IT-Compliance betrifft fast alle Unternehmensprozesse und dementsprechend steht die Sicherheit von IT-Systemen immer mehr im Fokus. Die zunehmend schneller wachsende Digitalisierung lässt sie zu einem Erfolgsfaktor heranwachsen.


Datenschutz Grundverordnung
Top-Thema 11.06.2018 DSGVO: Inkrafttreten und Umsetzung

Digitale Compliance Kommunikation und Training
News 12.06.2018 Compliance

Was ist IT-Compliance: Definition

Compliance bedeutet die Einhaltung des Rechts auf allen Gebieten des Unternehmens, sog. Regelkonformität. Dementsprechend gilt das auch für alle IT-Vorschriften. Die Schwerpunkte der IT-Compliance werden hauptsächlich auf Anforderungen gestützt, die die IT-Systeme des Unternehmens betreffen. Dazu gehören unter anderem auch Informationssicherheit, Verfügbarkeit, Datenschutz sowie Datenaufbewahrung.

IT-Compliance Gesetze

Die wichtigsten IT-Compliance-Gesetze sind folgende:

  • EU-Datenschutz-Grundverordnung

Am 25.05.2016 trat die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Anzuwenden ist die DSGVO ab dem 25. Mai 2018. Zugleich tritt auch das revidierte Bundesdatenschutzgesetz (BSDG) in Kraft, das ergänzende Bestimmungen enthält.

  • IT-Sicherheitsgesetz

 Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz, BSIG). Dieses schreibt vor, dass ein Bundesamt für Sicherheit in der Informationstechnik eingesetzt wird. Laut diesem sollen durch das Gesetz die Deutschen IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit werden. Insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) - wie etwa Strom- und Wasserversorgung, Finanzen oder Ernährung - hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft. Die Verfügbarkeit und Sicherheit der IT-Systeme spielt somit, speziell im Bereich der Kritischen Infrastrukturen, eine wichtige und zentrale Rolle.

Betreiber Kritischer Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind (§ 8a BSIG). Das Gesetz ist nicht anwendbar auf Kleinstunternehmen (§ 8d BSIG).

  • KonTraG

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich ist kein eigenständiges Gesetz, sondern es diente dazu, diverse Vorschriften anderer Gesetze zu ändern, namentlich des Handelsgesetzbuches (HGB), um die Kontrolle, die Transparenz und damit die Sicherheit in den Unternehmen zu verbessern.

  • UWG

Im Gesetz gegen den unlauteren Wettbewerb (UWG) sind Cyberdelikte nicht ausdrücklich erwähnt, aber einige der Tatbestände werden nicht zuletzt im Internet begangen, z.B. Verunglimpfung der Waren, Dienstleistungen, Tätigkeiten oder persönlichen oder geschäftlichen Verhältnisse eines Mitbewerbers oder falsche Behauptungen (§ 4 UWG).

  • GoBD

Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff durch die Finanzverwaltungen.

  • Privacy Shield

Am 12. Juli 2016 hat die Europäische Kommission das Abkommen EU-US-Datenschutzschild (EU-US Privacy Shield) angenommen. An dem Projekt beteiligt sich auch die Schweiz. Dieser „Framework“ wurde vom US Department of Commerce und der Europäischen Kommission entworfen, um für Unternehmen auf beiden Seiten des Atlantiks die Einhaltung der Datenschutzanforderungen bei der Übermittlung personenbezogener Daten zu garantieren. Der erste Jahresbericht der EU-Kommission wurde allerdings von Datenschützern skeptisch beurteilt.

  • SOX

Der Sarbanes-Oxley Act of 2002 (auch SOX, SarbOx oder SOA) ist ein US-Bundesgesetz, mit dem man die Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessern will. Die Jahresberichte dieser Unternehmen müssen eine Beurteilung des internen Kontrollsystems vom Wirtschaftsprüfer für die Rechnungslegung durch die Geschäftsleitung enthalten. Das interne Kontrollsystem enthält alle Maßnahmen, welche die Qualität der mit der Rechnungslegung erstellten Quartals- und Jahresabschlüsse sicherstellen sollen. Das Gesetz wirkt sich positiv auf die Corporate Governance aus.

