IT – Sicherheit

18:08 21 November in IT Audit & Advisory

WPNO unterstützt und begleitet Sie bei dem Aufbau, der Beurteilung und der Optimierung Ihrer IT-Sicherheit. Wir prüfen und bewerten Systemumfelder und Unternehmensrichtlinien zur IT-Sicherheit, erstellen Sicherheitspolicies und Richtlinien und helfen Ihnen beim Aufbau eines Information Security Management Systems (ISMS).

Die Grundlage f├╝r das Management von IT-Sicherheit bilden die gesetzlichen, regulativen und vertraglichen Vorgaben (IT-Compliance), eine Risikobestandsaufnahme und eine Beurteilung nebst Ma├čnahmenplan zur Reaktion auf identifizierte IT-Risiken.

Das Bundesamts f├╝r Sicherheit in der Informationstechnik (BSI) ├╝bernimmt die Funktion der nationalen IT- und Cyber-Sicherheitsbeh├Ârde. Das Ziel des BSI ist die Wahrung und F├Ârderung der IT-Sicherheit in Deutschland. Dies verfolgt das BSI durch Ma├čnahmen und Angebote, die zum einen der Pr├Ąvention gelten, zum anderen aber auch hilfreich bei der Abwehr von aktuellen Bedrohungen und Angriffen sein k├Ânnen. Das IT-Sicherheitsgesetz (IT-SicherheitsG) ist am 25.07.2015 in Kraft getreten. Als sogenanntes Artikelgesetz dient es lediglich der ├änderung diverser anderer Gesetze. Das IT-SicherheitsG f├╝hrte zu konkreten ├änderungen in insgesamt acht Gesetzen, u.a. dem Gesetz ├╝ber das Bundesamt f├╝r die Sicherheit in der Informationstechnik (BSIG). Das IT-SicherheitsG zielt darauf ab, den Grundproblemen im Bereich von IT- bzw. Cybersicherheit zu begegnen und einen rechtlichen Rahmen f├╝r die Gew├Ąhrleistung von Sicherheit im IT- bzw. Cyber-Sektor zu schaffen.

Durch das IT-Sicherheitsgesetz wird die zentrale Rolle des BSI im Bereich IT-Sicherheit gest├Ąrkt.

Informationssicherheitsmanagementsysteme (ISMS)

Eine Vielzahl von IT-Dienstleistungsunternehmen hat bereits ein Information Security Management System (ISMS) etabliert. Die zwingende Notwendigkeit der Einrichtung eines ISMS spiegelt sich auch in Zahlen wider. Gem├Ą├č einer Studie im Auftrag der Kollegen von PwC aus dem Jahr 2015 wurde im vergangenen Jahr jedes zehnte mittelst├Ąndische Unternehmen ein Opfer von Cyberangriffen. Die H├Âhe der eingetretenen Sch├Ąden belief sich auf durchschnittlich 80.000 EUR.

Nur mit einem ISMS lassen sich Schwachstellen in der eigenen IT identifizieren, Cyberangriffe fr├╝hzeitig erkennen und Ma├čnahmen zur Abwehr ergreifen.

WPNO bietet Ihnen mit einer akkreditierten Zertifizierungs- und Pr├╝fungsgesellschaft, mit dem WPNO Team aus Wirtschaftspr├╝fern, Steuerberatern, Rechtsanw├Ąlten, IT- und Datenschutz-Spezialisten und unseren externen BSI-IT-Grundschutz-Auditoren, den hauseigenen ISO 27001 Lead-Auditoren sowie den spezialisierten CISA- und CISM-IT-Fachkr├Ąften die Zertifizierung Ihres ISMS nach DIN ISO/IEC 27001-2:2015 an. Wissend, dass eine Zertifizierung nach DIN ISO/IEC 27001-2:2015 nicht mehr ausreicht, um die hohen Anforderungen des in mehreren Gesetzen (z.B. BDSG, BSIG, TKG, TMG) vorausgesetzten Standards ÔÇ×Stand der TechnikÔÇť zu erf├╝llen, orientieren wir uns dar├╝ber hinaus am IT-Grundschutz des BSI (d.h. die BSI-Standards zum Sicherheitsmanagement, BSI-Standard 100-1 bis 100-4 sowie die IT-Grundschutzkataloge), sowie den Wirtschaftspr├╝fertestaten IDW PS 330, IDW PS 951 n.F. und IDW PS 980, IDW EPS 981, IDW EPS 982. Wir ber├╝cksichtigen u.a. auch die ISO Standards DIN EN ISO 9001:2015, DIN ISO/IEC 20000-1:2011, DIN EN ISO 22301:2014 sowie CobiT und die speziellen Sicherheitshinweise und Leitf├Ąden zu systemnahen Softwareprodukten und ERP-Systemen.

