Digital Trust Blog

Auditierung von Blockchain

Die Auditierung von Blockchain-Technologien

Die Blockchain gilt als eine der großen Technologietrends der letzten Jahre mit dem Potential die Unternehmenslandschaft und das Finanzwesen fundamental zu verĂ€ndern.  Mit ihrem dezentralen Aufbau bietet sie die Möglichkeit IntermediĂ€re in GeschĂ€ftsprozessen zu ersetzen, die Transparenz zu erhöhen und die Manipulation von Daten zu verhindern. Sie eröffnet somit große Perspektiven und stellt gleichzeitig eine Alternative zu traditionellen Finanztransaktionen dar.

Balance zwischen FlexibilitĂ€t und OrdnungsmĂ€ĂŸigkeit im Umgang mit IDV

Umgang mit individueller Datenverarbeitung (IDV) – Der Hintergrund

Die klassische IT-Landschaft der Kredit- und Finanzdienstleistungsinstitute ist durch standardisierte Kernanwendungen bestimmt. Zur UnterstĂŒtzung der ProzessablĂ€ufe in den Fachbereichen werden darĂŒber hinaus unterschiedliche IDV-Anwendungen (z.B. auf der Basis von MS-Office-Anwendungen) eingesetzt. Diese Anwendungen beinhalten teilweise umfangreiche FunktionalitĂ€ten und werden von den Fachbereichen selbststĂ€ndig entwickelt und betrieben.

Der Einsatz von IDV wird reguliert und muss die regulatorischen Mindestanforderungen zur IntegritĂ€t, VerfĂŒgbarkeit, AuthentizitĂ€t sowie Vertraulichkeit erfĂŒllen.

IDW veröffentlicht neue PrĂŒfungshinweise

In der Mai und Juni Ausgabe seiner Mitgliederzeitschrift hat das Institut der WirtschaftsprĂŒfer (IDW) je einen PrĂŒfungshinweis veröffentlicht, welche den PrĂŒfungsstandard IDW PS 860 konkretisieren. Der PrĂŒfungsstandard regelt die GrundsĂ€tze und Vorgehensweisen nach denen IT-PrĂŒfungen außerhalb der AbschlussprĂŒfung durchzufĂŒhren sind. Er korrespondiert dabei mit dem internationalen „International Standard on Assurance Engagements (ISAE) 3000 (Revised)“.

Covid-19-Update: Anforderungen des SWIFT Customer Security Programme (CSP) in 2020

Covid-19-Update

Aufgrund der Covid-19 Pandemie hat SWIFT die ZeitplĂ€ne fĂŒr die Attestierung des Customer Security Controls Framework (CSCF) ĂŒberarbeitet. FĂŒr 2020 ist eine Selbstzertifizierung in Bezug auf das SWIFT CSCF in der Version v2019 fĂŒr alle SWIFT-Nutzer ausreichend, SWIFT empfiehlt jedoch aufgrund der Klarstellungen zu den Kontrollen die Version v2020 zu nutzen.

Das von SWIFT gemĂ€ĂŸ “Independent Assessment Framework” vorgeschriebene unabhĂ€ngige interne oder externe Assessment (“Community Standard Assessment”) verschiebt sich in das Jahr 2021 und wird auf Basis der Kontrollen des SWIFT CSCF in der Version v2021 durchzufĂŒhren sein. Insofern empfiehlt sich dennoch eine frĂŒhzeitige Auseinandersetzung mit den zugehörigen Kontrollen (bspw. mittels Health Check/ Gap Analyse), um fĂŒr das unabhĂ€ngige Assessment gewappnet zu sein.

DarĂŒber hinaus regt SWIFT seine Nutzer nach Möglichkeit dazu an, bereits im aktuellen Jahr 2020 ein unabhĂ€ngiges Assessment durchzufĂŒhren.

