Fachbeiträge & Kommentare zu IT-Sicherheit

mehr

mehr

Die EU-Datenschutzrichtlinie für elektronische Kommunikation (E-Privacy-Richtlinie) enthält grundlegende Bestimmungen, die die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU – einschließlich des Internets und mobiler Dienste – gewährleisten sollen. Die Richtlinie enthält ein EU-weites Spam-Verbot, gestattet E-Mail-Werbung nur mit vorherig...mehr

mehr

mehr

mehr

mehr

mehr

Die Aufrechterhaltung des Sicherheitsniveaus ist genauso wichtig wie die Einführung angemessener Sicherheitsmaßnahmen. Eine ganz besonders wichtige Rolle spielt dabei das Sicherheitsbewusstsein der Mitarbeiter. Nur wenn Mitarbeiter positiv motiviert sind und einsehen, warum bestimmte Sicherheitsmaßnahmen sie in der Nutzung des lokalen Netzwerks einschränken oder von ihnen se...mehr

mehr

Bestehen angesichts des Verdachts strafbarer Handlungen Anhaltspunkte für Verdunkelungsgefahr, sollte regelmäßig – ggf. in Abstimmung mit Rechtsanwälten und/oder den Ermittlungsbehörden – geprüft werden, ob und inwieweit der zugrundeliegende Sachverhalt überhaupt durch unternehmensinterne Untersuchungen (vor-)geklärt werden sollte. Zwar besteht i. d. R. keine Pflicht zur Inf...mehr

Rz. 63 Gemäß Tz. 2.2 BAIT ist die Geschäftsleitung dafür verantwortlich, dass auf Basis der IT-Strategie die Regelungen zur IT-Aufbau- und IT-Ablauforganisation festgelegt und bei Veränderungen der Aktivitäten und Prozesse zeitnah angepasst werden. Es ist sicherzustellen, dass diese Regelungen wirksam umgesetzt werden. Rz. 64 Laut Tz. 4.4 BAIT hat die Geschäftsleitung die Fun...mehr

Rz. 208 Vor diesem Hintergrund wurden die Anforderungen an IDV-Anwendungen konkretisiert. So sind laut Tz. 1.2 lit. f BAIT bereits in der IT-Strategie Aussagen zu IDV-Anwendungen zu treffen. Als Teil der Anwendungsentwicklung sind gemäß Tz. 7.6 BAIT auch für IDV-Anwendungen angemessene und risikoorientiert ausgestaltete Prozesse festzulegen, die Vorgaben zur Anforderungsermi...mehr

Hinweis zur Benutzung des Literaturverzeichnisses: Sofern es sich bei den Autoren bzw. Herausgebern um Organisationen handelt, sind die aufgeführten Werke i. d. R. auf der Internetseite der jeweiligen Organisation verfügbar. Achtelik, Olaf, in: Herzog, Felix (Hrsg.), Geldwäschegesetz, 5. Auflage, München, 2023, § 24c KWG, § 25h KWG und § 6 GwG. ACI Deutschland e. V. – Arbeitsg...mehr

Rz. 42 Grundsätzlich sind für sämtliche Geschäftsabschlüsse außerhalb der Geschäftsräume interne Vorgaben erforderlich, aus denen insbesondere die Berechtigten, der Zweck, der Umfang und die Erfassung hervorgehen. Das gilt also nicht nur für die klassischen Außer-Haus-Geschäfte, sondern ebenso für die Geschäftsabschlüsse an häuslichen Arbeitsplätzen. Allerdings dienen die in...mehr

Rz. 93 Den Anforderungen des Moduls 3 der BAIT zufolge sollen die Institute beim IT-Risikomanagement vor allem auf den Schutzbedarf für die Bestandteile ihres festgelegten Informationsverbundes abstellen. Dabei sollten deren Abhängigkeiten und Schnittstellen einbezogen werden, um die Vernetzung des Informationsverbundes mit Dritten zu berücksichtigen. Auf dieser Basis müssen...mehr

Rz. 2 Die technisch-organisatorische Ausstattung umfasst die Gesamtheit der Einrichtungen und Anlagen zur Leistungserstellung eines Institutes. Hierzu zählen z. B. Grundstücke, Gebäude, Büromaterial oder Aufbewahrungsmöglichkeiten. Es ist evident, dass sich z. B. hinsichtlich der Gebäude bei einem Institut mit weit verzweigtem Filialnetz andere Fragen ergeben als bei einem I...mehr

Rz. 77 Der "IT-Betrieb" hat laut Tz. 8.1 BAIT jene Anforderungen umzusetzen, die sich aus der Geschäftsstrategie und den IT-unterstützten Geschäftsprozessen ergeben. Für die Umsetzung der Anforderungen des Informationssicherheitsmanagements ist nach Tz. 5.1 BAIT hingegen die "operative Informationssicherheit" zuständig. Insofern entspricht die Tätigkeit der operativen Inform...mehr

