Hochschulprojekte
/
presentation_itcompliance
0
0
Fork 0
Code Issues Pull Requests Activity

Generic commit

This commit is contained in:
Jan Philipp Timme 2016-11-04 18:59:35 +01:00
parent 455bc96bbf
commit 998dbd20dc
2 changed files with 117 additions and 77 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

126
document.tex
View File

@ -64,10 +64,10 @@
% Keine Ahnung % Keine Ahnung
%\mainmatter %\mainmatter
\title{IT-Compliance in der Cloud und ISO 27001} \title{Cloud-Angebote und IT-Compliance}
% Kurzer Titel (for running head) also used for the TOC unless \toctitle is used % Kurzer Titel (for running head) also used for the TOC unless \toctitle is used
\titlerunning{Studenten rasten aus \dots} %\titlerunning{Studenten rasten aus \dots}
\author{Jan Philipp Timme} \author{Jan Philipp Timme}
@ -85,8 +85,8 @@ Website: \texttt{http://www.hs-hannover.de}
\maketitle \maketitle
\begin{abstract} \begin{abstract}
Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\keywords{IT-Compliance, ISO 27001, Cloud} \keywords{IT-Compliance, ISO 27001, Cloud-Angebote, Compliance, Compliance Management System, Zertifizierung, Datensicherheit, Sicherheitsrisiken, Information Security Management System}
\end{abstract} \end{abstract}
% Ab hier geht es wirklich richtig los! Keine Chapters hier! % Ab hier geht es wirklich richtig los! Keine Chapters hier!
@ -94,75 +94,37 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\section{Compliance und IT-Compliance} \section{Compliance und IT-Compliance}
\subsection{Begriff: Compliance} \paragraph{Begriff: Compliance}
\begin{itemize} Bei \emph{Compliance} handelt es sich um einen Begriff aus der betriebswirtschaftlichen Fachsprache. Das englische Wort \enquote{Compliance} bedeutet übersetzt soviel wie Einhaltung, Befolgung, Regelkonformität. Das dazugehörige Verb \enquote{to comply} steht für einwilligen, nachgeben, den Auflagen entsprechen.
\item Begriff aus betriebswirtschaftlicher Fachsprache
\item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität
\item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen
\item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften}
\item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots
\end{itemize}
\subsection{Einstieg in Compliance} Der Begriff Compliance bedeutet also die Einhaltung von Gesetzen und Vorschriften im Unternehmen\cite{wiki:bwlcompl}. Beispiele hierfür sind Gesetze wie die Abgabenordnung (AO), das Jugendarbeitsschutzgesetz (JArbSchG) oder das Bundesdatenschutzgesetz (BDSG). Neben Gesetzen müssen Unternehmen sich in der Regel noch an weitere Regeln und Richtlinien halten, wie zum Beispiel EU-Richtlinien, internationale Konventionen oder Normen.
\begin{itemize}
\item Menge zu berücksichtigender Regeln von Unternehmen abhängig
\item Ab gewissem Umfang ist juristische Unterstützung notwendig
\item Mögliche Optionen:
\begin{itemize}
\item Juristische Beratung einkaufen
\item Mitarbeiter für juristische Fragen einstellen
\item Eine eigene Rechtsabteilung aufbauen
\end{itemize}
\item $\rightarrow$ Erste Kosten entstehen
\end{itemize}
\subsection{Compliance sicherstellen} \paragraph{Einstieg in Compliance}
\begin{itemize} Die Menge der zu berücksichtigenden Regeln ist von dem konkreten Unternehmen abhängig, welches Compliance erreichen möchte. Ab einem gewissen Umfang ist hierfür juristische Unterstützung (beispielsweise durch Beratung) notwendig. Je nach Größe des Unternehmens reichen mögliche Optionen hierfür von dem Einkauf juristischer Beratung über das Einstellen eines Mitarbeites für juristische Fragen bis zum Aufbau einer eigenen Rechtsabteilung. Hierbei ist direkt ersichtlich, dass in jedem Fall erste Kosten entstehen, die direkt mit durch das Anstreben von Compliance verursacht werden.
