Risikovorsorge und Compliance


Einige für die IT-Berechtigungsverwaltung relevante Gesetze, Normen und Standards





8. EU-Richtlinie („EuroSOX“)


Die Bundesregierung hat die 8. EU-Richtlinie im Rahmen des Bilanzmodernisierungsgesetzes (BilMoG) in geltendes nationales Recht umgesetzt. Die neuen Bilanzierungsregelungen sind verpflichtend für Geschäftsjahre ab dem 1. Januar 2010 anzuwenden.

Wirtschaftsprüfer sollen verstärkt die Anforderungen an die Informationssicherheit in den Unternehmen prüfen, weil sie selbst strengeren Kontrollen der Aufsichtsbehörden unterliegen. Die Notwendigkeit eines internen Kontrollsystems (IKS) wurde durch das BilMoG bestätigt.

Im Gegensatz zu SOX sind von EURO-SOX alle Kapitalgesellschaften betroffen, nicht nur börsennotierte Firmen. Damit werden auch mittelständische und kleinere Unternehmen gezwungen, sich mit den Themen Risikomanagement, IT-Security und Sicherheits-Audits intensiver auseinanderzusetzen.

Mehr Informationen zu EuroSOX auf Wikipedia
Volltext der Richtlinie bei der Europäischen Kommission



AEO-Zertifizierung


Authorized Economic Operator (AEO) = Zugelassener Wirtschaftsbeteiligter (ZWB)

Als „Zugelassener Wirtschaftsbeteiligter“ wird im Zollrecht der Europäischen Union ein geprüftes Unternehmen bezeichnet, das bei Zollverfahren spürbare Erleichterungen und Begünstigungen im internationalen Handelsverkehr genießt.
Die Norm fordert umfangreiche Voraussetzungen hinsichtlich Zuverlässigkeit, Zahlungsfähigkeit, Einhaltung von Rechtsvorschriften sowie der Erfüllung bestimmter Sicherheitsstandards geknüpft, z. B. bei der Zugriffssicherheit.

Mehr zur AEO-Zertifizierung beim Zoll



Basel II


Basel II bezeichnet die Gesamtheit der Eigenkapitalvorschriften, die vom Basler Ausschuss für Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Die Umsetzung in deutsches Recht erfolgte durch die Solvabilitätsverordnung (SolvV).

IT-relevant werden diese Regeln dadurch, dass Banken bei der Entscheidung über eine Kreditvergabe auch "operationelle Risiken" des Kreditnehmers berücksichtigen müssen. Da die IT-Nutzung ein solches operationelles Risiko darstellt, gilt: Defizite in der IT können hohe Sollzinsen oder gar Kreditabsagen bewirken.

Im Dezember 2010 wurde die vorläufige Endfassung von Basel III veröffentlicht, wenngleich noch einzelne Aspekte in Diskussion sind. Die Umsetzung soll ab 2013 schrittweise in Kraft treten.

Mehr zu Basel II auf Wikipedia
Mehr zu Basel III auf Wikipedia



BDSG


Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Bundesländer und anderen bereichsspezifischeren Regelungen den Umgang mit personenbezogenen Daten, die in IT-Systemen oder manuell verarbeitet werden.

Laut BDSG […] sind insbesondere Maßnahmen zu treffen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)

[…] zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)

Das deutsche Bundesdatenschutzgesetz (BDSG) wird durch die geplante Europäische Datenschutz-Grundverordnung (DSGVO-EU) ersetzt und reformiert.

Mehr über das BDSG bei Wikipedia
Das Bundesdatenschutzgesetz beim Bundesministerium für Justiz



BSI Grundschutz


IT-Grundschutz bietet eine einfache Methode, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) stellt zahlreiche Werkzeuge zur Verfügung, um ein angemessenes Sicherheitsniveau zu erreichen, wie z. B. die BSI-Standards zum Informationssicherheitsmanagement oder die IT-Grundschutz-Kataloge. Einige Themen darin, die Datensicherheit und Zugriffsschutz betreffen:

