\documentclass{f4_beamer} % Basic setup \usepackage[german]{babel} % Sprachpaket für Deutsch (Umlaute, Trennung,deutsche Überschriften) \usepackage{graphicx,hyperref} % Graphikeinbindung, Hyperref (alles klickbar, Bookmarks) \usepackage{amssymb} % Math. Symbole aus AmsTeX \usepackage[utf8]{inputenc} % Umlaute % Custom packages \usepackage[autostyle=true,german=quotes]{csquotes} % Anführungszeichen mit \enquote{} \usepackage{textcomp} % Zusätzliches Package für °C \usepackage{listings} % Codesnippets \usepackage{scrhack} % Hack for lstlisting i suspect :-/ \usepackage{xcolor} \usepackage{float} \usepackage{soul} \usepackage{verbatim} % für comment-environment \usepackage{amsmath} % Setup für Codeblocks \lstset{ % Optionen breaklines=true, breakatwhitespace=true, breakautoindent=true, frame=single, %framexleftmargin=19pt, inputencoding=utf8, %language=awk, %numbers=left, %numbersep=8pt, showspaces=false, showstringspaces=false, tabsize=1, %xleftmargin=19pt, captionpos=b, % Styling basicstyle=\footnotesize\ttfamily, commentstyle=\footnotesize, keywordstyle=\footnotesize\ttfamily, numberstyle=\footnotesize, stringstyle=\footnotesize\ttfamily, } % Hack für Sonderzeichen in Codeblocks \lstset{literate=% {Ö}{{\"O}}1 {Ä}{{\"A}}1 {Ü}{{\"U}}1 {ß}{{\ss}}1 {ü}{{\"u}}1 {ä}{{\"a}}1 {ö}{{\"o}}1 {°}{{${^\circ}$}}1 } % Broken citation needs broken command \newcommand\mathplus{+} % Actual beamer related document setup \title{Cloud-Angebote und IT-Compliance} %\subtitle{Umgehungsversuche und ISO 27001} \author{Jan Philipp Timme} \date{\today} % Content below this line \begin{document} \section{Compliance und IT-Compliance} \subsection{Begriff: Compliance} \begin{frame}{Begriff: Compliance} \begin{itemize} \item Begriff aus betriebswirtschaftlicher Fachsprache \item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität \item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen \item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften} \item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots \end{itemize} \end{frame} \subsection{Einstieg in Compliance} \begin{frame}{Einstieg in Compliance} \begin{itemize} \item Menge zu berücksichtigender Regeln von Unternehmen abhängig \item Ab gewissem Umfang ist juristische Unterstützung notwendig \item Mögliche Optionen: \begin{itemize} \item Juristische Beratung einkaufen \item Mitarbeiter für juristische Fragen einstellen \item Eine eigene Rechtsabteilung aufbauen \end{itemize} \item $\rightarrow$ Erste Kosten entstehen \end{itemize} \end{frame} \subsection{Compliance sicherstellen} \begin{frame}{Compliance sicherstellen} \begin{itemize} \item Compliance Management System (CMS) \item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität \item $\rightarrow$ Integriert sich tief in das Unternehmen \item Ziele: \begin{itemize} \item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern} \item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist \end{itemize} \item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten \item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung) \end{itemize} \end{frame} \subsection{Begriff: IT-Compliance} \begin{frame}{Begriff: IT-Compliance} \begin{itemize} \item Compliance im IT-Bereich \item $\rightarrow$ Betrifft IT-Systeme des Unternehmens \item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden: \begin{itemize} \item Informationssicherheit \item Verfügbarkeit \item Datenaufbewahrung \item Datenschutz \end{itemize} \item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen. \end{itemize} \end{frame} \subsection{IT-Compliance: Nichts als teurer Unfug?} \begin{frame}{IT-Compliance: Nichts als teurer Unfug?