Gerne unterstĂŒtzen wir mit einem Health Check zur Vorbereitung auf entsprechende Assessments, oder natĂŒrlich auch bei der Attestierung der SWIFT CSCF Kontrollen mit unserem etablierten Verfahren auf Basis von ISAE-Standards.

Digitale Prozessanalysen mit Process Mining

Ineffiziente und verzweigte GeschĂ€ftsprozesse sind zentrale Kostentreiber fĂŒr jedes Unternehmen und beeinflussen die Unternehmensleistung direkt. Process Mining ermöglicht digitale Prozessanalysen und unterstĂŒtzt damit bei der Prozessoptimierung, einem SchlĂŒsselthema und ersten Schritt in Richtung Digitalisierung.

Process Mining leitet einen Paradigmenwechsel ein – von a priori Wissen (Modellierung des GeschĂ€ftsprozesses basierend auf Annahmen) zu einem a posteriori Einblick (zu sehen, wie der GeschĂ€ftsprozess tatsĂ€chlich ablĂ€uft). Die Technologie ermöglicht wertvolle Einblicke in die tatsĂ€chlichen UnternehmensablĂ€ufe durch Rekonstruktion, Visualisierung und Analyse der digitalen Fußspuren IT-gestĂŒtzter ProzessaktivitĂ€ten.

Datenschutz: DSGVO-Health-Check

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) ist in den meisten Unternehmen laut Projektstatus erfolgt, doch wo stehen Sie als Unternehmen heute tatsÀchlich und wie stabil und effektiv ist Ihre Datenschutz-Compliance?

DSGVO-Health-Check

Nicht erst mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) im Mai 2018 stehen viele Unternehmen vor großen Herausforderungen. Das europĂ€ische und nationale Recht stellt viele Anforderungen zum Schutz personenbezogener Daten, mit welchen sich einzelne Unternehmen im Detail noch schwertun. Die DSGVO fordert umfangreiche Maßnahmen, weshalb eine neue Datenschutzrichtlinie allein meist nicht ausreicht und ein integrierter Blick auf die Prozess- und IT-Landschaft notwendig ist.

Anforderungskatalog fĂŒr Betreiber kritischer Infrastrukturen (Kritis)

Mit Beschluss der Cyber-Sicherheitsstrategie der Bundesregierung sollen die IT-Systeme und digitalen Infrastrukturen in Deutschland geschĂŒtzt werden, um einen Ausfall oder eine BeeintrĂ€chtigung der Versorgungsdienstleistungen mit Folgen fĂŒr Wirtschaft, Staat und Gesellschaft zu verhindern. Mit dem IT-Sicherheitsgesetz (IT-SiG) wurden Vorgaben zum Schutz kritischer Infrastrukturen (Kritis) definiert.

Einzelne Sektoren wie z.B. Gesundheitswesen, Wasser- und Energieversorgung haben in der Vergangenheit eigene branchenspezifische Sicherheitsstandards (B3S) mit dem BSI erarbeitet, um Rahmenwerke zur Auswahl, Umsetzung und PrĂŒfung der Sicherheitsvorkehrungen zu erstellen und damit auch die Anforderungen zu konkretisieren.

Ein fĂŒr alle Kritis-Betreiber anwendbarer Anforderungskatalog existierte bisher allerdings nicht, sodass insbesondere die Branchen, die keinen B3S hatten, eine gewisse Planungsunsicherheit im Rahmen der Ausrichtung an der Kritis-Verordnung sowie der entsprechenden Nachweiserbringung hatten. Auch der Banken- und Finanzdienstleistungssektor ist ein solcher Sektor ohne B3S.

