Die Zulässigkeit IT-gestützter Compliance- und Risikomanagementsysteme nach der BDSG-Novelle

EDV durchdringt in zunehmendem Ma?e die Unternehmen. Sie ist das Werkzeug des Managements für die Steuerung und überwachung s?mtlicher Prozesse. Sie kann unter anderem zur Unterstützung bei der Erfüllung von Risikomanagement- und Compliance-Pflichten eingesetzt werden und muss es abh?ngig von der Durchdringung des Unternehmens mit IT gesteuerten Prozessen auch. Mit dem IT-Einsatz verbinden sich neben einem m?glichen Nutzen aber auch Risiken, die es zu beachten gilt. Es ist sicherzustellen, dass rechtliche, insbesondere datenschutzrechtliche, Anforderungen an den IT-Einsatz beachtet werden. So gilt es das Interesse der Unternehmen an einer m?glichst umfassenden und effizienten Kontrolle von Unternehmensprozessen mit dem Interesse der Besch?ftigten an ihrer informationellen Selbstbestimmung in Einklang zu bringen. IT-gestützte Compliance- und Risikomanagementsysteme bewegen sich daher in einem Spannungsfeld zwischen Nutzen, Risiken und rechtlichen Anforderungen. Die geplante Novelle des BDSG nimmt sich dieses Spannungsfeldes an und soll bisher fehlende klare gesetzliche Regelungen schaffen, um Besch?ftigte zu schützen und Arbeitgebern eine verl?ssliche Grundlage für die Datenverarbeitung an die Hand zu geben.     

Zertifizierte Cloud durch das EuroCloud Star Audit SaaS

Es gibt wenige IT-Themen, die so kontrovers diskutiert werden wie Cloud Computing. Auf der einen Seite werden signifikante Einsparungen und eine flexible Nutzung von IT-Diensten prognostiziert, auf der anderen Seite sind die Bedenken zu Sicherheit, Datenschutz und der Ausgestaltung rechtlicher Anforderungen sehr ernst zu nehmen. Gerade für mittelst?ndische Unternehmen ist Cloud Computing eine h?chst attraktive M?glichkeit, ihre Wettbewerbsf?higkeit durch Einbinden von externen Serviceangeboten aufrecht zu erhalten und auszubauen. Jedoch verfügen diese Unternehmen oftmals nicht über ausreichende M?glichkeiten einer individuellen Prüfung potenzieller rechtlicher und technischer Problembereiche. Vor diesem Hintergrund bieten Zertifizierungen über das gesamte Spektrum der zu prüfenden Bereiche eine erhebliche Erleichterung bei der Auswahl von Anbietern. Hierzu hat EuroCloud Deutschland mit einer Vielzahl von Partnern das EuroCloud Star Audit System als Gütesiegel für die Cloud entwickelt.     

Löschklassen

Personenbezogene Daten werden h?ufig in komplexen Gesch?ftsprozessen verwendet, oft auch für mehrere miteinander verzahnte. Das BDSG bestimmt zwar, dass diese Daten auch zu l?schen sind — in der Festlegung von L?schregeln und —fristen ist der Rechtsanwender aber weitgehend auf sich allein gestellt. Schon am Aufwand für die Abstimmung entsprechender Regeln kann die Umsetzung eines L?schkonzepts scheitern. Diese Herausforderung muss der bDSB meistern — z. B. durch gezielten Einsatz von Prozessanalysen einerseits und die Verwendung standardisierter Fristen andererseits. Der Beitrag stellt den Konkretisierungsrahmen des § 35 Abs. 2 BDSG und die Ausgestaltung in Form von 12 L?schklassen bei Toll Collect vor. Dieses Konzept eignet sich auch für die übertragung auf andere Unternehmen.     

Kundenbasierte Produktkonfiguration

Zusammenfassung Immer mehr Unternehmen offerieren ihren Kunden die M?glichkeit, sich mit einem Produktkonfigurator ein individuelles Produkt zu erstellen. Gründe für den Einsatz sind die Realisierung von Alleinstellungsmerkmalen und die Weitergabe der Vorteile von sich immer mehr verbessernden Produktionsprozessen. Ein erfolgreicher Produktkonfigurator sollte eine Reihe von Anforderungen erfüllen, die in diesem Artikel vorgestellt werden.     