  • Solvency II

Nach jahrelangen Vorbereitungen gilt für die europäische Versicherungswirtschaft seit dem 1. Januar 2016 ein neues, einheitliches Aufsichtssystem. Solvency II enthält Vorschriften über Kapitalanforderungen, Governance, Risikomanagement und Berichterstattung.

  • KWG

Das Kreditwesengesetz – KWG enthält Vorschriften für Institute, Institutsgruppen, Finanzholding-Gruppen, gemischte Finanzholding-Gruppen und gemischte Holdinggesellschaften haupsächlich betreffend Eigenmittel, Liquidität, Bargeldloser Zahlungsverkehr, sowie Verhinderung von Geldwäsche. Letzteres wird auch im GwG geregelt.

Compliance System: Software

Eine der wichtigsten Aufgaben ist die Dokumentation und die entsprechende Anpassung der IT-Ressourcen. Dazu gehören unter anderem die Software, die Hardware sowie auch eine komplette Infrastruktur. Wichtig ist hierbei, dass die Umsetzung von Compliance-Maßnahmen keine kurzfristige Maßnahme, sondern ein dauerhafter Prozess ist. Unterstützen kann dabei zum Beispiel das IT-gestützte Compliance-Management-System von Haufe.

Besseres Risikomanagement durch IT-Compliance und damit einhergehende Vorteile

  • Hohe Qualität von IT-Prozessen
  • IT-Sicherheit
  • Schutz vor Betriebsspionage
  • Bewahrung von Geschäftsgeheimnissen
  • Weniger Betriebsausfälle und sonstige unangenehmen Folgen der Cyberkriminalität
  • Reduktion der Kosten
  • Vermeidung von Rufschädigung für das Unternehmen
  • Steigerung des Unternehmenswerts

IT-Compliance: Anforderungen identifizieren

Bei der IT-Compliance muss die Geschäftsleitung darauf achten, dass im Betrieb keine unrechtmäßigen Handlungen begangen werden und auch die Datenschutzvorschriften nicht verletzt werden. Ebenso wichtig ist, die Daten des Unternehmens so zu schützen, dass keine Unbefugten Zugriff erhalten. Sicherheitsmaßnahmen sind im Datenschutz vorgeschrieben, besonders wichtig ist Art. 28 DSGVO. Auch wenn diese erst im 25. Mai 2018 in Kraft tritt, ist eine Vorbereitung darauf sehr zu empfehlen.  

Die Geschäftsleitung soll ein Vorbild sein. Sie hat die Mitarbeitenden über die Methoden der Industriespionage und die Schutzmaßnahmen zu informieren. Eine Handlungsanleitung für Angestellte und regelmäßiges Training werden empfohlen.

  • Absicherung von Netzübergängen (Firewall, IDS, usw.)
  • Minimierung von Netzübergängen
  • Regelmäßige Prüfung von Logdaten auf Cyber-Angriffe
  • Verschlüsselung von E-Mail-Kommunikation und von Datenträgern
  • Strukturiertes oder zentralisiertes Patchmanagement Netzsegmentierung
  • Regelmäßige Sensibilisierungsmaßnahmen für alle Mitarbeiter
  • Dezentraler AV Scan (auf einzelnen Clients, Servern) Zentraler AV Scan (am Mailserver, Gateway, usw.)

Bei der Bekämpfung von Cyberkriminalität sind auch die weiteren Punkte zu beachten:

  • Geschäftsdaten werden mit Vorteil nur auf Geräten bearbeitet, die vom Unternehmen zur Verfügung gestellt werden. Wenn Angestellte Privatgeräte benutzen (BYOD), ist die Datensicherheit kaum zu gewährleisten.
  • Sensible Daten sowie Geschäftsgeheimnisse sollten nur an Computern in geschlossenen Räumen bearbeitet werden, die keinen Kontakt zum Internet haben und versiegelte USB-Zugänge. Die Bearbeitung darf nur von bestimmten Personen vorgenommen werden.
  • Auch geheime Unterlagen auf Papier müssen nach der Bearbeitung verschlossen werden und gehören keinesfalls in den Papierkorb.
  • Notfallpläne muss man mittels Simulationen und Übungen regelmässig testen, auch damit die Leute im Ernstfall wissen, was zu erledigen ist.
  • Personendaten müssen durch angemessene technische und organisatorische Maßnahmen gegen unbefugten Zugriff geschützt werden. Kundendaten gehören nicht ohne Erlaubnis in soziale Netzwerke.
  • Nach Beendigung des Arbeitsverhältnisses müssen die Zugänge und Passwörter für die betreffende Person sofort gesperrt werden.
  • In Verträgen über Forschung, Entwicklung und sonstige sensible Daten sind Sicherheitsvorkehrungen für beide Parteien zu vereinbaren und eine Geheimhaltungsklausel mit Konventionalstrafe.
Grundlagen der IT Sicherheit
Cyberkriminalitaet - Kollage
News   06.06.2018   Digitalisierung

