Fachbeiträge & Kommentare zu IT-Sicherheit

Rz. 93 Den Anforderungen des Moduls 3 der BAIT zufolge sollen die Institute beim IT-Risikomanagement vor allem auf den Schutzbedarf für die Bestandteile ihres festgelegten Informationsverbundes abstellen. Dabei sollten deren Abhängigkeiten und Schnittstellen einbezogen werden, um die Vernetzung des Informationsverbundes mit Dritten zu berücksichtigen. Auf dieser Basis müssen...mehr

Rz. 2 Die technisch-organisatorische Ausstattung umfasst die Gesamtheit der Einrichtungen und Anlagen zur Leistungserstellung eines Institutes. Hierzu zählen z. B. Grundstücke, Gebäude, Büromaterial oder Aufbewahrungsmöglichkeiten. Es ist evident, dass sich z. B. hinsichtlich der Gebäude bei einem Institut mit weit verzweigtem Filialnetz andere Fragen ergeben als bei einem I...mehr

Rz. 194 Damit das Informationsrisikomanagement und das Informationssicherheitsmanagement (→ AT 7.2 Tz. 2) überhaupt greifen können, muss die Geschäftsleitung die IT-Organisation auch insgesamt angemessen steuern. Voraussetzung hierfür ist eine IT-Strategie, die dem Geschäftsmodell angemessen ist und in der IT-Organisation umgesetzt wird.[1] Die Geschäftsleitung hat daher nac...mehr

Rz. 77 Der "IT-Betrieb" hat laut Tz. 8.1 BAIT jene Anforderungen umzusetzen, die sich aus der Geschäftsstrategie und den IT-unterstützten Geschäftsprozessen ergeben. Für die Umsetzung der Anforderungen des Informationssicherheitsmanagements ist nach Tz. 5.1 BAIT hingegen die "operative Informationssicherheit" zuständig. Insofern entspricht die Tätigkeit der operativen Inform...mehr

Rz. 11 Etwa zeitgleich mit der Veröffentlichung der EBA-Leitlinien zur internen Governance im Jahr 2011 hat sich der Baseler Ausschuss für Bankenaufsicht (BCBS) mit der Rolle der Internen Revision auseinandergesetzt.[1] Das im Dezember 2011 zur Konsultation gestellte Papier wurde im Juni 2012 in seiner endgültigen Fassung veröffentlicht. Darin beschreibt der BCBS das Verhält...mehr

Rz. 86 Beim IKT-Risiko sollte nicht nur nach den Vorstellungen des Baseler Ausschusses für Bankenaufsicht mit Verweis auf das Cyber-Lexikon des Financial Stability Boards (FSB) auch das "Cyberrisiko" berücksichtigt werden.[1] Der Definition des FSB zufolge wird die Kombination aus der Wahrscheinlichkeit des Auftretens von Cybervorfällen und deren Auswirkungen als "Cyberrisik...mehr

Rz. 5 Die MaRisk enthalten keine Vorgaben, auf welche Weise das Institut eine angemessene quantitative und qualitative Personalausstattung sicherzustellen hat. Es liegt demnach grundsätzlich im Ermessen des Institutes, sinnvolle und sachgerechte Lösungen zu entwickeln, die dem übergeordneten Regelungszweck Rechnung tragen. Ergänzende Anforderungen bzw. Empfehlungen der BaFin...mehr

Rz. 8 Bei wesentlichen Veränderungen in den IT-Systemen sind ergänzend die "Bankaufsichtlichen Anforderungen an die IT" (BAIT)[1] zu beachten, mit deren Hilfe die MaRisk in den relevanten Bereichen weiter konkretisiert werden. Die Aufsicht erläutert darin auch, was sie unter angemessenen Änderungsprozessen von IT-Systemen versteht (→ AT 7.2 Tz. 3). Die MaRisk und die BAIT si...mehr

Rz. 97 Im Zusammenhang mit der Vermeidung oder Reduzierung operationeller Risiken werden häufig auch Auslagerungen genannt. Derartigen Maßnahmen könnte – neben betriebswirtschaftlichen Gesichtspunkten – auch die Überlegung zugrunde liegen, dass im Fall ausgelagerter Tätigkeiten die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahr...mehr