\item Compliance Management System (CMS)
\item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität
\item $\rightarrow$ Integriert sich tief in das Unternehmen
\item Ziele:
\begin{itemize}
\item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern}
\item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist
\end{itemize}
\item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten
\item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung)
\end{itemize}
\subsection{Begriff: IT-Compliance} \paragraph{Compliance sicherstellen}
\begin{itemize} Nachdem ein erster Einstieg in die Welt der Compliance erfolgt ist, kommt nun schnell die Frage auf, wie man durchgehend sicherstellen kann, dass man Regelkonform mit dem Unternehmen unterwegs ist. Hier stellt das \emph{Compliance Management System} (CMS) ein betriebswirtschaftliches Werkzeug dar, welches genau diesen Zweck verfolgt\cite{wiki:cms}. Es beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität im Unternehmen und integriert sich hierfür unter anderem in Unternehmensprozessen.
\item Compliance im IT-Bereich
\item $\rightarrow$ Betrifft IT-Systeme des Unternehmens Ziel des CMS ist es, Risiken für Regelverstöße rechtzeitig zu erkennen, diese zu analysieren und Maßnahmen zu ergreifen, um die Risiken zu vermeiden. Sollte es nicht möglich sein, einen Regelverstoß zu vermeiden, so bietet das CMS an dieser Stelle die Möglichkeit, angemessen auf den Umstand zu reagieren und somit angebracht Schadensbegrenzung zu betreiben. Durch die Integration eines CMS im Unternehmen entsteht natürlich ein erhöhter Aufwand für alle Mitarbeiter, welches wiederrum zu erhöhten Kosten führt. Allerdings ist an dieser Stelle nicht zu vernachlässigen, dass durch die Risikoanalyse und aktive Minimierung von Risiken langfristig Kosten --- ähnlich wie bei einer Versicherung --- vermieden werden.
\item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden:
\paragraph{Begriff: IT-Compliance}
Nachdem nun der Grundbegriff der Compliance aus dem Kontext der BWL eingeführt wurde, soll nun auf \emph{IT-Compliance} eingegangen werden. IT-Compliance ist Compliance konkret für den IT-Bereich und betrifft die Prozesse und Systeme der IT des Unternehmens. Dabei sollen die folgenden Kern-Anforderungen durch IT-Compliance umgesetzt werden\cite{wiki:itcompl}:
\begin{itemize} \begin{itemize}
\item Informationssicherheit \item Informationssicherheit
\item Verfügbarkeit \item Verfügbarkeit
\item Datenaufbewahrung \item Datenaufbewahrung
\item Datenschutz \item Datenschutz
\end{itemize} \end{itemize}
\item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen.
\end{itemize}
\subsection{IT-Compliance: Nichts als teurer Unfug?} IT-Compliance minimiert Risiken im IT-Betrieb im Unternehmen, bringt allerdings ebenso wie Compliance zusätzliche Kosten mit sich. Laut einer Studie von CSC\cite{csc:study} fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen; je nach Unternehmen kann IT-Compliance also zu einer größeren Belastung führen.
\begin{itemize}
\item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt Die Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt, allerdings führen Verstöße gegen Gesetze oder Vorschriften häufig zu Strafen. Diese können wirtschaftliche Folgen für das Unternehmen in Form von Bußgeldern, Gewinnabschöpfungen oder Gewinnverfall haben, oder sogar zu Haftstrafen führen. (Beispielsweise für den Vorstand einer AG oder den Geschäftsführer einer GmbH) Neben den direkten Kosten der Strafe wird das Unternehmen allerdings auch von Kosten durch Folgeschäden belastet. Diese Folgeschäden beinhalten unter anderem Verfahrenskosten, Schadenersatzansprüche, Rückabwicklungen, Imageverluste und Vertrauensverluste. Je nach Schwere der Folgeschäden kann dies für ein Unternehmen eine Existenzbedrohung darstellen, somit ist IT-Compliance (und Compliance) ein grundlegendes Unternehmensziel.
\item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift!
\begin{itemize} \paragraph{Vorteile von IT-Compliance}
\item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn Das Einführen von IT-Compliance bringt Vorteile mit sich, die sich hauptsächlich mit Risikominimierung durch vorausschauendes Handeln befassen. So wird innerhalb des Unternehmens durch frühzeitige Betrachtung von relevanten Gesetzen und Risiken ein Risikobewusstsein geschaffen. Durch strukturiertes Vorgehen wird auch Datensicherheit geschaffen.
