283 lines
16 KiB
TeX
283 lines
16 KiB
TeX
\documentclass{llncs}
|
|
|
|
% Basic setup
|
|
\usepackage[german]{babel} % Sprachpaket für Deutsch (Umlaute, Trennung,deutsche Überschriften)
|
|
\usepackage{graphicx,hyperref} % Graphikeinbindung, Hyperref (alles klickbar, Bookmarks)
|
|
\usepackage{amssymb} % Math. Symbole aus AmsTeX
|
|
\usepackage[utf8]{inputenc} % Umlaute
|
|
% Custom packages
|
|
\usepackage[autostyle=true,german=quotes]{csquotes} % Anführungszeichen mit \enquote{}
|
|
\usepackage{textcomp} % Zusätzliches Package für °C
|
|
\usepackage{listings} % Codesnippets
|
|
\usepackage{scrhack} % Hack for lstlisting i suspect :-/
|
|
\usepackage{xcolor}
|
|
\usepackage{float}
|
|
\usepackage{soul}
|
|
\usepackage{verbatim} % für comment-environment
|
|
\usepackage{amsmath}
|
|
|
|
% Setup für Codeblocks
|
|
\lstset{
|
|
% Optionen
|
|
breaklines=true,
|
|
breakatwhitespace=true,
|
|
breakautoindent=true,
|
|
frame=single,
|
|
%framexleftmargin=19pt,
|
|
inputencoding=utf8,
|
|
%language=awk,
|
|
%numbers=left,
|
|
%numbersep=8pt,
|
|
showspaces=false,
|
|
showstringspaces=false,
|
|
tabsize=1,
|
|
%xleftmargin=19pt,
|
|
captionpos=b,
|
|
% Styling
|
|
basicstyle=\footnotesize\ttfamily,
|
|
commentstyle=\footnotesize,
|
|
keywordstyle=\footnotesize\ttfamily,
|
|
numberstyle=\footnotesize,
|
|
stringstyle=\footnotesize\ttfamily,
|
|
}
|
|
% Hack für Sonderzeichen in Codeblocks
|
|
\lstset{literate=%
|
|
{Ö}{{\"O}}1
|
|
{Ä}{{\"A}}1
|
|
{Ü}{{\"U}}1
|
|
{ß}{{\ss}}1
|
|
{ü}{{\"u}}1
|
|
{ä}{{\"a}}1
|
|
{ö}{{\"o}}1
|
|
{°}{{${^\circ}$}}1
|
|
}
|
|
|
|
% Broken citation needs broken command
|
|
\newcommand\mathplus{+}
|
|
|
|
% Content below this line
|
|
\begin{document}
|
|
|
|
% Inhaltsverzeichnis
|
|
%\tableofcontents
|
|
|
|
% Keine Ahnung
|
|
%\mainmatter
|
|
|
|
\title{Cloud-Angebote und IT-Compliance}
|
|
|
|
% Kurzer Titel (for running head) also used for the TOC unless \toctitle is used
|
|
%\titlerunning{Studenten rasten aus \dots}
|
|
|
|
\author{Jan Philipp Timme}
|
|
|
|
% Oder so, wenn es mehrere sind, mit den \inst{x} kann dann Zugehörigkeit zu Instituten dargestellt werden.
|
|
% \author{Jan Philipp Timme\inst{1} \and Roger Temam\inst{2} Jeffrey Dean}
|
|
|
|
% abbreviated author list (for running head)
|
|
% \authorrunning{Ich nochmal.}
|
|
|
|
\institute{Hochschule Hannover, Hannover, Deutschland,\\
|
|
\email{jan-philipp.timme@stud.hs-hannover.de},\\
|
|
Website: \texttt{http://www.hs-hannover.de}
|
|
}
|
|
|
|
\maketitle
|
|
|
|
\begin{abstract}
|
|
|
|
\keywords{IT-Compliance, ISO 27001, Cloud-Angebote, Compliance, Compliance Management System, Zertifizierung, Datensicherheit, Sicherheitsrisiken, Information Security Management System}
|
|
\end{abstract}
|
|
|
|
% Ab hier geht es wirklich richtig los! Keine Chapters hier!
