IT – Sicherheit

18:08 21 November in IT Audit & Advisory

WPNO unterstützt und begleitet Sie bei dem Aufbau, der Beurteilung und der Optimierung Ihrer IT-Sicherheit. Wir prüfen und bewerten Systemumfelder und Unternehmensrichtlinien zur IT-Sicherheit, erstellen Sicherheitspolicies und Richtlinien und helfen Ihnen beim Aufbau eines Information Security Management Systems (ISMS).

Die Grundlage für das Management von IT-Sicherheit bilden die gesetzlichen, regulativen und vertraglichen Vorgaben (IT-Compliance), eine Risikobestandsaufnahme und eine Beurteilung nebst Maßnahmenplan zur Reaktion auf identifizierte IT-Risiken.

Das Bundesamts für Sicherheit in der Informationstechnik (BSI) übernimmt die Funktion der nationalen IT- und Cyber-Sicherheitsbehörde. Das Ziel des BSI ist die Wahrung und Förderung der IT-Sicherheit in Deutschland. Dies verfolgt das BSI durch Maßnahmen und Angebote, die zum einen der Prävention gelten, zum anderen aber auch hilfreich bei der Abwehr von aktuellen Bedrohungen und Angriffen sein können. Das IT-Sicherheitsgesetz (IT-SicherheitsG) ist am 25.07.2015 in Kraft getreten. Als sogenanntes Artikelgesetz dient es lediglich der Änderung diverser anderer Gesetze. Das IT-SicherheitsG führte zu konkreten Änderungen in insgesamt acht Gesetzen, u.a. dem Gesetz über das Bundesamt für die Sicherheit in der Informationstechnik (BSIG). Das IT-SicherheitsG zielt darauf ab, den Grundproblemen im Bereich von IT- bzw. Cybersicherheit zu begegnen und einen rechtlichen Rahmen für die Gewährleistung von Sicherheit im IT- bzw. Cyber-Sektor zu schaffen.

Durch das IT-Sicherheitsgesetz wird die zentrale Rolle des BSI im Bereich IT-Sicherheit gestärkt.

Informationssicherheitsmanagementsysteme (ISMS)

Eine Vielzahl von IT-Dienstleistungsunternehmen hat bereits ein Information Security Management System (ISMS) etabliert. Die zwingende Notwendigkeit der Einrichtung eines ISMS spiegelt sich auch in Zahlen wider. Gemäß einer Studie im Auftrag der Kollegen von PwC aus dem Jahr 2015 wurde im vergangenen Jahr jedes zehnte mittelständische Unternehmen ein Opfer von Cyberangriffen. Die Höhe der eingetretenen Schäden belief sich auf durchschnittlich 80.000 EUR.

Nur mit einem ISMS lassen sich Schwachstellen in der eigenen IT identifizieren, Cyberangriffe frühzeitig erkennen und Maßnahmen zur Abwehr ergreifen.

WPNO bietet Ihnen mit einer akkreditierten Zertifizierungs- und Prüfungsgesellschaft, mit dem WPNO Team aus Wirtschaftsprüfern, Steuerberatern, Rechtsanwälten, IT- und Datenschutz-Spezialisten und unseren externen BSI-IT-Grundschutz-Auditoren, den hauseigenen ISO 27001 Lead-Auditoren sowie den spezialisierten CISA- und CISM-IT-Fachkräften die Zertifizierung Ihres ISMS nach DIN ISO/IEC 27001-2:2015 an. Wissend, dass eine Zertifizierung nach DIN ISO/IEC 27001-2:2015 nicht mehr ausreicht, um die hohen Anforderungen des in mehreren Gesetzen (z.B. BDSG, BSIG, TKG, TMG) vorausgesetzten Standards „Stand der Technik“ zu erfüllen, orientieren wir uns darüber hinaus am IT-Grundschutz des BSI (d.h. die BSI-Standards zum Sicherheitsmanagement, BSI-Standard 100-1 bis 100-4 sowie die IT-Grundschutzkataloge), sowie den Wirtschaftsprüfertestaten IDW PS 330, IDW PS 951 n.F. und IDW PS 980, IDW EPS 981, IDW EPS 982. Wir berücksichtigen u.a. auch die ISO Standards DIN EN ISO 9001:2015, DIN ISO/IEC 20000-1:2011, DIN EN ISO 22301:2014 sowie CobiT und die speziellen Sicherheitshinweise und Leitfäden zu systemnahen Softwareprodukten und ERP-Systemen.

