von Egle Köhler
Einführung
Die Bundesfinanzanstalt (BaFin) hat in ihrem letzten Rundschreiben 10/2017 für BAIT die Mindestanforderungen an die IT-Strategie konkretisiert und empfehlt den Geschäftsführern die Anforderungen zur strategischen Ausrichtung von IT-Systemen. Dafür sollte die gesamte IT-Infrastruktur von Vorstand und Aufsichtsrat einmal jährlich einer genauen Überprüfung unterzogen werden.
Nachhaltigkeit, Nachhaltigkeitsberichterstattung, EU-Taxonomie, Lieferkettensorgfaltspflichtengesetz, Corporate Sustainability Reporting Directive (CSRD), Corporate Social Responsibility (CSR) in Verbindung mit dem Klimawandel, der Dürre- und Hitzeperiode, mit der Energiekrise und mit aufgetretenen Green-Washing-Fällen haben alle eines gemeinsam:
Es gibt keine übergreifenden Prüfschemata, die sich auf alle drei Säulen der Nachhaltigkeit beziehen. Viele Unternehmen nutzen eine rein ökologische Sichtweise, lassen aber die ökonomische und soziale Komponente vermeintlich außen vor. Aber wann ist ein Unternehmen nachhaltig?
Das Thema Sicherheit beim Einsatz von digitalen Prozessen spielt in Krankenhäusern nicht erst seit dem Frühjahr 2016 eine wichtige Rolle, als die durch die Ransomware „Locky“ bekannt gewordenen Zwischenfälle unzählige Prozesse in den betroffenen Häusern nachhaltig negativ beeinflussten. Der Kostendruck sowie die u.a. damit verbundene Digitalisierung vieler Prozesse in den Krankenhäusern hat dazu geführt, dass die diesbezügliche Sicherheitsfragestellung massiv an Bedeutung gewonnen hat. Alle Krankenhäuser sind nun seit dem 1. Januar 2022 gesetzlich (vgl. SGB V) dazu verpflichtet (vgl. § 75 c Abs. 2 SGB V), den mittels der Pressemitteilung am 23.10.2019 durch das BSI freigegebene branchenspezifischen Sicherheitsstandard anzuwenden.
von Rodica Blei und Claus Huth
Die Bundesregierung hat am 16.12.2020 den Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2019/2034 über die Beaufsichtigung von Wertpapierinstituten (WpIG) beschlossen. Das Gesetz ist zwischenzeitlich vom Bundestag verabschiedet worden und am 26.06.2021 in Kraft getreten.
Das Zertifizierungsaudit ist überstanden, vor einer Weile sind Report und Urkunde angekommen, die bestätigen, dass man ein funktionierendes Informationssicherheitsmanagement System besitzt (kurz „ISMS“). Nun lehnen sich viele zurück „endlich geschafft, nun können wir wieder arbeiten.“ Dieser vermeintlich harmlose Satz birgt allerdings jede Menge Sprengstoff in sich.
von Dr. Klaus-Dieter Krause
Bundesfinanzminister Scholz will mit dem neuen Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz–FISG) auf die Vorgänge beim insolventen Zahlungsdienstleister Wirecard reagieren und das verloren gegangene Vertrauen in die deutschen Finanzmärkte wiederherstellen.
Der ISACA ist der weltweit führende Berufsverband für die Themen IT-Revision und IT-Governance. Bekannt ist der ISACA vor allem durch sein international anerkanntes Framework COBIT.
Neben COBIT veröffentlichen auch die ISACA Landesverbände immer wieder interessante und praxisorientierte Leitfäden durch ihre Fachgruppen. Im Januar 2021 hat die Fachgruppe „IT-Compliance“ des ISACA Germany Chapters mit Hilfe des dpunkt.Verlags den Leitfaden „IT-Compliance – Grundlagen, Regelwerke, Umsetzung“ auf der Homepage veröffentlicht.
Die Welt und damit auch das Geschäftsleben werden zunehmend digitaler. Wurden vor Jahren viele Informationen noch als Papier übermittelt und auch archiviert, erfolgt beides zunehmend auf elektronischem Wege. Damit eröffnen sich aber auch ganz neue Wege des Zugriffs und der Werksspionage.
Der zuletzt durch das BSI freigegebene branchenspezifische Sicherheitsstandard betrifft den Sektor medizinische Versorgung (im Krankenhaus). Gemäß der Pressemitteilung vom 23.10.2019 des BSI hat dieses den Cyber-Sicherheitsstandard für Krankenhäuser von der Deutschen Krankenhausgesellschaft (DKG) anerkannt.
Laut der Ausführungen des BSI waren medizinische Einrichtungen und Krankenhäuser 2019 wiederholt durch IT-Sicherheitsvorfälle sowohl in den Fokus der Behörden als auch in die Presse geraten. Entsprechende Angreifer hatten hierbei weniger die Zerstörung oder Veränderung von Daten im Blick als vielmehr deren Verfügbarkeit und Aktualität. Nicht verfügbare Daten (Stichwort RANSOMWARE, vgl. z.B. diesen Artikel des Handelsblattes) können mitunter für die Unternehmen sehr kostspielig werden.
Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden.
Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu Risiken, die in einer Organisation oder einem Unternehmen auftreten können systematisch aufzuarbeiten. Das TLoD-Modell hat gegenüber anderen Modellen den wesentlichen Vorteil, dass es in Bezug auf Unternehmensgröße oder -struktur nicht gebunden ist oder an Komplexitäts- und damit durchgängige Umsetzungsgrenzen stößt.