Enterprise Key Recovery Vertrauenswürdige Server mit skalierbarer Sicherheit zur Archivierung von Konzelationsschlüsseln

Im Electronic Commerce und in der digitalen Welt der zukünftigen globalen Informationsinfrastruktur (GII), bzw. dem Internet als deren Vorl?ufer, sollen Daten (Nachrichten und Dokumente) zwischen Kommunikationspartnern vertraulich, integer und rechtsverbindlich ausgetauscht und aufbewahrt werden k?nnen. Zur Erreichung des Sachziels ‘Vertraulichkeit’ werden Daten bei der Speicherung in unsicherer Umgebung und bei der übertragung über unsichere Kan?le h?ufig von Endanwendern verschlüsselt. Dies setzt neben den erforderlichen Verschlüsselungsmechanismen geeignete Verfahren für das Management der Schlüssel voraus, die die Verfügbarkeit der verschlüsselt gespeicherten (oder übertragenen) Daten sicherstellen – auch wenn der origin?re Besitzer des Schlüssels nicht verfügbar ist. Enterprise Key Recovery Server stellen Berechtigten bei Bedarf die Konzelationsschlüssel zur Entschlüsselung von Daten zur Verfügung. Ihre Funktionen werden zusammen mit angemessenen Sicherheitsma?nahmen dargestellt. Für unterschiedliche Anforderungen an das Sicherheitsniveau wird eine skalierbare Sicherungsinfrastruktur für Enterprise Key Recovery Server vorgeschlagen. Die Nutzung von Enterprise Key Recovery Servern für das Management von Schlüsseln für den Nachrichtenaustausch und für digitale Signaturen ist nicht Thema dieser Arbeit. Erst der konsequente Einsatz von Key Recovery Servern sichert bei der Anwendung von Verschlüsselung die Vertraulichkeit und Verfügbarkeit von Daten und die Integrit?t der benutzten Schlüssel durchg?ngig ab. Key Recovery Server schlie?en damit eine empfindliche – bislang nicht genügend berücksichtigte – Sicherheitslücke in der Sicherheitsarchitektur von Unternehmen.     

Unternehmensweit verstehen – unternehmensweit entwickeln: Von der Modellierungssprache zur Softwareentwicklungsmethode

Sollen wir UML 1.4, UML 2.0 oder eine ganz andere Modellierungssprache für unsere Softwareentwicklung einsetzen? Der folgende Beitrag zeigt, dass bei der Festlegung einer unternehmensweiten Entwicklungsmethode nicht die Frage nach der Modellierungssprache im Vordergrund stehen sollte. Viel entscheidender für den Erfolg von Softwareentwicklungsprojekten in einem Unternehmen ist ein einheitliches Verst?ndnis der Entwicklungskonzepte und -artefakte sowie ihrer Beziehungen untereinander. Eine Einigung über ein unternehmensweites Dom?nenmodell der Softwareentwicklungskonzepte sollte deshalb vor der Auswahl von Modellierungssprachen, eines konkreten Vorgehensmodells und geeigneter Werkzeuge erfolgen.     

Das Payback-Urteil des BGH

Der BGH hat am 16.07.2008 (DuD 2008, 751) die Einwilligungsl?sung für die Zusendung von Werbung per Post, SMS oder E-Mail von Unternehmen an Kunden im Zusammenhang mit der Kundenkarte Payback bewertet. Als Konsequenz ist nun der Gesetzgeber gefordert, einen einheitlichen Einwilligungsstandard festzulegen.     

