GRC@SAVISCON: Risiko-Management

Wie versprochen geht in unserem heutigen Blog-Beitrag aus dem Projekt Risiko-Management um die Risikobewertung. Zur Erinnerung: Wir als SAVISCON GmbH bilden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) ab. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt.

Was muss ich beim Aufsetzen eines ISMS beachten?

Drei Erfolgsfaktoren für das Aufsetzen eines ISMS

Ein grundlegender Erfolgsfaktor für das Einführen eines Informationssicherheitsmanagementsystems (ISMS) ist das organisatorische Aufsetzen und Einbetten in die Gesamtorganisation. In diesem Artikel erfahren Sie die drei wesentlichen Punkte, die Sie bereits beim Aufsetzen Ihres ISMS beachten sollten.

1. Ableitung von der Geschäftsstrategie:

Sie erhöhen die Sinnhaftigkeit und Wertschätzung des ISMS, wenn es stark mit der Geschäftsstrategie Ihrer Organisation verdrahtet ist. Ein gutes Verständnis der Geschäftsstrategie ermöglicht Ihnen besser zu berücksichtigen welche Informationswerte von wesentlicher Bedeutung für Ihr Unternehmen sind. Dies können Sie bei der Gestaltung der Informationssicherheits-Strategie einfließen lassen. Außerdem hilft Ihnen die Demonstration des Geschäftsverständnisses bei dem ständigen Dialog mit Organisationseinheiten, da Sie eine gemeinsame Gesprächsgrundlage haben.

2. Hohes Management-Commitment:

Das erlangte Verständnis über die Geschäftsstratgie wird sich spätestens zur Erhöhung des Management-Commitments bezahlt machen. Präsentieren Sie dem Top-Management das ISMS als Business Case. Erläutern Sie, wie durch das ISMS wesentliche Geschäftsrisiken mitigiert, Wettbewerbsvorteile erzielt und gleichwohl neue Werte geschaffen werden können. Im Idealfall kann das ISMS Gewinn- und Umsatz Ihrer Organisation sogar steigern (bspw. wenn Sie IT-Dienstleister sind und Ihre Kunden ein wirksames ISMS als zusätzlichen Wert betrachten). Auch nach dem Aufsetzen des ISMS ist ein stetiger Dialog mit Top-Management wichtig, um den langfristigen Fortbestand zu sichern. Dabei steht das Management in der Verantwortung Änderungen an dem ISMS (wie bspw. neue oder geänderte Policies) freizugeben. Gleichwohl stehen Sie als Informations-Sicherheits-Manager in der Verantwortung wesentliche Informationen bedarfsgerecht für das Management bereitzustellen. Empfehlenswert ist eine Kombination aus regelmäßigem Reporting (bspw. quartalsweise) und Adhoc-Reporting bei wesentlichen Änderungen oder Zwischenfällen.

3. Dialog mit Organisationseinheiten:

Die Schnittstellen des ISMS mit den Fachabteilungen und Asset (Informationswert) Ownern ermöglichen erst das ISMS mit Leben zu füllen. In den meisten Fällen tragen die Fachabteilungen bzw. deren Führungskräfte die organisatorische Verantwortung für Informationswerte und sind somit auch für deren Schutz verantwortlich. Sie kennen also auch die Bedeutung der Informationswerte und sind Ihr Ansprechpartner beim Risiko-Management. Wenn Sie einen offenen Dialog mit den Organisationseinheiten erschaffen haben, wird das kontinuierliche Risiko-Management eine viel höhere Qualität erreichen. Das typische Problem, dass Risiken „totgeschwiegen“ werden, kann damit sehr gut von Ihnen adressiert werden.

Fazit: Der Erfolg von Ihrem ISMS kann schon sehr früh maßgeblich durch das korrekte Aufsetzen beeinflusst werden. Beim Aufsetzen des ISMS ist eine geschäftsorientierte Integration in die Organisation entscheidend. Was meinen Sie: Welche Faktoren sind für das Aufsetzen eines ISMS besonders wichtig? Wir freuen uns über einen Austausch in den Kommentaren.

