From 455bc96bbf61bad2a46816bf3962aea0baca44b7 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Fri, 4 Nov 2016 17:46:55 +0100 Subject: [PATCH] Begin creating document --- document.tex | 251 +++++++++++++++++++++++++++++++++++++++++++++++++-- 1 file changed, 242 insertions(+), 9 deletions(-) diff --git a/document.tex b/document.tex index e508544..cee5ebf 100644 --- a/document.tex +++ b/document.tex @@ -85,25 +85,258 @@ Website: \texttt{http://www.hs-hannover.de} \maketitle \begin{abstract} -Oh my god, this paper is really long \dots +Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots \keywords{IT-Compliance, ISO 27001, Cloud} \end{abstract} % Ab hier geht es wirklich richtig los! Keine Chapters hier! -\section{Motivation} -Jajaja \dots - -\section{Motivation} +\section{Compliance und IT-Compliance} +\subsection{Begriff: Compliance} \begin{itemize} -\item A -\item B -\item C -\item $\rightarrow$ Alphabet!\cite{foo:bar} +\item Begriff aus betriebswirtschaftlicher Fachsprache +\item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität +\item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen +\item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften} +\item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots \end{itemize} +\subsection{Einstieg in Compliance} +\begin{itemize} +\item Menge zu berücksichtigender Regeln von Unternehmen abhängig +\item Ab gewissem Umfang ist juristische Unterstützung notwendig +\item Mögliche Optionen: +\begin{itemize} +\item Juristische Beratung einkaufen +\item Mitarbeiter für juristische Fragen einstellen +\item Eine eigene Rechtsabteilung aufbauen +\end{itemize} +\item $\rightarrow$ Erste Kosten entstehen +\end{itemize} + +\subsection{Compliance sicherstellen} +\begin{itemize} +\item Compliance Management System (CMS) +\item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität +\item $\rightarrow$ Integriert sich tief in das Unternehmen +\item Ziele: +\begin{itemize} +\item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern} +\item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist +\end{itemize} +\item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten +\item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung) +\end{itemize} + +\subsection{Begriff: IT-Compliance} +\begin{itemize} +\item Compliance im IT-Bereich +\item $\rightarrow$ Betrifft IT-Systeme des Unternehmens +\item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden: +\begin{itemize} +\item Informationssicherheit +\item Verfügbarkeit +\item Datenaufbewahrung +\item Datenschutz +\end{itemize} +\item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen. +\end{itemize} + +\subsection{IT-Compliance: Nichts als teurer Unfug?} +\begin{itemize} +\item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt +\item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift! +\begin{itemize} +\item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn +\item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots +\end{itemize} +\item Und: Zusätzliche Kosten durch Folgeschäden: +\begin{itemize} +\item Verfahrenskosten +\item Schadenersatzansprüche +\item Rückabwicklungen +\item Imageverlust / Vertrauensverlust, \dots +\end{itemize} +\item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel +\end{itemize} + +\subsection{Vorteile von IT-Compliance} +\begin{itemize} +\item Unternehmensintern: +\begin{itemize} +\item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots +\item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug} +\item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen +\end{itemize} +\item Extern: +\begin{itemize} +\item Schafft Vertrauen, demonstriert Stabilität und Robustheit +\item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit +\item Erfüllt Anforderungen von Kunden und Vertragspartnern +\end{itemize} +\item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?} +\end{itemize} + + +\section{Cloud-Angebote} + +\subsection{Begriff: Cloud-Angebote} +\begin{itemize} +\item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand} +\item Dynamisch anpassbare Dienstleistungen, dynamische Tarife +\item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit +\item $\rightarrow$ Global vernetzte Infrastruktur +\item $\rightarrow$ Daten werden oft weltweit verteilt gespeichert +\item Je nach Standort andere Rechtslage +\end{itemize} + +\subsection{Cloud-Angebote aus Sicht der Kunden} +\begin{itemize} +\item Eigene IT kostet zu viel, es soll gespart werden +\item $\rightarrow$ Outsourcen mit speziellen Anforderungen an Datensicherheit +\item Beispiel: Deutsche Versicherung möchte Kundendaten in die Cloud verschieben +\begin{itemize} +\item Bundesdatenschutzgesetz muss eingehalten werden +\item Kundendaten sind vertraulich $\rightarrow$ müssen vertraulich bleiben! +\item Die Daten sollen jederzeit verfügbar sein +\item Die Daten sollen Deutschland nicht verlassen +\end{itemize} +\item Kunde sucht international günstigen Anbieter, der diese Anforderungen belegbar erfüllen kann +\end{itemize} + +\subsection{Cloud-Angebote aus Sicht der Anbieter} +\begin{itemize} +\item Pro Standort unterschiedliche Gesetze und Vorschriften zu erfüllen +\item Je mehr Standorte in unterschiedlichen Ländern, desto mehr Gesetze finden Anwendung +\item $\rightarrow$ (IT-)Compliance sichert eigene Existenz +\item Kunden