Rz. 282 Die Grundsätze des Baseler Ausschusses für Bankenaufsicht für die effektive Aggregation von Risikodaten und die Risikoberichterstattung[1] enthalten nicht nur Vorgaben für das Risikomanagement (→ Kapitel 2.6.1), sondern betreffen in einem hohen Maße auch die Informationstechnologie. Die IT-relevanten Vorgaben wurden erstmals im November 2017 als Konkretisierung der M...mehr

Rz. 156 Die Erwartungshaltung der deutschen Aufsicht an ein angemessenes IT-Risikomanagement hat sie in den bisher geltenden BAIT näher ausgeführt. Die BAIT haben jedoch auch bisher keinen vollständigen Anforderungskatalog dargestellt. Sie sollen vielmehr einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsrisikos und der Informati...mehr

Rz. 43 Ein direkter Zusammenhang zu den operationellen Risiken besteht hinsichtlich der Risiken aus ausgelagerten Aktivitäten und Prozessen ("Outsourcing Risk"). Mangelhafte Leistungserbringung, schlecht vorbereitete Auslagerungen, insbesondere in Offshore-Regionen, unvollständige Kostenkalkulationen, Kontrollverluste und Abhängigkeiten sowie der irreversible Verlust von eig...mehr

Rz. 31 Das "IKT-Risiko" bezeichnet gemäß Art. 4 Abs. 1 Nr. 52c CRR die Gefahr von Verlusten in Verbindung mit jedem vernünftigerweise identifizierbaren Umstand im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen, die bei Eintritt – durch die damit einhergehenden nachteiligen Auswirkungen im digitalen oder physischen Umfeld – die Sicherheit der Netzwerk- un...mehr

Rz. 100 Auch für die sonstigen vom Institut als wesentlich identifizierten Risiken gelten zunächst die allgemeinen Anforderungen an die Inhalte der Berichterstattung über die wesentlichen Risiken (→ BT 3.1 Tz. 2 und BT 3.2 Tz. 2). Grundsätzlich bleibt es den Instituten überlassen, zu den erforderlichen Mindestinhalten der Risikoberichterstattung über die anderen wesentlichen...mehr

Rz. 10 Um einen angemessenen Umfang und eine hinreichende Qualität der technisch-organisatorischen Ausstattung sicherstellen zu können, muss zunächst einmal Klarheit über den Ist-Zustand herrschen ("Bestandsaufnahme").[1] Zu diesem Zweck hat der IT-Betrieb gemäß Tz. 8.2 BAIT die Komponenten der IT-Systeme (Hardware- und Software-Komponenten) sowie deren Beziehungen zueinande...mehr

Rz. 112 Aufgrund ihrer besonderen Bedeutung für das Funktionieren der Prozesse hat das Institut in Abhängigkeit von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten auch Aussagen zur zukünftig geplanten Ausgestaltung der IT-Systeme zu treffen (→ AT 4.2 Tz. 1, Erläuterung). Damit wird die in den letzten Jahren ständig gestiegene Bedeutung der Informationstec...mehr

Rz. 37 § 25a KWG und die MaRisk statuieren keine unmittelbaren Anforderungen an die Eignung von Geschäftsleitern. Nach der Veröffentlichung der MaK im Jahr 2002 ergaben sich jedoch erste Berührungspunkte zu dieser Thematik. Die Funktion eines Geschäftsleiters setzt persönliche Zuverlässigkeit und fachliche Eignung voraus. Durch diese Anforderungen soll sichergestellt werden,...mehr

Rz. 11 Bei der Umsetzung dieser Anforderungen sind zumindest bis zum 17. Januar 2025 die "Bankaufsichtlichen Anforderungen an die IT" (BAIT)[1] zu beachten, mit deren Hilfe die MaRisk in den relevanten Bereichen weiter konkretisiert werden. Mithilfe der BAIT wird den Instituten die Erwartungshaltung der deutschen Aufsicht zur sicheren Ausgestaltung der IT-Systeme und zugehör...mehr

Rz. 1 Risiken sind fester Bestandteil der menschlichen Umwelt. Neben gesundheitlichen Risiken, politischen Risiken oder unternehmerischen Risiken existiert eine Vielzahl weiterer Risiken. Ihre Dimensionen rücken dabei häufig erst durch Katastrophen, Unternehmenspleiten, Unfälle oder Krankheiten in das Bewusstsein unserer Gesellschaft. Risiken sind allgegenwärtig. Je offener ...mehr

