Datenportabilität: Neue Anforderung der DSGVO



Auch relevant für Verarbeitungen im Personalbereich?

Ulrike Seip, Senior Referentin Datenschutz, DZ BANK AG Deutsche Zentral-Genossenschaftsbank

I. Datenportabilität – Voraussetzungen und Begriffe

Mehr als ein Jahr ist die EU-Datenschutzgrundverordnung (DSGVO) nun in Kraft und entsprechend umzusetzen, aber noch längst besteht nicht zu allen Details Klarheit.

Die Ziele, die Betroffenenrechte und die Transparenz bei der Verarbeitung personenbezogener Daten zu stärken, bedürfen in verschiedenen Aspekten der weiteren Ausgestaltung und der praxisorientierten Erarbeitung.

Bei den Betroffenenrechten nach Art. 12 bis 22 DSGVO wurde insbesondere das Recht auf Datenübertragbarkeit oder Datenportabilität als absolute Innovation gesehen. In den Zeiten der Nutzung datenintensiver Internetplattformen und -portale erscheint es sehr benutzerfreundlich, wenn ermöglicht wird, dass bei einem Wechsel zu einem anderen Anbieter alle Daten mitgenommen werden können. Nutzer, die z.B. auf Facebook zahlreiche Kontakte pflegen und umfangreiche Informationen teilen, könnten davon besonders profitieren. Auf einer neuen Plattform könnten alle bisher vorhandenen Daten einfach eingespielt und so weiter genutzt und geteilt werden.

Im beruflichen Umfeld stellt sich die Frage, ob auch ein Arbeitnehmer beim Wechsel des Arbeitsgebers ein Interesse daran haben könnte, seine Daten mitzunehmen und beim neuen Arbeitgeber in EDV-Systeme zu importieren.

Welche Relevanz dem neuen Betroffenenrecht ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Künstliche Intelligenz im SIEM-Umfeld

kuenstliche_intelligenz_mensch_maschine

Wie Machine Learning die IT-Sicherheit in Unternehmen erhöhen kann.

Michael Frühauf, Student, FOM Hochschule für Oekonomie & Management Frankfurt/M.

Dr. Patrick Hedfeld, Deutsche Leasing

Prof. Dr. Bernd Ulmann

Tagtäglich entstehen neue Bedrohungen für eine der wichtigsten Ressourcen vieler Unternehmen: ihre sensiblen Daten. Die Angriffe werden immer ausgeklügelter und sind immer schwieriger festzustellen. Um dieser Gefahr etwas entgegenzusetzen, kann eine SIEM-Lösung in Verbindung mit Künstlicher Intelligenz (KI) eingesetzt werden.

Einleitung

Durch Industrie 4.0 und Internet of Things (IoT) nimmt die Vernetzung in Unternehmen stetig zu. Dadurch steigt auch der Datenverkehr im Unternehmensnetzwerk an; der IT-Security-Aspekt wird jedoch oftmals vernachlässigt. Durch die weltweit zunehmenden IT-Security-Vorfälle wird eine Überwachung des Datenverkehrs allerdings immer wichtiger. Diese Aufgabe kann ein SIEM-System übernehmen. Wie wichtig diese Aufgabe ist, zeigen die folgenden Zahlen: Jeden Tag kommen etwa 350.000 bis 400.000 neue Schadprogramme hinzu[1]. Aus diesem Grund ist eine rein regelbasierte Überwachung inzwischen unzureichend. Moderne SIEM-Lösungen verwenden daher selbstlernende Algorithmen, besser bekannt als Künstliche Intelligenz (KI), oder Machine Learning.

SEMINARTIPPS

6. Fachtagung IT-Revision, 05.–06.06.2019, Frankfurt/M.

FCH Innovation Days 2019, 24.–25.06.2019, Berlin.

Hackerangriffe & Cyber-Attacken: Reaktion und Prävention, 25.09.2019, Frankfurt/M.

Digitalisierung im Konten-/Zahlungsverkehr: Praxis & Prüfung, 26.09.2019, Frankfurt/M.

KI und SIEM

Moderne SIEM-Systeme, auch Next-Generation-SIEM genannt, verfolgen einen proaktiven, vorausschauenden Ansatz und verwenden dazu Techniken wie User and Entity Behaviour Analytics (UEBA) und Security Orchestration, Automation and Response (SOAR). UEBA nutzt Machine-Learning-Algorithmen, um Anomalien des Netzwerkverkehrs zu erkennen. Verhaltensmuster von Endgeräten oder Endanwendern werden dazu zunächst erlernt, um daraufhin Abweichungen erkennen zu können. Werden Auffälligkeiten festgestellt, können Benachrichtigungen in Form eines Incident Tickets erstellt oder Aktionen ausgelöst werden. Somit können bspw. Netzwerkzugänge automatisiert gesperrt werden. Ein verdächtiges Verhalten wäre z. B. das Anmelden eines VPN-Benutzers zu einer ungewöhnlichen Uhrzeit oder von einem ungewöhnlichen Standort aus. Ein großer Vorteil von Verhaltensanalysen auf Basis von Machine Learning ist die dadurch entstehende Möglichkeit, auch Zero-Day-Attacken zu erkennen[2].

Eine automatische Reaktion auf potentielle Bedrohungen ist dabei aufgrund der Fülle der auftretenden Anomalien besonders wichtig[3]. Diese Aufgabe kann SOAR übernehmen. Ein praktisches Beispiel wäre das Auftreten einer Sicherheitslücke auf einem Server, die durch einen Schwachstellen-Scan entdeckt wurde. Durch SOAR kann bspw. ein Drittanbieter-Update-System dazu veranlasst werden, den betroffenen Server zu aktualisieren und so die Anfälligkeit für einen Exploit eliminieren[4]. Dabei muss selbstverständlich zwischen kritischen und unkritischen Systemen unterschieden werden – nicht auf jede Anomalie kann automatisiert reagiert werden. Handelt es sich jedoch um ein unkritisches System, kann bspw. ein Kommando an die Firewall den Netzwerkzugang dieses Systems sperren, bis das Problem behoben ist[5]. Zum aktuellen Zeitpunkt sind jedoch meist menschliche Analysten erforderlich, um auf die durch Machine-Learning-Algorithmen gefundenen Anomalien zu reagieren[6].