|
|
|
|
|
|
\section{Compliance und IT-Compliance}
|
|
|
|
\paragraph{Begriff: Compliance}
|
|
Bei \emph{Compliance} handelt es sich um einen Begriff aus der betriebswirtschaftlichen Fachsprache. Das englische Wort \enquote{Compliance} bedeutet übersetzt soviel wie Einhaltung, Befolgung, Regelkonformität. Das dazugehörige Verb \enquote{to comply} steht für einwilligen, nachgeben, den Auflagen entsprechen.
|
|
|
|
Der Begriff Compliance bedeutet also die Einhaltung von Gesetzen und Vorschriften im Unternehmen\cite{wiki:bwlcompl}. Beispiele hierfür sind Gesetze wie die Abgabenordnung (AO), das Jugendarbeitsschutzgesetz (JArbSchG) oder das Bundesdatenschutzgesetz (BDSG). Neben Gesetzen müssen Unternehmen sich in der Regel noch an weitere Regeln und Richtlinien halten, wie zum Beispiel EU-Richtlinien, internationale Konventionen oder Normen.
|
|
|
|
\paragraph{Einstieg in Compliance}
|
|
Die Menge der zu berücksichtigenden Regeln ist von dem konkreten Unternehmen abhängig, welches Compliance erreichen möchte. Ab einem gewissen Umfang ist hierfür juristische Unterstützung (beispielsweise durch Beratung) notwendig. Je nach Größe des Unternehmens reichen mögliche Optionen hierfür von dem Einkauf juristischer Beratung über das Einstellen eines Mitarbeites für juristische Fragen bis zum Aufbau einer eigenen Rechtsabteilung. Hierbei ist direkt ersichtlich, dass in jedem Fall erste Kosten entstehen, die direkt mit durch das Anstreben von Compliance verursacht werden.
|
|
|
|
\paragraph{Compliance sicherstellen}
|
|
Nachdem ein erster Einstieg in die Welt der Compliance erfolgt ist, kommt nun schnell die Frage auf, wie man durchgehend sicherstellen kann, dass man Regelkonform mit dem Unternehmen unterwegs ist. Hier stellt das \emph{Compliance Management System} (CMS) ein betriebswirtschaftliches Werkzeug dar, welches genau diesen Zweck verfolgt\cite{wiki:cms}. Es beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität im Unternehmen und integriert sich hierfür unter anderem in Unternehmensprozessen.
|
|
|
|
Ziel des CMS ist es, Risiken für Regelverstöße rechtzeitig zu erkennen, diese zu analysieren und Maßnahmen zu ergreifen, um die Risiken zu vermeiden. Sollte es nicht möglich sein, einen Regelverstoß zu vermeiden, so bietet das CMS an dieser Stelle die Möglichkeit, angemessen auf den Umstand zu reagieren und somit angebracht Schadensbegrenzung zu betreiben. Durch die Integration eines CMS im Unternehmen entsteht natürlich ein erhöhter Aufwand für alle Mitarbeiter, welches wiederrum zu erhöhten Kosten führt. Allerdings ist an dieser Stelle nicht zu vernachlässigen, dass durch die Risikoanalyse und aktive Minimierung von Risiken langfristig Kosten --- ähnlich wie bei einer Versicherung --- vermieden werden.
|
|
|
|
\paragraph{Begriff: IT-Compliance}
|
|
Nachdem nun der Grundbegriff der Compliance aus dem Kontext der BWL eingeführt wurde, soll nun auf \emph{IT-Compliance} eingegangen werden. IT-Compliance ist Compliance konkret für den IT-Bereich und betrifft die Prozesse und Systeme der IT des Unternehmens. Dabei sollen die folgenden Kern-Anforderungen durch IT-Compliance umgesetzt werden\cite{wiki:itcompl}:
|
|
\begin{itemize}
|
|
\item Informationssicherheit
|
|
\item Verfügbarkeit
|
|
\item Datenaufbewahrung
|
|
\item Datenschutz
|
|
\end{itemize}
|
|
|
|
IT-Compliance minimiert Risiken im IT-Betrieb im Unternehmen, bringt allerdings ebenso wie Compliance zusätzliche Kosten mit sich. Laut einer Studie von CSC\cite{csc:study} fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen; je nach Unternehmen kann IT-Compliance also zu einer größeren Belastung führen.