Rz. 153 Mit der Anforderung, IT-Risiken angemessen zu überwachen und zu steuern, behandelt die deutsche Aufsicht IT-Risiken als eigene Risikokategorie, die im Risikomanagement entsprechend zu berücksichtigen ist. Hierfür sind angemessene Prozesse einzurichten. Der Begriff "IT-Risiko" wird in den MaRisk nicht definiert. Die BaFin zählt IT-Risiken zu den operationellen Risiken...mehr

mehr

Rz. 1 Operationelle Risiken werden im Gegensatz zu Adressenausfallrisiken oder Marktpreisrisiken vom Institut zwar grundsätzlich nicht bewusst eingegangen, um daraus Erträge zu generieren. Allerdings müssen sich die Institute z. B. bei der Einführung neuer (komplexer) Produkte oder bei Änderungen betrieblicher Prozesse und Strukturen der damit verbundenen prozessualen, recht...mehr

Bisherige Entwicklung der MaRisk Die Mindestanforderungen an das Risikomanagement (MaRisk) sind von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 15. April 2004 angekündigt[1] und in Abstimmung mit der Deutschen Bundesbank erstmalig am 20. Dezember 2005 als vorzeitiges Weihnachtsgeschenk für die Kreditwirtschaft veröffentlicht worden.[2] Mit Fertigstellung de...mehr

Der Zentralverband des deutschen Handwerks (ZDH) hat ein Kompetenzzentrum Digitales Handwerk eingerichtet. Hier können Sie Ihr Geschäftsmodell auf den digitalen Prüfstand stellen und Geschäftsprozesse auf digitalen Anpassungsbedarf optimieren lassen. Auch in Sachen Information, Kommunikation und Marketing-Strategien gibt es hilfreiche Tipps und Anregungen. Die Spezialisten de...mehr

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss das Unternehmen nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Ob eine Pflicht für Meldungen oder Benachrichtigungen besteht, ist individuell zu beurteilen. So ist z. B. der Verlust eines Speichermediums...mehr

Rz. 21 Soweit Fragen der Datensicherheit berührt sind, sind diese durch die gematik im Benehmen mit dem BSI zu regeln (Satz 1). Die Vorgaben nach dem BSI-Gesetz zur Einhaltung von Mindeststandards in der IT-Sicherheit und zur Meldung von IT-Störungen an das BSI sind dabei nicht zu beachten. Die Regelungen in § 311 sind für die IT-Sicherheit ausreichend. Doppelregulierungen w...mehr

Rz. 6 Dittrich/Dochow, Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen, GesR 2022, 414. Dittrich/Dochow/Ippach, Auswirkungen der neuen EU-Cybersicherheitsstrategie auf das Gesundheitswesen – der Entwurf der NIS-2-Richtlinie und der "Resilienz-Richtlinie", GesR 2021, 613. Dochow, Cybersicherheitsrecht im Gesundheitswesen, MedR 2022, 100. Köhler, Der ...mehr

Rz. 20 Köhler, Der Schutz kritischer Infrastrukturen im Gesundheitswesen – gesetzliche Anforderungen an die IT-Sicherheit, GesR 2017, 145. Zipfel, Elektronische Patientenakte, Grin-Verlag.mehr

Rz. 5 Die gematik prüft auf der Grundlage der von ihr veröffentlichten Prüfkriterien, ob die Komponenten und Dienste der Telematikinfrastruktur funktionsfähig und interoperabel sind (Satz 1; gematik, Hinweise zur Zulassung, https://fachportal.gematik.de, abgerufen: 8.1.2021). Rz. 5a Die Sicherheit richtet sich nach den Vorgaben der gematik, die im Benehmen mit dem Bundesamt f...mehr

Rz. 16 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen, WzS 2021, 263. Dochow, Das Patienten-Datenschutz-Gesetz (Teil 1) – Die elektronische Gesundheitskarte und Telematikinfrastruktur, MedR 2020, 979. ders., Das Patienten-Datenschutz-Gesetz (Teil 2) – Die elektronische Patientenakte und erweiterte Datenverarbeitungsbefugnisse der Krankenkassen, MedR 2021...mehr

Rz. 22 Informationstechnische Systeme sind verboten und dürfen nicht angewendet werden, wenn sie außerhalb der Telematikinfrastruktur betrieben werden (Satz 1). Damit werden technische Möglichkeiten zum Makeln von elektronischen Rezepten unterbunden (BT-Drs. 20/9048 S. 128). Versicherte können elektronische Verordnungen diskriminierungsfrei in allen Apotheken einlösen und di...mehr