KI in der IT-Security

Neben dem Einsatz in SIEM-Systemen gibt es vielfältige Einsatzgebiete für KI in der Cyber-Security. Besonders bei polymorphen Angriffen, die signaturbasiert nicht erkannt werden können, kann Machine Learning weiterhelfen[7]. Laut Gartner werden daher bis zum Jahre 2020 rd. 75 % der SIEM-Systeme Machine Learning– und Big-Data-Technologien verwenden, um ihre Erkennungsraten zu erhöhen[8]. Auch einige Antivirensoftwareanbieter verwenden bereits Machine-Learning-Ansätze, da sich diese im Vergleich zu klassischen Methoden als zuverlässiger erwiesen haben[9]. Malware, die bspw. an Phishing-Mails angehängt wird, wird durch signaturbasierte Antivirensoftware häufig nicht erkannt. Mitunter erkennen lediglich zehn Prozent der Antivirenprogramme eine Malware, da eine kleine Änderung der Schadsoftware eine Erkennung auf Basis von Signaturen bereits unmöglich macht[10]. Durch verhaltensbasierte Analysen kann dieses Problem behoben werden, was auch bei einer Quellcode-Veränderung der Malware eine hohe Zuverlässigkeit ermöglicht[11]. Aus diesem Grund setzt bspw. die Antivirensoftware Cylance auf eine Erkennung von Malware ohne die Verwendung von Signaturen[12].

Mit zunehmendem Einsatz von KI in Sicherheitssoftware steigt jedoch auch das Interesse Cyberkrimineller an den dahinterliegenden Technologien. Mit Hilfe sog. Generative Adversarial Networks (GANs) können KNNs trainiert werden. Das lernende Netz wird dabei mit schwer zu identifizierenden Eingabewerten konfrontiert und kann dabei aus fehlerhaften Klassifizierungen lernen, um sich kontinuierlich zu verbessern. Ebenso sind damit jedoch Angriffe auf Machine-Learning-Algorithmen möglich, die Missklassifikationen bewirken können[13]. Problematisch ist dabei, dass solche Missklassifikations-Angriffe mitunter auf andere KNNs übertragbar sind und somit weitrechende potentielle Sicherheitsrisiken darstellen können. Solche Angriffe können bspw. dazu verwendet werden, um Spamfilter, Antivirensoftware oder IDS-Software zu umgehen[14]. Eine Abwehrmaßnahme dagegen wäre das wiederholte Durchführen von Trainings zur Verbesserung der Genauigkeit der KNNs[15].

PRAXISTIPPS

  • In der klassischen Programmierung und klassischen, regelbasierten SIEM-Lösungen werden aus Regelwerken und Daten Entscheidungen abgeleitet. Machine Learning ermöglicht es hingegen, auf unbekannte Umgebungsvariablen zu reagieren und kann so mitunter noch unbekannte Bedrohungen abwenden. Auch das Erkennen von Mustern in großen Datenmengen ist durch Machine Learning möglich. Das lernende System erkennt dabei selbstständig Gesetzmäßigkeiten in Daten und kann daraus einen „Normalzustand“ ableiten. Dies kann bspw. im Bankensektor für die Analyse der Transaktionsvorgänge von Girokonten genutzt werden[16]. Somit können bspw. Betrugsversuche zuverlässiger erkannt werden.
  • Der Einsatz von Machine Learning in Sicherheitssoftware wird voraussichtlich ansteigen. Aus diesem Grund wird dieses Gebiet auch für Cyberkriminelle zunehmend attraktiver. Je früher auf diesem Gebiet im Unternehmen Kompetenzen aufgebaut werden, desto zuverlässiger kann potentiellen Gefahren entgegengewirkt werden.
  • Intelligente SIEM-Lösungen wie IBM QRadar, LogRhythm oder Splunk, die u. a. UEBA einsetzen, existieren bereits. Die eingesetzte Intelligenz der Systeme kann schneller, effektiver und zuverlässiger als Menschen reagieren und darüber hinaus größere Datenmengen verarbeiten. Anomalien, die durch Menschen nicht erkannt werden, können durch den Einsatz maschineller Lernverfahren identifiziert und verarbeitet werden.
  1. Vgl. AV-TEST GmbH (2018), o. S.; Mandl (2016), S. 509; Tschersich (2017), S. 122.
  2. Vgl. Day (2017), S. 1.013; Sipola (2015), S. 201.
  3. Vgl. Bertino (2012), S. 37.
  4. Vgl. Rubens (2018), o. S.
  5. Vgl. Chuvakin, Phillips, Schmidt (2013), S. 140.
  6. Vgl. Chio, Freeman (2018), S. 119.
  7. Vgl. ebd., S. 194.
  8. Vgl. Bussa, Kavanagh (2017), o. S.
  9. Vgl. Kabanga, Kang, Kim (2018), S. 41.
  10. Vgl. Fry, Nystrom (2009), S. 4 f.
  11. Vgl. Béjar et al. (2017), S. 222.
  12. Vgl. Gaßner (2019), S. 84.
  13. Vgl. Kirste, Schürholz (2019), S. 33.
  14. Vgl. Dreossi, Jha, Seshia (2018), S. 13.
  15. Vgl. Kantarcioglu, Vorobeychik (2018), S. 126.
  16. Vgl. Dutta (2018), S. 48; Lenzen (2018), S. 51.

 

Beitragsnummer: 73370

 

Beitragsnummer: 73370

 

Beitragsnummer: 73370

Datenschutz-Grundverordnung vs. Telemediengesetz



Verhältnis der Datenschutzgrundverordnung (DSGVO) zum Telemediengesetz (TMG) und daraus abgeleitete Handlungsnotwendigkeiten.