Rz. 11 Etwa zeitgleich mit der Veröffentlichung der EBA-Leitlinien zur internen Governance im Jahr 2011 hat sich der Baseler Ausschuss für Bankenaufsicht (BCBS) mit der Rolle der Internen Revision auseinandergesetzt.[1] Das im Dezember 2011 zur Konsultation gestellte Papier wurde im Juni 2012 in seiner endgültigen Fassung veröffentlicht. Darin beschreibt der BCBS das Verhält...mehr

Rz. 194 Damit das Informationsrisikomanagement und das Informationssicherheitsmanagement (→ AT 7.2 Tz. 2) überhaupt greifen können, muss die Geschäftsleitung die IT-Organisation auch insgesamt angemessen steuern. Voraussetzung hierfür ist eine IT-Strategie, die dem Geschäftsmodell angemessen ist und in der IT-Organisation umgesetzt wird.[1] Die Geschäftsleitung hat daher nac...mehr

Rz. 156 Die Erwartungshaltung der deutschen Aufsicht an ein angemessenes IT-Risikomanagement hat sie in den bisher geltenden BAIT näher ausgeführt. Die BAIT haben jedoch auch bisher keinen vollständigen Anforderungskatalog dargestellt. Sie sollen vielmehr einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsrisikos und der Informati...mehr

Rz. 10 Um einen angemessenen Umfang und eine hinreichende Qualität der technisch-organisatorischen Ausstattung sicherstellen zu können, muss zunächst einmal Klarheit über den Ist-Zustand herrschen ("Bestandsaufnahme").[1] Zu diesem Zweck hat der IT-Betrieb gemäß Tz. 8.2 BAIT die Komponenten der IT-Systeme (Hardware- und Software-Komponenten) sowie deren Beziehungen zueinande...mehr

Rz. 43 Ein direkter Zusammenhang zu den operationellen Risiken besteht hinsichtlich der Risiken aus ausgelagerten Aktivitäten und Prozessen ("Outsourcing Risk"). Mangelhafte Leistungserbringung, schlecht vorbereitete Auslagerungen, insbesondere in Offshore-Regionen, unvollständige Kostenkalkulationen, Kontrollverluste und Abhängigkeiten sowie der irreversible Verlust von eig...mehr

Rz. 31 Das "IKT-Risiko" bezeichnet gemäß Art. 4 Abs. 1 Nr. 52c CRR die Gefahr von Verlusten in Verbindung mit jedem vernünftigerweise identifizierbaren Umstand im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen, die bei Eintritt – durch die damit einhergehenden nachteiligen Auswirkungen im digitalen oder physischen Umfeld – die Sicherheit der Netzwerk- un...mehr

Rz. 1 Risiken sind fester Bestandteil der menschlichen Umwelt. Neben gesundheitlichen Risiken, politischen Risiken oder unternehmerischen Risiken existiert eine Vielzahl weiterer Risiken. Ihre Dimensionen rücken dabei häufig erst durch Katastrophen, Unternehmenspleiten, Unfälle oder Krankheiten in das Bewusstsein unserer Gesellschaft. Risiken sind allgegenwärtig. Je offener ...mehr

Rz. 100 Auch für die sonstigen vom Institut als wesentlich identifizierten Risiken gelten zunächst die allgemeinen Anforderungen an die Inhalte der Berichterstattung über die wesentlichen Risiken (→ BT 3.1 Tz. 2 und BT 3.2 Tz. 2). Grundsätzlich bleibt es den Instituten überlassen, zu den erforderlichen Mindestinhalten der Risikoberichterstattung über die anderen wesentlichen...mehr

Rz. 112 Aufgrund ihrer besonderen Bedeutung für das Funktionieren der Prozesse hat das Institut in Abhängigkeit von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten auch Aussagen zur zukünftig geplanten Ausgestaltung der IT-Systeme zu treffen (→ AT 4.2 Tz. 1, Erläuterung). Damit wird die in den letzten Jahren ständig gestiegene Bedeutung der Informationstec...mehr

Rz. 37 § 25a KWG und die MaRisk statuieren keine unmittelbaren Anforderungen an die Eignung von Geschäftsleitern. Nach der Veröffentlichung der MaK im Jahr 2002 ergaben sich jedoch erste Berührungspunkte zu dieser Thematik. Die Funktion eines Geschäftsleiters setzt persönliche Zuverlässigkeit und fachliche Eignung voraus. Durch diese Anforderungen soll sichergestellt werden,...mehr

