Aleksandra Sowa

Sicherheits- und Datenschutzanforderungen im Systementwicklungsprozess

Zusammenfassungen»Security by Design« — und nicht länger »Design plus Security« — ist das Paradigma für die moderne Produktentwicklung. Das Privacy and Security Assessment (PSA) der Deutschen Telekom ist in der Branche Vorreiter, wenn es um die Umsetzung dieses Gedankens geht. Bei dem Verfahren spielen die Sicherheit und der Datenschutz von Beginn einer Produktentwicklung an eine Rolle und nehmen damit Einfluss auf das technische Design eines Produkts. Am Beispiel des PSA-Verfahrens wird gezeigt, wie Datenschutz und Sicherheit bereits in der Designphase berücksichtigt werden. Im Gegensatz zu der klassischen Produktentwicklung kann bei diesem Verfahren eine zeitnahe Datenschutz- und Sicherheitsabnahme vor der Wirkbetriebsaufnahme erfolgen.

IT-Sicherheit durch Zugriffs- und Zugangskontrollen

ZusammenfassungZugriffs- und Zugangskontrollen zählen zu den komplexesten IT-Kontrollen und sind als tragende Säule des internen Kontrollsystems eine wichtige Voraussetzung für die Erreichung der IT-Compliance. Ob im SOX oder in den nationalen Gesetzen und Normen — der Gesetzgeber beschränkt sich hauptsächlich auf die Vorgaben bezüglich der Notwendigkeit von Kontrollen und die Festlegung der Verantwortung für ihre effektive Implementierung. In Fragen der Implementierung wird oft auf die »gängigen Standards« verwiesen. Die in dem Artikel aufgezeigte Vorgehensweise für die Gestaltung der Zugangs- und Zugriffskontrollen orientiert sich daher stark an den internationalen und nationalen Standards, wie ISO- und IDW-Standards. Dieser Ansatz hat den Vorteil gegenüber anderen Methoden, dass er eine Konformität mit dem »state of the art« gewährleisten kann, und damit eine relative Sicherheit, nicht an den Aktualisierungsanforderungen vorbei zu agieren.

IT-Revision in der Bankenpraxis

ZusammenfassungenDie IT-Revision ist eine wichtige Erfolgsdeterminante eines Kreditinstituts, wenn auch immer noch nicht als solche anerkannt. Obwohl die Wirtschaftlichkeitsbewertung von IT-Investitionen bislang als Domäne des IT-Controllings galt, werden im Rahmen der Prüfungs- und Beratungstätigkeit auch durch die IT-Revision schon heute Ergebnisse und Informationen erzeugt, die die Geschäftsleitung bei der Steuerung der Bankaktivitäten unterstützen können. Die vielerorts als Belastung empfundenen aufsichtsrechtlichen Anforderungen werden als Chance gesehen, eine Mehrwerte schaffende IT-Revision als Teil des IT-Controllings zu etablieren.

Das Internet der bösen Dinge

Wie man die smarten Fabriken und Geratschaften wieder sicher macht? Nicht nur mit Technologie. Neue Handlungsfelder eroffnen sich fur die Regulierung, Zertifizierung – und fur Tests und Prufungen, die entweder direkt im Entwicklungs- und Produktionsprozess begleitend oder a posteriori im Rahmen von IT-Sicherheitsaudits die Effektivitat eingesetzter Kontrollen und Schutzmasnehmen bewerten und beurteilen. Tests fur Internet-of-Things-Gerate und Prufungen der Produktionsumgebung im Industrie 4.0 Kontext sind wirksame Masnahmen zur Steigerung der IT-Sicherheit, die auch im Rahmen der aktuell intensiv diskutierten Produkthaftung fur Sicherheitslucken Anwendung finden konnten.

Mensch und Maschine, oder: der Super-Revisor

Kunstliche Huften, Knie, Augen: Menschen seien doch schon sowieso wie Cyborgs, behauptete der osterreichische Schriftsteller, Thomas Glavinic. Und sehr bald konnten die Algorithmen die Menschen um ihre Jobs bringen, warnen die Experten. Man wunscht sich, dass sich der technische Fortschritt und insbesondere die kunstliche Intelligenz (bzw. das, was wir heute unter dem Begriff verstehen) zu einem Partner des Menschen entwickelt, der Entscheidungen erleichtert. In der Cybersicherheit heist das konkret: Reaktionszeiten auf die Sicherheitsvorfalle verbessert, Pravention und Reaktion durch Anwendung neuartiger Modelle wie der Schwarmintelligenz starkt und den Menschen produktiver und effektiver macht.