Susanne Seitz, Datenschutzbeauftragte, TeamBank AG

Christian Maull, Referent Datenschutz, TeamBank AG.

I. Einleitung

Durch die DSGVO wurden viele bisherige Regelungen auf den Prüfstand gestellt, neu ausgelegt und teilweise sogar grundsätzlich überarbeitet. Das alte Bundesdatenschutzgesetz (BDSG-alt), welches als Auffanggesetz fungierte, behandelte ausschließlich Themen, die durch andere Gesetze nicht abgedeckt wurden. Parallel setzte das BDSG-alt Vorgaben europäischer Richtlinien in nationales Recht um. Die DSGVO geht dem gegenüber neue Wege. Als europäische Verordnung gilt sie unmittelbar in allen Mitgliedstaaten, erfordert daher keinen formellen Umsetzungsakt in nationales Recht. Um nationale Normen an die veränderten Vorgaben der DSGVO anzupassen, wurde im Dezember 2018 der Entwurf des 2. Datenschutz-Anpassungsgesetzes (2. DSAnpUG-EU) beschlossen. Dieser Entwurf sieht Änderungen in bis zu 154 Bundesgesetzen vor. Nicht betroffen davon ist bislang jedoch das TMG. Dieses enthält in Abschnitt 4 eigene Regelungen zum Datenschutz, die als Spezialnormen dem BDSG-alt vorgingen. Bislang ungeklärt war, wie das Verhältnis zwischen den Regelungen des TMG und der DSGVO zu bewerten ist.

II. Verlautbarung der Datenschutzkonferenz

Ende April 2019 äußerte sich die Datenschutzkonferenz (DSK), das Gremium der deutschen Datenschutzaufsichtsbehörden, in einem Rundschreiben zu dieser Rechtsfrage. ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Auftragsverarbeitung, Risiko im Datenschutz?



Ulrike Seip, Senior Referentin Datenschutz, DZ BANK AG Deutsche Zentral-Genossenschaftsbank

Definition von Auftragsverarbeitung

Maßgeblich für das Vorliegen einer Auftragsverarbeitung i. S. d. Art. 28 der Datenschutzgrundverordnung (DSGVO) ist, dass:

  • die Verarbeitung der personenbezogenen Daten den Mittelpunkt und Zweck des Auftragsverhältnisses darstellt
  • der Auftragnehmer an die Weisungen des Auftraggebers gebunden ist. Dies bedeutet, dass die Entscheidungsfreiheitsgrade für den Auftragnehmer bei der Art und Weise der Durchführung des Auftrags begrenzt sind.

Eine datenschutzrechtliche Auftragsverarbeitung liegt vor, wenn beide oben genannten Kriterien erfüllt werden. Die Weisungsgebundenheit spiegelt sich auch in Art. 29 DSGVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters) wider. Die Dauer der Verarbeitung spielt dabei keine Rolle. Ebenfalls keine Rolle spielt, ob der Auftragnehmer ein Unternehmen des gleichen Konzerns ist. Wenn ein rechtlich selbstständiges Unternehmen innerhalb einer Unternehmensgruppe oder eines Konzerns bei der Verarbeitung personenbezogener Daten Auftragnehmer ist, kann auch von einer Auftragsverarbeitung ausgegangen werden.

Für jede Auftragsverarbeitung ist ein dem Art. 28 DSGVO entsprechender Vertrag zu schließen, Verantwortlichkeiten sind klar zu regeln und dem Risikogehalt der Datenverarbeitung angemessene Datenschutzmaßnahmen müssen bestehen.

Typisches Beispiel für die Beauftragung der Verarbeitung von personenbezogenen Daten ist die Einschaltung eines Dienstleisters, welcher ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

DSGVO und Beschäftigtendaten: Was ist getan, was bleibt zu tun?



Auswahl von Prüfungspunkten für Compliance, Recht und Revision.

Dr. Ulrich Hallermann, Rechtsanwalt und Fachanwalt für Arbeitsrecht, Datenschutzbeauftragter, Investitions- und Strukturbank Rheinland Pfalz (ISB)[1]

I. Ausgangslage

Seit Mai 2018 müssen Banken die DSGVO beachten. Ein erstes Bußgeld wurde bereits verhängt. Ein Krankenhaus in Portugal soll 400.000 € wegen Verstößen gegen die DSGVO zahlen[2].

Vor diesem Hintergrund ist der Handlungsdruck für Banken hoch. Nachfolgend wird beispielhaft aufgezeigt, welche Maßnahmen bislang umgesetzt worden sein sollten. Offene Flanken werden ebenfalls erörtert.

II. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Die DSGVO hat das Verfahrensverzeichnis nicht grundlegend neu geregelt. Die Struktur und auch die zu erfassenden Verfahren können im Grundsatz beibehalten werden. Anpassungsbedarf ergibt sich vornehmlich bei den einzelnen Angaben, die in das Verzeichnis aufzunehmen sind (vgl. Art. 30 DSGVO). Jedes im Bestand befindliche und nicht nur ab Mai 2018 neu erfasste Verfahren muss DSGVO-konform erfasst sein.

Aus dem Verfahrensverzeichnis wird ersichtlich, wo im Hause personenbezogene Daten verarbeitet werden. Ohne ein aktuelles Verfahrensverzeichnis kann der DSB seine Aufgaben nicht erfüllen. Daher sollte das Verfahrensverzeichnis bereits an die DSGVO angepasst worden sein. Es macht einen schlechten Eindruck auf die Prüfer, wenn ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Quo vadis, Datenschutz?



Rückblick auf die Einführung der DSGVO und aktuelle Entwicklungen im Datenschutz.

Christian Maull, Spezialist Compliance, FCH Compliance GmbH.