|
|
|
|
Die Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt, allerdings führen Verstöße gegen Gesetze oder Vorschriften häufig zu Strafen. Diese können wirtschaftliche Folgen für das Unternehmen in Form von Bußgeldern, Gewinnabschöpfungen oder Gewinnverfall haben, oder sogar zu Haftstrafen führen. (Beispielsweise für den Vorstand einer AG oder den Geschäftsführer einer GmbH) Neben den direkten Kosten der Strafe wird das Unternehmen allerdings auch von Kosten durch Folgeschäden belastet. Diese Folgeschäden beinhalten unter anderem Verfahrenskosten, Schadenersatzansprüche, Rückabwicklungen, Imageverluste und Vertrauensverluste. Je nach Schwere der Folgeschäden kann dies für ein Unternehmen eine Existenzbedrohung darstellen, somit ist IT-Compliance (und Compliance) ein grundlegendes Unternehmensziel.
|
|
|
|
\paragraph{Vorteile von IT-Compliance}
|
|
Das Einführen von IT-Compliance bringt Vorteile mit sich, die sich hauptsächlich mit Risikominimierung durch vorausschauendes Handeln befassen. So wird innerhalb des Unternehmens durch frühzeitige Betrachtung von relevanten Gesetzen und Risiken ein Risikobewusstsein geschaffen. Durch strukturiertes Vorgehen wird auch Datensicherheit geschaffen.
|
|
|
|
Nach außen hin schafft IT-Compliance Vertrauen bei Vertragspartnern und Kunden und demonstriert Stabilität und Robustheit des Unternehmens. Weiterhin ist es dem Unternehmen möglich, Garantien bezüglich der Datensicherheit auszusprechen, sowie Anforderungen von Kunden oder Vertragspartnern diesbezüglich zu erfüllen. Es bleibt einzig und allein das Problem, wie die IT-Compliance einem Kunden oder Vertragspartner gegenüber nachgewiesen werden kann. Hierrauf wird in Kapitel~\ref{cpt:iso27001} näher eingegangen.
|
|
|
|
|
|
\section{Cloud-Angebote}
|
|
|
|
\paragraph{Begriff: Cloud-Angebote}
|
|
Der Begriff \emph{Cloud-Angebote} ist ein von Kontext und Betrachtung abhängiger Begriff. Im Kontext dieses Dokuments beschreibt er Dienstleistungen eines Anbieters, welcher virtuelle Maschinen, Speicher, Anwendungen und Plattformen einem Kunden \enquote{on demand} zur Verfügung stellt. Charakteristisch für diese Art von Dienstleistung ist die dynamische Anpassbarkeit des Leistungsumfangs, sowie die dynamischen Tarife, nach denen die Leistung dem Kunden berechnet wird.
|
|
|
|
Bietet ein Anbieter Cloud-Angebote an, so verfügt er über eine technische Infrastruktur, die auf Rechenzentren in mehreren verschiedenen Ländern weltweit verteil ist, welche global vernetzt sind. Somit werden Daten, welche im Rahmen einer solchen Dienstleistung vom Kunden abgelegt werden weltweit verteilt gespeichert. Da je nach Standort der einzelnen Rechenzentren unterschiedliche Gesetze und Vorschriften gelten, ergeben sich hierfür gleich mehrere Problemstellen.
|
|
|
|
\paragraph{Cloud-Angebote aus Sicht der Kunden}
|
|
Aus Perspektive eines Kunden von Cloud-Angeboten ergibt sich die Nutzung dieser Angebote oft aus dem Willen, Kosten einzusparen. Kostet die eigene IT-Infrastruktur in Verbindung mit der dafür nötigen IT-Compliance zu viel, so kann es sich lohnen, die benötigten Dienste durch ein Cloud-Angebot zu ersetzen. Hierbei ist jedoch kritisch, dass die benötigten Anforderungen an die Datensicherheit eingehalten werden. Möchte beispielsweise eine deutsche Versicherung ihre Kundendaten in die Cloud verschieben, so muss weiterhin darauf geachtet werden, dass das Bundesdatenschutzgesetz eingehalten wird. Des weiteren müssen die Kundendaten vertraulich bleiben, jederzeit verfügbar sein und nicht außerhalb von Deutschland gespeichert werden. Sucht ein Kunde nun international einen Anbieter mit diesen Kriterien, so ist es notwendig, dass der Anbieter diese Anforderungen belegbar erfüllen kann.