Unternehmensweit verstehen – unternehmensweit entwickeln: Von der Modellierungssprache zur Softwareentwicklungsmethode

Zusammenfassung  Sollen wir UML 1.4, UML 2.0 oder eine ganz andere Modellierungssprache für unsere Softwareentwicklung einsetzen? Der folgende Beitrag zeigt, dass bei der Festlegung einer unternehmensweiten Entwicklungsmethode nicht die Frage nach der Modellierungssprache im Vordergrund stehen sollte. Viel entscheidender für den Erfolg von Softwareentwicklungsprojekten in einem Unternehmen ist ein einheitliches Verst?ndnis der Entwicklungskonzepte und -artefakte sowie ihrer Beziehungen untereinander. Eine Einigung über ein unternehmensweites Dom?nenmodell der Softwareentwicklungskonzepte sollte deshalb vor der Auswahl von Modellierungssprachen, eines konkreten Vorgehensmodells und geeigneter Werkzeuge erfolgen.     

Passwortsicherheit bei SAP R/3

Weitestgehend unbemerkt von der Fachwelt wurde vor einigen Monaten der Schleier um die lange wie ein Staatsgeheimnis gehütete Berechnung der Passwort-Hashes in SAP gelüftet. Mit einem frei verfügbaren Programm k?nnen nun leichter als jemals zuvor Angriffe auf Passw?rter durchgeführt werden. Der Beitrag beleuchtet, welche Konsequenzen das für das Interne Kontrollsystem von Unternehmen hat.     

Gesetze als Vorbild für Security Policies

Gesetzestexte und den Gesetzgebungsprozess daraufhin zu untersuchen, ob sich von ihnen etwas für Unternehmensrichtlinien zur Informationssicherheit lernen l?sst, scheint auf den ersten Blick ein fragwürdiges Unterfangen zu sein — immerhin ist die Unverst?ndlichkeit der Rechtssprache fast legend?r. Dass das Ringen der Juristen um „gute“ Gesetze dennoch nützliche Anregungen für Policy-Autoren hergibt, hat einen guten Grund: Genau dort, wo die Sprachreformer unter den Juristen aufgrund der Sachzw?nge, in denen sie stecken, nur ?u?erst mühevoll weiterkommen, k?nnen IT-Verantwortliche von ihnen lernen, wenn sie die Rechtstexte und ihren Entstehungsprozess nicht einfach nachzuahmen versuchen. Unternehmen n?mlich stehen zur Optimierung von Regeln kommunikative Ans?tze zur Verfügung, die der Gesetzgeber nicht nutzen darf oder kann.     

Penetrationstests als Instrument zur Qualitätssicherung

Zusammenfassung  Für Unternehmen, deren Gesch?ftsprozesse unmittelbar von der Verfügbarkeit, Integrit?t und Vertraulichkeit ihrer IT-Infrastruktur abh?ngen, stellen Penetrationstests ein wesentliches Element einer zukunftsorientierten IT-Sicherheitsplanung dar. Richtig angewandt, sorgen sie mittel- und langfristig für eine Effizienzsteigerung bei Investitionen sowie ein allgemein hohes Sicherheitsniveau, wie es die Regelungen des KonTraG und des Sarbanes-Oxley Acts oder das internationale Bankenabkommen Basel II vorgeben. Diplom-Informatiker und geh?rt als Gesch?ftsführer der SySS GmbH seit 2005 zum Herausgeberbeirat von IT-Sicherheit & Datenschutz Diplom-Wirtschaftsinformatikerin und als Security Consultant für die SySS GmbH t?tig     

Archivierung von E-Mails

Die Archivierung von E-Mails ist für viele Unternehmen inzwischen ein aktuelles Thema. Aus rechtlicher Sicht kommen Fragen aus den unterschiedlichsten Richtungen auf. Welchen Sinn hat die Speicherung von E-Mails, wenn sie keinen Beweiswert haben? Müssen E-Mails mit Rücksicht auf die Steuerverwaltung und die Revision gespeichert werden? K?nnen einfach alle E-Mails gespeichert werden — was ist mit dem Fernmeldegeheimnis und dem Datenschutz der Mitarbeiter? Diesen Fragen geht der Beitrag nach.     

