Digital Trust - Digital Trust Blog

1. Juli 2020,Karsten Wilop

IDW veröffentlicht neue Prüfungshinweise

In der Mai und Juni Ausgabe seiner Mitgliederzeitschrift hat das Institut der Wirtschaftsprüfer (IDW) je einen Prüfungshinweis veröffentlicht, welche den Prüfungsstandard IDW PS 860 konkretisieren. Der Prüfungsstandard regelt die Grundsätze und Vorgehensweisen nach denen IT-Prüfungen außerhalb der Abschlussprüfung durchzuführen sind. Er korrespondiert dabei mit dem internationalen „International Standard on Assurance Engagements (ISAE) 3000 (Revised)“.

25. Juni 2020,Karsten Wilop

Covid-19-Update: Anforderungen des SWIFT Customer Security Programme (CSP) in 2020

Covid-19-Update

Aufgrund der Covid-19 Pandemie hat SWIFT die Zeitpläne für die Attestierung des Customer Security Controls Framework (CSCF) überarbeitet. Für 2020 ist eine Selbstzertifizierung in Bezug auf das SWIFT CSCF in der Version v2019 für alle SWIFT-Nutzer ausreichend, SWIFT empfiehlt jedoch aufgrund der Klarstellungen zu den Kontrollen die Version v2020 zu nutzen.

Das von SWIFT gemäß “Independent Assessment Framework” vorgeschriebene unabhängige interne oder externe Assessment (“Community Standard Assessment”) verschiebt sich in das Jahr 2021 und wird auf Basis der Kontrollen des SWIFT CSCF in der Version v2021 durchzuführen sein. Insofern empfiehlt sich dennoch eine frühzeitige Auseinandersetzung mit den zugehörigen Kontrollen (bspw. mittels Health Check/ Gap Analyse), um für das unabhängige Assessment gewappnet zu sein.

Darüber hinaus regt SWIFT seine Nutzer nach Möglichkeit dazu an, bereits im aktuellen Jahr 2020 ein unabhängiges Assessment durchzuführen.

Gerne unterstützen wir mit einem Health Check zur Vorbereitung auf entsprechende Assessments, oder natürlich auch bei der Attestierung der SWIFT CSCF Kontrollen mit unserem etablierten Verfahren auf Basis von ISAE-Standards.

24. Juni 2020,Konstantin Dagianis

Digitale Prozessanalysen mit Process Mining

Ineffiziente und verzweigte Geschäftsprozesse sind zentrale Kostentreiber für jedes Unternehmen und beeinflussen die Unternehmensleistung direkt. Process Mining ermöglicht digitale Prozessanalysen und unterstützt damit bei der Prozessoptimierung, einem Schlüsselthema und ersten Schritt in Richtung Digitalisierung.

Process Mining leitet einen Paradigmenwechsel ein – von a priori Wissen (Modellierung des Geschäftsprozesses basierend auf Annahmen) zu einem a posteriori Einblick (zu sehen, wie der Geschäftsprozess tatsächlich abläuft). Die Technologie ermöglicht wertvolle Einblicke in die tatsächlichen Unternehmensabläufe durch Rekonstruktion, Visualisierung und Analyse der digitalen Fußspuren IT-gestützter Prozessaktivitäten.

3. Juni 2020,Rüdiger Giebichenstein

Datenschutz: DSGVO-Health-Check

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) ist in den meisten Unternehmen laut Projektstatus erfolgt, doch wo stehen Sie als Unternehmen heute tatsächlich und wie stabil und effektiv ist Ihre Datenschutz-Compliance?

DSGVO-Health-Check

Nicht erst mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) im Mai 2018 stehen viele Unternehmen vor großen Herausforderungen. Das europäische und nationale Recht stellt viele Anforderungen zum Schutz personenbezogener Daten, mit welchen sich einzelne Unternehmen im Detail noch schwertun. Die DSGVO fordert umfangreiche Maßnahmen, weshalb eine neue Datenschutzrichtlinie allein meist nicht ausreicht und ein integrierter Blick auf die Prozess- und IT-Landschaft notwendig ist.