GRC@SAVISCON: Compliance

Zu klein für Compliance?

von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH

Nachdem wir in unserem letzten Blog-Beitrag „GRC@SAVISCON: Datenschutz“ der Reihe über den Start unseres Datenschutz-Managements berichtet haben, soll es heute um Compliance gehen. Ein kurzer Rückblick: Wir als SAVISCON GmbH haben uns dazu entschieden unser Governance, Risk- und Compliance-Management (GRC-Management) mit unserer eigenen GRC-Software (GRC-COCKPIT) strukturiert und digital abzubilden. Dazu haben wir das Programm GRC@SAVISCON mit den drei Projekten Risiko-Management, IT-Sicherheit sowie Compliance- und Datenschutz-Management aufgesetzt. Lesen Sie hier unseren vollständigen initialen Blog-Beitrag. Aber jetzt zurück zum Thema: Compliance.

Ähnlich wie beim Thema Datenschutz stellte ich mir auch hier die Frage: wo fange ich da am besten an? Was ist „Compliance“ überhaupt? Der englische Begriff wird sinngemäß wie folgt definiert: Compliance ist die Einhaltung von Gesetzen, Normen und Regeln. Früher war Compliance überwiegend ein Thema für die Bankwirtschaft und Versicherungsbranche, doch mittlerweile entwickelt sich in vielen unterschiedlichen Unternehmen immer stärker eine Compliance-Kultur. Angefangen mit Richtlinien, wie z. B. Verhaltensregeln des Unternehmens, die im Intranet veröffentlicht werden. Solche Richtlinien können Regeln bezüglich des Datenschutzes und der Gleichbehandlung enthalten, aber auch Regeln zur Vermeidung von Korruption sowie Vorschriften zum Arbeitsschutz. Aber auch eine Geschäftsordnung oder Satzung, ein Whistleblowing-System und auch gesetzliche Vorgaben können Teil eines Compliance-Programmes sein.

Compliance-Treiber

Ist Compliance für alle Unternehmen wichtig? Ja! Ist die SAVISCON GmbH nicht zu klein, um sich mit diesem Thema beschäftigen zu müssen? Nein, ist sie nicht! Natürlich sind die Risiken unterschiedlich zu bewerten – je nach Unternehmensgröße (Mitarbeiteranzahl, Umsatz, etc.). Aber jede Geschäftsleitung ist verpflichtet, sämtliche geltenden Gebote und Verbote zu kennen und zu beachten. Ist das nicht der Fall, können rechtliche Folgen (Geldbußen, Freiheitsstrafen, Ersatzansprüche, Auftragssperren) oder auch Reputations- und Vertrauensverluste drohen.

Nutzen + Akzeptanz

Durch eine funktionierende Compliance-Kultur im Unternehmen werden nicht nur hohe Kosten durch evtl. entstehende Bußgelder vermieden, sondern es erhöht sich die Transparenz und das gegenseitige Vertrauen wird weiter gefördert. Wie bei vielen anderen Themen auch, erfordert eine wirksame Compliance-Kultur aber das tatsächliche Handeln aller, und zwar auf allen Hierarchieebenen. Werte können nur glaubhaft vermittelt werden, wenn diese auch erkennbar von der Unternehmensleitung selbst vorgelebt werden. Ist dies nicht der Fall, wird aufgrund fehlender Akzeptanz auch keine Compliance-Kultur im Unternehmen gelebt werden.

Compliance-Management-System

Um eine Compliance-Organisation aufzubauen, zu dokumentieren, zu überwachen und weiterzuentwickeln ist ein Compliance-Management-System sinnvoll. Wir nutzen hier wieder unser GRC-COCKPIT. Doch wie starte ich nun am besten? Im ersten Schritt sind die Risiken zu identifizieren und zu bewerten. Wenn Sie sich erinnern, hat dazu mein Kollege Uwe Straßberger bereits einen Blog geschrieben (NO RISK – MORE FUN! GRC@SAVISCON) und ein bisschen aus dem Nähkästchen geplaudert. Wenn wir mit der Risikoidentifizierung und Risikobewertung fertig sind, geht es darum, mit meinen Kollegen ein gemeinsames Verständnis für die aktuelle Risikosituation zu erreichen. Welche Compliance-Risiken liegen vor und mit welchen Maßnahmen können wir hier gegensteuern? Dazu aber mehr in einem der nächsten Blog-Beiträge.