TeleTrusT European Bridge CA: Die Brücke für sichere E-Mail Kommunikation

Als die TeleTrusT European Bridge CA vor nunmehr fast 10 Jahren ins Leben gerufen wurde, waren die Beweggründe dafür nahezu identisch mit denen, die anzuführen sind, wenn sich heute Unternehmen mit ihren Public Key Infrastructures (PKI) diesem Netzwerk anschlie?en: die deutliche Vereinfachung sicherer E-Mail-Kommunikation zwischen Unternehmen und Beh?rden durch praktikable L?sungen. Verschlüsseln, Signieren, Verifizieren - alles Schlagw?rter, die vor dem Hintergrund allgemein zunehmenden Bewusstseins bezüglich der Schw?chen und Gefahren im Internet h?ufig zu h?ren sind, allein die verbreitete Anwendung von Technologien für sicheren E-Mail-Verkehr ist nicht zuletzt durch die Fülle unterschiedlicher Verfahren nicht so voran gekommen, wie es wünschenswert w?re. Insofern versteht sich dieser Beitrag als ein Pl?doyer dafür, die TeleTrusT European Bridge CA als eine verl?ssliche Brücke zu betrachten, die den Austausch sicherer E-Mails f?rdert und zudem für die teilnehmenden Organisationen den Aufwand beherrschbar h?lt.     

Wege zur Absicherung eines Intranets

Zusammenfassung Ziel dieses Artikels ist es, einen überblick über technische Sicherheitsl?sungen für Intranets zu geben. Ein Modell, das die Anforderungen an ein Sicherheitssystem in Form von abstrakten Diensten abbildet, dient dazu, verschiedene L?sungsalternativen zur Realisierung der unterschiedlichen Dienste auf Basis offener Standards oder generalisierter Produktklassen beurteilen zu k?nnen. Darauf aufbauend wird eine beispielhafte Referenzarchitektur für Unternehmen auf Basis einer X.509 Public-Key-Infrastruktur entworfen.      

Führungsinformationssysteme für Kontrollorgane Neue Paradigmen für die Managementinformation

Zu den Kontrollorganen (KOG) z?hlen u. a. Aufsichtsr?te von Kapitalgesellschaften, Verwaltungsr?te von ?ffentlich-rechtlichen Banken und Aufsichtsbeh?rden im Finanzsektor. Neuere Entwicklungen wie sehr komplizierte Produkte im Finanzsektor führten zu einer stark wachsenden Komplexit?t der überwachungsaufgabe, wohingegen die Kompetenz und die Kapazit?t der Organe nicht Schritt halten konnten. Darüber hinaus kann man das früher übliche Vertrauensverh?ltnis zwischen Unternehmensleitung und den KOG nicht mehr ohne Weiteres unterstellen. Es wird ein Konzept zu Informationssystemen für KOG vorgestellt. Hierarchische Finanzprodukte wie CDOs werden nach dem Vorbild von Stücklisten und Teilestamms?tzen in Produktionsbetrieben modelliert. Moderne Methoden, die die Informatik/Wirtschaftsinformatik entwickelt hat, z. B. Frühwarnsysteme, Data Mining, rechnergestützte Visualisierung und Kapselung von Informationen, m?gen helfen, schwere Sch?den in Unternehmen und in der Volkswirtschaft zu vermeiden.     

Führung und Privatheit in der digitalen Arbeitswelt

Durch die Digitalisierung wächst die Menge an generierten Daten in Unternehmen immer weiter an. Das Unternehmen, seine Produktions- und Arbeitsprozesse sowie das Verhalten der Mitarbeiter werden dadurch zunehmend transparent. Eine derartige Entwicklung bietet Chancen für die Führung genauso wie für den einzelnen Mitarbeiter. Doch besonders mit Blick auf das Thema Privatheit wird deutlich, dass der Trend hin zu mehr Transparenz auch Risiken bergen kann. Daher gilt es, die potentiellen Auswirkungen einer erhöhten Transparenz auf den unterschiedlichen Unternehmensebenen zu identifizieren und gegeneinander abzuwägen.     