Cloud in der Finanzindustrie – Jetzt sicher und compliant durchstarten

Die Nutzung von Cloud ist unabdingbar

Die Nutzung von Cloud-Technologie ist im FS-Sektor unabdingbar. Dies zeigt auch die PwC Studie zum Thema „Cloud Computing im Bankensektor“. Das Thema Cloud Computing besaß bereits zum Zeitpunkt der Studie fĂŒr 68 Prozent der Institute eine hohe Branchenrelevanz. Und fĂŒr die nĂ€chsten fĂŒnf Jahre rechnen die IT-Entscheider mit einer deutlich wachsenden Bedeutung.
FĂŒr viele GeschĂ€ftsmodelle und Prozesse, insbesondere im Zusammenhang mit Digitalisierungsinitiativen wird sich der Einsatz von Cloud Computing als integraler Bestandteil und Erfolgsfaktor festigen.

Cloud-Nutzer wissen insbesondere die verbesserte Service-QualitĂ€t, die KomplexitĂ€tsreduktion der eigenen IT-Architektur sowie die VerfĂŒgbarkeit von speziellen Ressourcen zu schĂ€tzen. Institute, welche noch keine Cloud-Lösungen nutzen, versprechen sich insbesondere eine höhere FlexibilitĂ€t durch die Nutzung von neuen Cloud-Services.

EIOPA Konsultation: Richtlinien zu Outsourcing an Cloud-Service-Anbieter

Die EuropĂ€ische Behörde fĂŒr das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) hat zum 31.01.2020 ihre Richtlinien fĂŒr das Outsourcing an Anbieter von Cloud-Diensten unter BerĂŒcksichtigung der RĂŒckmeldung der Konsultationsphase finalisiert. Als Reaktion auf die Kommentare hat die EIOPA das Datum zu dem die Richtlinien verpflichtend anzuwenden sind vom    1. Juli 2020 auf den 1. Januar 2021 verschoben.

Ebenfalls verlĂ€ngert wurde der Zeitraum fĂŒr die ÜberprĂŒfung von bestehenden Vereinbarungen vom 1. Juli 2022 bis zum 31. Dezember 2022. Um innerhalb der Richtlinien das ProportionalitĂ€tsprinzip stĂ€rker zu verankern, wurde der Grundsatz der risikobasierten ÜberprĂŒfung eingefĂŒhrt, demzufolge nur diejenigen Cloud-Dienste, die sich auf kritische und wichtige operative Unternehmensfunktionen oder AktivitĂ€ten beziehen zwingend ĂŒberprĂŒft und ggf. angepasst werden mĂŒssen.

Weitere Informationen zum ursprĂŒnglichen Entwurf finden Sie hier.

EBA Guidelines Outsourcing 2019 (EBA/GL/2019/02)

Zeitplan, Anwendbarkeit, wesentliche Neuerungen und Erfahrungsberichte

 

Zeitplan

Die am 25. Februar 2019 veröffentlichten EBA Leitlinien zu Auslagerungen traten am 30. September 2019 in Kraft. Eine verlĂ€ngerte Umsetzungsfrist bis zum 31.12.2021 besteht grundsĂ€tzlich fĂŒr Anforderungen an das Register und die ÜberprĂŒfung wesentlicher AuslagerungsvertrĂ€ge.

Die EBA Leitlinien zu Auslagerungen tragen den EU-rechtlichen Vorgaben, insbesondere PSD 2 (2015/2366/EU), MiFID II (2017/565) und der CRD (2013/36/EU) Rechnung. Einhergehend mit dem rasanten Anstieg an (IT-) Auslagerungen sowie (IT-) LeistungsbezĂŒgen waren sie der Haupttreiber fĂŒr die Ablösung der bisherigen CEBS Guidelines 2006. Sie erweitern den Anwendungsbereich und legen einheitlich fĂŒr Institute, Zahlungsinstitute und E-Geld-Institute interne Governance Anforderungen fĂŒr Auslagerungen fest, insbesondere mit Blick auf Auslagerungen kritischer oder wesentlicher Funktionen. Die EBA Leitlinien integrieren die Anforderungen an Cloud Dienste und ersetzen damit auch die EBA Recommendations on outsourcing to cloud service provider 2017 (EBA/REC/2017/03).

/* */