     

Seit dem 25.05.2018 ist die Datenschutz-Grundverordnung nun in Kraft und die ersten Wogen sind so langsam geglättet. Doch der Schein trügt, denn laut einer Studie der Bitkom konnten Ende September erst 24 % der Unternehmen die Anforderungen der DSGVO, eigenen Angaben zufolge, erfolgreich umgesetzten.

Der mangelnde Fortschritt basiere dabei hauptsächlich auf einer explosiven Mischung aus Rechtsunsicherheit der verantwortlichen Stellen und mangelnden Umsetzungshilfen. Unternehmen beklagen ebenso den Mangel an ausreichend qualifizierten Mitarbeitern und die Schwierigkeit der technischen Umsetzung.

I. Sensibilität hat zugenommen

Trotz aller Kritik über die DS-GVO gibt es positive Erkenntnisse zu vermelden. Der Datenschutz führte bislang ein Schattendasein in der allgemeinen Wahrnehmung, denn Kontrollen der Aufsichtsbehörden waren selten und Bußgelder fielen bei Verstößen noch seltener und v. a. gering aus. Um diesem Missstand entgegenzuwirken, trug die Einführung der DS-GVO zurecht zu einer erhöhten Sensibilität bei, teilweise mit fragwürdigen Folgen.

Unternehmen arbeiteten nun mit Hochdruck daran Dokumentations- und Informationspflichten zu erfüllen und ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Grundlagen für SIEM- und SOAR-Einführung: Praxisbericht SIEM und SOAR: BAITmen für den Bankbetrieb

Compliance möglichst einfach handhaben: Systeme für Security Incidence und Event Management sind gut geeignet, um sämtliche IT-Prozesse im Unternehmen abzusichern. Dank angepasster Regelwerke funktionieren diese auch in der Weise, Compliance-Vorgaben überwachen und dokumentieren zu können.

Swer Rieger, Senior Consultant Security und Produkte, Consist Software Solutions GmbH

 

 

 

 

Auf Bankbetriebe prasseln jede Menge gesetzliche Regelwerke ein, was die IT-Sicherheit betrifft. In Standards und Normen sind deren genaue Anforderungen definiert. Die resultierenden Compliance-Vorgaben setzen sich zusammen aus:

  • Mindestanforderungen an das Risikomanagement (MaRisk)
  • BAIT (Bankaufsichtliche Anforderungen an die IT herausgegeben von BaFin)
  • KAMaRISK (Mindestanforderungen an das Risikomanagement von Kapitalgesellschaften)
  • Datenschutzgesetze (DSGVO, TMG, TKG)
  • ISO/IEC-Standards der 2700x-Reihe,
  • BSI IT-Grundschutz,
  • ISF Standard of Good Practice for Information Security 2018,
  • Common Attack Pattern Enumeration and Classification (CAPEC),
  • NIST SP800 R.x,
  • SANS Whitepaper

Systeme für Security Information and Event Management (SIEM) und SOAR (Security Orchestration, Automation and Response) sind neben ihrer eigentlichen Aufgabe, die IT Security zu gewährleisten, auch in der Weise nutzbar, die Einhaltung gesetzlicher und interner Regelungen zu dokumentieren, beziehungsweise bei deren Nichteinhaltung die ergriffenen Maßnahmen.

Denn es reicht heutzutage nicht mehr, IT-Security nur noch an technischen Komponenten festzumachen, wie Firewalls, Intrusion Detection, Schwachstellen-Scanner, Virenscanner, Anti-Viren-Software oder Web-Filter. In Sicherheitskonzepte müssen immer auch Prozesse und Mitarbeiter einbezogen werden, damit sie funktionieren. Mit einem SIEM lässt sich eine hohe Transparenz über die Aktivitäten auf den genutzten Systemen herstellen. Man erkennt auf einen Blick, wo sicherheitskritische Aktivitäten ablaufen, kann diese nachverfolgen, die Bearbeitung dokumentieren und über die aktuelle Lage berichten. Ein SOAR ermöglicht die automatisierte Abarbeitung von Verdachtsfällen: bei heutigen komplexen Systemumgebungen eine große Hilfe.

I. SIEM und SOAR im Einsatz

Das SIEM wird mit Log-Daten (Events) von Servern, Datenbanken, Netzwerkkomponenten, des Active Directory und Anwendungen gefüttert, zusätzlich können aus externen Quellen Listen (Indicators of Compromise), mit potenziellen und bekannten bösen IPs, URLs und anderen Mustern (Pattern) genutzt werden, um über geeignete Auswertungen (Regeln) verdächtige Sachverhalte und Angriffe (Incidents) zu erkennen.

Sicherheitsvorfälle werden vom SIEM an die SOAR-Plattform weitergeleitet und dort geclustert (Automation). So kann der Case Load erheblich reduziert werden. Mit der Weiterleitung an die eingebundenen Security Tools wird der Response-Prozess gestartet (Orchestration and Response).

1. Wie werden aus Events Incidents?

In der Praxis hat sich gezeigt, dass es umfangreiche Regelsammlungen zur Eventauswertung gibt, die als Muster gut geeignet sind, aber die spezifischen Regeln für eine Firma doch ein erhebliches Feintuning (Projekt) erfordern, um die relevanten Incidents zu generieren, die auch wirklich einer Nachbearbeitung bedürfen. Bei deren Nachbearbeitung kann durch Automatisierung mit einem SOAR, wie beschrieben, viel Effizienz gehoben werden.

Über ein Vorgehensmodell zur bedrohungsbezogenen Systemauswahl,

werden die Anforderungen auf Protokollebene identifiziert und daraus Überwachungsfälle (Controls) entwickelt. Die Überwachung erfolgt dann mit automatisierten Analysen (Regeln) der Logdaten im SIEM und generiert Incidents. Dank des automatisierten Regelfilters werden aus sehr vielen Events wenige wirklich relevante Incidents.