Haftung für Malware im Arbeitsverhältnis

In Unternehmen wie auch in Universit?ten und Forschungseinrichtungen ist die private Nutzung der IT-Infrastruktur am Arbeitsplatz h?ufig erlaubt. Im Rahmen der Privatnutzung ist es denkbar, dass Mitarbeiter aufgrund von Sicherheitslücken in der IT-Infrastruktur finanzielle Sch?den erleiden. Damit stellt sich die Frage, ob der Arbeitgeber von seinen Mitarbeitern in Haftung genommen werden kann. Die Autorin untersucht die einschl?gigen Haftungstatbest?nde für zwei Szenarien, in denen es Mitarbeitern erlaubt ist, privat Online-Banking zu nutzen. Sie kommt zu dem Ergebnis, dass eine Haftung des Unternehmens ihren Mitarbeitern gegenüber dem Grunde nach besteht.     

Wann ist der Datenschutzbeauftragte fachkundig und unabhängig?

Der Datenschutzbeauftragte muss fachkundig und unabh?ngig sein, um seiner verantwortungsvollen Aufgabe im Unternehmen gerecht werden zu k?nnen. Rechtliche Grundlage hierfür ist § 4f BDSG, der die notwendigen Kompetenzen des Datenschutzbeauftragten festlegt. Die obersten Aufsichtsbeh?rden für den Datenschutz im nicht-?ffentlichen Bereich (=Düsseldorfer Kreis) haben vor noch nicht allzu langer Zeit hinsichtlich der Mindestanforderungen an Fachkunde und Unabh?ngigkeit einen Beschluss erlassen. Dieser beinhaltet wichtige Auslegungs- und Anwendungshinweise zu § 4f BDSG. Obwohl der Beschluss keine Gesetzeskraft hat, sollte er zur Vermeidung von Konflikten mit der zust?ndigen Landesaufsichtsbeh?rde beachtet werden. Anhand der Vorgaben von Aufsicht und Gesetz er?rtert der Aufsatz folgende Frage: Welche Konsequenzen kann der Beschluss für bereits bestellte Datenschutzbeauftragte haben? Und: Was sollte in der Zukunft bei der Neubestellung von Datenschutzbeauftragten beachtet werden?     

Softwarekartographie

Anwendungslandschaften in Unternehmen sind langlebige hoch-komplexe Strukturen bestehend aus hunderten bis tausenden von miteinander vernetzten betrieblichen Informationssystemen, die von Personen mit sehr unterschiedlichen Interessen und Erfahrungshintergrund konzipiert, erstellt, modifiziert, betrieben, genutzt und finanziert werden. Die Softwarekartographie zielt darauf ab, die Kommunikation zwischen diesen Personen durch zielgruppenspezifische verst?ndliche graphische Visualisierungen zu unterstützen, die Gesch?fts- und Informatik-Aspekte gleicherma?en berücksichtigen, und die speziell für langfristige und strategische Management-Betrachtungen geeignet sind. In diesem Beitrag fassen wir zun?chst die in der betrieblichen Praxis wohlbekannten Probleme beim Management von Anwendungslandschaften zusammen und diagnostizieren erhebliche Kommunikationsdefizite. Da Anwendungslandschaften als Systeme von Systemen mit Menschen als integrale Systembestandteile zu verstehen sind, werden Karten als attraktiver L?sungsansatz identifiziert und die wesentlichen Konzepte der Softwarekartographie anhand von Beispielen vorgestellt. Dabei werden Querbezüge zu anderen Fachgebieten der Informatik und Wirtschaftsinformatik hergestellt, und die bisherige Nutzung der Forschungsergebnisse in der Praxis gezeigt.     

Brauchen wir De-Mail und Bürgerportale?

Elektronische Rechnungen k?nnen im Rahmen von vollst?ndigen elektronischen Gesch?ftsprozessen bei Sender und Empf?nger erhebliche Einsparungen für die Unternehmen erbringen. Etliche Unternehmen setzen bereits auf elektronische Rechnungen, die damit zur Killerapplikation zur Verbreitung einer rechtswirksamen elektronischen Kommunikation werden k?nnten. Die Hürden für den Vorsteuerabzug sind aber erheblich. Bewegung bringt jetzt ein europ?ischer Vorsto? zur Entbürokratisierung.