Digital Trust Blog

Aufbau und Nutzen eines Datenschutzmanagementsystems

Mit der Datenschutzgrundverordnung (DSGVO) sind umfassende Anforderungen rund um die Verarbeitung personenbezogener Daten definiert worden. Verantwortlich fĂŒr die Umsetzung eines angemessenen Datenschutzniveaus ist die Unternehmensleitung und nicht – wie mancherorts auch heute noch erwartet – der Datenschutzbeauftragte. Letzter hat im Sinne der DSGVO neben der Beratung der Unternehmensleitung u.a. die Überwachung der eingerichteten Maßnahmen zur Einhaltung der DSGVO als Aufgabe.

Obwohl die Datenschutzgrundverordnung den Aufbau eines strukturierten Datenschutzmanagementsystems (DSMS) u.a. zur ErfĂŒllung der Rechenschaftspflicht nahelegt, sind die konkreten Anforderungen an die Ausgestaltung eines solchen DSMS vom Gesetzgeber und den Aufsichtsbehörden bisher nicht weiter spezifiziert. Trotzdem ist der Aufbau eines DSMS ein lohnendes Investment, da gem. DSGVO die vom Unternehmen ergriffenen Maßnahmen bei der Sanktionierung angerechnet werden und somit ein wirksames Datenschutzmanagement neben Reputationsrisiken auch Bußgeldrisiken sowie die Eintrittswahrscheinlichkeit fĂŒr Datenschutzverletzungen reduzieren kann.

KĂŒnstliche Intelligenz im Finanzsektor

KĂŒnstliche Intelligenz (KI) hat das Potential die Arbeitsweise von Banken fundamental zu verĂ€ndern. Computer, welche auf KI basierende Technologien nutzen, imitieren die Funktionsweise menschlicher Intelligenz und reprĂ€sentieren eine besonders komplexe Art von Automatisierung. Wir gliedern Automatisierungen in solche, die menschliche TĂ€tigkeiten lediglich unterstĂŒtzen und solche, die TĂ€tigkeiten vollstĂ€ndig autonom ausfĂŒhren. Alternativ können sich Automatisierungen in ihrem Grad von AnpassungsfĂ€higkeit unterscheiden: es gibt Systeme, welche fĂŒr festgelegte Aufgaben programmiert sind und solche, die sich selbststĂ€ndig an neue Gegebenheiten anpassen können.

Auditierung von Blockchain

Die Auditierung von Blockchain-Technologien

Die Blockchain gilt als eine der großen Technologietrends der letzten Jahre mit dem Potential die Unternehmenslandschaft und das Finanzwesen fundamental zu verĂ€ndern.  Mit ihrem dezentralen Aufbau bietet sie die Möglichkeit IntermediĂ€re in GeschĂ€ftsprozessen zu ersetzen, die Transparenz zu erhöhen und die Manipulation von Daten zu verhindern. Sie eröffnet somit große Perspektiven und stellt gleichzeitig eine Alternative zu traditionellen Finanztransaktionen dar.

Balance zwischen FlexibilitĂ€t und OrdnungsmĂ€ĂŸigkeit im Umgang mit IDV

Umgang mit individueller Datenverarbeitung (IDV) – Der Hintergrund

Die klassische IT-Landschaft der Kredit- und Finanzdienstleistungsinstitute ist durch standardisierte Kernanwendungen bestimmt. Zur UnterstĂŒtzung der ProzessablĂ€ufe in den Fachbereichen werden darĂŒber hinaus unterschiedliche IDV-Anwendungen (z.B. auf der Basis von MS-Office-Anwendungen) eingesetzt. Diese Anwendungen beinhalten teilweise umfangreiche FunktionalitĂ€ten und werden von den Fachbereichen selbststĂ€ndig entwickelt und betrieben.

Der Einsatz von IDV wird reguliert und muss die regulatorischen Mindestanforderungen zur IntegritĂ€t, VerfĂŒgbarkeit, AuthentizitĂ€t sowie Vertraulichkeit erfĂŒllen.

IDW veröffentlicht neue PrĂŒfungshinweise

In der Mai und Juni Ausgabe seiner Mitgliederzeitschrift hat das Institut der WirtschaftsprĂŒfer (IDW) je einen PrĂŒfungshinweis veröffentlicht, welche den PrĂŒfungsstandard IDW PS 860 konkretisieren. Der PrĂŒfungsstandard regelt die GrundsĂ€tze und Vorgehensweisen nach denen IT-PrĂŒfungen außerhalb der AbschlussprĂŒfung durchzufĂŒhren sind. Er korrespondiert dabei mit dem internationalen „International Standard on Assurance Engagements (ISAE) 3000 (Revised)“.

Covid-19-Update: Anforderungen des SWIFT Customer Security Programme (CSP) in 2020

Covid-19-Update

Aufgrund der Covid-19 Pandemie hat SWIFT die ZeitplĂ€ne fĂŒr die Attestierung des Customer Security Controls Framework (CSCF) ĂŒberarbeitet. FĂŒr 2020 ist eine Selbstzertifizierung in Bezug auf das SWIFT CSCF in der Version v2019 fĂŒr alle SWIFT-Nutzer ausreichend, SWIFT empfiehlt jedoch aufgrund der Klarstellungen zu den Kontrollen die Version v2020 zu nutzen.

