Risk, Governance & Compliance

ISO27001: Nach dem Audit ist vor dem Audit

Das Zertifizierungsaudit ist überstanden, vor einer Weile sind Report und Urkunde angekommen, die bestätigen, dass man ein funktionierendes Informationssicherheitsmanagement System besitzt (kurz „ISMS“). Nun lehnen sich viele zurück „endlich geschafft, nun können wir wieder arbeiten.“ Dieser vermeintlich harmlose Satz birgt allerdings jede Menge Sprengstoff in sich.

Das neue Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz–FISG) – wirklich zielführend als vertrauensbildende Maßnahme?

Bundesfinanzminister Scholz will mit dem neuen Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz–FISG) auf die Vorgänge beim insolventen Zahlungsdienstleister Wirecard reagieren und das verloren gegangene Vertrauen in die deutschen Finanzmärkte wiederherstellen.

Hierbei baut der Finanzminister im Kern auf „alt bewährte“ Arbeitsmittel - die Verschärfung von Sanktionen. 

ISACA Germany Chapter veröffentlicht Leitfaden zu IT-Compliance

Der ISACA ist der weltweit führende Berufsverband für die Themen IT-Revision und IT-Governance. Bekannt ist der ISACA vor allem durch sein international anerkanntes Framework COBIT.

Neben COBIT veröffentlichen auch die ISACA Landesverbände immer wieder interessante und praxisorientierte Leitfäden durch ihre Fachgruppen. Im Januar 2021 hat die Fachgruppe „IT-Compliance“ des ISACA Germany Chapters mit Hilfe des dpunkt.Verlags den Leitfaden „IT-Compliance – Grundlagen, Regelwerke, Umsetzung“ auf der Homepage veröffentlicht.

Branchenspezifische Sicherheitsstandards (B3S) für KRITIS-Sektoren veröffentlicht

Krankenhaus MonitorDer zuletzt durch das BSI freigegebene branchenspezifische Sicherheitsstandard betrifft den Sektor medizinische Versorgung (im Krankenhaus). Gemäß der Pressemitteilung vom 23.10.2019 des BSI hat dieses den Cyber-Sicherheitsstandard für Krankenhäuser von der Deutschen Krankenhausgesellschaft (DKG) anerkannt.

Laut der Ausführungen des BSI waren medizinische Einrichtungen und Krankenhäuser 2019 wiederholt durch IT-Sicherheitsvorfälle sowohl in den Fokus der Behörden als auch in die Presse geraten. Entsprechende Angreifer hatten hierbei weniger die Zerstörung oder Veränderung von Daten im Blick als vielmehr deren Verfügbarkeit und Aktualität. Nicht verfügbare Daten (Stichwort RANSOMWARE, vgl. z.B. diesen Artikel des Handelsblattes) können mitunter für die Unternehmen sehr kostspielig werden.  

Compliance Management - Eine Standortbestimmung

Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden.

Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu Risiken, die in einer Organisation oder einem Unternehmen auftreten können systematisch aufzuarbeiten. Das TLoD-Modell hat gegenüber anderen Modellen den wesentlichen Vorteil, dass es in Bezug auf Unternehmensgröße oder -struktur nicht gebunden ist oder an Komplexitäts- und damit durchgängige Umsetzungsgrenzen stößt.

Compliance Starthilfe für die Umsetzung der EBA Leitlinie 2019/02 zu Auslagerungen

Scrreenshot und Link zum downloadDie neue Leitlinie „EBA/GL/2019/02 zu Auslagerungen“ ist im Februar 2019 erschienen. Sie löst die bestehenden Richtlinien Committee of European Banking Supervisors (CEBS) zum Outsourcing vom 14. Dezember 2006 und die Empfehlungen der EBA zum Outsourcing an Cloud-Dienstleister ab. Die Leitlinie trat zum 30.09.2019 in Kraft und umfasst alle zu diesem Datum und danach geschlossenen, zur Prüfung und zur Änderung finalisierten externen Dienstleistungen. Darüber hinaus müssen bereits bestehende Auslagerungsvereinbarungen neu verifiziert und an die neuen Anforderungen angepasst werden. Je nach Einzelfall kann auf Basis der angegebenen Übergangsregelung eine Umsetzung mit der Deadline zum 31.12.2021 erfolgen.

"Harter" Brexit: Die möglichen Folgen für Finanzinstitute und andere Finanzdienstleister

Am 29. März 2019 sollte Großbritannien im Zuge der Brexit-Abstimmung die Europäische Union verlassen. Zwei Jahre zuvor leitete Theresa May, britische Premierministerin, das Austrittsersuchen Großbritanniens an die EU weiter. Geplant war in dem zweijährigen Übergangszeitraum, die Modalitäten zwischen Großbritannien und der EU zum Austritt zu klären und Abkommen und Vorkehrungen für einen geordneten Brexit zu treffen. In den letzten Tagen und Wochen wurde um Verlängerung des Austrittszeitraums bis Ende Juni 2019 gebeten, was die schwierigen Verhandlungen zum Austritt widerspiegelt. Seitens der anderen europäischen Mitgliedsstaaten stehen die Anzeichen zu einer Fristverlängerung gut, sofern sich das britische Parlament dazu bereit erklärt, die Austrittsforderungen der EU zu akzeptieren. Ob es sich jedoch dazu durchringen kann, bleibt auf Grund der heftigen Gegenwehr zu Eingeständnissen an die EU – wie die letzten Tage und Wochen gezeigt haben – abzuwarten.Brexit: UK und EU entzwei

Sollte es zu keiner Einigung kommen, steht ein „harter“ Brexit bevor, also ein Austritt Großbritanniens ohne weitere Abkommen oder sonstige Austrittsmodalitäten – das bisher denkbarste „Worst-Case“-Szenario, wie es treffend umschrieben wird. Zwar betonen die anderen Mitgliedsstaaten und Deutschland, auf einen „harten“ Brexit vorbereitet zu sein und Vorkehrungen zu treffen; wie die Folgen genau aussehen, bleibt bisher jedoch offen.

EBA-Leitlinien “ICT and security risk management” vs. EBA GL 2017/17

Die EBA-Leitlinien zu den „Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten gemäß der Richtlinie (EU) 2015/2366 (PSD2)“ werden in die „Guidelines on ICT and security risk management“ integriert (ICT = information and communication technology; zu deutsch: IKT).

Ziel der Leitlinien ist es, dass Finanzinstitute sich mit den immer relevanter werdenden IKT-Risiken inklusive der Sicherheitsrisiken auseinandersetzen und diese ordnungsgemäß managen. Darüber hinaus dienen sie einem Verständnis darüber, welche Erwartung an die Überwachung dieser Risiken gestellt wird.

Während die ursprüngliche Version EBA GL 2017/17 den Fokus auf Zahlungsdienste gelegt hatte, adressieren die neuen Leitlinien weitere Aktivitäten von Instituten. Auch wenn sich derzeit die neuen Leitlinien noch in der Konsultationsphase befinden, so zeichnet sich im Vergleich folgendes Bild ab:

Seiten