\item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots
\end{itemize} Nach außen hin schafft IT-Compliance Vertrauen bei Vertragspartnern und Kunden und demonstriert Stabilität und Robustheit des Unternehmens. Weiterhin ist es dem Unternehmen möglich, Garantien bezüglich der Datensicherheit auszusprechen, sowie Anforderungen von Kunden oder Vertragspartnern diesbezüglich zu erfüllen. Es bleibt einzig und allein das Problem, wie die IT-Compliance einem Kunden oder Vertragspartner gegenüber nachgewiesen werden kann. Hierrauf wird in Kapitel~\ref{cpt:iso27001} näher eingegangen.
\item Und: Zusätzliche Kosten durch Folgeschäden:
\begin{itemize}
\item Verfahrenskosten
\item Schadenersatzansprüche
\item Rückabwicklungen
\item Imageverlust / Vertrauensverlust, \dots
\end{itemize}
\item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel
\end{itemize}
\subsection{Vorteile von IT-Compliance}
\begin{itemize} \begin{itemize}
\item Unternehmensintern: \item Unternehmensintern:
\begin{itemize} \begin{itemize}
@ -182,7 +144,7 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\section{Cloud-Angebote} \section{Cloud-Angebote}
\subsection{Begriff: Cloud-Angebote} \paragraph{Begriff: Cloud-Angebote}
\begin{itemize} \begin{itemize}
\item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand} \item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand}
\item Dynamisch anpassbare Dienstleistungen, dynamische Tarife \item Dynamisch anpassbare Dienstleistungen, dynamische Tarife
@ -192,7 +154,7 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\item Je nach Standort andere Rechtslage \item Je nach Standort andere Rechtslage
\end{itemize} \end{itemize}
\subsection{Cloud-Angebote aus Sicht der Kunden} \paragraph{Cloud-Angebote aus Sicht der Kunden}
\begin{itemize} \begin{itemize}
\item Eigene IT kostet zu viel, es soll gespart werden \item Eigene IT kostet zu viel, es soll gespart werden
\item $\rightarrow$ Outsourcen mit speziellen Anforderungen an Datensicherheit \item $\rightarrow$ Outsourcen mit speziellen Anforderungen an Datensicherheit
@ -206,7 +168,7 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\item Kunde sucht international günstigen Anbieter, der diese Anforderungen belegbar erfüllen kann \item Kunde sucht international günstigen Anbieter, der diese Anforderungen belegbar erfüllen kann
\end{itemize} \end{itemize}
\subsection{Cloud-Angebote aus Sicht der Anbieter} \paragraph{Cloud-Angebote aus Sicht der Anbieter}
\begin{itemize} \begin{itemize}
\item Pro Standort unterschiedliche Gesetze und Vorschriften zu erfüllen \item Pro Standort unterschiedliche Gesetze und Vorschriften zu erfüllen
\item Je mehr Standorte in unterschiedlichen Ländern, desto mehr Gesetze finden Anwendung \item Je mehr Standorte in unterschiedlichen Ländern, desto mehr Gesetze finden Anwendung
@ -219,9 +181,9 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\end{itemize} \end{itemize}
\section{ISO 27001} \section{ISO 27001}\label{cpt:iso27001}
\subsection{Steckbrief: ISO 27001} \paragraph{Steckbrief: ISO 27001}
\begin{itemize} \begin{itemize}
\item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013) \item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013)
\item Gehört zur Familie der ISO 2700X \item Gehört zur Familie der ISO 2700X
@ -236,7 +198,7 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen! \item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen!