|
|
|
|
\paragraph{Cloud-Angebote aus Sicht der Anbieter}
|
|
Aus Perspektive des Anbieters ergibt sich aus der Verpflichtung, alle Gesetze und Vorschriften der verschiedenen Länderstandorte zu erfüllen, eine sehr große Herausforderung. Je mehr Standorte sich in unterschiedlichen Ländern befinden, desto mehr Gesetze finden Anwendungen und die Komplexität steigt. IT-Compliance sichert an dieser Stelle die eigene Existenz des Unternehmens des Anbieters, da mit einer solchen Menge an Gesetzen viel mehr Risiken verbunden sind, dass diese nicht eingehalten werden können.
|
|
|
|
Hinzu kommt, dass Kunden aus unterschiedlichen Ländern gegebenenfalls unterschiedliche Rechte genießen, mit denen die Angebote des Anbieters entsprechend übereinstimmen müssen. Da die Kunden oft auch Anforderungen an die Datensicherheit haben, muss der Anbieter die Einhaltungen dieser belegen können. Um Kunden zu gewinnen und zu überzeugen, möchte der Anbieter dementsprechend in der Lage sein, weltweit nachweisen zu können, dass sein Unternehmen einen bestimmten Grad an Datensicherheit gewährleisten kann.
|
|
|
|
|
|
\section{ISO 27001}\label{cpt:iso27001}
|
|
|
|
\paragraph{Steckbrief: ISO 27001}
|
|
\begin{itemize}
|
|
\item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013)
|
|
\item Gehört zur Familie der ISO 2700X
|
|
\item Anforderungen an ein Information Security Management System (ISMS)
|
|
\begin{itemize}
|
|
\item Ähnlicher Ansatz zu Compliance Management System
|
|
\item Fokus auf Datensicherheit
|
|
\item $\rightarrow$ Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten
|
|
\item Anwendung von Risikomanagementprozessen
|
|
\end{itemize}
|
|
\item Struktur und Aufbau abhängig von Unternehmensstruktur und Bedarf
|
|
\item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen!
|
|
\end{itemize}
|
|
|
|
\paragraph{Inhalte und Ziele der ISO 27001}
|
|
\begin{itemize}
|
|
\item Enthält Anforderungen an ein ISMS + passende Kontrollen
|
|
\item Top-Down Ansatz (\enquote{Top management shall ensure that \dots})
|
|
\item Anwendungsgebiete: (Auszug)
|
|
\begin{itemize}
|
|
\item Managen von \textbf{Sicherheitsrisiken}
|
|
\item Sicherstellung der Einhaltung von Gesetzen und Vorschriften
|
|
\item Definition von Managementprozessen zum Managen von Informationssicherheit
|
|
\item Nutzung durch Auditoren als \enquote{Checkliste}
|
|
\end{itemize}
|
|
\item Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie
|
|
\end{itemize}
|
|
|
|
\paragraph{Auswirkungen der ISO 27001}
|
|
\begin{itemize}
|
|
\item Entwurf neuer Prozesse, Informationssysteme oder Kontrollen berücksichtigt Datensicherheit von Beginn an
|
|
\item Verursachte Kosten:
|
|
\begin{itemize}
|
|
\item Interne Kosten verursacht durch ISMS und zugehöriger Dokumentation
|
|
\item Externe Kosten durch Beauftragung von Beratungsunternehmen
|
|
\item Audit Kosten durch Zertifizierungsunternehmen
|
|
\end{itemize}
|
|
\item Konformität nach ISO 27001 zeigen?