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und Vernetzung praktisch aller Lebensbereiche. Fast jedes Unternehmen ist heutzutage von dem Funktionieren der digitalen Infrastruktur abhängig.mehr

US-Sicherheitsbehörden u.a. warnen vor Hacker-Angriff über IT-Schwachstellen
Computertaste mit der Aufschrift Cyberattacke
News   18.04.2018   US-Cert-Liste möglicher IT-Angriffpunkte

Das FBI, die US-Heimatschutzbehörde und das britische NCSC sind mit einer Warnung vor einem Großangriff russischer Hacker an die Öffentlichkeit gegangen. Angreifer sollen weltweit Infrastrukturen von Netzwerken infiltriert haben, um damit Spionage- und Sabotage-Aktionen durchführen zu können. US-Cert listet die möglichen IT-Schwachstellen auf. Was steckt dahinter?mehr

IT-Sicherheitsbeauftragter
Schloss mit Schlüssel auf Tastatur, Symbol Computersicherheit
News   18.04.2018   Cybersicherheit

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und Vernetzung praktisch aller Lebensbereiche. Fast jedes Unternehmen ist heutzutage von dem Funktionieren der digitalen Infrastruktur abhängig.mehr

Business Case 4.0: Integriertes Compliance-Managementsystem
Josef Scherer
News   05.04.2018   Compliance Management

Datenschutz, Korruption und Produkthaftung sind die Themen mit dem größten Risikopotenzial vor allem in klein- und mittelständischen Unternehmen. Deshalb ist es besonders wichtig, dass die Mitarbeiter in diesen Bereichen bewusst mit unternehmerischen Risiken umgehen, aktiv werden und wirkungsvolle Maßnahmen einleiten.mehr

Betrügerische Lastschriften - Konto überprüfen
SEPA
News   22.03.2018   IT Compliance

Lastschriftverfahren können dazu missbraucht werden, bei Internet-Einkäufen die Konten anderer Personen zu belasten. Sie können rückgängig gemacht werden, das sollte allerdings schnell passieren. Zu empfehlen ist, das Konto regelmäßig auch auf kleine Beträge zu überprüfen.mehr

Sicherere App- und Messenger-Alternativen als Download
Siri_iOS9-6s-AppleWatch
News   14.03.2018   IT-Sicherheit-Studie: Messenger / Apps

Nicht nur bei den bekannten Messengern und Sozialen Netzwerken hapert es häufig am Datenschutz, auch weitere Apps und Dienste wie etwa E-Mail oder Navigationslösungen sind in dieser Hinsicht oftmals problematisch. An der Universität Wien wurden jetzt zahlreiche dieser Lösungen untersucht und dabei auch wesentlich datenschutzfreundlichere Angebote entdeckt. Einen Download der Studie finden Sie hier.mehr

Chancen und Risiken für Unternehmen, die Kryptowährungen für Zahlungen akzeptieren
Bitcoin
News   12.03.2018   Bitcoins& Co.

Vielen Unternehmen stellen sich angesichts des jüngsten Hypes um Kryptowährungen die Frage, ob sie diese als Zahlungsmöglichkeit für ihre Dienstleistungen oder Produkte akzeptieren sollten. Welche Vorteile kann dies haben und welchen Gefahren können diesen u.U. gegenüberstehen? Sicher ist, dass sich neue Rechtsfragen stellen und gute vertragliche Absicherung für Widerrufe Sinn macht. Rechtsanwalt Konstantin Filbinger gibt einen Überblick.mehr

Cyber-Attacke auf Regierung - wie können sich Unternehmen vor Cyber-Angriffen schützen?
Aufgeklappter Laptop mit Sicherheitsschloss auf Monitor
News   02.03.2018   IT-Sicherheit