haben je nach Land unterschiedliche Rechte +\item $\rightarrow$ Angebote müssen entsprechend konform gehen +\item Kunden haben Anforderungen an die Datensicherheit +\item $\rightarrow$ Anbieter muss Einhaltung dieser Bedingungen belegen können +\item Und: Der Anbieter will dazu \textbf{weltweit} in der Lage sein +\end{itemize} + + +\section{ISO 27001} + +\subsection{Steckbrief: ISO 27001} +\begin{itemize} +\item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013) +\item Gehört zur Familie der ISO 2700X +\item Anforderungen an ein Information Security Management System (ISMS) +\begin{itemize} +\item Ähnlicher Ansatz zu Compliance Management System +\item Fokus auf Datensicherheit +\item $\rightarrow$ Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten +\item Anwendung von Risikomanagementprozessen +\end{itemize} +\item Struktur und Aufbau abhängig von Unternehmensstruktur und Bedarf +\item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen! +\end{itemize} + +\subsection{Inhalte und Ziele der ISO 27001} +\begin{itemize} +\item Enthält Anforderungen an ein ISMS + passende Kontrollen +\item Top-Down Ansatz (\enquote{Top management shall ensure that \dots}) +\item Anwendungsgebiete: (Auszug) +\begin{itemize} +\item Managen von \textbf{Sicherheitsrisiken} +\item Sicherstellung der Einhaltung von Gesetzen und Vorschriften +\item Definition von Managementprozessen zum Managen von Informationssicherheit +\item Nutzung durch Auditoren als \enquote{Checkliste} +\end{itemize} +\item Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie +\end{itemize} + +\subsection{Auswirkungen der ISO 27001} +\begin{itemize} +\item Entwurf neuer Prozesse, Informationssysteme oder Kontrollen berücksichtigt Datensicherheit von Beginn an +\item Verursachte Kosten: +\begin{itemize} +\item Interne Kosten verursacht durch ISMS und zugehöriger Dokumentation +\item Externe Kosten durch Beauftragung von Beratungsunternehmen +\item Audit Kosten durch Zertifizierungsunternehmen +\end{itemize} +\item Konformität nach ISO 27001 zeigen? +\begin{itemize} +\item Selbst Konformität verkünden +\item Kunden/Vertragspartner bitten, die Konformität zu bestätigen +\item Verifikation der Konformität durch externen Auditor ($\rightarrow$ Zertifizierung) +\end{itemize} +\end{itemize} + +\subsection{Nutzen der ISO 27001} +\begin{itemize} +\item Langfristige Kostensenkung durch strukturierte Prozesse +\item Risikominimierung +\begin{itemize} +\item $\rightarrow$ Geringere Haftungs- und Geschäftsrisiken +\item $\rightarrow$ Geringere Versicherungsbeiträge +\item $\rightarrow$ Verbesserte Kreditwürdigkeit bei Banken/Investoren +\end{itemize} +\item Höhere Wettbewerbsfähigkeit durch belegbare Datensicherheit +\item $\rightarrow$ Imageverbesserung +\end{itemize} + +\subsection{Relevanz der ISO 27001 für Cloud-Angebote} +\begin{itemize} +\item Internationaler Standard, weltweit anerkannt +\item $\rightarrow$ Cloud-Anbieter können Konformität belegen +\item Starker Fokus auf Datensicherheit und Datenvertraulichkeit +\item $\rightarrow$ Mehr Vertrauen bei den Kunden, Anforderungen werden erfüllt +\item Zertifizierung und regelmäßige Audits stellen Konformität sicher +\item $\rightarrow$ Erhöhte Transparenz; Kunden können Daten ohne Sorgen bei Anbieter ablegen +\end{itemize} + + +\section{Umsetzung von Compliance} + +\subsection{Einführung von Compliance} +\begin{itemize} +\item Management führt Compliance mit CMS (Compliance Management System) ein +\item Prozesse werden komplexer, mehr Kontrollmechanismen, \dots +\item Mitarbeiter akzeptieren Compliance und tragen ihren Teil dazu bei +\item $\rightarrow$ Soweit alles gut \dots +\end{itemize} + +\subsection{Fall 1\: Umgehung von Compliance} +\begin{itemize} +\item IT-Compliance bzw. Compliance allgemein sind für Unternehmen überlebenswichtig +\item Warum also sollte man versuchen wollen, Compliance zu umgehen? +\item $\rightarrow$ Management fordert höhere Produktivität +\item \textbf{Interessenkonflikt}: Compliance gegen Produktivität +\item $\rightarrow$ Compliance wird zu Gunsten von Produktivität umgangen +\end{itemize} + +\subsection{Fall 2: Lähmung durch Compliance} +\begin{itemize} +\item Ausgangssituation: Compliance ist im Unternehmen etabliert +\item Mitarbeiter verstößt ungewollt gegen Compliance-Vorgaben +\begin{itemize} +\item Reaktion: Management führt Genehmigungsprozesse ein +\item Konsequenz: Produktivität geht runter, Mitarbeiter werden verunsichert und schlimmstenfalls durch Angst \enquote{gelähmt} +\end{itemize} +\item Sinnvoller Umgang mit Verstößen gegen Compliance notwendig +\item $\rightarrow$ Mitarbeiter \enquote{abholen} anstatt Kontrolle! +\item $\rightarrow$ Kommunikation vom Management ist wichtig! +\end{itemize} + + +\section{Fazit} + +\subsection{Abschließendes Fazit} +\begin{itemize} +\item Kunden wollen stabile und reife Unternehmen als Vertragspartner +\item (IT-)Compliance minimiert Risiken, bringt Robustheit und Stabilität +\item ISO 27001 schafft Transparenz und Vertrauen durch belegbare Datensicherheit +\item $\rightarrow$ Unternehmen steht besser dar (Image, Kredite, Wettbewerb) +\item Compliance ist überlebenswichtige Versicherung für Unternehmen +\item Compliance muss vom Management richtig kommuniziert werden +\end{itemize} + + \section{Literaturverzeichnis} % Literaturverzeichnis % Schlüssel als Buchstaben