Rz. 10 Solange noch keine sicheren Authentisierungsverfahren (§ 311 Abs. 1 Satz 1 Nr. 1 Buchst. e; u. a. elektronischer Arztbrief und elektronische Patientenakte) existieren, legt die gematik diese im Benehmen mit dem BSI fest und veröffentlicht diese auf ihrer Internetseite. Die Regelungen in § 327 sind für die IT-Sicherheit ausreichend. Doppelregulierungen werden vermieden...mehr

Nach Zahlen des Statistischen Bundesamtes (Destatis) für 2023 nutzt rund jedes dritte Großunternehmen in Deutschland (35 %) künstliche Intelligenz. Mit Abnahme der Unternehmensgröße sinkt die Zahl der KI-Anwender allerdings, nur noch 16 % der mittleren Unternehmen (50 bis 249 Beschäftigte) verwenden KI, bei den kleinen Unternehmen sind es gar nur 10 %. Hauptanwendung findet K...mehr

Wird die Kanzleisoftware als Cloud-Lösung genutzt, muss die Kanzlei keinen Server betreiben und keine Rechner installieren. Die Daten werden im Rechenzentrum DSGVO-konform gespeichert und archiviert. Jeder Mitarbeiter kann sich über seinen Computer in seine Arbeitsumgebung einloggen und auf Termine und Dokumente zugreifen. Alle benötigten Software-Anwendungen werden über den...mehr

Die Sicherheit sensibler Unternehmensdaten ist von größter Bedeutung, insbesondere in einer Zeit, in der die eigene IT-Sicherheit immer stärker bedroht wird. In diesem Kapitel werden wir die Sicherheits- und Datenschutzfunktionen von Microsoft Fabric erläutern und anhand eines Beispiels verdeutlichen, wie Unternehmen ihre Daten sicher und geschützt halten können. 6.1 Sicherhe...mehr

Der größte Nachteil jedes Outsourcing liegt im Verlust von Know-how für die ausgelagerte Aufgabe und in der dadurch entstehenden Abhängigkeit vom Dienstleister. Für viele Bereiche bedeutet das Outsourcing einen tiefen Einschnitt in die Strukturen des Unternehmens. Die Wahl des Partners ist daher von größter Bedeutung für den Erfolg des Vorhabens. Für den IT-Bereich stehen vie...mehr

Die Löschpflichten nach Art. 17 DSGVO beruhen vor allem auf den folgenden Erwägungsgründen: "Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. […] Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert wer...mehr

Zusammenfassung Die NIS-2-Richtlinie, die bis Oktober 2024 in deutsches Recht umgesetzt werden muss, verschärft die Cybersicherheitspflichten für Unternehmen, auch für diejenigen, deren Geschäftsmodelle weder digital noch datenintensiv sind. IT-Sicherheit wird damit zum Compliance-Thema. Mit Blick auf die durch die NIS-2-Richtlinie neu eingeführte nicht delegierbare Verantwor...mehr

Der Daten- und Informationenaustausch zwischen Steuerberater und Unternehmen sollte strukturiert und kontrolliert stattfinden. Um das zu gewährleisten, kann man sich bildlich am Straßen- und Schienenverkehr orientieren. Damit diese Verkehrsmittel optimal funktionieren, müssen gewisse Grundvoraussetzungen geschaffen werden, wie z. B. der Bau von Autobahnen oder Gleisen sowie ...mehr

Rz. 1 Im Anschluss an § 64 GBV, der sich mit der Errichtung des maschinellen Grundbuchs (vergleichbar mit einer Anweisung zur Herstellung von Papierurkunden, siehe § 64 GBV Rdn 1) befasst, regelt § 65 GBV die Sicherheit von Anlagen und Programmen. Zusammen mit § 66 GBV, der die Sicherung von Datenbeständen (vergleichbar mit Anforderungen an die Verwahrung von Papierdokumente...mehr

Rz. 6 Die Vorschrift schließt an § 126 Abs. 1 S. 1 GBO sowie die zu dessen Nr. 3 ergangene Anlage an und konkretisiert in § 64 Abs. 2 GBV insbesondere den Begriff der Grundsätze ordnungsgemäßer Datenverarbeitung sowie die speziellen grundbuchrechtlichen Anforderungen an Datensicherheit und – insoweit aufgrund der Überlagerung durch die Datenschutzgrundverordnung historisch –...mehr