Im Rahmen der Zertifizierung erarbeiten wir zudem mit Ihnen ein rechtskonformes Sicherheits- und Datenschutzkonzept auf Basis M 2.500 ff.

Ein von WPNO zertifiziertes ISMS nach DIN ISO/IEC 27001-2:2015, welches sich am IT-Grundschutz des BSI (d.h. die BSI-Standards zum Sicherheitsmanagement, BSI-Standard 100-1 bis 100-4 sowie die IT-Grundschutzkataloge), sowie den Wirtschaftspr├╝fertestaten IDW PS 330, IDW PS 951 n.F. und IDW PS 980, IDW EPS 981, IDW EPS 982. stellt einen entscheidenden Wettbewerbsvorteil im IT-Dienstleistungsmarkt dar. Partiell ist ein zertifiziertes ISMS bereits Zulassungsbedingung f├╝r Ausschreibungen und Auftr├Ąge in bestimmten Branchen und Bereichen.

Basis unserer Zertifizierung ist eine Kombination aus ÔÇ×Stand der TechnikÔÇť und ÔÇ×Stand von Wissenschaft und TechnikÔÇť.

Im Rahmen der Zertifizierung stellen wir Ihnen zudem auch Tools zur Seite, welche die Erlangung der Zertifizierung signifikant vereinfachen. Die Tools entsprechen dabei der GoBD und sind dar├╝ber hinaus IDW RS FAIT 1, IDW PS 261 n.F., 330, 880, 951 n.F. sowie ISAE 3402 konform.

Wir empfehlen bereits bei der Implementierung des ISMS ein Pre-Audit durchzuf├╝hren. Dies erm├Âglicht Ihnen die zeitnahe Zertifizierung Ihres ISMS und vermeidet wom├Âglich doppelten Aufwand.

WPNO unterst├╝tzt und begleitet Sie bei der Einf├╝hrung und in den regelm├Ą├čigen Aufgaben eines ISMS im gesamten PDCA-Zyklus von Plan, Do, Check, Act.

Wir legen Ihr ISMS fest, setzen dieses um und f├╝hren notwendige ├ťberwachungen und ├ťberpr├╝fungen durch. Zudem gew├Ąhrleisten wir die Instandhaltung und Optimierung Ihres ISMS.

WPNO unterst├╝tzt Sie bei weitergehenden Fragestellungen zum Themenbereich ISMS. Wir helfen Ihnen bei der Ermittlung und Umsetzung der externen gesetzlichen, der regulativen und den┬ágesch├Ąftlichen und vertraglichen Verpflichtungen (IT-Compliance). Wir gestalten Leit- und Richtlinien und unterst├╝tzen Sie im Rahmen der Risikoeinsch├Ątzung und der Definition von Ma├čnahmen zur Risikohandhabung.

Profitieren Sie von unserer umfassenden Expertise und Erfahrung in der Durchf├╝hrung von Sicherheitsaudits, aus denen wir regelm├Ą├čig auch Potentiale und konkrete Ma├čnahmen zur Optimierung von ISMS ableiten.

Cyber-Sicherheit

Organisationen und Unternehmen sind in Bezug auf ihre Arbeitsabl├Ąufe und Gesch├Ąftsprozesse regelm├Ą├čig auf eine fehlerfrei funktionierende und verl├Ąssliche IT-Infrastruktur angewiesen.