Compliance in der Praxis

Parallel zum Thema Risiko haben wir uns dazu entschlossen, eine Vorschrift näher zu betrachten, und zwar die GoBD: die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Die GoBD und deren Vorgaben sind relevant für alle EDV-Systeme, die steuerrelevante Daten erfassen bzw. verarbeiten. Mit diesen Systemen ist aber nicht nur das Buchführungsprogramm gemeint, sondern auch sogenannte Vor- und Nebensysteme (z. B. Zeiterfassungssysteme, elektronische Waagen, Software zur Erfassung von Dienstreisen o. ä.)

Die erste GoBD wurde zum 01.01.2015 eingeführt und zuletzt mit dem Stand von November 2019 zum 01.01.2020 aktualisiert. Im GRC-COCKPIT hatten wir die GoBD als Norm bereits hinterlegt, haben jetzt aber festgestellt, dass wir die Aktualisierung der Norm noch durchführen müssen. Mit dem neuen Stand wurden einige Änderungen und Vereinfachungen für die Praxis eingeführt. Man sollte also immer darauf achten, auf dem aktuellen Stand der Dinge zu sein. Hier zwei Auszüge aus dem GRC-COCKPIT zur GoBD:

Blick ins GRC-COCKPIT, hier OdG

Blick ins GRC-COKPIT: hier alle relevanten Anforderungen aus den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff.

OdG im GRC-COCKPIT

Blick in die Anforderung „Datenverarbeitungssystem; Haupt-, Vor- und Nebensysteme.

Gerade sichten wir die Neuerungen zur aktuellen Version und pflegen diese im GRC-COCKPIT entsprechend ein. Der aktuelle Stand steht dann selbstverständlich auch unseren Kunden als Norm zur Verfügung.

GoBD Praxis-Beispiel

Aber jetzt zu einem Beispiel aus der Praxis: Die Ordnungsmäßigkeit elektronischer Bücher und sonst erforderlicher elektronischer Auszeichnungen ist nach den gleichen Prinzipien zu beurteilen wie die Ordnungsmäßigkeit bei manuell erstellen Büchern und Aufzeichnungen. Das bedeutet beispielsweise, dass elektronische Daten auch elektronisch archiviert werden müssen. Da der Versand von elektronischen Rechnungen und aufbewahrungspflichtigen Handelsbriefen per E-Mail immer mehr zunimmt, ist die GoBD-konforme Aufbewahrung zu beachten und die E-Mail-Archivierung unumgänglich. Demnach muss beispielsweise die Buchhaltung E-Mails mit steuerrelevanten Dokumenten elektronisch aufbewahren.

Die Archivierung gemäß der GoBD umfasst fünf zentrale Aspekte:

  • Originalformat (Die Buchhaltung darf eine Rechnung, die per E-Mail eingeht, nicht einfach ausdrucken und abheften. Vielmehr gilt es, das Originalmedium zu verwenden. Jedes Dokument muss in seiner überbrachten Form archiviert werden. Eine Papierrechnung kommt in den Aktenordner, während die E-Mail in einem elektronischen Archiv abgespeichert wird.)
  • Unveränderbarkeit (Die elektronischen Dokumente dürfen nicht im Nachhinein bearbeitet und verändert werden. Sie müssen in einer Form abgelegt werden, dass Unbefugte das Dokument nicht öffnen oder transferieren können.)
  • Volltextsuche (Das Finanzamt bekommt bei einer Betriebsprüfung Zugang zum Datensystem. Dem Betriebsprüfer wird hier nicht nur ein betriebsinterner Rechner für seine Prüfung zur Verfügung gestellt, sondern es muss auch alles über eine Volltextsuche einfach aufzufinden sein. Die E-Mails müssen im Originalzustand vorhanden sein (keine Screenshots oder Scans).
  • Ordnungssystem (Durch die Zuweisung von eindeutigen Indices muss das Ordnungssystem gut überschaubar sein. Der Index muss die Suche nach bestimmten Dokumenten erleichtern. Um E-Mails GoBD-konform zu archivieren, müssen sie eine Zuordnung zu einem Geschäftsvorgang erkennen lassen.)
  • Transparenz (Das Ordnungssystem muss so aufgebaut sein, dass eine externe Person die Struktur leicht verstehen kann. Um dem Betriebsprüfer seine Arbeit zu erleichtern, können schriftliche Anleitungen den Aufbau der Struktur in der Archivierung dokumentieren.)

