-
Von der Kür zur Pflicht: B3S für Krankenhäuser
von Dr. Klaus-Dieter Krause Das Thema Sicherheit beim Einsatz von digitalen Prozessen spielt in Krankenhäusern nicht erst seit dem Frühjahr 2016 eine wichtige Rolle, als die durch die Ransomware „Locky“ bekannt gewordenen Zwischenfälle unzählige Prozesse in den betroffenen Häusern nachhaltig negativ beeinflussten. Der Kostendruck sowie die u.a. damit verbundene Digitalisierung vieler Prozesse in den Krankenhäusern hat dazu geführt, dass die…
-
ISACA Germany Chapter veröffentlicht Leitfaden zu IT-Compliance
Der ISACA ist der weltweit führende Berufsverband für die Themen IT-Revision und IT-Governance. Bekannt ist der ISACA vor allem durch sein international anerkanntes Framework COBIT. Neben COBIT veröffentlichen auch die ISACA Landesverbände immer wieder interessante und praxisorientierte Leitfäden durch ihre Fachgruppen. Im Januar 2021 hat die Fachgruppe „IT-Compliance“ des ISACA Germany Chapters mit Hilfe des dpunkt.Verlags den Leitfaden „IT-Compliance –…
-
ISO27001: Nach dem Audit ist vor dem Audit
Das Zertifizierungsaudit ist überstanden, vor einer Weile sind Report und Urkunde angekommen, die bestätigen, dass man ein funktionierendes Informationssicherheitsmanagement System besitzt (kurz „ISMS“). Nun lehnen sich viele zurück „endlich geschafft, nun können wir wieder arbeiten.“ Dieser vermeintlich harmlose Satz birgt allerdings jede Menge Sprengstoff in sich. Erst einmal ist der Satz ein Zeichen das Informationssicherheit und all die Prozesse, die…
-
Herausforderungen der IT-Strategie in agilen Organisationen
Die Bundesfinanzanstalt (BaFin) hat in ihrem letzten Rundschreiben 10/2017 für BAIT die Mindestanforderungen an die IT-Strategie konkretisiert und empfehlt den Geschäftsführern die Anforderungen zur strategischen Ausrichtung von IT-Systemen. Dafür sollte die gesamte IT-Infrastruktur von Vorstand und Aufsichtsrat einmal jährlich einer genauen Überprüfung unterzogen werden.
-
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil A – Allgemeine Risiken
Abhängig vom gewählten Implementierungsmodell ergibt sich beim Einsatz von Cloud-Computing ein Kontrollverlust. Sicherheitsmaßnahmen des Internen Kontrollsystems liegen zumindest teilweise im Hoheitsbereich des Dienstleisters1. Aus diesem Grund lassen sich aus Anwendersicht innerhalb eines IKS nicht oder nur sehr schwierig alle Risikobereiche einer Cloud-Umgebung abdecken. Empfehlungen und prozessunabhängige Kontrollen für Cloud-Risiken Im folgenden Abschnitt wird auf die zuvor identifizierten Risiken eingegangen. Es…
-
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil B – Cloud-spezifische Risiken
Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil). Kontroll-ID Kontrollziel Maßnahme…
-
Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil C – Compliance
Datenschutz Wie in Teil 3: „Rechtliche Aspekte beim Cloud Computing“ beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist ein angemessenes Datenschutzniveau sicherzustellen. Einen…
-
Cloud Computing: Service-Level Agreements, Zertifikate und Auditierung
Relevante Aspekte der Cloud-Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.
-
KRITIS – was bedeutet das für uns?
KRITIS – Ist mein Unternehmen betroffen und was heißt das? Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS-Verordnung (PDF) und dem IT-Sicherheitsgesetz wird versucht, eine einheitliche Basis zu schaffen, um Was eine kritische Infrastruktur ist, wird vom BMI (Bundesministerium des Inneren) festgelegt und über Kriterien mit dem KRITIS-V-Gesetz geregelt. Die IT…
-
EU-DSGVO: Das neue Datenschutzrecht – Wissenswertes zusammengefasst
Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist zum 25.05.2016 in Kraft getreten und wird zum 25.05.2018 wirksam. Damit wird sie ab dem 25.05.2018 die bereits seit 1995 geltende EU-Datenschutzrichtlinie Richtlinie 95/46/EG und das Bundesdatenschutzgesetz (BDSG) mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen. Verglichen mit anderen Ländern wird sich in Deutschland nicht…