27. Mai 2020,Karsten Wilop

Anforderungskatalog für Betreiber kritischer Infrastrukturen (Kritis)

Mit Beschluss der Cyber-Sicherheitsstrategie der Bundesregierung sollen die IT-Systeme und digitalen Infrastrukturen in Deutschland geschützt werden, um einen Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen mit Folgen für Wirtschaft, Staat und Gesellschaft zu verhindern. Mit dem IT-Sicherheitsgesetz (IT-SiG) wurden Vorgaben zum Schutz kritischer Infrastrukturen (Kritis) definiert.

Einzelne Sektoren wie z.B. Gesundheitswesen, Wasser- und Energieversorgung haben in der Vergangenheit eigene branchenspezifische Sicherheitsstandards (B3S) mit dem BSI erarbeitet, um Rahmenwerke zur Auswahl, Umsetzung und Prüfung der Sicherheitsvorkehrungen zu erstellen und damit auch die Anforderungen zu konkretisieren.

Ein für alle Kritis-Betreiber anwendbarer Anforderungskatalog existierte bisher allerdings nicht, sodass insbesondere die Branchen, die keinen B3S hatten, eine gewisse Planungsunsicherheit im Rahmen der Ausrichtung an der Kritis-Verordnung sowie der entsprechenden Nachweiserbringung hatten. Auch der Banken- und Finanzdienstleistungssektor ist ein solcher Sektor ohne B3S.

21. April 2020,Karsten Wilop

Cloud in der Finanzindustrie – Jetzt sicher und compliant durchstarten

Die Nutzung von Cloud ist unabdingbar

Die Nutzung von Cloud-Technologie ist im FS-Sektor unabdingbar. Dies zeigt auch die PwC Studie zum Thema „Cloud Computing im Bankensektor“. Das Thema Cloud Computing besaß bereits zum Zeitpunkt der Studie für 68 Prozent der Institute eine hohe Branchenrelevanz. Und für die nächsten fünf Jahre rechnen die IT-Entscheider mit einer deutlich wachsenden Bedeutung.
Für viele Geschäftsmodelle und Prozesse, insbesondere im Zusammenhang mit Digitalisierungsinitiativen wird sich der Einsatz von Cloud Computing als integraler Bestandteil und Erfolgsfaktor festigen.

Cloud-Nutzer wissen insbesondere die verbesserte Service-Qualität, die Komplexitätsreduktion der eigenen IT-Architektur sowie die Verfügbarkeit von speziellen Ressourcen zu schätzen. Institute, welche noch keine Cloud-Lösungen nutzen, versprechen sich insbesondere eine höhere Flexibilität durch die Nutzung von neuen Cloud-Services.

27. März 2020,Rüdiger Giebichenstein

EIOPA Konsultation: Richtlinien zu Outsourcing an Cloud-Service-Anbieter

Die Europäische Behörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) hat zum 31.01.2020 ihre Richtlinien für das Outsourcing an Anbieter von Cloud-Diensten unter Berücksichtigung der Rückmeldung der Konsultationsphase finalisiert. Als Reaktion auf die Kommentare hat die EIOPA das Datum zu dem die Richtlinien verpflichtend anzuwenden sind vom 1. Juli 2020 auf den 1. Januar 2021 verschoben.

Ebenfalls verlängert wurde der Zeitraum für die Überprüfung von bestehenden Vereinbarungen vom 1. Juli 2022 bis zum 31. Dezember 2022. Um innerhalb der Richtlinien das Proportionalitätsprinzip stärker zu verankern, wurde der Grundsatz der risikobasierten Überprüfung eingeführt, demzufolge nur diejenigen Cloud-Dienste, die sich auf kritische und wichtige operative Unternehmensfunktionen oder Aktivitäten beziehen zwingend überprüft und ggf. angepasst werden müssen.