Datenschutz made in Germany – das war mal?

Die europaische Datenschutz-Grundverordnung bringt den Datenschutz und die Datensicherheit wieder zueinander. Ob mit Konzepten wie Privacy-by-Design oder durch klare Vorgaben fur den Einsatz technisch-organisatorischer Masnahmen: Angemessene sicherheitstechnische Konzepte und Kontrollen werden gefordert, um ein angemessenes Niveau des Schutzes personenbezogener Daten zu gewahrleisten. Die datenschutzrechtlichen Normen spielen nun zunehmend wichtige Rolle fur Prufungen und Revisionen, bei den Ermittlungen und forensischen Investigationen. Anforderungen und Konzepte, dessen praktische Ausgestaltung und Umsetzung ob in Form von Modellen oder Leitfaden, notwendig wird.

Beauty is our business

Bemuhungen der Computerwissenschaftler um bessere Softwarequalitat wurden lange als die Suche nach einer arbeitsintensiven Losung fur ein nicht existierendes Problem abgetan. Konkret: Wenn ein Computer ab und zu aufgrund von Programmierfehlern abgesturzt ist, dann kostete es etwas Zeit, um den Rechner wieder hoch zu fahren – und eventuell ging ein wenig Arbeit dadurch verloren. Dann kam das Internet und machte mit den Softwarefehlern das, was die Flugtouristik mit der Verbreitung infektioser Krankheiten tat: Wenn Computer miteinander verbunden wurden, konnte ein bisher tolerierbarer Softwarebug zu einer Kaskade von Sicherheitsproblemen fuhren. Unter den aktuell diskutierten Losungsansatzen sind Gutesiegel und Zertifikate fur sicherere Software – wie auch Produkthaftung fur Softwarehersteller.

Privacy and Security Assessment

ZusammenfassungDie Deutschen Telekom AG hat mit dem Privacy and Security Assessment (PSA) einen systematischen, transparenten und standardisierten Prozess geschaffen, der in effizienter Weise ein adäquates Maß an Sicherheit und Datenschutz in den IT-Systemen und -Produkten ermöglicht. Zahlreiche Synergieeffekte konnten dabei durch die enge Kooperation zwischen den für den Datenschutz und die technische Sicherheit verantwortlichen Einheiten und den Entwicklungsbereichen generiert werden.

IT-Compliance in der Systementwicklung durch Einsatz von IT-Kontrollen

ZusammenfassungenSeit infolge der Unternehmensskandale immer mehr Bestimmungen zum Risikomanagement und zu internen Kontrollsystemen (IKS) erlassen werden, erhöht sich die Aufmerksamkeit für IT-Kontrollen. Zu den wesentlichen Kontrollgruppen, die beim IT-Einsatz zur Verarbeitung rechnungslegungsrelevanter Daten zu berücksichtigen sind, gehören die Kontrollen über die Systementwicklung. Sie werden in diesem Beitrag entlang des Entwicklungsprozesses definiert und es wird aufgezeigt, wie sich mit diesen Kontrollen ein Beitrag zur Herstellung von IT-Compliance leisten lässt. Ein Beispiel veranschaulicht, wie die relevanten Kontrollen mithilfe von CobiT praktisch identifiziert werden können. Es zeigt sich, dass es nicht grundsätzlich darum geht, so viele Kontrollen wie möglich zu identifizieren, sondern die wirklich relevanten.

Governance Risk Compliance im SAP-Umfeld der Banken

ZusammenfassungenDie Implementierung spezifischer Zugriffskontrollen ist für die Einhaltung geltender Gesetze bezüglich einer verlässlichen Finanzberichterstattung von erheblicher Bedeutung. Die Unternehmen müssen u.a. jederzeit den Nachweis erbringen können, dass nur berechtigte Personen Zugriff auf die geschäftskritischen Daten haben. Ohne unternehmensspezifisch ausgestaltete und regelmäβig beurteilte Zugriffskontrollen kann die Verlässlichkeit der generierten rechnungslegungsrelevanten Daten nicht ausreichend sichergestellt werden. Doch viele der Unternehmen betrachten die Compliance und die damit verbundenen Vorschriften als Kostentreiber. Dagegen kann eine effiziente und effektive Umsetzung der Zugriffskontrollen, beispielsweise durch den Einsatz eines Governance-Risk-Compliance- (GRC- ) Tools, dem Unternehmen einen komparativen Wettbewerbsvorteil verschaffen.