M 2.199  Aufrechterhaltung der Informationssicherheit
M 2.220  Richtlinien für die Zugriffs- bzw. Zugangskontrolle
M 2.30  Regelung für die Einrichtung von Benutzern / Benutzergruppen
M 2.31  Dokumentation der zugelassenen Benutzer und Rechteprofile
M 2.336  Übernahme der Gesamtverantwortung für Informationssicherheit  durch die Leitungsebene
M 2.360  Sicherheits-Audits und Berichtswesen bei Speichersystemen
M 2.370  Administration der Berechtigungen unter Windows
M 2.63 Einrichten der Zugriffsrechte
M 2.8  Vergabe von Zugriffsrechten
M 4.309  Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste
M 4.312  Überwachung von Verzeichnisdiensten
M 5.10  Restriktive Rechtevergabe

Die IT-Grundschutzkataloge beim BSI
BSI-Anforderungen erfüllen mit econet PDF 140KB
Tabellarischer Vergleich von ISO 27001 bzw. ISO 27002 und IT-Grundschutz BSI



COBIT


COBIT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT-Governance. Es gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben). COBIT definiert hierbei nicht vorrangig, wie die Anforderungen umzusetzen sind, sondern primär darauf, was umzusetzen ist. Zum Thema COBIT gibt es verschiedene Möglichkeiten der Zertifizierung.

DS 5.3 Benutzerprofil-Management: Sicherstellung, dass Benutzerzugriffsrechte auf Systeme und Daten konform mit festgelegten und dokumentierten Geschäftsanforderungen sind, und diese Anforderungen den Benutzerprofilen zugeordnet sind.

DS 5.4 Benutzerkontenverwaltung: Rechte und Vorgaben für den Zugriff auf Unternehmenssysteme und -informationen sollen für alle Benutzertypen festgehalten werden. Regelmäßige Überprüfungen aller Benutzer-konten und entsprechender Benutzerrechte sind vorgeschrieben.

Mehr zu COBIT bei Wikipedia




DSGVO-EU - Europäische Datenschutz-Grundverordnung (in Planung)


DSGVO-EU - Europäische Datenschutz-Grundverordnung

EU-DSGVOBei der europäischen Datenschutz-Grundverordnung handelt es sich um eine Verordnung der Europäischen Union.
DSGVO-EU hat das Datenschutzrecht in Europa vereinheitlicht und ersetzt nationale Regelungen wie das BDSG. Die DSGVO ist seit Mai 2017 in Kraft.
Aus Artikel 23 DSGVO-EU „Technik-Voreinstellungen“ des Entwurfs gehen Pflichten für eine geregelte Benutzer- und Berechtigungsverwaltung in IT-Systemen für die Verarbeitung personenbezogener Daten hervor:

„Die Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“

Zum Text der Europäischen Union für die Europäische Datenschutz-Grundverordnung




FDA-Vorschrift 21 CFR Part 11


Alle Standorte der Pharma-, Kosmetik- und Lebensmittelindustrie, die Produkte für den US-Markt herstellen sind von der Norm 21 der US-amerikanischen Food and Drug Administration (FDA) betroffen.

21 CFR Part 11 fordert u. a. die „Beschränkung des Systemzugriffs für berechtigte Personen“ (§ 11.10d) sowie „die Durchführung von Rechte- und Rollenüberprüfungen um zu gewährleisten, dass nur berechtigte Personen das System benutzen“ (§ 11.10g).

Mehr dazu bei der FDA: Code of Federal Regulations, Title 21, Part 11



FINMA RS 08/21


Die Rundschreiben 2008/21 „Operationelle Risiken Banken“ der eidgenössischen Finanzmarktaufsicht finma ist seit seit 1.1.2015 bindend für alle Schweizer Banken und Dienstleister im Finanzsektor.

Es gilt zu definieren, wer innerhalb des Unternehmens Zugriff auf die Kundendaten hat, wer das Recht hat, den Zugriff zu bewilligen, wer für die jeweiligen Geschäftsprozesse verantwortlich zeichnet und wer die Datenhoheit besitzt.

Das Rundscheiben 2008/21 als PDF (380KB) 




GoBS/GDPdU


Ein wesentlicher Kernpunkt der in § 238 des Handelsgesetzbuch verankerten „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)“ ist das Interne Kontrollsystem (IKS).