Vor diesem Hintergrund stellen IT-Ausf├Ąlle, wie auch Manipulationen von Daten oder unkontrollierte Zugriffe hohe operationelle Risiken dar. W├Ąhrend in Bezug auf IT-Ausf├Ąlle in Unternehmen regelm├Ą├čig umfassende Vorsorgema├čnahmen getroffen werden, werden Abwehrma├čnahmen gegen externe Cyber-Angriffe oftmals vernachl├Ąssigt.

Gem├Ą├č einem Monitoring des Bundesamtes f├╝r Sicherheit in der Informationstechnik (BSI) bestehen erhebliche Bedrohungspotentiale in Gestalt von gezielten Infiltrationen ├╝ber E-Mail-Anh├Ąnge, Infiltrationen von Rechnern beim Internetzugriff durch Mitarbeiter, gezieltes Hacking von Webservern, der ungezielten Verteilung von Schadsoftware wie beispielsweise durch Spam-Mails, mehrstufige Angriffe wie ÔÇ×Advanced Persistent Threats oder Denial-of-Service-Attacken.

Dabei stellen Entwicklungs- und Kundendaten, Unternehmens-Know-how und Betriebsgeheimnisse die prim├Ąren Ziele von Cyber-Angriffen dar.

Cyber-Sicherheits-Check

WPNO unterst├╝tzt Sie durch eine strukturierte Beurteilung der Informations- und Netzwerksicherheit┬áIhres Unternehmens im Rahmen der Durchf├╝hrung eines Cyber-Sicherheits-Checks.┬áWir identifizieren Schwachstellen, geben Empfehlungen f├╝r m├Âgliche Optimierungsma├čnahmen und unterst├╝tzen Sie bei deren Umsetzung.

Dabei ist unser Cyber-Sicherheits-Check je nach Unternehmensgr├Â├če innerhalb von wenigen Tagen durchf├╝hrbar, so dass auch kleine und mittlere Unternehmen davon profitieren k├Ânnen.

Cyber-Versicherung

Zus├Ątzlich beraten wir Sie auch zu den Vor- und Nachteilen, die mit dem Abschluss einer Cyber-Versicherung verbunden sind. Wir zeigen Ihnen im Rahmen unserer Beratung auf, welche Datenschutzvorf├Ąlle versicherbar sind und bringen Ihnen die Unterschiede zwischen einer Versicherung f├╝r Cyber-Haftpflicht oder Cyber-Eigensch├Ąden n├Ąher. Die fortschreitende Digitalisierung klassischer Unternehmensabl├Ąufe f├╝hrt zu gesteigerter Effizienz. Wir stellen aber gleichzeitig fest, dass die IT-Abh├Ąngigkeit und die damit verbundene Gef├Ąhrdungslage, Opfer von Hackerangriffen und Datendiebstahl-Delikten zu werden, proportional ansteigt. Unternehmen sehen sich bei Datenschutzverst├Â├čen nicht mehr nur Sanktionen der Aufsichtsbeh├Ârden ausgesetzt, sondern beispielsweise auch Unterlassungsklagen von Verbraucherschutzverb├Ąnden.

Cyberkriminalit├Ąt und deren finanzielle Folgen k├Ânnen somit sehr schnell existenzbedrohende Auswirkungen f├╝r Ihr Unternehmen entfalten, insbesondere, wenn Ihre finanziellen Mittel eingeschr├Ąnkt sind oder Sie ├╝ber kein angemessenes Risikomanagementsystem verf├╝gen.

Die WPNO-Experten k├Ânnen auf ├╝ber 20 Jahre Erfahrung im Versicherungsrecht zur├╝ckblicken und versetzen Sie in die Lage, sich f├╝r den Anbieter zu entscheiden, der eine Versicherung gegen Cyberrisiken und Datenmissbrauch anbietet, die Ihren Bed├╝rfnissen bestm├Âglich entspricht.