Rz. 11 Bei der Umsetzung dieser Anforderungen sind zumindest bis zum 17. Januar 2025 die "Bankaufsichtlichen Anforderungen an die IT" (BAIT)[1] zu beachten, mit deren Hilfe die MaRisk in den relevanten Bereichen weiter konkretisiert werden. Mithilfe der BAIT wird den Instituten die Erwartungshaltung der deutschen Aufsicht zur sicheren Ausgestaltung der IT-Systeme und zugehör...mehr

Rz. 153 Mit der Anforderung, IT-Risiken angemessen zu überwachen und zu steuern, behandelt die deutsche Aufsicht IT-Risiken als eigene Risikokategorie, die im Risikomanagement entsprechend zu berücksichtigen ist. Hierfür sind angemessene Prozesse einzurichten. Der Begriff "IT-Risiko" wird in den MaRisk nicht definiert. Die BaFin zählt IT-Risiken zu den operationellen Risiken...mehr

Rz. 86 Beim IKT-Risiko sollte nicht nur nach den Vorstellungen des Baseler Ausschusses für Bankenaufsicht mit Verweis auf das Cyber-Lexikon des Financial Stability Boards (FSB) auch das "Cyberrisiko" berücksichtigt werden.[1] Der Definition des FSB zufolge wird die Kombination aus der Wahrscheinlichkeit des Auftretens von Cybervorfällen und deren Auswirkungen als "Cyberrisik...mehr

Rz. 5 Die MaRisk enthalten keine Vorgaben, auf welche Weise das Institut eine angemessene quantitative und qualitative Personalausstattung sicherzustellen hat. Es liegt demnach grundsätzlich im Ermessen des Institutes, sinnvolle und sachgerechte Lösungen zu entwickeln, die dem übergeordneten Regelungszweck Rechnung tragen. Ergänzende Anforderungen bzw. Empfehlungen der BaFin...mehr

Rz. 282 Die Grundsätze des Baseler Ausschusses für Bankenaufsicht für die effektive Aggregation von Risikodaten und die Risikoberichterstattung[1] enthalten nicht nur Vorgaben für das Risikomanagement (→ Kapitel 2.6.1), sondern betreffen in einem hohen Maße auch die Informationstechnologie. Die IT-relevanten Vorgaben wurden erstmals im November 2017 als Konkretisierung der M...mehr

Rz. 8 Bei wesentlichen Veränderungen in den IT-Systemen sind ergänzend die "Bankaufsichtlichen Anforderungen an die IT" (BAIT)[1] zu beachten, mit deren Hilfe die MaRisk in den relevanten Bereichen weiter konkretisiert werden. Die Aufsicht erläutert darin auch, was sie unter angemessenen Änderungsprozessen von IT-Systemen versteht (→ AT 7.2 Tz. 3). Die MaRisk und die BAIT si...mehr

Rz. 97 Im Zusammenhang mit der Vermeidung oder Reduzierung operationeller Risiken werden häufig auch Auslagerungen genannt. Derartigen Maßnahmen könnte – neben betriebswirtschaftlichen Gesichtspunkten – auch die Überlegung zugrunde liegen, dass im Fall ausgelagerter Tätigkeiten die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahr...mehr

Rz. 1 Operationelle Risiken werden im Gegensatz zu Adressenausfallrisiken oder Marktpreisrisiken vom Institut zwar grundsätzlich nicht bewusst eingegangen, um daraus Erträge zu generieren. Allerdings müssen sich die Institute z. B. bei der Einführung neuer (komplexer) Produkte oder bei Änderungen betrieblicher Prozesse und Strukturen der damit verbundenen prozessualen, recht...mehr

Bisherige Entwicklung der MaRisk Die Mindestanforderungen an das Risikomanagement (MaRisk) sind von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 15. April 2004 angekündigt[1] und in Abstimmung mit der Deutschen Bundesbank erstmalig am 20. Dezember 2005 als vorzeitiges Weihnachtsgeschenk für die Kreditwirtschaft veröffentlicht worden.[2] Mit Fertigstellung de...mehr

mehr

Rz. 26 Für den Aufbau und die Einführung eines dokumentierten Steuer-IKS sind zunächst folgende Schritte vorzunehmen: Rz. 27 Bestandsaufnahme: Bei den Vorüberlegungen zum Aufbau eines dokumentierten Steuer-IKS ist zu bedenken, dass im Unternehmen üblicherweise bereits verschiedene Maßnahmen implementiert sind, um z. B. Belege zu erfassen, zu bearbeiten und aufzubewahren und F...mehr

