinhalten im Homeoffice sichergestellt werden kann. Dabei stehen 2Themenfelder im Mittelpunkt. Auf der Ebene des Datenschutzes geht es um die sichere und datenschutzkonforme Verarbeitung und Nutzung von (personenbezogenen) Daten außerhalb der Räumlichkeiten des Unternehmen...mehr

Arbeiten mit einer offenen IT-Struktur, E-Mail-Verkehr, Online-Banking, Kundenportale, Internetrecherche etc. machen das Unternehmen angreifbar (Cyber-Attacke auf Hard- und Software, Malware, Cyber-Hacking und Pishing). Eine wirksame IT-Sicherheit ist kosten- und personalintensiv und stellt kleinere und mittlere Unternehmen vor Finanzierungsprobleme. Neben Eigenschäden sowie ...mehr

Mithilfe der Maßnahmen soll die Selbstverpflichtung zur gelebten Praxis werden. Die Planung und Umsetzung erfolgen in der Regel dezentral durch die jeweils verantwortlichen Unternehmensbereiche. Der Vorteil dabei ist, dass das ganzheitliche Verständnis für Nachhaltigkeit in den verschiedenen Bereichen verankert wird und Nachhaltigkeitsthemen zum festen Bestandteil der Bereic...mehr

Auf globaler Ebene ist CMS seit 2020 Mitglied des UN Global Compact (UNGC) und hat sich verpflichtet, diese zehn Prinzipien in die Unternehmensstrategie, die -kultur und die tägliche Arbeit zu integrieren und darüber hinaus einen Beitrag zu den 17 Zielen für nachhaltige Entwicklung zu leisten. Dies bildet die Wertebasis für das Nachhaltigkeitsmanagement von CMS. Auch hier ko...mehr

Rz. 5 Zum Pflichtinhalt der Richtlinie gehören aufgrund der Formulierung "umfasst insbesondere" Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur, die in der vertragsärztlichen und -zahnärztlichen Versorgung eingesetzt werden, und Maßnahmen zur Sensibilisierung von Mitarbeiterinnen und Mitarbeitern zur Informationssic...mehr

Rz. 5 Daten dürfen im Cloud-Dienst nur verarbeitet werden, wenn nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen worden sind, ein aktuelles C5-Testat der datenverarbeitenden Stelle vorliegt und die im Prüfbericht des Testats enthaltenen, korrespondierenden Kriterien für Kunden umgesetzt sind...mehr

Rz. 7 Die in der Richtlinie festzulegenden Anforderungen müssen geeignet sein, die primären Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) zu gewährleisten und Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztlichen und vertragszahnärztlichen Leistungserbringer zu vermeiden. Dabei sind das Gefährdun...mehr

§ 29 Allgemeines Der Gerichtsvollzieher regelt seinen Geschäftsbetrieb nach eigenem pflichtgemäßen Ermessen, soweit hierüber keine besonderen Bestimmungen bestehen. § 30 Geschäftszimmer (Fn 7) (1) Der Gerichtsvollzieher muss an seinem Amtssitz ein Geschäftszimmer auf eigene Kosten unterhalten. Der Präsident des Landgerichts (Amtsgerichts) kann dem Gerichtsvollzieher gestatten, ...mehr

Rz. 63 Gemäß Tz. 2.2 BAIT ist die Geschäftsleitung dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass diese Regelungen wirksam umgesetzt werden. Rz. 64 Laut Tz. 4.4 BAIT hat die Geschäftsleitung die Fun...mehr

Rz. 91 Damit die Bestandteile des Informationsverbundes ihre Schutzziele erfüllen, ist bei der Ausgestaltung der IT-Systeme und zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Der Rückgriff auf gängige Standards hat vor allem den Vorteil, dass auf Methoden abgestellt werden kann, die sich bereits in der Praxis bewährt haben. Dadurch wird nicht nur ei...mehr

Rz. 1 Die IT-Strategie hat die Anforderungen nach AT 4.2 der MaRisk zu erfüllen. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele, sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden. Rz. 2 Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen. Mindestinhalte...mehr

Rz. 282 Die Grundsätze des Baseler Ausschusses für Bankenaufsicht für die effektive Aggregation von Risikodaten und die Risikoberichterstattung[1] enthalten nicht nur Vorgaben für das Risikomanagement (→ Kapitel 2.6.1), sondern betreffen in einem hohen Maße auch die Informationstechnologie. Die IT-relevanten Vorgaben wurden erstmals im November 2017 als Konkretisierung der M...mehr

