Eitel Consulting - Unternehmensberatung und Interim Mnagement
Beraten und auditieren von Informationssicherheit und IT Regulatorik

Infomationssicherheits Beratung & Audit für Banken, Versicherungen und Unternhemen der kritischen Infrastruktur

Gesetzliche und regulatorische Anforderungen an die Infomationssicherheit  und internes Kontroll System (IKS)


als Auditor, Berater, Consultant und Interim Manager im IT Sicherheits- und Risk Management Umfeld spreche ich inhaltlich die folgenden Themengebiete an:


  • Enterprise Risk Management nach Coso Framework und ISO 31000 Risiko-Management Leitlinien (Risk Management)
  • Internal Control / internes Kontrollsystem in Anlehnung an COSO Internal Control Integrated Framework und COBIT
  • IT General Controls; ITGC
  • Testing und Auditing von Key Controls in und außerhalb der IT
  • IT Sicherheitsgesetz und IT Sicherheitsleilinien (ITSM)
  • gesetzliche und regulatorische Anforderungen und Datenschutz (BDSG und EU-DSGVO)
  • gesetzliche und regulatorische Anforderungen an das IT Sicherheits-Management nach ISO 27001 und 27002, sowie BSI Grundschutz, insbesondere der Anforderungen an unternehmen der Kritischen Infrastruktur nach dem BSIG sowie der BSI-KritisV
  • IT Governance, Risk and Compliance
  • Internal Audits im IT GRC Umfeld sowie Key Control Testing (Compliance Testing), sowie Audits und Consulting bzgl. §8a BSIG (Prüfungskompetenz)
  • IT Controlling und Auslagerungsmanagement
  • Information Security Management (CISM)
  • Audit von Informationssystemen (CISA)
  • Wirtschaftlichkeit von internal control
  • Sarbanes Oxley Act (SOX)und SOX Audits, bzw Key Control Testing für SOX 404 relavnte Kontrollen
  • Einführung von Kennzahlensystemen (KRI, KPI) und Steuerung von Compliance Prozessen
  • Projektmanager und Prozessmanager für o.a. Themen

Meine bisherige berufliche Laufbahn war stark von IT Themen geprägt. Dazu bin ich diplomierter Betriebswirt (FH) mit langjähriger Berufs- und Führungserfahrung. Die IT Governance Risk and Compliance Beratung ist Schwerpunkt meiner Tätigkeit.


Das Interne Kontrollsystem (IKS) und die Bedeutung für IT Risiken


Das interne Kontroll-System (IKS) eines Unternehmens (auch Internal Control genannt), wird von Aspekten der Wirtschaftlichkeit geprägt, aber auch von (IT) Risiken und Risiko Management. Einen Rahmen für das Risiko Management bietet das Enterprise Risk Management Framework der Coso.


Frameworks für IT Sicherheit und Risiko Management


Das Coso Framework wird in Unternehmen eingesetzt, insbesondere wenn sie international tätig sind und dem Sarbanes Oxley Act unterliegen. Aber auch für kleine und mittelständische Unternehmen bietet es ein Rahmenwerk für die Einführung eines internen Kontroll-Systems bzw. eines Risiko Managements, ebenso wie die ISO 31000.
Das Risiko Management und das IT Sicherheits-Management bedingen sich quasi gegenseitig. Auf der einen Seite ist das IT Sicherheitsmanagement (ITSM/ISMS) Teil der Risiko-Strategie, zum anderen müssen IT Sicherheitsfragen hinsichtlich des Risikos beurteilt werden. Sowohl Risk Management als auch IT Sicherheitsmanagement leiten sich aus der Governance ab bzw. werden von Ihr getragen. Die Key Controls (Schlüsselkontrollen bzw ITGC IT Genral Controls) werden turnusmäsig auf ihr effeetives Design (control of design) und ihre oparationale Effektivität geprüft (control of operational effectiveness). Die geschieht sowohl im Rahmen von Jahresabschlußprüfungen, als auch auch durch die internen Verteidigungslinien (1st line, 2nd line 3rd line of defence), aber auch durch Audits im Rahmen von Prüfungen durch Aufsichtsbehörden (BSI, Bafin, EZB usw.).


Regulatorische und gesetzliche Anforderungen an die IT


Die Verpflichtung einen IT Sicherheitsbeauftragten oder Informationssicherheitsbeauftragten zu bestellen ergibt sich als regulatorische Anforderung für Unternehmen der kritischen Infrastruktur (KRITIS). Ebenso wie die Verpflichtung regelmäßige Audits durchzuführen oder durchführen zu lassen und die Ergebnisse, sowie eventuelle Schwachstellen an das BSI zu melden. Dies dient dem Schutz der Bevölkerung zur Aufrechterhaltung der staatlichen Ordnung und zur Aufrechterhaltung der Versorgung der Bürger mit kritischen Dienstleistungen und Versorgungsgütern. Eine weitere Verpflichtung ergibt sich zur Meldung von erheblichen IT Störungen. Im Audit wird hier gegen branchenspezifische Sicherheitsstandrds geprüft, sowie gegen den vom BSI veröffentlichten 100 Punkte Katalog. Prinzipiell wird hier der Stand der Technik als maßgeblich angesehen, der z.B. über die Teletrust (Bundesverbank für IT Sicherheit e.V.) turnusmäßig als Handreichung aktualisiert wird

Im Banken, Sparkassen und Versicherungsbereich bestimmen die MARISK als Anforderung der Bundesaufsicht für Finanzdientsleistungen (Bafin) die Vorgaben in Deutschland. Abgerundet werden die MARISK durch die BAIT, VAIT, KAIT als Banken-, Versicherungs- Kapitalverwaltungsgesellschaftsrechtliche Anforderungen an die IT.  Je nach größe der Bank, Versicherung usw. müssen zusätzlich zu den Anforderungen der Bafin noch die Anforderung des BSI bzw die gesetzlichen Vorgaben für KRITIS erfüllt werden.