Rz. 22 Stand: 6. A. – ET: 07/2024 Die Leistungen des Personenzusammenschlusses müssen unmittelbar an die Mitglieder erfolgen, d. h. die Leistung muss ohne Zwischenstufe von den Mitgliedern verwendet werden. Dies ist beispielsweise der Fall (vgl. BMF vom 19.07.2022, BStBl I 2022, 1208; Brill/Scheller, NWB 2023, 1045 (1054 f.)), wenn ärztliche Praxis- und Apparategemeinschaften ...mehr

Definitionen Eine Ladestation ist eine stationäre Lademöglichkeit für Elektroautos. Sie besteht aus einem oder mehreren Ladepunkten. Beispiele für eine Ladestation sind eine Wallbox oder eine Ladesäule. Ein Ladepunkt ist eine Einrichtung, die dem Aufladen von Elektroautos dient und an der zur gleichen Zeit nur ein Elektroauto aufgeladen werden kann. Eine bidirektionale Ladestat...mehr

Überblick Erfahren Sie mehr über unbekannte Schwachstellen Ihrer IT-Sicherheit und lernen Sie wirksame Strategien kennen, um Ihre Daten vor Cyber-Angriffen zu schützen! Jedes Haus hat eine Haustür, abschließbare Fenster, manchmal sogar einen Zaun und eine Alarmanlage, um unerwünschte Eindringlinge und Einbrecher fernzuhalten. Bei der IT vieler Unternehmen sucht man solche Si...mehr

Rz. 10 Dittrich/Dochow, Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen, GesR 2022 S. 414. Dittrich/Dochow/Ippach, Auswirkungen der neuen EU-Cybersicherheitsstrategie auf das Gesundheitswesen – der Entwurf der NIS-2-Richtlinie und der „Resilienz-Richtlinie“; GesR 2021 S. 613. Köhler, Der Schutz kritischer Infrastrukturen im Gesundheitswesen – geset...mehr

Rz. 2 Die gematik hat dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Unterlagen und Informationen vorzulegen, um Sicherheitsmängel in der Telematikinfratruktur zu erkennen. Das BSI kann der gematik verbindliche Anweisungen erteilen, festgestellte Sicherheitsmängel zu beseitigen. Die Vorschrift ermöglicht eine effektive Überprüfung der IT-Systeme durch das BSI,...mehr

Rz. 7 Dittrich, Sanktionskompetenz des BSI im Kampf für mehr Cybersicherheit, MMR 2022 S. 267. Dittrich/Dochow, Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen, GesR 2022 S. 414. Dittrich/Dochow/Ippach, Auswirkungen der neuen EU-Cybersicherheitsstrategie auf das Gesundheitswesen – der Entwurf der NIS-2-Richtlinie und der "Resilienz-Richtlinie", Ges...mehr

Rz. 5 Zur Erhöhung der Datensicherheit hat die Deutsche Rentenversicherung Bund für ihren Zuständigkeitsbereich in eigener Verantwortung und unter verbindlicher Beteiligung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein Sicherheitskonzept zu erstellen. Dabei handelt es sich um eine in die Zuständigkeit der Deutschen Rentenversicherung Bund fallende Quers...mehr

Sorgen Sie dafür, dass bei der Digitalisierung Datenschutz- und Sicherheitsaspekte berücksichtigt werden. Implementieren Sie robuste Sicherheitsmaßnahmen, um sensible Daten zu schützen und das Vertrauen Ihrer Kunden zu erhalten. Hier ist auch die Implementierung von wiederkehrenden Prozessen notwendig: Zum Beispiel das Löschen von Daten, die nicht mehr benötigt werden. Das h...mehr

"Cloud-Computing" beschreibt im Wesentlichen eine über Netze angeschlossene Rechnerlandschaft, in welche die eigene Datenverarbeitung zu Zwecken von IT-Dienstleistungen über das Internet ausgelagert wird. Viele Dienstleister im Bereich der Lohn- und Gehaltsabrechnung gehen nun dazu über, dem Mitarbeiter die Lohnabrechnung nicht mehr in Papierform bereitzustellen, sondern ihm...mehr