Außerdem sind je nach Dokument unterschiedliche Aufbewahrungsfristen zu beachten: E-Mails, die für die Steuerbehörden von Interesse sein können, müssen für sechs bis zehn Jahre elektronisch archiviert werden. Was passiert eigentlich, wenn man als Unternehmer die Vorgaben der GoBD nicht erfüllt? Das kann dazu führen, dass das Finanzamt wichtige Dokumente nicht anerkennt. In der Folge können evtl. Steuerabzüge nicht geltend gemacht werden, was zu höheren Steuerabgaben führen kann. Es lohnt sich also hier dranzubleiben und das Thema Compliance nicht aus den Augen zu verlieren. Auch wenn das Unternehmen noch so klein ist …

…to be continued:

Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse aus dem Projekt Compliance:

  • Compliance ist für alle Unternehmensgrößen ein wichtiges und notwendiges Them
  • Nur wenn die Unternehmensleitung Compliance vorlebt und mit gutem Beispiel vorangeht, kann eine wirksame Compliance-Kultur entstehen
  • Auch bei knappen Ressourcen darf das Thema nicht außer Acht gelassen werden
  • Compliance funktioniert nur in Verbindung mit einem guten Risiko-Management

Im nächsten Blog-Beitrag schauen wir wieder gemeinsam in das Projekt Risiko-Management: Wie funktioniert die Risikobewertung?

Über die Autorin:

Porträtfoto Karin Selzer

Karin Selzer (Consultant Compliance & Datenschutz) im Büro der SAVISCON GmbH.

Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de

IT-Sicherheit im krisenbedingten Homeoffice

Mit dem BSI IT-Grundschutz gut gerüstet

von Ingo Simon, Geschäftsführer bei der SAVISCON GmbH

Durch die Corona-Krise ist die Zahl der Arbeitnehmer im Homeoffice signifikant angestiegen. Eine aktuelle Studie des ifo Instituts hat herausgefunden, dass im Februar 2021 rund 30 Prozent der deutschen Arbeitnehmer zumindest zeitweise im Homeoffice gearbeitet haben. Und noch ist kein Ende in Sicht: Am 3. März haben sich Bund und Länder auf eine Verlängerung des Homeofficegebots bis zunächst Ende April 2021 geeinigt. Doch wie ist es um die IT-Sicherheit im Homeoffice bestellt? Der oftmals dürftige IT-Wissensstand der Homeoffice-Neulinge und die massenhafte plötzliche Umstellung auf das Arbeiten von zu Hause stellen Geschäftsführer und Chief Information Security Officer (CISO) vor besondere Herausforderungen bei der IT-Sicherheit. Denn auch und gerade in Krisenzeiten muss diese den Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität gerecht werden.

In diesem Beitrag zeigen wir einige Beispiele aus dem IT-Grundschutz auf, die zur IT-Sicherheit im Homeoffice beitragen.

Als erstes schauen wir auf den Baustein des Informations-Management Systems: ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen sagt aus: Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. Das gilt natürlich auch für das Homeoffice. Und das umso mehr für die Unternehmen, die Homeoffice bzw. Telearbeitsplätze bisher nicht im Repertoire hatten. Die nächste wichtige Anforderung kommt gleich danach: ISMS.1.A8 Integration der Mitarbeiter in den Sicherheitsprozess besagt: Alle Mitarbeiter MÜSSEN in den Sicherheitsprozess integriert sein, das heißt, sie müssen über Hintergründe und Gefährdungen informiert sein und Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen. Das kann in Form eines Homeoffice-Leitfadens geschehen, auf den wir noch genauer eingehen werden.