Rz. 6 Dittrich/Dochow, Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen, GesR 2022, 414. Dittrich/Dochow/Ippach, Auswirkungen der neuen EU-Cybersicherheitsstrategie auf das Gesundheitswesen – der Entwurf der NIS-2-Richtlinie und der "Resilienz-Richtlinie", GesR 2021, 613. Dochow, Cybersicherheitsrecht im Gesundheitswesen, MedR 2022, 100. Köhler, Der ...mehr

Rz. 20 Köhler, Der Schutz kritischer Infrastrukturen im Gesundheitswesen – gesetzliche Anforderungen an die IT-Sicherheit, GesR 2017, 145. Zipfel, Elektronische Patientenakte, Grin-Verlag.mehr

Rz. 10 Solange noch keine sicheren Authentisierungsverfahren (§ 311 Abs. 1 Satz 1 Nr. 1 Buchst. e; u. a. elektronischer Arztbrief und elektronische Patientenakte) existieren, legt die gematik diese im Benehmen mit dem BSI fest und veröffentlicht diese auf ihrer Internetseite. Die Regelungen in § 327 sind für die IT-Sicherheit ausreichend. Doppelregulierungen werden vermieden...mehr

Rz. 5 Die gematik prüft auf der Grundlage der von ihr veröffentlichten Prüfkriterien, ob die Komponenten und Dienste der Telematikinfrastruktur funktionsfähig und interoperabel sind (Satz 1; gematik, Hinweise zur Zulassung, https://fachportal.gematik.de, abgerufen: 8.1.2021). Rz. 5a Die Sicherheit richtet sich nach den Vorgaben der gematik, die im Benehmen mit dem Bundesamt f...mehr

Rz. 16 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen, WzS 2021, 263. Dochow, Das Patienten-Datenschutz-Gesetz (Teil 1) – Die elektronische Gesundheitskarte und Telematikinfrastruktur, MedR 2020, 979. ders., Das Patienten-Datenschutz-Gesetz (Teil 2) – Die elektronische Patientenakte und erweiterte Datenverarbeitungsbefugnisse der Krankenkassen, MedR 2021...mehr

Nach Zahlen des Statistischen Bundesamtes (Destatis) für 2023 nutzt rund jedes dritte Großunternehmen in Deutschland (35 %) künstliche Intelligenz. Mit Abnahme der Unternehmensgröße sinkt die Zahl der KI-Anwender allerdings, nur noch 16 % der mittleren Unternehmen (50 bis 249 Beschäftigte) verwenden KI, bei den kleinen Unternehmen sind es gar nur 10 %. Hauptanwendung findet K...mehr

Wird die Kanzleisoftware als Cloud-Lösung genutzt, muss die Kanzlei keinen Server betreiben und keine Rechner installieren. Die Daten werden im Rechenzentrum DSGVO-konform gespeichert und archiviert. Jeder Mitarbeiter kann sich über seinen Computer in seine Arbeitsumgebung einloggen und auf Termine und Dokumente zugreifen. Alle benötigten Software-Anwendungen werden über den...mehr

Die Sicherheit sensibler Unternehmensdaten ist von größter Bedeutung, insbesondere in einer Zeit, in der die eigene IT-Sicherheit immer stärker bedroht wird. In diesem Kapitel werden wir die Sicherheits- und Datenschutzfunktionen von Microsoft Fabric erläutern und anhand eines Beispiels verdeutlichen, wie Unternehmen ihre Daten sicher und geschützt halten können. 6.1 Sicherhe...mehr

Der größte Nachteil jedes Outsourcing liegt im Verlust von Know-how für die ausgelagerte Aufgabe und in der dadurch entstehenden Abhängigkeit vom Dienstleister. Für viele Bereiche bedeutet das Outsourcing einen tiefen Einschnitt in die Strukturen des Unternehmens. Die Wahl des Partners ist daher von größter Bedeutung für den Erfolg des Vorhabens. Für den IT-Bereich stehen vie...mehr

Zusammenfassung Die NIS-2-Richtlinie, die bis Oktober 2024 in deutsches Recht umgesetzt werden muss, verschärft die Cybersicherheitspflichten für Unternehmen, auch für diejenigen, deren Geschäftsmodelle weder digital noch datenintensiv sind. IT-Sicherheit wird damit zum Compliance-Thema. Mit Blick auf die durch die NIS-2-Richtlinie neu eingeführte nicht delegierbare Verantwor...mehr

Der Daten- und Informationenaustausch zwischen Steuerberater und Unternehmen sollte strukturiert und kontrolliert stattfinden. Um das zu gewährleisten, kann man sich bildlich am Straßen- und Schienenverkehr orientieren. Damit diese Verkehrsmittel optimal funktionieren, müssen gewisse Grundvoraussetzungen geschaffen werden, wie z. B. der Bau von Autobahnen oder Gleisen sowie ...mehr