Im Rahmen der Zertifizierung erarbeiten wir zudem mit Ihnen ein rechtskonformes Sicherheits- und Datenschutzkonzept auf Basis M 2.500 ff.

Ein von WPNO zertifiziertes ISMS nach DIN ISO/IEC 27001-2:2015, welches sich am IT-Grundschutz des BSI (d.h. die BSI-Standards zum Sicherheitsmanagement, BSI-Standard 100-1 bis 100-4 sowie die IT-Grundschutzkataloge), sowie den Wirtschaftsprüfertestaten IDW PS 330, IDW PS 951 n.F. und IDW PS 980, IDW EPS 981, IDW EPS 982. stellt einen entscheidenden Wettbewerbsvorteil im IT-Dienstleistungsmarkt dar. Partiell ist ein zertifiziertes ISMS bereits Zulassungsbedingung für Ausschreibungen und Aufträge in bestimmten Branchen und Bereichen.

Basis unserer Zertifizierung ist eine Kombination aus „Stand der Technik“ und „Stand von Wissenschaft und Technik“.

Im Rahmen der Zertifizierung stellen wir Ihnen zudem auch Tools zur Seite, welche die Erlangung der Zertifizierung signifikant vereinfachen. Die Tools entsprechen dabei der GoBD und sind darüber hinaus IDW RS FAIT 1, IDW PS 261 n.F., 330, 880, 951 n.F. sowie ISAE 3402 konform.

Wir empfehlen bereits bei der Implementierung des ISMS ein Pre-Audit durchzuführen. Dies ermöglicht Ihnen die zeitnahe Zertifizierung Ihres ISMS und vermeidet womöglich doppelten Aufwand.

WPNO unterstützt und begleitet Sie bei der Einführung und in den regelmäßigen Aufgaben eines ISMS im gesamten PDCA-Zyklus von Plan, Do, Check, Act.

Wir legen Ihr ISMS fest, setzen dieses um und führen notwendige Überwachungen und Überprüfungen durch. Zudem gewährleisten wir die Instandhaltung und Optimierung Ihres ISMS.

WPNO unterstützt Sie bei weitergehenden Fragestellungen zum Themenbereich ISMS. Wir helfen Ihnen bei der Ermittlung und Umsetzung der externen gesetzlichen, der regulativen und den geschäftlichen und vertraglichen Verpflichtungen (IT-Compliance). Wir gestalten Leit- und Richtlinien und unterstützen Sie im Rahmen der Risikoeinschätzung und der Definition von Maßnahmen zur Risikohandhabung.

Profitieren Sie von unserer umfassenden Expertise und Erfahrung in der Durchführung von Sicherheitsaudits, aus denen wir regelmäßig auch Potentiale und konkrete Maßnahmen zur Optimierung von ISMS ableiten.

Cyber-Sicherheit

Organisationen und Unternehmen sind in Bezug auf ihre Arbeitsabläufe und Geschäftsprozesse regelmäßig auf eine fehlerfrei funktionierende und verlässliche IT-Infrastruktur angewiesen.

Vor diesem Hintergrund stellen IT-Ausfälle, wie auch Manipulationen von Daten oder unkontrollierte Zugriffe hohe operationelle Risiken dar. Während in Bezug auf IT-Ausfälle in Unternehmen regelmäßig umfassende Vorsorgemaßnahmen getroffen werden, werden Abwehrmaßnahmen gegen externe Cyber-Angriffe oftmals vernachlässigt.

Gemäß einem Monitoring des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestehen erhebliche Bedrohungspotentiale in Gestalt von gezielten Infiltrationen über E-Mail-Anhänge, Infiltrationen von Rechnern beim Internetzugriff durch Mitarbeiter, gezieltes Hacking von Webservern, der ungezielten Verteilung von Schadsoftware wie beispielsweise durch Spam-Mails, mehrstufige Angriffe wie „Advanced Persistent Threats oder Denial-of-Service-Attacken.

Dabei stellen Entwicklungs- und Kundendaten, Unternehmens-Know-how und Betriebsgeheimnisse die primären Ziele von Cyber-Angriffen dar.