D&O-Versicherung

Der Directors & Officers-Versicherung (D&O-Versicherung) kommt zentrale Bedeutung f├╝r die Absicherung von Haftungsrisiken von Vorst├Ąnden und Gesch├Ąftsf├╝hrern, aber auch Aufsichtsr├Ąten oder leitenden Angestellten von Unternehmen zu. Die D&O-Versicherung kann dabei s├Ąmtliche T├Ątigkeiten dieser F├╝hrungskr├Ąfte und deren operative und strategische Entscheidungen umfassen. Sie stellt eine Verm├Âgensschaden-Haftpflichtversicherung f├╝r Organmitglieder dar und deckt Anspr├╝che der Gesellschaft oder Dritter gegen die Vorst├Ąnde, Aufsichtsr├Ąte oder Gesch├Ąftsf├╝hrer unter Einbeziehung der Rechtsschutzkosten ab. So k├Ânnen z.B. Sch├Ąden, die auf pflichtwidrigem Verhalten von Vorst├Ąnden oder Gesch├Ąftsf├╝hrern, im Rahmen ihrer Entscheidungsfindung bei zweifelhaften Rechtslagen, oder auf ├ťberschreitung des Ihnen einger├Ąumten Ermessensspielraums bei unternehmerischen Entscheidungen (Business Judgement Rule) beruhen, mit einer D&O-Versicherung abgedeckt werden.

Unternehmen und deren Unternehmensf├╝hrungen unterliegen oftmals gravierenden Fehleinsch├Ątzungen in Bezug auf die immensen Haftungsrisiken, welche mit einer D&O-Versicherung abgesichert werden sollen.

Fehleinsch├Ątzungen, die nicht selten zu existenzbedrohenden Situationen f├╝r die zu versichernden Unternehmensorgane f├╝hren.

Das besondere Haftungsrisiko, das unmittelbar mit der Bekleidung einer Organfunktion innerhalb eines Unternehmens eng verkn├╝pft ist, wird dabei vielfach von F├╝hrungskr├Ąften bei Antritt der Position untersch├Ątzt. Dies manifestiert sich in Nachl├Ąssigkeiten bei der Verhandlung des eigenen Anstellungsvertrages f├╝r die T├Ątigkeit als Vorstand, Gesch├Ąftsf├╝hrer oder Aufsichtsrat.

Die Notwendigkeit des Abschlusses einer D&O-Versicherung ist unstrittig. Unterliegen Sie in Ihrer Funktion als Vorstand, Gesch├Ąftsf├╝hrer oder Aufsichtsrat nicht dem Trugschluss, dass allein der Abschluss einer derartigen Versicherung bereits s├Ąmtliches f├╝r Sie vorhandenes Risiko abdeckt. Das Risiko der Inanspruchnahme durch Dritte oder intern durch die eigene Gesellschaft erlaubt es Ihnen nicht, beim Thema D&O-Versicherung unaufmerksam zu sein. Weder d├╝rfen Sie darauf vertrauen, dass Ihr Arbeitgeber alle f├╝r Sie relevanten Aspekte im Zusammenhang mit einer D&O-Versicherung kennt oder ber├╝cksichtigt, noch gen├╝gt es, sich auf den Rat der hauseigenen Unternehmensjuristen zu verlassen. Diese verf├╝gen aus nachvollziehbaren Gr├╝nden oft nicht ├╝ber die entsprechende Expertise in Bezug auf die Feinheiten und Nuancen von D&O-Versicherungen und k├Ânnen regelm├Ą├čig Interessenkollisionen aufgrund Ihrer Abh├Ąngigkeit zum Unternehmen unterliegen.

Vor diesem Hintergrund sollten Sie im Rahmen des Abschlusses einer D&O-Versicherung definitiv den Rat entsprechender Experten einholen. Die WPNO Wirtschaftspr├╝fer und Rechtsanw├Ąlte k├Ânnen auf jahrzehntelange Erfahrung im Bereich der Assekuranz zur├╝ckblicken und sind versiert im Vergleich der einschl├Ągigen Versicherungen unter Ber├╝cksichtigung der jeweiligen unternehmensspezifischen Risikostrukturen.

Strafrechtsschutz

Das Thema Strafrechtsschutz ist unabdingbar mit dem Thema D&O-Versicherung verbunden. Die D&O-Versicherung umfasst Strafzahlungen ebenso wie Bu├čgelder nicht.