Die Analyse, ob ein Incident Maßnahmen erfordert, um die Sicherheit zu erhalten oder wieder herzustellen erfolgt i. d. R. manuell durch Spezialisten (Security-Analysten). Bei größeren Organisationen sind diese Spezialisten in einem Security Operation Center (SOC) organisiert. Definierte Prozesse zur Incident-Bearbeitung mit Einbindung der weiteren Firmenorganisation sind ein weiterer Bestandteil eines SOC.

2. SOAR ergänzt SIEM

Die Incidents aus einem SIEM müssen bearbeitet werden. Incident-Management-Systeme sind dazu grundsätzlich geeignet und die meisten SIEMs können auch Incidents in solche Systeme überführen, worin dann die weitere Bearbeitung manuell erfolgen müsste. Am Markt gibt es einige gute SIEM-Systeme. Consist setzt beispielsweise Splunk ein, das der aktuelle Gartner-Report als führendes SIEM-System ausweist (https://www.splunk.com/en_us/form/gartner-siem-magic-quadrant.html). In jedem Fall ist es wichtig, das SIEM genau an die individuellen Unternehmensgegebenheiten anzupassen. Ziel ist es in diesem Zusammenhang, die Anzahl der zu pflegenden Regeln möglichst klein zu halten, aber dennoch den Anforderungen zu genügen.

In der Praxis schnappt sich heute ein Security-Analyst den Incident und analysiert weiter. Je nach Incident wird geklärt, ob einzelne Systeme betroffen sind, spezielle User involviert sind, aktuelle Bedrohungen eine Rolle spielen oder Ähnliches. Die Events im SIEM werden unter verschieden Blickwinkeln analysiert. Da der Rückgriff auf das SIEM oder andere Sicherheitssysteme notwendig ist, wäre es eine erhebliche Arbeitserleichterung, wenn dies gleich aus dem Incident Management heraus erfolgen könnte, zumal dann auch leicht die Dokumentation der Analyse automatisch erfolgen kann.

Hier setzt ein SOAR ein, es ist verknüpft mit Sicherheitssystemen, primär einem SIEM, es können aber auch andere Systeme, wie ein IDS oder Schwachstellenscanner direkt sein. Das SOAR nimmt deren Incidents auf und arbeitet diese in vordefinierten Prozessen (Playbooks) ab. Es reichert diese mit Informationen an, kann aber auch Incidents final bearbeiten, wenn Playbooks dies vorsehen. Die Praxis in Security-Teams hat gezeigt, dass eine große Zahl der Incidents schnell mit Standardüberprüfungen (Analysen) abgearbeitet werden können und so nur noch die Dokumentation für spätere Auswertungen wichtig ist. Bei anderen Incidents fallen immer gleiche Analysen an, die schon automatisiert ablaufen können und dann dem Security-Analysten helfen, Incidents schneller zu bearbeiten. Mit der Fähigkeit eines SOAR, auch aktiv mit Infrastrukturen interagieren zu können (Orchestration), können Maßnahmen aus dem SOAR direkt ausgeführt werden. Die Sperrung einer IP, eines Ports, Initialisierung ergänzender Schwachstellenscans oder das Herunterfahren von Systemen kann direkt aus dem SOAR erfolgen.

 

SEMINARTIPPS

7. Fachtagung Informationssicherheit, 20.-21.03.2019, Berlin.

(Un-)Abgestimmte Informationssicherheits- und Datenschutz-Tätigkeiten, 21.03.2019, Frankfurt/M.

FCH Innovation Days 2019, 24.-25.06.2019, Berlin.

 

II. Compliance und die IT-technischen Hürden

Geschäftsprozesse laufen heute in Anwendungssystemen ab und es ist eine Herausforderung, nachzuweisen, dass diese Systeme sicher und regelkonform genutzt werden. Anwendungssysteme verfügen über rollenbasierte Rechtesysteme, die Funktionalitäten für User frei schalten oder sperren. Im laufenden Betrieb sind privilegierte User notwendig. Administratoren für Datenbanken und Basissysteme seien hier genannt. Deren Tätigkeiten erfordern privilegierte Berechtigungen, die jedoch nicht bei der Ausführung der normalen Geschäftsprozesse genutzt werden dürfen. Gleichzeitig sind privilegierte User immer auch Einfallstore für die Kompromittierung von Systemen und Daten. Es ist also unbedingt notwendig, privilegierte User, auch in ihrem eigenen Interesse zu überwachen und permanent zu prüfen, ob deren Privilegien missbräuchlich genutzt werden. Die Heraufstufung von Usern zu privilegierten Usern ist eines der Überwachungsziele.

Füttert man die Logs (Ereignisprotokoll eines Programms) von Anwendungssystemen, speziell Audit- und Securitylogs, können in vielen Systemen die Aktivitäten privilegierter User überwacht werden. In der Praxis hat sich jedoch gezeigt, dass Logs oft nicht ausreichen – weitere Datenquellen müssen genutzt werden. Beispielsweise reicht auch bei SAP die Analyse der Audit- und Security-Logs nicht aus, hier muss auf weitere Informationen zurückgegriffen werden.

Die Entwicklung der Überwachungsfälle (Controls) muss für jedes Anwendungssystem erfolgen, damit Regeln definiert werden können. Ein Überwachungsfall entsteht auch, wenn ein privilegierter User die Berechtigung für einen Mitarbeiter erweitert, so dass dieser Transaktionen mit höheren Werten ausführen kann.

Die Entwicklung von Controls und deren Überwachung in Logs kann sehr aufwändig sein, insbesondere, wenn die Anwendung ungeeignet ist oder gar nicht protokolliert.

Eine Alternative sind Protokolle aus User-Sicht, die mittels Session-Überwachung (früher Session-Recording) gewonnen werden. Consist setzt hier ObserveIT (www.consist.de/observeit) ein, ein Werkzeug zur Aufzeichnung von Sessions, das sehr granular gesteuert werden kann, so dass die Aktivität des Users nur bei Nutzung kritischer Anwendungsteile mit privilegierten Rechten aufgezeichnet wird. Die Aufzeichnung kann ein Video sein, das aber schlecht auswertbar ist, oder ein Transskript (Log) der Useraktivitäten.