„[…] Ziel der Datensicherungsmaßnahmen ist es, die Risiken für die gesicherten Programme/Datenbestände hinsichtlich Unauffindbarkeit, Vernichtung und Diebstahl zu vermeiden.“


Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) verpflichten Unternehmen, „Risiken für steuerlich relevante Datenbestände zu vermeiden.“

Mehr zu GoBS bei Wikipedia
Mehr zu GDPdU bei Wikipedia
GDPdU-Text bei Projekt Consult



IFRS


Die International Financial Reporting Standards (IFRS) sind eine Sammlung von Standards und Interpretationen, die von einem unabhängigen privaten Gremium, dem International Accounting Standards Board (IASB), entwickelt werden. In diesen Standards und Interpretationen werden Regeln zur externen Berichterstattung von kapitalmarktorientierten Unternehmen aufgestellt.

Abschlüsse, die nach den IFRS aufgestellt werden, sollen Informationen über die Vermögens-, Finanz- und Ertragslage des Unternehmens liefern. Dabei soll sowohl der Grundsatz der Periodenabgrenzung als auch der Grundsatz der Unternehmensfortführung berücksichtigt werden.

Verständlichkeit, Entscheidungsrelevanz, Wesentlichkeit, Zuverlässigkeit und Vergleichbarkeit sind die qualitativen Anforderungen, denen der Abschluss genügen muss.

Mehr auf dem IFRS/IAS-Portal



ISAE 3402 und SSAE 16, Nachfolger von SAS 70


Werden Leistungen von Drittanbietern in Anspruch genommen, die sich unmittelbar auf die Finanzberichte auswirken, muss sich das Unternehmen vergewissern, dass bei seinen externen Dienstleistern entsprechende Kontrollmechanismen eingerichtet sind.

Bisher war der Standard SAS 70 hier die international anerkannte Referenz. Am 15. Juni 2011 wurde SAS 70 von zwei neuen Standards abgelöst, einem internationalen - ISAE 3402 - und einem amerikanischen - SSAE 16 - Standard, die für alle Berichte über Perioden gelten, die am oder nach dem 15. Juni 2011 enden. Die Ausstellung erfolgt durch einen Wirtschaftsprüfer.

Mehr bei mITSM.de




ISO/IEC 27001


Soll ein Managementsystem für Informationssicherheit (engl.: Information Security Management System, ISMS) zertifiziert werden, ist dies nur über die Erfüllung der Anforderungen nach ISO/IEC 27001 möglich. Diese Norm spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Systems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Dieses Zertifikat gilt als signifikantes Plus bei einer Beurteilung nach Basel II oder SOX.

Mehr unter www.mitsm.de/iso-27001-wissen-fragen-antworten

 

ISO/IEC 27002


Diese Norm definiert sich als „umfassende Auswahl an Kontrollmechanismen, die auf Methodik und Verfahren basieren, die sich in der Informationssicherheit bewährt haben“. Grundlage für die Standardisierung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also um einen „Best-practice“-Ansatz wie bei ITIL.

Zur Web-Präsenz der ISOAus ISO 27002 Tz. A.11 „Access Control“:
3.2 Access Restrictions: Zugriffe auf IT-Systeme und Daten sind restriktiv und sicher wie möglich zu implementieren.
3.31 Segregation of Duties within Applications: Sicherstellung, dass die Gewaltentrennung innerhalb von IT-Systemen gewährleistet ist.
3.42 Management and Monitoring of User Accounts: Es sind Mechanismen etabliert, welche die Veränderung von User-Accounts und User-Profilen lückenlos überwacht, um Risiken unbefugter und unangemessener Zugriffe auf IT-Systeme (Applikationen) und (deren) Daten auszuschließen.

Mehr bei Wikipedia zu ISO/IEC 27002

 

Zuordnungstabelle ISO 27001 / IT-Grundschutz


Einen Vergleich in tabellarischer Form von ISO 27001 bzw. ISO 27002 und IT-Grundschutz finden Sie hier beim BSI.



ISO/IEC 27018


Datenschutzrechtliche Anforderungen an Cloud-Service-Anbieter (Security techniques – Code of practice for controls to protect personally identifiable information processed in public cloud computing services).