Es ist zwingend erforderlich, dass Sie neben Ihrer D&O-Versicherung auch ├╝ber eine Strafrechtsschutz-Versicherung verf├╝gen. Sie, in Ihrer Funktion als Vorstand oder Gesch├Ąftsf├╝hrer k├Ânnen aufgrund von Verst├Â├čen aus ┬ž 15a Abs. 4 und 5 InsO zur Verantwortung gezogen werden. Des Weiteren sind auch Verst├Â├če gegen Buchf├╝hrung- und Bilanzierungspflichten, ┬ž 331 und ┬ž 334 HGB, oder die Geheimhaltungspflicht, ┬ž 333 HGB mit Strafe bzw. Bu├č- und Ordnungsgeldern bedroht. Gleicherma├čen drohen auch Strafen bei Untreuehandlungen im Sinne des ┬ž 266 StGB oder bei Verwirklichung der Insolvenz-Straftatbest├Ąnde der ┬ž┬ž 283 ff. StGB.

Ihnen, in Ihrer Funktion als Aufsichtsrat droht gleicherma├čen z.B. bei mangelnder Kontrolle des Vorstandes oder bei Unterlassen der Geltendmachung von Anspr├╝chen der Gesellschaft gegen den Vorstand die strafrechtliche Verfolgung nach ┬ž 266 StGB wegen Untreue.

Im Rahmen des Abschlusses einer Strafrechtsschutz-Versicherung sollte darauf geachtet werden, dass sich diese auf alle Mitglieder Ihres Unternehmens bezieht. Dadurch wird eine einheitliche Beratung und somit auch eine einheitliche Verteidigungsstrategie erm├Âglicht.

Datenschutz

Datenschutz und IT-Sicherheit sind eng miteinander verkn├╝pft. Die Anlage zu ┬ž 9 S.1 BDSG/Art. 32 DSGVO enth├Ąlt die sog. ÔÇ×achte Gebote der DatensicherheitÔÇť und stellt detaillierte technisch-organisatorische Anforderungen zur Wahrung der Datensicherheit durch Informationssicherheit. Dabei ist insbesondere der ÔÇ×Stand der TechnikÔÇť zu ber├╝cksichtigen.

WPNO ber├Ąt Sie in allen datenschutzrechtlichen Belangen und unterst├╝tzt Sie bei der Einhaltung s├Ąmtlicher gesetzlicher und regulatorischer Pflichten.

Der europ├Ąische Gesetzgeber hat mit der DSGVO umfassende Regelungen zum Datenschutz f├╝r s├Ąmtliche Mitgliedsstaaten der EU kodifiziert, die am 25.05.2018 verbindlich in Kraft treten werden. Mit der DSGVO werden gravierende ├änderungen im geltenden Datenschutzrecht einhergehen und Datenschutzverst├Â├če werden zuk├╝nftig mit sehr hohen Bu├čgeldern sanktioniert.

Gesch├Ąftsf├╝hrer, Unternehmensvorst├Ąnde und Aufsichtsr├Ąte sind nach Inkrafttreten der europ├Ąischen Datenschutzgrundverordnung (DSGVO) dringend angehalten, umfangreiche Datenschutzma├čnahmen zu ergreifen.

Andernfalls drohen betroffenen Unternehmen erhebliche Bu├čgelder, die bis zu 20 Mio. Euro bzw. bis zu vier Prozent des gesamten weltweiten Jahresumsatzes betragen k├Ânnen.

Unternehmen, welche in Folge der Unt├Ątigkeit oder Nachl├Ąssigkeit ihrer F├╝hrungsorgane mit Bu├čgeldern in derartigen H├Âhen sanktioniert werden, stehen wiederum in der Pflicht, die entsprechenden F├╝hrungsorgane pers├Ânlich in Anspruch zu nehmen.