Weitere Informationen zum ursprünglichen Entwurf finden Sie hier.

24. Januar 2020,Karsten Wilop

EBA Guidelines Outsourcing 2019 (EBA/GL/2019/02)

Zeitplan, Anwendbarkeit, wesentliche Neuerungen und Erfahrungsberichte

Zeitplan

Die am 25. Februar 2019 veröffentlichten EBA Leitlinien zu Auslagerungen traten am 30. September 2019 in Kraft. Eine verlängerte Umsetzungsfrist bis zum 31.12.2021 besteht grundsätzlich für Anforderungen an das Register und die Überprüfung wesentlicher Auslagerungsverträge.

Die EBA Leitlinien zu Auslagerungen tragen den EU-rechtlichen Vorgaben, insbesondere PSD 2 (2015/2366/EU), MiFID II (2017/565) und der CRD (2013/36/EU) Rechnung. Einhergehend mit dem rasanten Anstieg an (IT-) Auslagerungen sowie (IT-) Leistungsbezügen waren sie der Haupttreiber für die Ablösung der bisherigen CEBS Guidelines 2006. Sie erweitern den Anwendungsbereich und legen einheitlich für Institute, Zahlungsinstitute und E-Geld-Institute interne Governance Anforderungen für Auslagerungen fest, insbesondere mit Blick auf Auslagerungen kritischer oder wesentlicher Funktionen. Die EBA Leitlinien integrieren die Anforderungen an Cloud Dienste und ersetzen damit auch die EBA Recommendations on outsourcing to cloud service provider 2017 (EBA/REC/2017/03).

10. Dezember 2019,Konstantin Dagianis

Die PSD 2 Richtlinie und ihre Anforderungen

Mit der Verabschiedung der zweiten Zahlungsdiensterichtlinie (PSD 2) ist eine Art „Grundgesetz“ für den EU-Zahlungsverkehrsmarkt in Kraft getreten. Ergänzt um diverse delegierte Rechtsverordnungen durch 2nd-Level (RTS/ITS) und 3rd-Level Dokumente (Guidelines) sind vielfältige Anforderungen definiert worden. Die neuen Anforderungen erweitern u.a. den Zahlungsdienstebegriff sowie den Anwendungsbereich und haben Auswirkungen auf bestehende Prozesse, wie die Vorfallüberwachung, -meldung oder operative Sicherheitsmaßnahmen. Die Anforderungen bedingen ebenso die Gestaltung neuer Prozesse, wie die Nutzung starker Kundenauthentifizierung bei bestimmten Transaktionen oder die Bereitstellung des Kontozugangs für Dritte nach Kundeneinwilligung.

13. November 2019,Konstantin Dagianis

Digitalisierung von Geschäftsprozessen im Finanzsektor

Warum Digitalisierung von Geschäftsprozessen?

Im Finanzsektor wird die Digitalisierung als große Chance wahrgenommen, um Prozesse und Systeme fit für die Zukunft zu gestalten. Insbesondere die Geschäftsprozesse von Finanzdienstleistern stehen im Fokus, da diese meist auf gewachsenen Strukturen und selbstentwickelten Kernbankensystemen basieren. Häufig können diese durch die Einführung und Nutzung neuer Technologien effizienter gestaltet werden. Darüber hinaus fördert der Einsatz von digitalen Technologien die Transparenz und Flexibilität und ermöglicht es, flexibler auf Kunden- und Marktanforderungen zu reagieren.

Anhand von drei Beispielen zeigen wir welches Digitalisierungs- und Optimierungspotential bei Finanzdienstleistern in der Regel besteht. Anschließend stellen wir unseren erprobten Ansatz vor, mit dem Digitalisierungs- sowie Optimierungspotenziale identifiziert und umgesetzt werden können.