|
|
\begin{itemize}
|
|
\item Selbst Konformität verkünden
|
|
\item Kunden/Vertragspartner bitten, die Konformität zu bestätigen
|
|
\item Verifikation der Konformität durch externen Auditor ($\rightarrow$ Zertifizierung)
|
|
\end{itemize}
|
|
\end{itemize}
|
|
|
|
\paragraph{Nutzen der ISO 27001}
|
|
\begin{itemize}
|
|
\item Langfristige Kostensenkung durch strukturierte Prozesse
|
|
\item Risikominimierung
|
|
\begin{itemize}
|
|
\item $\rightarrow$ Geringere Haftungs- und Geschäftsrisiken
|
|
\item $\rightarrow$ Geringere Versicherungsbeiträge
|
|
\item $\rightarrow$ Verbesserte Kreditwürdigkeit bei Banken/Investoren
|
|
\end{itemize}
|
|
\item Höhere Wettbewerbsfähigkeit durch belegbare Datensicherheit
|
|
\item $\rightarrow$ Imageverbesserung
|
|
\end{itemize}
|
|
|
|
\paragraph{Relevanz der ISO 27001 für Cloud-Angebote}
|
|
\begin{itemize}
|
|
\item Internationaler Standard, weltweit anerkannt
|
|
\item $\rightarrow$ Cloud-Anbieter können Konformität belegen
|
|
\item Starker Fokus auf Datensicherheit und Datenvertraulichkeit
|
|
\item $\rightarrow$ Mehr Vertrauen bei den Kunden, Anforderungen werden erfüllt
|
|
\item Zertifizierung und regelmäßige Audits stellen Konformität sicher
|
|
\item $\rightarrow$ Erhöhte Transparenz; Kunden können Daten ohne Sorgen bei Anbieter ablegen
|
|
\end{itemize}
|
|
|
|
|
|
\section{Umsetzung von Compliance}
|
|
|
|
\paragraph{Einführung von Compliance}
|
|
\begin{itemize}
|
|
\item Management führt Compliance mit CMS (Compliance Management System) ein
|
|
\item Prozesse werden komplexer, mehr Kontrollmechanismen, \dots
|
|
\item Mitarbeiter akzeptieren Compliance und tragen ihren Teil dazu bei
|
|
\item $\rightarrow$ Soweit alles gut \dots
|
|
\end{itemize}
|
|
|
|
\paragraph{Fall 1\: Umgehung von Compliance}
|
|
\begin{itemize}
|
|
\item IT-Compliance bzw. Compliance allgemein sind für Unternehmen überlebenswichtig
|
|
\item Warum also sollte man versuchen wollen, Compliance zu umgehen?
|
|
\item $\rightarrow$ Management fordert höhere Produktivität
|
|
\item \textbf{Interessenkonflikt}: Compliance gegen Produktivität
|
|
\item $\rightarrow$ Compliance wird zu Gunsten von Produktivität umgangen\cite{kpmg:acceptance}
|
|
\end{itemize}
|
|
|
|
\paragraph{Fall 2: Lähmung durch Compliance}
|
|
\begin{itemize}
|
|
\item Ausgangssituation: Compliance ist im Unternehmen etabliert
|
|
\item Mitarbeiter verstößt ungewollt gegen Compliance-Vorgaben
|
|
\begin{itemize}
|
|
\item Reaktion: Management führt Genehmigungsprozesse ein
|
|
\item Konsequenz: Produktivität geht runter, Mitarbeiter werden verunsichert und schlimmstenfalls durch Angst \enquote{gelähmt}\cite{kpmg:acceptance}
|
|
\end{itemize}
|
|
\item Sinnvoller Umgang mit Verstößen gegen Compliance notwendig
|
|
\item $\rightarrow$ Mitarbeiter \enquote{abholen} anstatt Kontrolle!
|
|
\item $\rightarrow$ Kommunikation vom Management ist wichtig!
|
|
\end{itemize}
|
|
|
|
|
|
\section{Fazit}
|
|
|
|
\paragraph{Abschließendes Fazit}
|
|
\begin{itemize}
|
|
\item Kunden wollen stabile und reife Unternehmen als Vertragspartner
|
|
\item (IT-)Compliance minimiert Risiken, bringt Robustheit und Stabilität
|
|
\item ISO 27001 schafft Transparenz und Vertrauen durch belegbare Datensicherheit
|
|
\item $\rightarrow$ Unternehmen steht besser dar (Image, Kredite, Wettbewerb)
|
|
\item Compliance ist überlebenswichtige Versicherung für Unternehmen
|
|
\item Compliance muss vom Management richtig kommuniziert werden
|
|
\end{itemize}
|
|
|
|
\paragraph{REMOVE THIS}
|
|
\begin{itemize}
|
|
\item \cite{wiki:itcompl}
|
|
\item \cite{wiki:bwlcompl}
|
|
\item \cite{wiki:itgs}
|
|
\item \cite{ISO27001}
|
|
\item \cite{csc:study}
|
|
\item \cite{wiki:iso27001}
|
|
\end{itemize}
|
|
|
|
\nocite{*}
|
|
\section{Literaturverzeichnis}
|
|
% Literaturverzeichnis
|
|
% Schlüssel als Buchstaben
|
|
\bibliographystyle{alpha}
|
|
\bibliography{references}
|
|
% Und JETZT zum Inhaltsverzeichnis hinzufügen.
|
|
\addcontentsline{toc}{chapter}{Literaturverweise}
|
|
|
|
\end{document}
|
|
% No more content below this line
|