Es d├╝rfte vor dem Hintergrund publizierter Pflichten aus der DSGVO mehr als zweifelhaft sein, ob D&O Versicherungen f├╝r Sch├Ąden einstehen werden, welche von Gesch├Ąftsf├╝hrern und Vorst├Ąnden in diesem Zusammenhang unmittelbar oder mittelbar verursacht wurden.

Ihnen als Vorstand, Aufsichtsrat oder Gesch├Ąftsf├╝hrer eines Unternehmens droht dar├╝ber hinaus neben der pers├Ânlichen Inanspruchnahme Ihres Verm├Âgens eine strafrechtliche Verfolgung, wenn Sie nicht die notwendigen Ma├čnahmen ergreifen, welche das versch├Ąrfte Datenschutzrecht und hier insbesondere die DSGVO von Ihnen einfordern.

Profitieren Sie von der ausgepr├Ągten Expertise der WPNO Wirtschaftspr├╝fer und Rechtsanw├Ąlte, deren Datenschutz-Fachkunde nach GDDcert zertifiziert ist. Ein WPNO Wirtschaftspr├╝fer oder Rechtsanwalt als externer betrieblicher Datenschutzbeauftragter verf├╝gt ├╝ber fundierte Kenntnisse zum technisch-organisatorischen Datenschutz und zum Datenschutz-Management. Gleicherma├čen weisen Sie durch Ihn sowohl gegen├╝ber der Aufsichtsbeh├Ârde und Bundesnetzagentur als auch gegen├╝ber Ihren Kunden, Gesch├Ąftspartnern und der ├ľffentlichkeit Ihre Datenschutzqualifikation und -qualit├Ąt nach. Zudem bietet dessen Bestellung den Vorteil des Nachweises einer attestierten Datenschutzqualifikation, die im Rahmen des Risikomanagements (Basel II, KonTraG, SOX) gefordert wird.

WPNO ÔÇô Unsere Leistungen f├╝r Ihr Unternehmen

Wir

  • f├╝hren Compliance-Checks hinsichtlich des Datenschutzes in Ihrem Unternehmen durch
  • entwickeln f├╝r Sie unternehmensweite Datenschutz-Compliance-Programme
  • unterst├╝tzen und begleiten Sie beim Aufbau einer Datenschutz Organisationen im Unternehmen
  • beraten und begleiten Sie bei der datenschutzkonformen Umsetzung neuer Gesch├Ąftsmodelle
  • begleiten Sie datenschutzrechtlich im Rahmen von Werbe- und Marketing-Ma├čnahmen (z.B. durch Telefax, E-Mail, SMS, Messenger, Social Media)
  • entwickeln f├╝r Sie Vertragsklauseln (z.B. Einwilligungserkl├Ąrungen zur Datennutzung)
  • beraten Sie im Rahmen der Erhebung und Verwendung von Kundendaten im Internet
  • erstellen Gutachten zum Nachweis rechtskonformer Verfahren
  • beraten Sie in Bezug auf Big Data Analysen wie Predictive Analytics etc.
  • entwickeln datenschutzrechtliche Unternehmensrichtlinien und Betriebsvereinbarungen
  • unterst├╝tzen und moderieren im Rahmen von Konflikten auf dem Gebiet des Arbeitnehmerdatenschutzes zwischen Unternehmensf├╝hrung und Betriebsrat
  • verhandeln in Konfliktf├Ąllen mit den zust├Ąndigen Aufsichtsbeh├Ârden
  • beraten Sie bei Fragen zu internationalen Datentransfers, insbesondere Nicht-EU-Staaten (ÔÇ×Privacy-ShieldÔÇť) sowie Datenverarbeitungen innerhalb Ihres Konzerns
  • beraten Sie datenschutzrechtlich in Bezug auf Outsourcing-Projekte
  • beraten Sie in Bezug zu CRM Systemen
  • schulen Ihre Mitarbeiter in den erforderlichen Aspekten des Datenschutzes
  • beraten Sie datenschutzrechtlich zu sensiblen Gesundheitsdaten
  • beraten Sie in Bezug auf das Bank- und Fernmeldegeheimnis
  • f├╝hren als Wirtschaftspr├╝fungsgesellschaft bei Ihnen Datenschutzaudits durch