Inhaltlich baut die Norm auf existierende Standards – insbesondere ISO/IEC 27002 – auf. Allerdings geht es bei ISO/IEC 27018 speziell um die Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud.

Mehr zu ISO/IEC 27018 bei ISO




ISO/IEC 38500


„Corporate Governance in Information Technology“, so lautet die Bezeichnung des ISO/IEC-Standards, der im Jahr 2008 verabschiedet wurde und als ISO/IEC 38500:2008 bekannt ist. ISO 38500 ist ein internationaler Standard, der definiert und beschreibt, wie Unternehmen eine auf Best Practices basierende IT-Governance aufbauen können.

Dieses Referenzmodell ist vor allem an die obere Führungsebene und Entscheidungsträger gerichtet, um diese in der Wahrnehmung ihrer Verantwortung für eine effektive, effiziente und rechtskonforme Nutzung der IT zu leiten. Eine zentrale Rolle spielen dabei die systematische Bewertung des IT-Einsatzes sowie die kontinuierliche Überwachung der Planrealisierung.

Mehr zu ISO/IEC 38500 bei ISO



ISO 9001


Mängel in den Prozessen werden oft zuerst in fehlerhaften Produkten sichtbar. Die Norm ISO 9001 beschreibt modellhaft das gesamte Qualitätsmanagementsystem. Damit legt das Unternehmen fest, welche Vorgaben umgesetzt werden müssen, um die Effektivität zu erhöhen und eine Sicherung der Qualität in allen Abteilungen/Schnittstellen zu gewährleisten, inklusive dem Beitrag der IT.

Branchenspezifische Standards wie der IFS Food bauen auf der ISO 9001 auf.

Mehr zu EN ISO 9001 bei Wikipedia



ITIL Access Management


Access Management ist in ITIL (internationaler De-facto-Standard im Bereich IT-Geschäftsprozesse) ein Teil der Service Operation. Access Management soll dafür Sorge tragen, dass nur autorisierten Anwendern das Recht zur Nutzung eines Service gewährt wird und gleichzeitig den Zugriff für unautorisierte Anwender zu unterbinden.

ITIL Access Management umfasst die Teil-Prozesse:

- Verwalten von Anwender-Rollen und Berechtigungs-Profilen
Sicherstellen, dass der Katalog der Benutzer-Rollen und Berechtigungs-Profile zur Palette der IT-Services und Anwendungssysteme passt sowie Verhindern einer ungewollten Anhäufung von Zugriffs-Berechtigungen.

- Bearbeiten von Berechtigungs-Anträgen
Bearbeiten von Anfragen zum Hinzufügen, Ändern oder Löschen von Zugriffsrechten und Sicherstellen, dass nur autorisierten Anwendern das Recht zur Nutzung eines Service gewährt wird.

Mehr zu ITIL Access Management auf wiki.de.it-processmaps.com

 



IT Sicherheitsgesetz


Das IT Sicherheitsgesetz sieht vor, dass Betreiber „kritischer Infrastrukturen" diese entsprechend vor Hackerangriffen schützen und IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen. Betroffen von dem neuen Gesetz sind alle Unternehmen, deren IT-Verfügbarkeit sich auf das Gemeinwohl auswirkt. Zur kritischen Infrastruktur – KRITIS – zählen Unternehmen aus den Branchen Energieversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanzwesen und Versicherungen sowie Gesundheit und Lebensmittel.

Mehr Informationen zum IT-Sicherheitsgesetz: http://www.computerwoche.de/a/fakten-zum-it-sicherheitsgesetz,3217092




KonTraG


Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, kurz KonTraG, ist ein umfangreiches Artikelgesetz, das der Deutsche Bundestag am 5. März 1998 verabschiedete. Es trat am 1. Mai 1998 in Kraft (wenn auch einige Vorschriften erst später angewandt werden mussten bzw. durften). Es gilt als deutsches Pendant zum amerikanischen SOX

Nach § 91 Abs. 2 des AktG ist der Vorstand verpflichtet „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Dies gilt nach § 43 GmbHG auch für Geschäftsführer größerer GmbH.