Die jüngste Cyber-Attacke auf die Regierung zeigt erneut die Verwundbarkeit durch die Digitalisierung. Wie können sich Unternehmen vor Cyber-Angriffen schützen?mehr

Die EU-DSGVO als Chance nutzen
Stempelaufschrift "private and confidential"
News   01.02.2018   Datenschutzgrundverordnung

Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen kämpfen. Zusammen mit den Auflagen und Bußgeldern schüren die kursierenden Informationen oftmals Angst vor den bevorstehenden Änderungen.mehr

Zukunftsmodell Blockchain-Technologie
Blockchain Technologie
Serie   17.01.2018   Kryptowährungen und unser Geldsystem

Die Blockchain-Technologie ist schon lange nicht mehr nur die Technologie hinter einigen Kryptowährungen. Schon bald könnte die technologische Innovation aufgrund vielfältiger Einsatzmöglichkeiten auch auf andere Geschäftsbereiche übertragen werden. Was verbirgt sich genau dahinter?mehr

Cyber-Crime - eine von Unternehmen immer noch unterschätzte Gefahr
Cyberkriminalität (1)
News   01.12.2017   IT-Sicherheit

Jedes dritte größere Unternehmen war bereits einmal Opfer von Cyber-Crime. Das Ausspähen von Passwörtern und Firmeninterna oder der Klau von Kundendaten, die Manipulation von Finanz- und Kontodaten - diesen Risiken hat neben dem BSI nun auch die BaFin den Kampf angesagt.mehr

Die ePrivacy-Verordnung verstärkt 2018 den Datenschutz im Internet
4.1.1
News   29.11.2017   EU-Verordnung

In 2018 soll zusammen mit der europäischen Datenschutzgrundverordnung (DSGVO) auch eine ePrivacy-Verordnung in Kraft treten, bei der vor allem der Schutz personenbezogener Daten bei der elektronischen Kommunikation bzw. bei Internetnutzung im Fokus steht. Wie weit dieser Schutz gehen soll, ist umstritten: Vertreter aus der Wirtschaft warnen von zu starken Einschränkungen Das EU-Parlament hat sich für strenge Schutzmaßnahmen ausgesprochen.mehr

Die angespannte Lage der IT-Sicherheit
Cyberkriminalitaet - Kollage
News   28.11.2017   Cyber-Security

Auch im Jahr 2017 bleibt die Lage der Sicherheit der digitalen Welt weiterhin angespannt. Hierzu tragen viele Faktoren bei. Mehr dazu im aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI).mehr

Berufsgeheimnisträger müssen E-Mails mit sensiblen Daten verschlüsseln
at-Zeichen vor Hand mit Verschlüsselung Hintergrund Weltkarte
News   10.11.2017   Berufliche Verschwiegenheitspflicht

Berufsgeheimnisträger wie Anwälte, Steuerberater oder Ärzte müssen berufliche E-Mails mit sensiblen Daten in jedem Fall verschlüsseln. Wer das unterlässt, handelt nicht nur datenschutzwidrig, es kann sich laut Ansage des Sächsischen Datenschutzbeauftragten auch um eine Straftat gemäß § 203 StGB handeln.mehr

Chancen und Risiken der einflussreichsten Kryptowährungen
Neue EZB - ECB European Central Bank
Serie   09.11.2017   Kryptowährungen und unser Geldsystem

Ein Geldsystem ohne staatliche Kontrolle? Eine Währung, die nicht von einer Zentralbank ausgegeben wird? Welche Chancen und Risiken verbergen sich hinter den populärsten Kryptowährungen?mehr

Warnung vor dem neuen Verschlüsselungstrojaner Bad Rabbit
Feldhase sitzt in Wiese
News   06.11.2017   Cyberattacken

Vor allem in Osteuropa, insbesondere in Russland und der Ukraine, hat ein neuartiger Verschlüsselungstrojaner für erhebliches Aufsehen gesorgt und u. a. den Nachrichtendienst Interfax weitgehend lahmgelegt. Der auf den Namen Bad Rabbit getaufte Schädling richtete dabei beträchtliche Schäden an, breitet sich weiter aus und könnte auch hierzulande zur Gefahr werden, weshalb besondere Wachsamkeit angeraten ist.mehr