\end{itemize} \end{itemize}
\subsection{Inhalte und Ziele der ISO 27001} \paragraph{Inhalte und Ziele der ISO 27001}
\begin{itemize} \begin{itemize}
\item Enthält Anforderungen an ein ISMS + passende Kontrollen \item Enthält Anforderungen an ein ISMS + passende Kontrollen
\item Top-Down Ansatz (\enquote{Top management shall ensure that \dots}) \item Top-Down Ansatz (\enquote{Top management shall ensure that \dots})
@ -250,7 +212,7 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\item Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie \item Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie
\end{itemize} \end{itemize}
\subsection{Auswirkungen der ISO 27001} \paragraph{Auswirkungen der ISO 27001}
\begin{itemize} \begin{itemize}
\item Entwurf neuer Prozesse, Informationssysteme oder Kontrollen berücksichtigt Datensicherheit von Beginn an \item Entwurf neuer Prozesse, Informationssysteme oder Kontrollen berücksichtigt Datensicherheit von Beginn an
\item Verursachte Kosten: \item Verursachte Kosten:
@ -267,7 +229,7 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\end{itemize} \end{itemize}
\end{itemize} \end{itemize}
\subsection{Nutzen der ISO 27001} \paragraph{Nutzen der ISO 27001}
\begin{itemize} \begin{itemize}
\item Langfristige Kostensenkung durch strukturierte Prozesse \item Langfristige Kostensenkung durch strukturierte Prozesse
\item Risikominimierung \item Risikominimierung
@ -280,7 +242,7 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\item $\rightarrow$ Imageverbesserung \item $\rightarrow$ Imageverbesserung
\end{itemize} \end{itemize}
\subsection{Relevanz der ISO 27001 für Cloud-Angebote} \paragraph{Relevanz der ISO 27001 für Cloud-Angebote}
\begin{itemize} \begin{itemize}
\item Internationaler Standard, weltweit anerkannt \item Internationaler Standard, weltweit anerkannt
\item $\rightarrow$ Cloud-Anbieter können Konformität belegen \item $\rightarrow$ Cloud-Anbieter können Konformität belegen
@ -293,7 +255,7 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\section{Umsetzung von Compliance} \section{Umsetzung von Compliance}
\subsection{Einführung von Compliance} \paragraph{Einführung von Compliance}
\begin{itemize} \begin{itemize}
\item Management führt Compliance mit CMS (Compliance Management System) ein \item Management führt Compliance mit CMS (Compliance Management System) ein
\item Prozesse werden komplexer, mehr Kontrollmechanismen, \dots \item Prozesse werden komplexer, mehr Kontrollmechanismen, \dots
@ -301,22 +263,22 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\item $\rightarrow$ Soweit alles gut \dots \item $\rightarrow$ Soweit alles gut \dots
\end{itemize} \end{itemize}
\subsection{Fall 1\: Umgehung von Compliance} \paragraph{Fall 1\: Umgehung von Compliance}
\begin{itemize} \begin{itemize}
\item IT-Compliance bzw. Compliance allgemein sind für Unternehmen überlebenswichtig \item IT-Compliance bzw. Compliance allgemein sind für Unternehmen überlebenswichtig
\item Warum also sollte man versuchen wollen, Compliance zu umgehen? \item Warum also sollte man versuchen wollen, Compliance zu umgehen?
\item $\rightarrow$ Management fordert höhere Produktivität \item $\rightarrow$ Management fordert höhere Produktivität
\item \textbf{Interessenkonflikt}: Compliance gegen Produktivität \item \textbf{Interessenkonflikt}: Compliance gegen Produktivität
\item $\rightarrow$ Compliance wird zu Gunsten von Produktivität umgangen \item $\rightarrow$ Compliance wird zu Gunsten von Produktivität umgangen\cite{kpmg:acceptance}
\end{itemize} \end{itemize}
\subsection{Fall 2: Lähmung durch Compliance} \paragraph{Fall 2: Lähmung durch Compliance}
\begin{itemize} \begin{itemize}
\item Ausgangssituation: Compliance ist im Unternehmen etabliert \item Ausgangssituation: Compliance ist im Unternehmen etabliert
\item Mitarbeiter verstößt ungewollt gegen Compliance-Vorgaben \item Mitarbeiter verstößt ungewollt gegen Compliance-Vorgaben
\begin{itemize} \begin{itemize}
\item Reaktion: Management führt Genehmigungsprozesse ein \item Reaktion: Management führt Genehmigungsprozesse ein
\item Konsequenz: Produktivität geht runter, Mitarbeiter werden verunsichert und schlimmstenfalls durch Angst \enquote{gelähmt} \item Konsequenz: Produktivität geht runter, Mitarbeiter werden verunsichert und schlimmstenfalls durch Angst \enquote{gelähmt}\cite{kpmg:acceptance}
\end{itemize} \end{itemize}
\item Sinnvoller Umgang mit Verstößen gegen Compliance notwendig \item Sinnvoller Umgang mit Verstößen gegen Compliance notwendig
\item $\rightarrow$ Mitarbeiter \enquote{abholen} anstatt Kontrolle! \item $\rightarrow$ Mitarbeiter \enquote{abholen} anstatt Kontrolle!