Das von SWIFT gemĂ€ĂŸ “Independent Assessment Framework” vorgeschriebene unabhĂ€ngige interne oder externe Assessment (“Community Standard Assessment”) verschiebt sich in das Jahr 2021 und wird auf Basis der Kontrollen des SWIFT CSCF in der Version v2021 durchzufĂŒhren sein. Insofern empfiehlt sich dennoch eine frĂŒhzeitige Auseinandersetzung mit den zugehörigen Kontrollen (bspw. mittels Health Check/ Gap Analyse), um fĂŒr das unabhĂ€ngige Assessment gewappnet zu sein.

DarĂŒber hinaus regt SWIFT seine Nutzer nach Möglichkeit dazu an, bereits im aktuellen Jahr 2020 ein unabhĂ€ngiges Assessment durchzufĂŒhren.

Gerne unterstĂŒtzen wir mit einem Health Check zur Vorbereitung auf entsprechende Assessments, oder natĂŒrlich auch bei der Attestierung der SWIFT CSCF Kontrollen mit unserem etablierten Verfahren auf Basis von ISAE-Standards.

Digitale Prozessanalysen mit Process Mining

Ineffiziente und verzweigte GeschĂ€ftsprozesse sind zentrale Kostentreiber fĂŒr jedes Unternehmen und beeinflussen die Unternehmensleistung direkt. Process Mining ermöglicht digitale Prozessanalysen und unterstĂŒtzt damit bei der Prozessoptimierung, einem SchlĂŒsselthema und ersten Schritt in Richtung Digitalisierung.

Process Mining leitet einen Paradigmenwechsel ein – von a priori Wissen (Modellierung des GeschĂ€ftsprozesses basierend auf Annahmen) zu einem a posteriori Einblick (zu sehen, wie der GeschĂ€ftsprozess tatsĂ€chlich ablĂ€uft). Die Technologie ermöglicht wertvolle Einblicke in die tatsĂ€chlichen UnternehmensablĂ€ufe durch Rekonstruktion, Visualisierung und Analyse der digitalen Fußspuren IT-gestĂŒtzter ProzessaktivitĂ€ten.

Datenschutz: DSGVO-Health-Check

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) ist in den meisten Unternehmen laut Projektstatus erfolgt, doch wo stehen Sie als Unternehmen heute tatsÀchlich und wie stabil und effektiv ist Ihre Datenschutz-Compliance?

DSGVO-Health-Check

Nicht erst mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) im Mai 2018 stehen viele Unternehmen vor großen Herausforderungen. Das europĂ€ische und nationale Recht stellt viele Anforderungen zum Schutz personenbezogener Daten, mit welchen sich einzelne Unternehmen im Detail noch schwertun. Die DSGVO fordert umfangreiche Maßnahmen, weshalb eine neue Datenschutzrichtlinie allein meist nicht ausreicht und ein integrierter Blick auf die Prozess- und IT-Landschaft notwendig ist.

Anforderungskatalog fĂŒr Betreiber kritischer Infrastrukturen (Kritis)

Mit Beschluss der Cyber-Sicherheitsstrategie der Bundesregierung sollen die IT-Systeme und digitalen Infrastrukturen in Deutschland geschĂŒtzt werden, um einen Ausfall oder eine BeeintrĂ€chtigung der Versorgungsdienstleistungen mit Folgen fĂŒr Wirtschaft, Staat und Gesellschaft zu verhindern. Mit dem IT-Sicherheitsgesetz (IT-SiG) wurden Vorgaben zum Schutz kritischer Infrastrukturen (Kritis) definiert.

Einzelne Sektoren wie z.B. Gesundheitswesen, Wasser- und Energieversorgung haben in der Vergangenheit eigene branchenspezifische Sicherheitsstandards (B3S) mit dem BSI erarbeitet, um Rahmenwerke zur Auswahl, Umsetzung und PrĂŒfung der Sicherheitsvorkehrungen zu erstellen und damit auch die Anforderungen zu konkretisieren.

Ein fĂŒr alle Kritis-Betreiber anwendbarer Anforderungskatalog existierte bisher allerdings nicht, sodass insbesondere die Branchen, die keinen B3S hatten, eine gewisse Planungsunsicherheit im Rahmen der Ausrichtung an der Kritis-Verordnung sowie der entsprechenden Nachweiserbringung hatten. Auch der Banken- und Finanzdienstleistungssektor ist ein solcher Sektor ohne B3S.

Cloud in der Finanzindustrie – Jetzt sicher und compliant durchstarten

Die Nutzung von Cloud ist unabdingbar

Die Nutzung von Cloud-Technologie ist im FS-Sektor unabdingbar. Dies zeigt auch die PwC Studie zum Thema „Cloud Computing im Bankensektor“. Das Thema Cloud Computing besaß bereits zum Zeitpunkt der Studie fĂŒr 68 Prozent der Institute eine hohe Branchenrelevanz. Und fĂŒr die nĂ€chsten fĂŒnf Jahre rechnen die IT-Entscheider mit einer deutlich wachsenden Bedeutung.
FĂŒr viele GeschĂ€ftsmodelle und Prozesse, insbesondere im Zusammenhang mit Digitalisierungsinitiativen wird sich der Einsatz von Cloud Computing als integraler Bestandteil und Erfolgsfaktor festigen.

Cloud-Nutzer wissen insbesondere die verbesserte Service-QualitĂ€t, die KomplexitĂ€tsreduktion der eigenen IT-Architektur sowie die VerfĂŒgbarkeit von speziellen Ressourcen zu schĂ€tzen. Institute, welche noch keine Cloud-Lösungen nutzen, versprechen sich insbesondere eine höhere FlexibilitĂ€t durch die Nutzung von neuen Cloud-Services.

/* */