WLAN-Verschlüsselung WPA2 geknackt - was ist zu tun?
Computer und Wolke vor blauem Hintergrund mit circuit board Optik
News   30.10.2017   KRACK-Angriffe

Die Berichte über eine Schwachstelle in der bis dahin als sicher geltenden WPA2-Verschlüsselung haben für erhebliche Unsicherheit unter Anwendern geführt, die nun eben nicht mehr sicher sein können, dass Daten im WLAN nicht doch abgehört werden können. Die sogenannten KRACK-Angriffe sind im Hinblick auf die Datensicherheit ohne Zweifel besorgniserregend, allerdings auch kein Grund, jetzt direkt in Panik zu verfallen.mehr

BSI überarbeitet den IT-Grundschutz grundlegend - hier der Download
Security Bildschirmansicht
News   20.10.2017   Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz modernisiert. Der erstmals 1994 eingeführte IT-Grundschutz soll Wirtschaft und Verwaltung eine Methodik an die Hand geben, um das Niveau der Datensicherheit zu erhöhen. In der jetzt vorgestellten Überarbeitung werden aktuelle Themen wie Cloud oder IoT behandelt und es wird insbesondere auf die KMU-Bedürfnisse eingegangen.mehr

Datenschutzfragen zur Gesichtserkennung am Beispiel des neuen iPhone X
AA020983
News   09.10.2017   Face ID bei Apple

Die Sperrung von Rechnern oder mobilen Geräten durch Gesichtserkennung statt durch Passwörter oder PINs ist auf dem Vormarsch. Apple hat sein neues iPhone X mit einem entsprechenden Feature namens Face ID ausgestattet. Datenschützer sehen den Zuwachs der Gesichtserkennung einschließlich Softwareauswertungen skeptisch, zumal es noch keine rechtlichen Regelungen dazu gibt.mehr

Kryptowährungen - Was steckt hinter dem derzeitigen rasanten Aufstieg?
Bitcoin
Serie   25.09.2017   Kryptowährungen und unser Geldsystem

Bitcoin, Ripple, Ether oder andere Kryptowährungen sind eine technologische Innovation, welche in 2017 gigantische Rekordzuwächse verzeichnen. Sie erfreuen sich steigender globaler Beliebtheit. Ein juristisches Neuland, welches unsere bisherige Finanzwelt zu revolutionieren beginnt?mehr

Unlautere Social Media-Werbung: Versteckter Hashtag reicht nicht
Rossmann Drogeriemarkt Frankfurt
News   31.08.2017   Influencer-Marketing

Auch Werbung in sozialen Netzwerken muss so gekennzeichnet sein, dass der kommerzielle Zweck auf den ersten Blick hervortritt. Ein versteckter Hashtag #ad reicht nicht. Deshalb hat das OLG Celle der Drogeriekette Rossmann ein empfindliches Ordnungsgeld in Höhe bis zu 250.000 EUR für jeden weiteren Verstoß in Aussicht gestellt. Ein junger Instagram-Star hatte Rossmanns Produkte unlauter beworben.mehr

E-Mail-Newsletter rechtssicher und abmahnfest versenden
Briefumschlag mit Schrift You´ve got mail! daneben
News   14.08.2017   Marketing und Datenschutz

E-Mail-Newsletter sind populäre, aber nicht ungefährliche Marketing- und Kontaktinstrumente. Viele Unternehmen und Institutionen nutzen sie, um beispielsweise mit Kunden in Kontakt zu bleiben. Andererseits sind viele E-Mail-Nutzer über unverlangt zugesandte E-Mails mit Werbung nicht begeistert und wehren sich vehement gegen derartige Kontaktversuche. Was ist beim Versand von E-Mail-Newslettern zu beachten, um nicht rechtlich ins Abseits zu geraten?mehr

EuGH entscheidet, ob Google Links auf Fehlinformationen weltweit löschen muss
AA018923
News   26.07.2017   Recht auf Vergessen

Vor drei Jahren entschied der EuGH, dass Google in Umsetzung des Rechts auf Vergessen verpflichtet ist, aus seinen Suchergebnissen Links zu entfernen, die auf falsche oder veraltete Informationen führen. Doch damit ist der Streit nicht ausgestanden. Die französische Datenschutzbehörde will erreichen, dass diese Links nicht nur bei den jeweiligen nationalen Google-Suchen entfernt werden, sondern weltweit.mehr