@ -326,7 +288,7 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\section{Fazit} \section{Fazit}
\subsection{Abschließendes Fazit} \paragraph{Abschließendes Fazit}
\begin{itemize} \begin{itemize}
\item Kunden wollen stabile und reife Unternehmen als Vertragspartner \item Kunden wollen stabile und reife Unternehmen als Vertragspartner
\item (IT-)Compliance minimiert Risiken, bringt Robustheit und Stabilität \item (IT-)Compliance minimiert Risiken, bringt Robustheit und Stabilität
@ -336,7 +298,17 @@ Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
\item Compliance muss vom Management richtig kommuniziert werden \item Compliance muss vom Management richtig kommuniziert werden
\end{itemize} \end{itemize}
\paragraph{REMOVE THIS}
\begin{itemize}
\item \cite{wiki:itcompl}
\item \cite{wiki:bwlcompl}
\item \cite{wiki:itgs}
\item \cite{ISO27001}
\item \cite{csc:study}
\item \cite{wiki:iso27001}
\end{itemize}
\nocite{*}
\section{Literaturverzeichnis} \section{Literaturverzeichnis}
% Literaturverzeichnis % Literaturverzeichnis
% Schlüssel als Buchstaben % Schlüssel als Buchstaben

68
references.bib
View File

@ -0,0 +1,68 @@
% Encoding: UTF-8
@Electronic{wiki:itcompl,
author = {Wikipedia},
title = {{IT}-{C}ompliance --- {W}ikipedia{,} The Free Encyclopedia},
howpublished = {\url{https://de.wikipedia.org/wiki/IT-Compliance}},
note = {Zuletzt abgerufen am: 25.10.2016},
url = {https://de.wikipedia.org/wiki/IT-Compliance},
}
@Electronic{wiki:bwlcompl,
author = {Wikipedia},
title = {Compliance ({BWL}) --- {W}ikipedia{,} The Free Encyclopedia},
howpublished = {\url{https://de.wikipedia.org/wiki/Compliance_(BWL)}},
note = {Zuletzt abgerufen am: 03.11.2016},
url = {https://de.wikipedia.org/wiki/Compliance_(BWL)},
}
@Electronic{wiki:itgs,
author = {Wikipedia},
title = {{IT}-{G}rundschutz-{K}ataloge --- {W}ikipedia{,} The Free Encyclopedia},
howpublished = {\url{https://de.wikipedia.org/wiki/IT-Grundschutz-Kataloge}},
note = {Zuletzt abgerufen am: 03.11.2016},
url = {https://de.wikipedia.org/wiki/IT-Grundschutz-Kataloge},
}
@TechReport{ISO27001,
title = {Information technology - {S}ecurity techniques - {I}nformation security management systems - {R}equirements},
institution = {International Organization for Standardization},
year = {2013},
type = {Standard},
address = {Geneva, CH},
key = {ISO 27001:2013},
volume = {2013},
}
@Electronic{csc:study,
author = {Computer Sciences Corp},
title = {{CSC}-{S}tudie: {W}iederherstellung des {G}leichgewichts},
howpublished = {\url{http://www.csc.com/de/insights/121737-csc_studie_wiederherstellung_des_gleichgewichts}},
note = {Zuletzt abgerufen am: 04.11.2016},
url = {http://www.csc.com/de/insights/121737-csc_studie_wiederherstellung_des_gleichgewichts},
}
@Electronic{wiki:iso27001,
author = {Wikipedia},
title = {{IEC} 27001 --- {W}ikipedia{,} The Free Encyclopedia},
howpublished = {\url{https://de.wikipedia.org/wiki/ISO/IEC_27001}},
note = {Zuletzt abgerufen am: 04.11.2016},
url = {https://de.wikipedia.org/wiki/ISO/IEC_27001},
}
@Electronic{wiki:cms,
author = {Wikipedia},
title = {Compliance {M}anagement {S}ystem --- {W}ikipedia{,} The Free Encyclopedia},
howpublished = {\url{https://de.wikipedia.org/wiki/Compliance_Management_System}},
note = {Zuletzt abgerufen am: 04.11.2016},
url = {https://de.wikipedia.org/wiki/Compliance_Management_System},
}
@Article{kpmg:acceptance,
author = {Dr. Jan-Hendrik Gnändiger, Dr. Antonia Steßl},
title = {Im {B}lickpunkt: {A}kzeptanz von {C}ompliance {M}anagement-{S}ystemen auf {M}itarbeiterebene},
journal = {Berufspraxis: Compliance},
url = {https://www.kpmg.com/DE/de/Documents/betriebsberater-akzeptanz-cms-mitarbeiterebene-2012.pdf},
}
@Comment{jabref-meta: databaseType:bibtex;}