Rz. 112 Aufgrund ihrer besonderen Bedeutung für das Funktionieren der Prozesse hat das Institut in Abhängigkeit von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten auch Aussagen zur zukünftig geplanten Ausgestaltung der IT-Systeme zu treffen (→ AT 4.2 Tz. 1, Erläuterung). Damit wird die in den letzten Jahren ständig gestiegene Bedeutung der Informationstec...mehr

[…] die Novellierung der BAIT ist abgeschlossen. Vielen Dank für Ihr Mitwirken durch schriftliche Rückmeldungen, beispielsweise in der öffentlichen Konsultation sowie durch konstruktive Mitarbeit im Fachgremium IT. Mein Dank gilt auch der Deutschen Bundesbank, die in enger Zusammenarbeit mit der Gruppe IT-Aufsicht an der BAIT-Novelle mitgewirkt hat. Ich freue mich, Ihnen nun ...mehr

Hinweis zur Benutzung des Literaturverzeichnisses: Sofern es sich bei den Autoren bzw. Herausgebern um Organisationen handelt, sind die aufgeführten Werke i. d. R. auf der Internetseite der jeweiligen Organisation verfügbar. Achtelik, Olaf, in: Herzog, Felix (Hrsg.), Geldwäschegesetz, 5. Auflage, München, 2023, § 24c KWG, § 25h KWG und § 6 GwG. ACI Deutschland e. V. – Arbeitsg...mehr

Rz. 87 Unmittelbar im Anschluss an die Veröffentlichung der fünften MaRisk-Novelle hat die deutsche Aufsicht im November 2017 die "Bankaufsichtlichen Anforderungen an die IT" (BAIT) vorgelegt.[1] Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 KWG einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute vor, insbesonder...mehr

Rz. 41 Die Vergabe von Berechtigungen und Kompetenzen beinhaltet seit der vierten MaRisk-Novelle auch die regelmäßige und anlassbezogene Überprüfung von IT-Berechtigungen, Zeichnungsberechtigungen und sonstigen eingeräumten Kompetenzen. Rz. 42 Die regelmäßige Überprüfung muss innerhalb angemessener Fristen erfolgen. Diese Fristen sollen sich an der Bedeutung der Prozesse und,...mehr

Rz. 25 Die IT-Systeme (Hardware- und Software-Komponenten), die zugehörigen IT-Prozesse und die sonstigen Bestandteile des Informationsverbundes müssen die "Integrität", die "Verfügbarkeit", die "Authentizität" sowie die "Vertraulichkeit" der Daten sicherstellen. Gemäß Tz. 4.7 BAIT handelt es sich dabei um die sogenannten "Schutzziele" bzw. im Sprachgebrauch des Bundesamtes ...mehr

Rz. 100 Auch für die sonstigen vom Institut als wesentlich identifizierten Risiken gelten zunächst die allgemeinen Anforderungen an die Inhalte der Berichterstattung über die wesentlichen Risiken (→ BT 3.1 Tz. 2 und BT 3.2 Tz. 2). Grundsätzlich bleibt es den Instituten überlassen, zu den erforderlichen Mindestinhalten der Risikoberichterstattung über die anderen wesentlichen...mehr

Rz. 11 Bei der Umsetzung dieser Anforderungen sind zumindest bis zum 17. Januar 2025 die "Bankaufsichtlichen Anforderungen an die IT" (BAIT)[1] zu beachten, mit deren Hilfe die MaRisk in den relevanten Bereichen weiter konkretisiert werden. Mithilfe der BAIT wird den Instituten die Erwartungshaltung der deutschen Aufsicht zur sicheren Ausgestaltung der IT-Systeme und zugehör...mehr

Rz. 57 Die Geschäftsfortführungspläne müssen als Bestandteil des Notfallkonzeptes gewährleisten, dass im Notfall zeitnah Ersatzlösungen zur Verfügung stehen. Hierzu gehören Maßnahmen, die bis zur Wiederherstellung des Normalbetriebes die Handlungsfähigkeit des Institutes sicherstellen. In Geschäftsfortführungsplänen können z. B. folgende Punkte geregelt werden: die Festlegung...mehr

Rz. 34 Ohne ausreichend qualifiziertes Personal ist kein Institut dauerhaft in der Lage, den Entwicklungen auf den Märkten standzuhalten. Eine hohe Qualifikation der Mitarbeiter stärkt somit die Position des Institutes gegenüber Wettbewerbern. Qualifiziertes Personal bietet zudem die Gewähr dafür, dass die Vorgaben der Geschäftsleitung korrekt nachvollzogen und somit effekti...mehr

Rz. 156 Die Erwartungshaltung der deutschen Aufsicht an ein angemessenes IT-Risikomanagement hat sie in den bisher geltenden BAIT näher ausgeführt. Die BAIT haben jedoch auch bisher keinen vollständigen Anforderungskatalog dargestellt. Sie sollen vielmehr einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsrisikos und der Informati...mehr