Vorbereitung und Ausrüsten des Homeoffice:

Wenden wir den Blick nun auf den Infrastruktur-Baustein des IT-Grundschutz. In INF.8: Häuslicher Arbeitsplatz sind die Bedingungen dafür definiert, wie der häusliche Arbeitsplatz aus Sicht der Infrastruktur aussehen soll. Im derzeitigen Krisenszenario ist das für die ad-hoc Homeoffice-Nutzer sicher kaum voraussetzbar, da es sich ja in der Regel nicht um einen sogenannten Telearbeitsplatz handelt, also die geplante Version des Homeoffice. Trotzdem sollten diese Anforderungen als Empfehlung Teil eines Homeoffice-Leitfadens sein.

Absicherung von Remote-Zugängen

Werden wir konkret: Es beginnt damit, dass sich ein Mitarbeiter in das heimische WLAN einloggt. Die Anforderung aus dem Baustein Netzwerke und Kommunikation sagt im Kapitel NET.4.1: TK-Anlagen in der Anforderung NET.4.1.A3, dass Standardpasswörter von WLAN Routern geändert werden MÜSSEN. Sollten Mitarbeiter im Homeoffice dies nicht berücksichtigen, stellt das ein wesentliches Sicherheitsrisiko dar und öffnet Türen für den Zugriff auf Unternehmensdaten und -ressourcen. Erst im Januar 2020 berichtet das amerikanische Tech-Portal ZDNet darüber, dass eine Liste mit über 500.000 Anmeldedaten von Geräten in einem Hackerforum veröffentlicht wurde. Helfen kann da auch die Umsetzung der Anforderung. NET.4.1.A4 Absicherung von Remote-Zugängen. Sie weist aus, dass die Zugriffe auf die Router geregelt werden sollten. Eine Anleitung, wie die heimische FRITZ!Box oder entsprechende Geräte dazu eingestellt werden sollten, passt auch gut in den Homeoffice-Leitfaden.

Datensicherhung im Homeoffice

In OPS.1.2.4.A4 Datensicherung bei der Telearbeit, wird die Notwendigkeit der Datensicherung bei der Telearbeit betont. Das ist umso wichtiger, falls der Arbeitgeber keine internen Geräte aufgrund von Lieferengpässen oder verfügbaren IT-Ressourcen bereitstellen konnte. Das dürfte bei vielen Kleinst- und Kleinunternehmen der Fall sein. Aber selbst im Umfeld unserer großen Kunden haben wir erlebt, dass durch Lieferengpässe keine Laptops in ausreichenden Mengen bereitgestellt werden konnten. Die Folge ist, dass die Mitarbeiter an ihren privaten PCs arbeiten müssen, wenn denn die Firma nicht betreten werden darf. Da ist die Datensicherung umso wichtiger.

Schutz vor Schadprogrammen

Außerdem wichtig ist dann auch der Schutz vor Schadprogrammen. Hier sieht der Baustein Betrieb in OPS.1.1.4.A3 die Auswahl eines Viren-Schutzprogrammes für Endgeräte vor. Sicher, in den allermeisten Firmen ist das auf den Firmenrechnern bereits umgesetzt, alles andere wäre grob fahrlässig. Aber wenn der Mitarbeiter mit dem privaten PC arbeiten muss, der ggf. auch noch in der Familie von mehreren Anwendern genutzt wird (Stichwort Homeschooling), ist der Firmenstandard nicht vorhanden. Wie auf dem Privatrechner agiert werden sollte, muss daher ebenfalls Teil des Homeoffice-Leitfadens sein.

Übrigens: Laut Umfrage des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) sichern gerade einmal 65 Prozent der Mitarbeiter im Homeoffice ihren Laptop mit einem Passwort ab und sogar nur 63 Prozent gaben an, einen geeigneten WLAN-Passwortschutz zu haben.

Risikofaktor Mitarbeiter

Bei Risikoszenarien spielt der „Faktor Mensch“ eine Rolle. Was für viele IT-Mitarbeiter trivial erscheinen mag, kann für einen IT-Neuling eine große Herausforderung darstellen. Deshalb ist es wichtig, dass Mitarbeiter bei IT-Themen auf Ihrem Kenntnisstand abgeholt und unterstützt werden. Das Ganze sollte in einem umfassenden Homeoffice-Leitfaden münden. Hier können neben den schon genannten Informationen weitere Anweisungen mitgegeben werden, z. B. wie darf der eigene Drucker genutzt werden? Wie entsorge ich Ausdrucke richtig – Stichwort Datenschutz? Auch eine Liste mit Rufnummern von Zuständigen, die bei IT-Problemen kontaktiert werden können, ist eine gute Idee.