III. Compliance mit SIEM und SOAR

SIEM und SOAR generieren automatisch die Dokumentation der aktuellen Sicherheitslage – genauer: Protokolle zu Sicherheitsvorfällen, die sich aus der Überwachung relevanter Controls ergeben. Die eingeleiteten Maßnahmen sind in den Protokollen enthalten, sofern diese systemgestützt erfolgen. Bei manuellen Eingriffen müssten diese bei der Incident-Bearbeitung händisch im System ergänzt werden.

Die Compliance-Überwachung erfolgt primär über eine Dokumentation, die das Monitoring der privilegierten User enthält. Bei definierten kritischen Systemzugriffen, beispielsweise: SAP-Notfall-User führt Buchungen aus, technischer User meldet sich im Dialog an oder Datenbankadministrator ändert Tabelleninhalte eines Anwendungssystems, sollen Alarme ausgelöst werden.

Die Bearbeitung der generierten Incidents lässt sich in einem SOAR so steuern, dass alles dokumentiert wird und damit auch auswertbar ist. Die reine Dokumentation kann automatisiert erfolgen. Kritische Incidents (Alarme) bedürfen weiterer Analysen und Maßnahmen, die ebenfalls dokumentiert werden. So bieten Analysen, ob bestimmte Überwachungen in bestimmten Systemen mit zunehmender Häufigkeit anschlagen, wesentliche Hinweise, hier genauer hinzusehen.

 

BUCHTIPPS

Held/Kühn (Hrsg.): Praktikerhandbuch IT- und Informationssicherheitsbeauftragter, 2018.

Weimer (Hrsg.): Bearbeitungs- und Prüfungsleitfaden: Datenschutz, IT-Sicherheit & Cyberrisiken, 4. Aufl. 2017.

 

 

IV. Aus einem konkreten Projekt bei einer Bank


1. Die Aufgabe

Privilegierte User und Admins sollen beim Zugriff auf Anwendungssysteme und deren Komponenten überwacht werden. Ein zentrales unabhängiges Sicherheitsinformationsmanagement sollte hierfür in Betrieb gehen.

2. Die Herausforderung

Mehr als 40 heterogene bankfachliche Anwendungssysteme mit sehr hohem Schutzbedarf, einschließlich eines SAP-Systems mussten datentechnisch (Logs und Protokolle aus Systemdatenbanken und Anreicherungen aus den Anwendungssystemen) an ein SIEM (Splunk) angebunden werden.

3. Die Lösung

Anhand aktueller Standards und Normen (siehe oben) wurden die Überwachungsanforderungen definiert, die Systeme in Risikogruppen eingestuft und bei den „hoch“ eingestuften Anwendungssystemen der Transfer in Überwachungsregeln (Auswertungen auf den Logs mit Ergänzungen) definiert.

Der Start erfolgte mit einem Proof of Concept, in dem das Monitoring des SAP-Systems getestet wurde. Im Projektteam hatte die Bank dann die Projektleitung inne und steuerte das Know-how zu Fachanwendungen über ihre Fachanwendungsbetreuer bei. Consist übernahm mit seinen Splunk- und Security-Consultants die Konzeption und Umsetzung mit Splunk.

Das SIEM ist für das in der Bank übliche Staging (Entwicklungs-, Test- und Produktivstage) ausgelegt, wobei der Transfer von Apps, Dashboards, Konfigurationen und Suchen (Regeln) von einer zur nächsten Stage des SIEM weitgehend automatisiert erfolgt.

Alerts und Dokumentation sind wesentliche Bestandteile des Systems. Das Projektteam übergab das System nahtlos in die Betreuung der Managed Services von Consist. Der laufende Betrieb mit allen notwendigen Anpassungen des SIEM an alle Datenanbindungen und Regeln wird dort ausgeführt.

Die Bank arbeitet mit den Auswertungen aus dem System und prüft bei Alarmen, ob Maßnahmen ergriffen werden müssen. Da das System die bankfachlichen Anwendungen umfasst und nicht die Basissysteme, ist die Alarm/Incidentbearbeitung durch die Fachanwendungsbetreuer und die Verantwortlichen der Fachabteilungen möglich. Eine übergreifende Kontrolle erfolgt durch die Security-Abteilung der Bank.

4. Kundennutzen

Die Einbindung privilegierter User ins kontinuierliche Monitoring senkt Risiken und vermindert die Bedrohungsfläche, weil Kompromittierungen schneller entdeckt werden können. Die Aufdeckung von Insider Threats wird erleichtert.

Durch systemübergreifende Normierungen der Datenhaltung des SIEM (bei Splunk als Common Information Model (CIM) bekannt), ergänzend zu den Rohdaten, ist das System auch künftig gut erweiterbar und robust gegen Änderungen in den Anwendungssystemen.

Das System speichert alle Daten revisionssicher im Rohformat. Die Incidentbearbeitung dokumentiert das System automatisiert und bietet Auditfunktionalitäten für die Incidentbearbeitung und den Betrieb des Systems.

BSI-, EZB- und BaFin-Sicherheitsanforderungen werden so erfüllt[1].

PRAXISTIPPS

  • Security-Know-how und -Erfahrung sind die Basis für SIEM- und SOAR-Projekte.
  • SIEM und SOAR sind ein starkes Gespann.
  • Ziel muss es sein, die Zahl der Regeln im SIEM zu minimieren.
  • SOAR ist der Schlüssel zur Effizienzverbesserung in Security-Teams.
  • Anwendungssysteme liefern häufig ungeeignete Logs, Abhilfe kann selektives Sessionrecording sein.