Cyber-Sicherheits-Check

WPNO unterstützt Sie durch eine strukturierte Beurteilung der Informations- und Netzwerksicherheit Ihres Unternehmens im Rahmen der Durchführung eines Cyber-Sicherheits-Checks. Wir identifizieren Schwachstellen, geben Empfehlungen für mögliche Optimierungsmaßnahmen und unterstützen Sie bei deren Umsetzung.

Dabei ist unser Cyber-Sicherheits-Check je nach Unternehmensgröße innerhalb von wenigen Tagen durchführbar, so dass auch kleine und mittlere Unternehmen davon profitieren können.

Cyber-Versicherung

Zusätzlich beraten wir Sie auch zu den Vor- und Nachteilen, die mit dem Abschluss einer Cyber-Versicherung verbunden sind. Wir zeigen Ihnen im Rahmen unserer Beratung auf, welche Datenschutzvorfälle versicherbar sind und bringen Ihnen die Unterschiede zwischen einer Versicherung für Cyber-Haftpflicht oder Cyber-Eigenschäden näher. Die fortschreitende Digitalisierung klassischer Unternehmensabläufe führt zu gesteigerter Effizienz. Wir stellen aber gleichzeitig fest, dass die IT-Abhängigkeit und die damit verbundene Gefährdungslage, Opfer von Hackerangriffen und Datendiebstahl-Delikten zu werden, proportional ansteigt. Unternehmen sehen sich bei Datenschutzverstößen nicht mehr nur Sanktionen der Aufsichtsbehörden ausgesetzt, sondern beispielsweise auch Unterlassungsklagen von Verbraucherschutzverbänden.

Cyberkriminalität und deren finanzielle Folgen können somit sehr schnell existenzbedrohende Auswirkungen für Ihr Unternehmen entfalten, insbesondere, wenn Ihre finanziellen Mittel eingeschränkt sind oder Sie über kein angemessenes Risikomanagementsystem verfügen.

Die WPNO-Experten können auf über 20 Jahre Erfahrung im Versicherungsrecht zurückblicken und versetzen Sie in die Lage, sich für den Anbieter zu entscheiden, der eine Versicherung gegen Cyberrisiken und Datenmissbrauch anbietet, die Ihren Bedürfnissen bestmöglich entspricht.

D&O-Versicherung

Der Directors & Officers-Versicherung (D&O-Versicherung) kommt zentrale Bedeutung für die Absicherung von Haftungsrisiken von Vorständen und Geschäftsführern, aber auch Aufsichtsräten oder leitenden Angestellten von Unternehmen zu. Die D&O-Versicherung kann dabei sämtliche Tätigkeiten dieser Führungskräfte und deren operative und strategische Entscheidungen umfassen. Sie stellt eine Vermögensschaden-Haftpflichtversicherung für Organmitglieder dar und deckt Ansprüche der Gesellschaft oder Dritter gegen die Vorstände, Aufsichtsräte oder Geschäftsführer unter Einbeziehung der Rechtsschutzkosten ab. So können z.B. Schäden, die auf pflichtwidrigem Verhalten von Vorständen oder Geschäftsführern, im Rahmen ihrer Entscheidungsfindung bei zweifelhaften Rechtslagen, oder auf Überschreitung des Ihnen eingeräumten Ermessensspielraums bei unternehmerischen Entscheidungen (Business Judgement Rule) beruhen, mit einer D&O-Versicherung abgedeckt werden.

Unternehmen und deren Unternehmensführungen unterliegen oftmals gravierenden Fehleinschätzungen in Bezug auf die immensen Haftungsrisiken, welche mit einer D&O-Versicherung abgesichert werden sollen.

Fehleinschätzungen, die nicht selten zu existenzbedrohenden Situationen für die zu versichernden Unternehmensorgane führen.

Das besondere Haftungsrisiko, das unmittelbar mit der Bekleidung einer Organfunktion innerhalb eines Unternehmens eng verknüpft ist, wird dabei vielfach von Führungskräften bei Antritt der Position unterschätzt. Dies manifestiert sich in Nachlässigkeiten bei der Verhandlung des eigenen Anstellungsvertrages für die Tätigkeit als Vorstand, Geschäftsführer oder Aufsichtsrat.

Die Notwendigkeit des Abschlusses einer D&O-Versicherung ist unstrittig. Unterliegen Sie in Ihrer Funktion als Vorstand, Geschäftsführer oder Aufsichtsrat nicht dem Trugschluss, dass allein der Abschluss einer derartigen Versicherung bereits sämtliches für Sie vorhandenes Risiko abdeckt. Das Risiko der Inanspruchnahme durch Dritte oder intern durch die eigene Gesellschaft erlaubt es Ihnen nicht, beim Thema D&O-Versicherung unaufmerksam zu sein. Weder dürfen Sie darauf vertrauen, dass Ihr Arbeitgeber alle für Sie relevanten Aspekte im Zusammenhang mit einer D&O-Versicherung kennt oder berücksichtigt, noch genügt es, sich auf den Rat der hauseigenen Unternehmensjuristen zu verlassen. Diese verfügen aus nachvollziehbaren Gründen oft nicht über die entsprechende Expertise in Bezug auf die Feinheiten und Nuancen von D&O-Versicherungen und können regelmäßig Interessenkollisionen aufgrund Ihrer Abhängigkeit zum Unternehmen unterliegen.

Vor diesem Hintergrund sollten Sie im Rahmen des Abschlusses einer D&O-Versicherung definitiv den Rat entsprechender Experten einholen. Die WPNO Wirtschaftsprüfer und Rechtsanwälte können auf jahrzehntelange Erfahrung im Bereich der Assekuranz zurückblicken und sind versiert im Vergleich der einschlägigen Versicherungen unter Berücksichtigung der jeweiligen unternehmensspezifischen Risikostrukturen.

Strafrechtsschutz

Das Thema Strafrechtsschutz ist unabdingbar mit dem Thema D&O-Versicherung verbunden. Die D&O-Versicherung umfasst Strafzahlungen ebenso wie Bußgelder nicht.

Es ist zwingend erforderlich, dass Sie neben Ihrer D&O-Versicherung auch über eine Strafrechtsschutz-Versicherung verfügen. Sie, in Ihrer Funktion als Vorstand oder Geschäftsführer können aufgrund von Verstößen aus § 15a Abs. 4 und 5 InsO zur Verantwortung gezogen werden. Des Weiteren sind auch Verstöße gegen Buchführung- und Bilanzierungspflichten, § 331 und § 334 HGB, oder die Geheimhaltungspflicht, § 333 HGB mit Strafe bzw. Buß- und Ordnungsgeldern bedroht. Gleichermaßen drohen auch Strafen bei Untreuehandlungen im Sinne des § 266 StGB oder bei Verwirklichung der Insolvenz-Straftatbestände der §§ 283 ff. StGB.

Ihnen, in Ihrer Funktion als Aufsichtsrat droht gleichermaßen z.B. bei mangelnder Kontrolle des Vorstandes oder bei Unterlassen der Geltendmachung von Ansprüchen der Gesellschaft gegen den Vorstand die strafrechtliche Verfolgung nach § 266 StGB wegen Untreue.

Im Rahmen des Abschlusses einer Strafrechtsschutz-Versicherung sollte darauf geachtet werden, dass sich diese auf alle Mitglieder Ihres Unternehmens bezieht. Dadurch wird eine einheitliche Beratung und somit auch eine einheitliche Verteidigungsstrategie ermöglicht.

Datenschutz

Datenschutz und IT-Sicherheit sind eng miteinander verknüpft. Die Anlage zu § 9 S.1 BDSG/Art. 32 DSGVO enthält die sog. „achte Gebote der Datensicherheit“ und stellt detaillierte technisch-organisatorische Anforderungen zur Wahrung der Datensicherheit durch Informationssicherheit. Dabei ist insbesondere der „Stand der Technik“ zu berücksichtigen.

WPNO berät Sie in allen datenschutzrechtlichen Belangen und unterstützt Sie bei der Einhaltung sämtlicher gesetzlicher und regulatorischer Pflichten.

Der europäische Gesetzgeber hat mit der DSGVO umfassende Regelungen zum Datenschutz für sämtliche Mitgliedsstaaten der EU kodifiziert, die am 25.05.2018 verbindlich in Kraft treten werden. Mit der DSGVO werden gravierende Änderungen im geltenden Datenschutzrecht einhergehen und Datenschutzverstöße werden zukünftig mit sehr hohen Bußgeldern sanktioniert.

Geschäftsführer, Unternehmensvorstände und Aufsichtsräte sind nach Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) dringend angehalten, umfangreiche Datenschutzmaßnahmen zu ergreifen.

Andernfalls drohen betroffenen Unternehmen erhebliche Bußgelder, die bis zu 20 Mio. Euro bzw. bis zu vier Prozent des gesamten weltweiten Jahresumsatzes betragen können.

Unternehmen, welche in Folge der Untätigkeit oder Nachlässigkeit ihrer Führungsorgane mit Bußgeldern in derartigen Höhen sanktioniert werden, stehen wiederum in der Pflicht, die entsprechenden Führungsorgane persönlich in Anspruch zu nehmen.

Es dürfte vor dem Hintergrund publizierter Pflichten aus der DSGVO mehr als zweifelhaft sein, ob D&O Versicherungen für Schäden einstehen werden, welche von Geschäftsführern und Vorständen in diesem Zusammenhang unmittelbar oder mittelbar verursacht wurden.

Ihnen als Vorstand, Aufsichtsrat oder Geschäftsführer eines Unternehmens droht darüber hinaus neben der persönlichen Inanspruchnahme Ihres Vermögens eine strafrechtliche Verfolgung, wenn Sie nicht die notwendigen Maßnahmen ergreifen, welche das verschärfte Datenschutzrecht und hier insbesondere die DSGVO von Ihnen einfordern.

Profitieren Sie von der ausgeprägten Expertise der WPNO Wirtschaftsprüfer und Rechtsanwälte, deren Datenschutz-Fachkunde nach GDDcert zertifiziert ist. Ein WPNO Wirtschaftsprüfer oder Rechtsanwalt als externer betrieblicher Datenschutzbeauftragter verfügt über fundierte Kenntnisse zum technisch-organisatorischen Datenschutz und zum Datenschutz-Management. Gleichermaßen weisen Sie durch Ihn sowohl gegenüber der Aufsichtsbehörde und Bundesnetzagentur als auch gegenüber Ihren Kunden, Geschäftspartnern und der Öffentlichkeit Ihre Datenschutzqualifikation und -qualität nach. Zudem bietet dessen Bestellung den Vorteil des Nachweises einer attestierten Datenschutzqualifikation, die im Rahmen des Risikomanagements (Basel II, KonTraG, SOX) gefordert wird.

WPNO – Unsere Leistungen für Ihr Unternehmen

Wir

  • führen Compliance-Checks hinsichtlich des Datenschutzes in Ihrem Unternehmen durch
  • entwickeln für Sie unternehmensweite Datenschutz-Compliance-Programme
  • unterstützen und begleiten Sie beim Aufbau einer Datenschutz Organisationen im Unternehmen
  • beraten und begleiten Sie bei der datenschutzkonformen Umsetzung neuer Geschäftsmodelle
  • begleiten Sie datenschutzrechtlich im Rahmen von Werbe- und Marketing-Maßnahmen (z.B. durch Telefax, E-Mail, SMS, Messenger, Social Media)
  • entwickeln für Sie Vertragsklauseln (z.B. Einwilligungserklärungen zur Datennutzung)
  • beraten Sie im Rahmen der Erhebung und Verwendung von Kundendaten im Internet
  • erstellen Gutachten zum Nachweis rechtskonformer Verfahren
  • beraten Sie in Bezug auf Big Data Analysen wie Predictive Analytics etc.
  • entwickeln datenschutzrechtliche Unternehmensrichtlinien und Betriebsvereinbarungen
  • unterstützen und moderieren im Rahmen von Konflikten auf dem Gebiet des Arbeitnehmerdatenschutzes zwischen Unternehmensführung und Betriebsrat
  • verhandeln in Konfliktfällen mit den zuständigen Aufsichtsbehörden
  • beraten Sie bei Fragen zu internationalen Datentransfers, insbesondere Nicht-EU-Staaten („Privacy-Shield“) sowie Datenverarbeitungen innerhalb Ihres Konzerns
  • beraten Sie datenschutzrechtlich in Bezug auf Outsourcing-Projekte
  • beraten Sie in Bezug zu CRM Systemen
  • schulen Ihre Mitarbeiter in den erforderlichen Aspekten des Datenschutzes
  • beraten Sie datenschutzrechtlich zu sensiblen Gesundheitsdaten
  • beraten Sie in Bezug auf das Bank- und Fernmeldegeheimnis
  • führen als Wirtschaftsprüfungsgesellschaft bei Ihnen Datenschutzaudits durch