} \begin{itemize} \item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt \item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift! \begin{itemize} \item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn \item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots \end{itemize} \item Und: Zusätzliche Kosten durch Folgeschäden: \begin{itemize} \item Verfahrenskosten \item Schadenersatzansprüche \item Rückabwicklungen \item Imageverlust / Vertrauensverlust, \dots \end{itemize} \item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel \end{itemize} \end{frame} \subsection{Vorteile von IT-Compliance} \begin{frame}{Vorteile von IT-Compliance} \begin{itemize} \item Unternehmensintern: \begin{itemize} \item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots \item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug} \item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen \end{itemize} \item Extern: \begin{itemize} \item Schafft Vertrauen, demonstriert Stabilität und Robustheit \item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit \item Erfüllt Anforderungen von Kunden und Vertragspartnern \end{itemize} \item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?} \end{itemize} \end{frame} \section{Cloud-Angebote} \subsection{Begriff: Cloud-Angebote} \begin{frame}{Begriff: Cloud-Angebote} \begin{itemize} \item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand} \item Dynamisch anpassbare Dienstleistungen, dynamische Tarife \item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit \item $\rightarrow$ Global vernetzte Infrastruktur \item $\rightarrow$ Daten werden oft weltweit verteilt gespeichert \item Je nach Standort andere Rechtslage \end{itemize} \end{frame} \subsection{Cloud-Angebote aus Sicht der Kunden} \begin{frame}{Cloud-Angebote aus Sicht der Kunden} \begin{itemize} \item Eigene IT kostet zu viel, es soll gespart werden \item $\rightarrow$ Outsourcen mit speziellen Anforderungen an Datensicherheit \item Beispiel: Deutsche Versicherung möchte Kundendaten in die Cloud verschieben \begin{itemize} \item Bundesdatenschutzgesetz muss eingehalten werden \item Kundendaten sind vertraulich $\rightarrow$ müssen vertraulich bleiben! \item Die Daten sollen jederzeit verfügbar sein \item Die Daten sollen Deutschland nicht verlassen \end{itemize} \item Kunde sucht international günstigen Anbieter, der diese Anforderungen belegbar erfüllen kann \end{itemize} \end{frame} \subsection{Cloud-Angebote aus Sicht der Anbieter} \begin{frame}{Cloud-Angebote aus Sicht der Anbieter} \begin{itemize} \item Pro Standort unterschiedliche Gesetze und Vorschriften zu erfüllen \item Je mehr Standorte in unterschiedlichen Ländern, desto mehr Gesetze finden Anwendung \item $\rightarrow$ (IT-)Compliance sichert eigene Existenz \item Kunden haben je nach Land unterschiedliche Rechte \item $\rightarrow$ Angebote müssen entsprechend konform gehen \item Kunden haben Anforderungen an die Datensicherheit \item $\rightarrow$ Anbieter muss Einhaltung dieser Bedingungen belegen können \item Und: Der Anbieter will dazu \textbf{weltweit} in der Lage sein \end{itemize} \end{frame} \section{ISO 27001} \subsection{Steckbrief: ISO 27001} \begin{frame}{Steckbrief: ISO 27001} \begin{itemize} \item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013) \item Gehört zur Familie der ISO 2700X \item Anforderungen an ein Information Security Management System (ISMS) \begin{itemize} \item Ähnlicher Ansatz zu Compliance Management System \item Fokus auf Datensicherheit \item $\rightarrow$ Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten \item Anwendung von Risikomanagementprozessen \end{itemize} \item Struktur und Aufbau abhängig von Unternehmensstruktur und Bedarf \item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen! \end{itemize} \end{frame} \subsection{Inhalte und Ziele der ISO 27001} \begin{frame}{Inhalte der Ziele ISO 27001} \begin{itemize} \item Enthält Anforderungen an ein ISMS + passende Kontrollen \item Top-Down Ansatz (\enquote{Top management shall ensure that \dots}) \item Anwendungsgebiete: (Auszug) \begin{itemize} \item Managen von \textbf{Sicherheitsrisiken} \item Sicherstellung der Einhaltung von Gesetzen und Vorschriften \item Definition von Managementprozessen zum Managen von Informationssicherheit \item Nutzung durch Auditoren als \enquote{Checkliste} \end{itemize} \item Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie \end{itemize} \end{frame} \subsection{Auswirkungen der ISO 27001} \begin{frame}{Auswirkungen der ISO 27001} \begin{itemize} \item Entwurf neuer Prozesse, Informationssysteme oder Kontrollen berücksichtigt