Weitere Informationen:

Über Consist: www.consist.de

Presse-Service: www.consist.de/presse

 

 

 

Beitragsnummer: 55353

Facebook, Fanpages und der Datenschutz

RA, Dr. Ulrich Hallermann, Rechtsanwalt und Fachanwalt für Arbeitsrecht, Investitions- und Strukturbank Rheinland-Pfalz (ISB)[1]

 

Banken unterhalten Fanpages auf Facebook, um für sich zu werben und mit vorrangig jungen Personen in Kontakt zu kommen. Dieses Ansinnen ist verständlich, da Facebook für junge Personen ein bevorzugtes Kommunikationsmedium ist. Indes sind die damit verbundenen datenschutzrechtlichen Risiken erheblich. Nach einer aktuellen Entscheidung des EuGH ist die Bank als Betreiber der Fanpage neben Facebook datenschutzrechtlich verantwortlich (Az. C 210/16).

Jedoch ist nicht bekannt, was Facebook im Einzelnen mit den personenbezogenen Daten macht und zu welchen Zwecken die personenbezogenen Daten weiterverarbeitet werden. Der Fanpagebetreiber kann also kaum über die Verarbeitung ordnungsgemäß belehren bzw. eine Einwilligung des Betroffenen einholen.

SEMINARTIPPS

(Un-)Abgestimmte Informationssicherheits- und Datenschutz-Tätigkeiten, 21.03.2019, Frankfurt/M.

Unterschätzte Pflichten zum Beschäftigten Datenschutz aus neuer DSGVO, 10.04.2019, Frankfurt/M.

Prüfung DSGVO-Umsetzung, 22.–23.05.2019, Frankfurt/M.

Für beide Verstöße ist aber die Bank als Fanpagetreiber verantwortlich und riskiert die Verhängung von Bußgeldern bzw. die Verurteilung zur Zahlung von Schadensersatz. Vor diesem Hintergrund ist zu empfehlen, die Fanpages offline zu stellen. Dies zumindest so lange, bis Facebook seine Datenschutzprozesse verbessert hat.

Nachfolgend werden die Fragen wiedergegeben, welche die Aufsicht an den Betreiber einer Fanpage nunmehr vorrangig stellt (https://www.datenschutzzentrum.de/uploads/facebook/20180905-DSK-Facebook-Fanpages.pdf):

  1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gem. der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO).
  2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
  3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
  4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
  5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
  6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
  7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert.
  8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?

PRAXISTIPPS

  • Prüfen: Fanpages offline stellen, bis Facebook seine Datenschutzprozesse verbessert hat?
  • Prüfen: Einwilligung der Fanpagebesucher in die Datenverarbeitung (technisch umsetzbar ?)
  • Individuelle Datenschutzbelehrung für die Fanpage erstellen und hierbei die relevanten Datenverarbeitungsprozesse beschreiben.

 

Sie erreichen den Autor per Mail unter info@kanzlei-hallermann.de. Die nachfolgenden Ausführungen geben die persönliche Rechtsmeinung des Autors wieder und ersetzen keine individuelle anwaltliche Beratung im Einzelfall.

Beitragsnummer: 54178

Juni 2018: Stellungnahme der Aufsicht zum EUGH Urteil in Sachen Facebook


Ihr Account ist nicht für das Rechtsmonitoring freigeschaltet


Um die Rechtsmonitoring-Funktionalitäten nutzen zu können, müssen Sie erst einen Zugang erwerben!


Wenn Sie einen Probemonat erwerben möchten schicken Sie uns eine E-Mail mit dem Betreff: "Probemonat Rechts- und Regulatorikmonitoring" an info@fc-heidelberg.de

IT-Compliance im Three Lines of Defence Modell (TLoD)

Agile IT-Bedrohungen erfordern ein angemessenes und wirksames Risikomanagement. Richtig implementiert haben die drei Verteidigungslinien genug Abwehrkräfte

Pascal Ritz, Geschäftsführer, Justo Unternehmensberatung GmbH

Ein Modell um Sie zu schützen …

Bei den Verteidigungslinien handelt es sich um eine Organisationsstruktur für das Risikomanagement. Erstmals veröffentlicht wurden die Grundüberlegungen hierzu von dem Dachverband der europäischen Revisionsinstitute (ECIIA). In der Zwischenzeit ist es aus dem Sprachgebrauch der Kreditinstitute nicht mehr wegzudenken. In den wenigsten Fällen erfolgt jedoch eine strukturierte Implementierung und Zuordnung von konkreten Rollen und Kompetenzen.

Augenscheinlich ist es sehr einfach. Die 1. Verteidigungslinie ist durch ihre operative Tätigkeit unmittelbar für die Bedrohungssituation sowie das daraus resultierende Risiko verantwortlich. Wenig verwunderlich ist es daher, wenn die dort handelnden Personen auch für die aus der Risikosteuerung bekannten Teilaspekte der Beurteilung, Steuerung und Überwachung von (IT-)Risiken verantwortlich sind.

Die zweite Verteidigungslinie legt die Leitlinien und sonstigen Rahmenbedingungen für die erste Verteidigungslinie fest. Sie führt auch Kontroll- und Überwachungshandlungen durch. Hierdurch werden die Angemessenheit und Wirksamkeit der Risikosteuerungsmaßnahmen der 1. Verteidigungsebene evaluiert.

Als unabhängige Prüfungsfunktion tritt die Interne Revision als 3. Verteidigungslinie auf. Sie stellt ohne Einbindung in die Prozesse u. a. dar, ob Risiken zutreffend evaluiert, bewertet – und sofern erforderlich – einer wirksamen Risikominimierung zugeführt wurden.

 

 BUCHTIPP

Held/Kühn (Hrsg.): Praktikerhandbuch IT- und Informationssicherheitsbeauftragter, 2018.

 

Derartige Verteidigungslinien sind folglich wie Dämme oder Deichanlagen. Wenn der erste Damm bricht, sollte dieses durch den zweiten, spätestens jedoch durch den dritten Damm aufgefangen werden. Das zu schützende Hinterland ist in diesem Beispiel das Eigenkapital des Instituts, welches maximal nur mit dem kalkulierten Umfang für Verluste haften sollte.