[…] die Europäische Bankenaufsichtsbehörde (EBA) hat im November 2019 mit den "EBA-Leitlinien für IKT und Sicherheitsrisikomanagement" (ICT Guidelines) für den Binnenmarkt einheitliche Anforderungen an das Management von Informationstechnik und Informationssicherheit für Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister veröffentlicht. Aus dem Anlass haben Vertreteri...mehr

Rz. 93 Den Anforderungen des Moduls 3 der BAIT zufolge sollen die Institute beim IT-Risikomanagement vor allem auf den Schutzbedarf für die Bestandteile ihres festgelegten Informationsverbundes abstellen. Dabei sollten deren Abhängigkeiten und Schnittstellen einbezogen werden, um die Vernetzung des Informationsverbundes mit Dritten zu berücksichtigen. Auf dieser Basis müssen...mehr

[…] die Informationstechnik ist – und deshalb steht sie auch zunehmend im Fokus von Angriffen – die Basisinfrastruktur für sämtliche bankfachlichen, aber auch alle nichtbankfachlichen Prozesse in den Instituten. In einer globalisierten Finanzwelt, in der immer mehr Menschen digital bezahlen bzw. Geld transferieren und in der viele Anleger ihre Geldanlage online bestreiten, sin...mehr

Rz. 208 Mit Anwendung des Digital Operational Resilience Acts (DORA) ab dem 17. Januar 2025 müssen Institute, die Aktivitäten und Prozesse auslagern und dabei gleichzeitig als Finanzunternehmen eine vertragliche Vereinbarung über IKT-Dienstleistungen abschließen, bei der Durchführung der Risikoanalyse und Due-Diligence-Prüfung zusätzliche Anforderungen gemäß Art. 28 Abs. 4 u...mehr

Rz. 241 Zur Einhaltung der Vorgaben an das Informationssicherheitsmanagement haben die Institute die Funktion des Informationssicherheitsbeauftragten einzurichten. Die Funktion umfasst gemäß Tz. 4.4 BAIT die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Institutes und gegenüber Dritten (→ AT 7.2 Tz. 2).[1] Jedes Institut hat gemäß T...mehr

Rz. 86 Beim IKT-Risiko sollte nicht nur nach den Vorstellungen des Baseler Ausschusses für Bankenaufsicht mit Verweis auf das Cyber-Lexikon des Financial Stability Boards (FSB) auch das "Cyberrisiko" berücksichtigt werden.[1] Der Definition des FSB zufolge wird die Kombination aus der Wahrscheinlichkeit des Auftretens von Cybervorfällen und deren Auswirkungen als "Cyberrisik...mehr

mehr

Rz. 31 Das "IKT-Risiko" bezeichnet gemäß Art. 4 Abs. 1 Nr. 52c CRR die Gefahr von Verlusten in Verbindung mit jedem vernünftigerweise identifizierbaren Umstand im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen, die bei Eintritt – durch die damit einhergehenden nachteiligen Auswirkungen im digitalen oder physischen Umfeld – die Sicherheit der Netzwerk- un...mehr

Rz. 170 Unabhängig davon muss sich das Institut nach Tz. 3.10 BAIT laufend über "Bedrohungen" und "Schwachstellen" seines Informationsverbundes informieren, ihre Relevanz prüfen, ihre Auswirkung bewerten und, sofern erforderlich, geeignete technische und organisatorische Maßnahmen ergreifen. Dabei sind interne und externe Veränderungen, z. B. der Bedrohungslage, zu berücksic...mehr

Rz. 211 Die Festlegung von Maßnahmen zur Sicherstellung der "Datensicherheit" hat sich in jedem Fall am Schutzbedarf der verarbeiteten Daten zu orientieren. Das ergibt sich bereits aus der Definition, weil die "Datensicherheit" bzw. "Informationssicherheit" den Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeic...mehr

Rz. 8 Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Die Ziele zum Notfallmanagement ergeben sich im Grunde bereits aus dessen Definition und den damit verbundenen Aufgabenstellungen zur Notfallvorsorge und zur Notfallbewältigung. Die Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. ...mehr

Rz. 368 Der Implementierung geeigneter Steuerungs- und Überwachungsmechanismen kommt bei Dienstleistungen eine besonders wichtige Rolle zu. Während sich Sachleistungen i. d. R. exakt durch entsprechende Spezifikationen im Auslagerungsvertrag umschreiben lassen, erweist sich dies bei Dienstleistungen häufig als schwieriger. Entwickeln die Geschäftspartner bezüglich des Inhalt...mehr