Einen solchen Leitfaden für Mitarbeiter zu erstellen ist notwendig. Auch das kann aus dem IT-Grundschutz an mehreren Stellen ableiten: Im Baustein Organisation und Personal, Kapitel ORP.3: Sensibilisierung und Schulung gibt es die Anforderung für Einweisung des Personals in den sicheren Umgang mit IT (ORP.3.A3), ebenso wie die Installation eines Ansprechpartners zu Sicherheitsfragen (ORP.3.A2). Also zwei weitere wichtige Informationen für den besagten Leitfaden. Das sieht auch der Baustein Betrieb vor: OPS.1.2.4.A1 Regelungen für Telearbeit sagt u. a. aus: Alle relevanten Aspekte der Telearbeit MÜSSEN geregelt werden. Zu Informationszwecken MÜSSEN den Telearbeitern die geltenden Regelungen oder ein dafür vorgesehenes Merkblatt ausgehändigt werden, das die zu beachtenden Sicherheitsmaßnahmen erläutert […].

Auf der anderen Seite – die Firmen-IT:

Vielfach mussten in der Firmen-IT Lösungen aus dem Boden gestampft werden, um überhaupt den Zugang auf die Anwendungen und Systeme aus dem Homeoffice zu ermöglichen. Auch hier kann man aus dem IT-Grundschutz viele Anforderungen mitnehmen, z.B.: SYS.1.5.A2 Sicherer Einsatz virtueller IT-Systeme besagt: […] Weiterhin MÜSSEN die eingesetzten virtuellen IT-Systeme den Anforderungen an die Verfügbarkeit und den Datendurchsatz genügen. Im laufenden Betrieb MUSS die Performance der virtuellen IT-Systeme überwacht werden. Ein Großteil der leidgeprüften Anwender zu Hause wird hier sicher bereits die Erfahrung gemacht haben, dass das, vor allem am Anfang des Lockdowns, nicht eben gut funktioniert hat. Und das ist nur ein Beispiel, was Homeoffice für die Firmen-IT bedeutet.

Fazit

Im früheren normalen Unternehmensalltag haben Geschäftsführer und CISOs mehr Kontrollmöglichkeiten über die IT-Sicherheit gehabt, als das derzeit mit vermehrtem Homeoffice der Fall ist. In der Krise waren zu Beginn schnelle und pragmatische Lösungen gefragt. Aber Unternehmen müssen das Compliance-Management weiterhin im Blick behalten, da dieser Trend sicher noch Bestand haben wird: Es muss sichergestellt werden, dass Vertraulichkeit, Verfügbarkeit und Integrität von Informationen weiterhin gewährleistet sind und der Datenschutz berücksichtigt ist. Und wenn die Übergangslösungen bekannte Schwachstellen enthalten, müssen diese transparent sein und auch allen Mitarbeitern bewusst gemacht werden, um ein entsprechend umsichtiges Verhalten zu gewährleisten.

Weiterhin ist es ratsam, nachdem die Lösungen unter Druck geschaffen wurden, im Anschluss die Hausaufgaben zu machen. Es ist zu überprüfen, ob die Lösungen in das IT-Sicherheitskonzept passen, oder ob nachgebessert werden muss. Der Blick in die Anforderungen des IT-Grundschutz und den dazu passenden Maßnahmenkatalog aus den Umsetzungshinweisen sowie eine entsprechende Risikoabwägung hilft dabei. Wenn dann alles vernünftig, zusammenhängend und am besten in einem geeigneten System wie unserem SAVISCON GRC-COCKPIT dokumentiert ist, kann der CISO wieder ruhiger schlafen.

Das BSI hat dazu auch einen Leitfaden veröffentlicht: Zum BSI-Leitfaden

Über den Autor

Geschäftsführer Ingo Simon und Team im SAVISCON BüroIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahmen er die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Customer Communication Management und Enterprise Content Management auf das GRC-Management aus. Kontakt: 040 80 90 81 446 oder ingo.simon@saviscon.de 

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel