Digital Trust Blog

Auditierung von Blockchain

Die Auditierung von Blockchain-Technologien

Die Blockchain gilt als eine der großen Technologietrends der letzten Jahre mit dem Potential die Unternehmenslandschaft und das Finanzwesen fundamental zu verändern.  Mit ihrem dezentralen Aufbau bietet sie die Möglichkeit Intermediäre in Geschäftsprozessen zu ersetzen, die Transparenz zu erhöhen und die Manipulation von Daten zu verhindern. Sie eröffnet somit große Perspektiven und stellt gleichzeitig eine Alternative zu traditionellen Finanztransaktionen dar.

Balance zwischen Flexibilität und Ordnungsmäßigkeit im Umgang mit IDV

Umgang mit individueller Datenverarbeitung (IDV) – Der Hintergrund

Die klassische IT-Landschaft der Kredit- und Finanzdienstleistungsinstitute ist durch standardisierte Kernanwendungen bestimmt. Zur Unterstützung der Prozessabläufe in den Fachbereichen werden darüber hinaus unterschiedliche IDV-Anwendungen (z.B. auf der Basis von MS-Office-Anwendungen) eingesetzt. Diese Anwendungen beinhalten teilweise umfangreiche Funktionalitäten und werden von den Fachbereichen selbstständig entwickelt und betrieben.

Der Einsatz von IDV wird reguliert und muss die regulatorischen Mindestanforderungen zur Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit erfüllen.

IDW veröffentlicht neue Prüfungshinweise

In der Mai und Juni Ausgabe seiner Mitgliederzeitschrift hat das Institut der Wirtschaftsprüfer (IDW) je einen Prüfungshinweis veröffentlicht, welche den Prüfungsstandard IDW PS 860 konkretisieren. Der Prüfungsstandard regelt die Grundsätze und Vorgehensweisen nach denen IT-Prüfungen außerhalb der Abschlussprüfung durchzuführen sind. Er korrespondiert dabei mit dem internationalen „International Standard on Assurance Engagements (ISAE) 3000 (Revised)“.

Covid-19-Update: Anforderungen des SWIFT Customer Security Programme (CSP) in 2020

Covid-19-Update

Aufgrund der Covid-19 Pandemie hat SWIFT die Zeitpläne für die Attestierung des Customer Security Controls Framework (CSCF) überarbeitet. Für 2020 ist eine Selbstzertifizierung in Bezug auf das SWIFT CSCF in der Version v2019 für alle SWIFT-Nutzer ausreichend, SWIFT empfiehlt jedoch aufgrund der Klarstellungen zu den Kontrollen die Version v2020 zu nutzen.

Das von SWIFT gemäß “Independent Assessment Framework” vorgeschriebene unabhängige interne oder externe Assessment (“Community Standard Assessment”) verschiebt sich in das Jahr 2021 und wird auf Basis der Kontrollen des SWIFT CSCF in der Version v2021 durchzuführen sein. Insofern empfiehlt sich dennoch eine frühzeitige Auseinandersetzung mit den zugehörigen Kontrollen (bspw. mittels Health Check/ Gap Analyse), um für das unabhängige Assessment gewappnet zu sein.

Darüber hinaus regt SWIFT seine Nutzer nach Möglichkeit dazu an, bereits im aktuellen Jahr 2020 ein unabhängiges Assessment durchzuführen.

Gerne unterstützen wir mit einem Health Check zur Vorbereitung auf entsprechende Assessments, oder natürlich auch bei der Attestierung der SWIFT CSCF Kontrollen mit unserem etablierten Verfahren auf Basis von ISAE-Standards.

Digitale Prozessanalysen mit Process Mining

Ineffiziente und verzweigte Geschäftsprozesse sind zentrale Kostentreiber für jedes Unternehmen und beeinflussen die Unternehmensleistung direkt. Process Mining ermöglicht digitale Prozessanalysen und unterstützt damit bei der Prozessoptimierung, einem Schlüsselthema und ersten Schritt in Richtung Digitalisierung.

Process Mining leitet einen Paradigmenwechsel ein – von a priori Wissen (Modellierung des Geschäftsprozesses basierend auf Annahmen) zu einem a posteriori Einblick (zu sehen, wie der Geschäftsprozess tatsächlich abläuft). Die Technologie ermöglicht wertvolle Einblicke in die tatsächlichen Unternehmensabläufe durch Rekonstruktion, Visualisierung und Analyse der digitalen Fußspuren IT-gestützter Prozessaktivitäten.

Datenschutz: DSGVO-Health-Check

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) ist in den meisten Unternehmen laut Projektstatus erfolgt, doch wo stehen Sie als Unternehmen heute tatsächlich und wie stabil und effektiv ist Ihre Datenschutz-Compliance?

DSGVO-Health-Check

Nicht erst mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) im Mai 2018 stehen viele Unternehmen vor großen Herausforderungen. Das europäische und nationale Recht stellt viele Anforderungen zum Schutz personenbezogener Daten, mit welchen sich einzelne Unternehmen im Detail noch schwertun. Die DSGVO fordert umfangreiche Maßnahmen, weshalb eine neue Datenschutzrichtlinie allein meist nicht ausreicht und ein integrierter Blick auf die Prozess- und IT-Landschaft notwendig ist.

Anforderungskatalog für Betreiber kritischer Infrastrukturen (Kritis)

Mit Beschluss der Cyber-Sicherheitsstrategie der Bundesregierung sollen die IT-Systeme und digitalen Infrastrukturen in Deutschland geschützt werden, um einen Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen mit Folgen für Wirtschaft, Staat und Gesellschaft zu verhindern. Mit dem IT-Sicherheitsgesetz (IT-SiG) wurden Vorgaben zum Schutz kritischer Infrastrukturen (Kritis) definiert.

Einzelne Sektoren wie z.B. Gesundheitswesen, Wasser- und Energieversorgung haben in der Vergangenheit eigene branchenspezifische Sicherheitsstandards (B3S) mit dem BSI erarbeitet, um Rahmenwerke zur Auswahl, Umsetzung und Prüfung der Sicherheitsvorkehrungen zu erstellen und damit auch die Anforderungen zu konkretisieren.

Ein für alle Kritis-Betreiber anwendbarer Anforderungskatalog existierte bisher allerdings nicht, sodass insbesondere die Branchen, die keinen B3S hatten, eine gewisse Planungsunsicherheit im Rahmen der Ausrichtung an der Kritis-Verordnung sowie der entsprechenden Nachweiserbringung hatten. Auch der Banken- und Finanzdienstleistungssektor ist ein solcher Sektor ohne B3S.

Cloud in der Finanzindustrie – Jetzt sicher und compliant durchstarten

Die Nutzung von Cloud ist unabdingbar

Die Nutzung von Cloud-Technologie ist im FS-Sektor unabdingbar. Dies zeigt auch die PwC Studie zum Thema „Cloud Computing im Bankensektor“. Das Thema Cloud Computing besaß bereits zum Zeitpunkt der Studie für 68 Prozent der Institute eine hohe Branchenrelevanz. Und für die nächsten fünf Jahre rechnen die IT-Entscheider mit einer deutlich wachsenden Bedeutung.
Für viele Geschäftsmodelle und Prozesse, insbesondere im Zusammenhang mit Digitalisierungsinitiativen wird sich der Einsatz von Cloud Computing als integraler Bestandteil und Erfolgsfaktor festigen.

Cloud-Nutzer wissen insbesondere die verbesserte Service-Qualität, die Komplexitätsreduktion der eigenen IT-Architektur sowie die Verfügbarkeit von speziellen Ressourcen zu schätzen. Institute, welche noch keine Cloud-Lösungen nutzen, versprechen sich insbesondere eine höhere Flexibilität durch die Nutzung von neuen Cloud-Services.

EIOPA Konsultation: Richtlinien zu Outsourcing an Cloud-Service-Anbieter

Die Europäische Behörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) hat zum 31.01.2020 ihre Richtlinien für das Outsourcing an Anbieter von Cloud-Diensten unter Berücksichtigung der Rückmeldung der Konsultationsphase finalisiert. Als Reaktion auf die Kommentare hat die EIOPA das Datum zu dem die Richtlinien verpflichtend anzuwenden sind vom    1. Juli 2020 auf den 1. Januar 2021 verschoben.

Ebenfalls verlängert wurde der Zeitraum für die Überprüfung von bestehenden Vereinbarungen vom 1. Juli 2022 bis zum 31. Dezember 2022. Um innerhalb der Richtlinien das Proportionalitätsprinzip stärker zu verankern, wurde der Grundsatz der risikobasierten Überprüfung eingeführt, demzufolge nur diejenigen Cloud-Dienste, die sich auf kritische und wichtige operative Unternehmensfunktionen oder Aktivitäten beziehen zwingend überprüft und ggf. angepasst werden müssen.

Weitere Informationen zum ursprünglichen Entwurf finden Sie hier.

EBA Guidelines Outsourcing 2019 (EBA/GL/2019/02)

Zeitplan, Anwendbarkeit, wesentliche Neuerungen und Erfahrungsberichte

 

Zeitplan

Die am 25. Februar 2019 veröffentlichten EBA Leitlinien zu Auslagerungen traten am 30. September 2019 in Kraft. Eine verlängerte Umsetzungsfrist bis zum 31.12.2021 besteht grundsätzlich für Anforderungen an das Register und die Überprüfung wesentlicher Auslagerungsverträge.

Die EBA Leitlinien zu Auslagerungen tragen den EU-rechtlichen Vorgaben, insbesondere PSD 2 (2015/2366/EU), MiFID II (2017/565) und der CRD (2013/36/EU) Rechnung. Einhergehend mit dem rasanten Anstieg an (IT-) Auslagerungen sowie (IT-) Leistungsbezügen waren sie der Haupttreiber für die Ablösung der bisherigen CEBS Guidelines 2006. Sie erweitern den Anwendungsbereich und legen einheitlich für Institute, Zahlungsinstitute und E-Geld-Institute interne Governance Anforderungen für Auslagerungen fest, insbesondere mit Blick auf Auslagerungen kritischer oder wesentlicher Funktionen. Die EBA Leitlinien integrieren die Anforderungen an Cloud Dienste und ersetzen damit auch die EBA Recommendations on outsourcing to cloud service provider 2017 (EBA/REC/2017/03).

/* */