Datensicherheit von Beginn an \item Verursachte Kosten: \begin{itemize} \item Interne Kosten verursacht durch ISMS und zugehöriger Dokumentation \item Externe Kosten durch Beauftragung von Beratungsunternehmen \item Audit Kosten durch Zertifizierungsunternehmen \end{itemize} \item Konformität nach ISO 27001 zeigen? \begin{itemize} \item Selbst Konformität verkünden \item Kunden/Vertragspartner bitten, die Konformität zu bestätigen \item Verifikation der Konformität durch externen Auditor ($\rightarrow$ Zertifizierung) \end{itemize} \end{itemize} \end{frame} \subsection{Nutzen der ISO 27001} \begin{frame}{Nutzen der ISO 27001} \begin{itemize} \item Langfristige Kostensenkung durch strukturierte Prozesse \item Risikominimierung \begin{itemize} \item $\rightarrow$ Geringere Haftungs- und Geschäftsrisiken \item $\rightarrow$ Geringere Versicherungsbeiträge \item $\rightarrow$ Verbesserte Kreditwürdigkeit bei Banken/Investoren \end{itemize} \item Höhere Wettbewerbsfähigkeit durch belegbare Datensicherheit \item $\rightarrow$ Imageverbesserung \end{itemize} \end{frame} \subsection{Relevanz der ISO 27001 für Cloud-Angebote} \begin{frame}{Relevanz der ISO 27001 für Cloud-Angebote} \begin{itemize} \item Internationaler Standard, weltweit anerkannt \item $\rightarrow$ Cloud-Anbieter können Konformität belegen \item Starker Fokus auf Datensicherheit und Datenvertraulichkeit \item $\rightarrow$ Mehr Vertrauen bei den Kunden, Anforderungen werden erfüllt \item Zertifizierung und regelmäßige Audits stellen Konformität sicher \item $\rightarrow$ Erhöhte Transparenz; Kunden können Daten ohne Sorgen bei Anbieter ablegen \end{itemize} \end{frame} \subsection{Einführung von Compliance} \begin{frame}{Einführung von Compliance} \begin{itemize} \item Management führt Compliance mit CMS (Compliance Management System) ein \item Prozesse werden komplexer, mehr Kontrollmechanismen, \dots \item Mitarbeiter akzeptieren Compliance und tragen ihren Teil dazu bei \item $\rightarrow$ Soweit alles gut \dots \end{itemize} \end{frame} \subsection{Fall 1\: Umgehung von Compliance} \begin{frame}{Fall 1\: Umgehung von Compliance} \begin{itemize} \item IT-Compliance bzw. Compliance allgemein sind für Unternehmen überlebenswichtig \item Warum also sollte man versuchen wollen, Compliance zu umgehen? \item $\rightarrow$ Management fordert höhere Produktivität \item \textbf{Interessenkonflikt}: Compliance gegen Produktivität \item $\rightarrow$ Compliance wird zu Gunsten von Produktivität umgangen \end{itemize} \end{frame} \subsection{Fall 2: Lähmung durch Compliance} \begin{frame}{Fall 2: Lähmung durch Compliance} \begin{itemize} \item Ausgangssituation: Compliance ist im Unternehmen etabliert \item Mitarbeiter verstößt ungewollt gegen Compliance-Vorgaben \begin{itemize} \item Reaktion: Management führt Genehmigungsprozesse ein \item Konsequenz: Produktivität geht runter, Mitarbeiter werden verunsichert und schlimmstenfalls durch Angst \enquote{gelähmt} \end{itemize} \item Sinnvoller Umgang mit Verstößen gegen Compliance notwendig \item $\rightarrow$ Mitarbeiter \enquote{abholen} anstatt Kontrolle! \item $\rightarrow$ Kommunikation vom Management ist wichtig! \end{itemize} \end{frame} \section{Fazit} \subsection{Abschließendes Fazit} \begin{frame}{Abschließendes Fazit} \begin{itemize} \item Kunden wollen stabile und reife Unternehmen als Vertragspartner \item (IT-)Compliance minimiert Risiken, bringt Robustheit und Stabilität \item ISO 27001 schafft Transparenz und Vertrauen durch belegbare Datensicherheit \item $\rightarrow$ Unternehmen steht besser dar (Image, Kredite, Wettbewerb) \item Compliance ist überlebenswichtige Versicherung für Unternehmen \item Compliance muss vom Management richtig kommuniziert werden \end{itemize} \end{frame} % Probably not used, not sure yet. \begin{comment} \begin{frame}{Literaturverzeichnis} % Literaturverzeichnis % Schlüssel als Buchstaben \bibliographystyle{alpha} \bibliography{Literaturverweise} % Und JETZT zum Inhaltsverzeichnis hinzufügen. Geil! \addcontentsline{toc}{chapter}{Literaturverweise} \end{frame} \end{comment} \end{document} % No more content below this line