Gemäß KonTraG ist ein Unternehmen unter anderem zum IT-Risiko-Management und zur Schaffung sicherer Netzwerkinfrastrukturen verpflichtet. Daraus leiten sich Maßnahmen zur Absicherung der IT-Infrastruktur hinsichtlich Audits (lückenloser Kontrolle) und Nachweispflichten über Berechtigungsstrukturen ab.

Mehr über KonTraG bei Wikipedia
Gesetzestext bei der IHK Koblenz



MaRisk der BaFin


Die MaRisk (Mindestanforderungen an das Risikomanagement) der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) konkretisieren den § 25a KWG (Gesetz über das Kreditwesen) und sind die Umsetzung der bankaufsichtlichen Überprüfungsprozesse nach Basel II.

Kreditinstitute müssen laut der Mindestanforderungen an das Risikomanagement (MaRisk) von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) "Prozesse für eine angemessene IT-Berechtigungsvergabe" einrichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt. Die Eignung der IT-Systeme und der zugehörigen Prozesse sei zudem regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.

Mindestanforderungen an das Risikomanagement bei der BaFin
Mehr über die sichere IT-Berechtigungsverwaltung bei Banken PDF 200KB
oder unter www.econet.de/idm-finanzsektor



PCI DSS


Jeder Händler, der Kreditkartenzahlungen über seine Systeme verarbeitet oder speichert, unterliegt der Zertifizierungspflicht nach dem Payment Card Industry Data Security Standard.

Ziel des Payment Card Industry Data Security Standard ist die Verbesserung der Sicherheit von Kreditkartendaten und des Online-Zahlungsverkehrs, sofern dieser über Kreditkartenzahlungen abgewickelt wird. Eine zentrale Anforderung dabei ist der Schutz der Kreditkartendaten durch die sichere Berechtigungszuweisung für den Datenzugriff und für die Administration der Systeme.

7.1.1 Einschränkung der Zugriffsrechte auf niedrigste Stufe, die zur Erfüllung der Prozessabwicklung notwendig ist.
7.2.2 Zuteilung der Benutzerrechte an Einzelanwender auf Basis der Jobklassifizierung und Funktion.

Betroffene Unternehmen, die sich nicht an die Vorgaben des Standards halten, können mit Strafzahlungen und Sanktionen bis hin zum Ausschluss der Teilnahme am Kreditkartenzahlungsverkehr belegt werden.

Mehr zu PCI DSS bei Wikipedia



Sarbanes-Oxley Act


Der Sarbanes-Oxley Act von 2002 (SOX), ist ein US-Gesetz zur Verbesserung der Unternehmensberichterstattung in Folge der Bilanzskandale von Unternehmen wie Enron oder Worldcom.

Ziel des Gesetzes ist es, das Vertrauen der Anleger in die Richtigkeit der veröffentlichten Finanzdaten von Unternehmen wiederherzustellen. Das Gesetz gilt für inländische und ausländische Unternehmen, die an US-Börsen oder der NASDAQ gelistet sind, sowie für ausländische Tochterunternehmen amerikanischer Gesellschaften.

Kern der im in diesem Gesetz aufgeführten Regeln ist die Einrichtung eines angemessenen internen Kontrollsystems (IKS) für alle Daten, die für die Rechnungslegung relevant sind. Dies macht unter anderem die Einführung von Software-Tools zur Dokumentation und Bewertung der internen Prozesse und Kontrollen notwendig.

Mehr über SOX bei bei Wikipedia
Experten des mITSM: SOX-Anforderungen an europäische IT-Dienstleister
Sarbanes-Oxley Act Gesetzestext (englisch)




Wichtiger Hinweis
Die hier veröffentlichten Texte zum Thema Compliance dienen der allgemeinen Bildung und Weiterbildung und nicht der Beratung im Falle eines aktuellen Rechtsstreits. Trotz aller waltender Sorgfalt ist es möglich, dass Sie hier auf unrichtige, unvollständige, veraltete, widersprüchliche, in falschem Zusammenhang stehende oder verkürzte Angaben treffen. Bitte beachten Sie: Die im Internet abrufbaren Gesetzestexte sind nicht die amtlichen Fassungen. Diese finden Sie nur im Bundesgesetzblatt.