Theoretisch somit ein gutes Konstrukt. Die Herausforderung in der Praxis besteht insbesondere aus der koordinierten und effizienten Verzahnung der Kontroll- und Überwachungstätigkeiten. Denn die zweite Verteidigungslinie ist nicht nur das Spielfeld des Informationssicherheitsbeauftragten bzw. des Business Continuity Managers. Auch der Datenschutz-, der MaRisk- und WpHG-Compliance-Beauftragte, der Geldwäschebeauftragte, die Zentrale Stelle sowie das zentrale Auslagerungsmanagement sind in der zweiten Verteidigungslinie aktiv. Unkoordiniert entstehen häufig ineffiziente Doppelarbeiten oder aber blinde Flecken auf der Kontrolllandkarte durch Irrglauben und Bereichsegoismus. Das Modell der drei Verteidigungslinien erfordert daher eine grundlegende Klärung des jeweiligen Rollenverständnisses, einer einheitlichen Vorgehensweise sowie eine regelmäßige Abstimmung.

Ein einheitlicher Standard um angemessen, wirksam und effizient zu sein …

Die unterschiedlichen Einführungszeitpunkte für die jeweiligen Funktionen der zweiten Verteidigungslinie tragen eine Mitschuld an der häufig in der Gesamtschau unkoordinierten und ineffizienten Durchführung der Kontroll- und Überwachungshandlungen. Jede aufsichtsrechtliche Funktion betrachtet das Institut aus dem eigenen Blickwinkel. Mehrfache Risikoanalysen, fehlende einheitliche Definitionen und Aufgriffsgrenzen führen zu Doppelarbeiten und unterschiedlichen Bewertungen identischer Sachverhalte.

Unter Wahrung der Unabhängigkeit der einzelnen Funktionen, dennoch gemeinschaftlich, sind eine einheitliche Gefährdungsanalyse und ein abgestimmter Kontrollplan für alle Funktionen die Lösung der Probleme. Der Kontrollplan ist nicht nur inhaltlich, sondern auch zeitlich aufeinander abzustimmen. Denn eine Extrembelastung durch die zeitgleiche Penetrierung mehrerer Überwachungsfunktionen ist einem Fachbereich im Regelfall nur schwer vermittelbar.

 

 SEMINARTIPPS

Notfallmanagement – Anforderungen an Planung, Testing und Prüfung, 25.03.2019, Köln.

Identifizierung & Prüfung von IDV, 26.03.2019, Köln.

Pflichten des ISB: Prüfungs- und Praxiserfahrungen, 07.05.2019, Frankfurt/Offenbach.

IT-Risikomanagement aktuell, 08.05.2019, Frankfurt/Offenbach.

 

Vorteil einer einheitlichen Risikoanalyse ist darüber hinaus, dass die unterstellten Eintrittswahrscheinlichkeiten und potenziellen Schadenpotenziale mit dem Fachbereich diskutiert werden können. Hierdurch wird die Entwicklung der Risikokultur ebenfalls positiv beeinflusst. Darüber hinaus wird die zweite Verteidigungslinie bei den Fachstellen in derartigen Situationen eher als Unterstützung und nicht als Verhinderer gesehen. Es handelt sich jedoch um mehr als um ein Instrument des Selbstmarketings zur Aufbesserung des Images der zweiten Verteidigungslinie.

Wie immer ist es auch hier eine Frage der Kommunikation. Daher sind ebenfalls eine einheitliche Berichtsstruktur, identische Begrifflichkeiten und Definitionen erforderlich. Dem Empfänger des Berichtes wird durch ein einheitliches Vorgehen die Erfassung und die darauf folgende Steuerung der Risiken deutlich einfacher gemacht.

Ist ein derartig kollektives Vorgehen mit den handelnden Personen oder durch die vorherrschende Kultur im Unternehmen (noch) nicht vereinbar, sollte es zumindest regelmäßige Abstimmungen über den jeweiligen Kontroll- und Überwachungsplan sowie eine gegenseitige Information bei wesentlichen Erkenntnissen und Feststellungen geben. Die Anforderungen an das eingesetzte Personal dürfen hierbei nicht unterschätzt werden.

Sowohl die Komplexität als auch die Veränderungsgeschwindigkeit sind hoch. Dieses stellt Herausforderungen für die aktuelle und künftige fachliche und persönliche Eignung der zweiten Verteidigungslinie dar. Einerseits ist ein Verständnis für heutige technische Lösungen sowie für die aus der Implementierung von Informationstechnik resultierenden Risiken erforderlich. Andererseits sind jedoch auch Trends, neue Technologien und technische Verfahren im Blick zu behalten. Nur so kann auf Veränderungen der Risikolage präventiv reagiert und ein angemessenes und wirksames Internes-Kontroll-System aufrechterhalten werden.

PRAXISTIPPS

  • Reduzieren Sie Kommunikationsrisiken durch eine einheitliche „Sprache“.
  • Definieren Sie den Begriff „Wesentlichkeit“ für Ihr Institut.
  • Schaffen Sie Transparenz über evaluierte Risiken sowie die abgeleiteten Kontroll- und Überwachungshandlungen der zweiten Verteidigungslinie.
  • Reduziert jede Kontrollhandlung mehr Schadenpotenzial, als sie an Aufwand produziert?
  • Überdenken Sie die bisher gelebte Praxis in Bezug auf Angemessenheit, Wirksamkeit und mögliche Effizienzgewinne. Insbesondere eine einheitliche Risikoanalyse und die konsistente Ableitung abgestimmter Kontrollhandlungen heben vielfältige Synergieeffekte.
  • Sorgen Sie für eine verbindliche Zuordnung von konkreten Rollen und Kompetenzen.

 

 

 

Beitragsnummer: 46820