In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Rechtliche Verantwortung Rechtliche Verantwortung für das ICT

Werbung 
12. Berner Tagung 2008
12/24/2009
Rechtliche Verantwortung
für das ICT Risk Management
12. Berner Tagung für Informationssicherheit 2009
Dr. Wolfgang
g g Straub
Deutsch Wyss & Partner
Information Security Society Switzerland
ISSS Berner Tagung 2009
1
‘SQL injection’ gegen Webshop





Kundendaten der letzten 15 Jahre werden manipuliert
V f ll wird
Vorfall
i d publik
blik
Umsätze brechen ein
Existierte ein adäquates Risk Management?
Wer ist für Schäden verantwortlich?
Information Security Society Switzerland
Information Security Society Switzerland
ISSS
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
2
1
12. Berner Tagung 2008
12/24/2009
Sicherheit und Risk Management
Technische
Massnahmen
Organisatorische
Massnahmen
Verhalten der
einzelnen
Mitarbeiter
Rechtliche
Massnahmen
Information Security Society Switzerland
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
3
Pflichten des Unternehmens
 Vertraulichkeitspflichten
 Schutz
von Personendaten (DSG)
 Berufsgeheimnisse, z.B. im medizinischen oder
juristischen Bereich (siehe auch Art. 321 und 11 StGB)
 Sektorielle Bestimmungen (z.B. im Telco-Bereich)
 Vertragliche Verpflichtungen gegenüber Zulieferern
und Kunden
 Informations- und Nachweispflichten
 Steuerrechtliche
Nachweispflichten
 Aufbewahrungsvorschriften (z.B. GeBüV)
Information Security Society Switzerland
Information Security Society Switzerland
ISSS
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
4
2
12. Berner Tagung 2008
12/24/2009
Verantwortlichkeit der Organe
Gegen wen sind Verantwortlichkeitsklagen möglich?
 Gründer
 Verwaltungsrat
 Geschäftsleitung
 Revisoren
Ergänzung durch arbeits- und auftragsrechtliche
Ansprüche
Information Security Society Switzerland
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
5
Verantwortlichkeit der Organe
Anwendungsbereich in der IT
 Vernachlässigung von Informationssicherheit, Disaster
R
Recovery
Pl
Planning
i etc.
t
 Unsorgfältig geplante oder realisierte IT-Projekte (inkl.
vertragliches Risk Management)
 Schadenersatzansprüche Dritter aufgrund
unsorgfältiger Leistungen (insbesondere
schwerwiegende Organisationsfehler)
 Bilanzierungsfehler wegen unsachgemässer
Bewertung wesentlicher Risiken
Information Security Society Switzerland
Information Security Society Switzerland
ISSS
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
6
3
12. Berner Tagung 2008
12/24/2009
Verantwortlichkeit der Organe
Verwaltungsrat
 Nicht delegierbare Pflichten (Oberleitung/
Ob
Oberaufsicht)
f i ht)  Bestimmung
B ti
strategischer
t t i h Zi
Ziele
l d
der IT
 Sorgfalt bei Auswahl, Instruktion und Überwachung
von Delegationsempfängern (intern und extern)
 Internes Kontrollsystem und Risk Management
 Massnahmen zur Compliance ( Swiss Code of Best
Practice for Corporate
p
Governance))
Information Security Society Switzerland
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
7
Verantwortlichkeit der Organe
Geschäftsleitung
 Schaffung eines Informationssicherheits-Konzepts,
U
Umsetzung
t
und
dK
Kontrolle,
t ll B
Bereitstellen
it t ll d
der notwendigen
t
di
Ressourcen
 Korrekte Weiterdelegation, Auswahl, Instruktion und
Überwachung der Ausführung
Information Security Society Switzerland
Information Security Society Switzerland
ISSS
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
8
4
12. Berner Tagung 2008
12/24/2009
Verantwortlichkeit der Organe
Sorgfaltsmassstab
 Objektivierte Betrachtungsweise: Was konnte von einem
t i h VR/GL
typischen
VR/GL-Mitglied
Mit li d erwartet
t t werden?
d ?
 Abhängig von Unternehmensgrösse
 Abhängig vom Schadenspotenzial/Bedeutung der IT für
das betreffende Unternehmen
 Bedeutung von Standards & Best Practices (z.B.
ISO/IEC 17799, Weisungen
g über die Informatiksicherheit
in der Bundesverwaltung, EBK RS 99/2 «Outsourcing»)?
 Bedeutung von Zertifizierungen?
Information Security Society Switzerland
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
9
Verantwortlichkeit vermeiden
US Federal Trade Commission
Verpflichtung zur Realisierung eines vollständigen
I f
Informationssicherheitsprogramms
ti
i h h it
 Definition der Verantwortlichkeiten innerhalb des
Unternehmens
 Risikoanalyse
 Implementierung von Sicherheitsmassnahmen
 Maintenance der Sicherheitselemente
 Periodische Überprüfung (Audits)
Information Security Society Switzerland
Information Security Society Switzerland
ISSS
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
10
5
12. Berner Tagung 2008
12/24/2009
Verantwortlichkeit vermeiden
Organisatorische Massnahmen
 IT-Ziele und eine IT-Strategie definieren
 Sicherheitsanalyse durchführen (lassen)
 Sicherheitskonzept/Weisungen verabschieden
 Vertragspartner integrieren
 Periodische Überprüfung ( Audits)
 Dokumentieren der eigenen Sorgfalt (Entscheide und
Massnahmen)
Information Security Society Switzerland
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
11
Verantwortlichkeit vermeiden
Rechtliche Massnahmen
 Verantwortlichkeiten definieren
 Formell korrekte Delegation (Organisationsreglement)
 Plausibilitätskontrolle von Expertenvorschlägen
 Sorgfältige Auswahl, Instruktion und Überwachung der
Delegationsempfänger
 IT und Sicherheit regelmässig traktandieren
 Interessenkonflikte offenlegen
 Abschluss einer D&O-Versicherung mit ausreichender
Deckung
Information Security Society Switzerland
Information Security Society Switzerland
ISSS
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
12
6
12. Berner Tagung 2008
12/24/2009
Verantwortlichkeit vermeiden
Risk Management für Verträge
 Regeln zu Risikosphären und Beweislastverteilung (z.B.
V
Verantwortlichkeitsmatrix
t
tli hk it
t i mitit Auffangregeln)
A ff
l )
 Informationsmechanismen, Kontrollrechte
 Erfolgsabhängige Zahlungsvoraussetzungen
 Auflösungsmodalitäten
 Rückstellungen für Restrisiken
 …
Information Security Society Switzerland
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
13
Ergebnisse
 Die Verantwortung für Informationssicherheit lässt sich
nie vollständig delegieren - auch nicht durch
Outsourcing!
 Nicht alle Risiken lassen sich eliminieren (Zielkonflikte).
 Auch das nachvollziehbare Akzeptieren gewisser
Risiken führt zur Entlastung.
Information Security Society Switzerland
Information Security Society Switzerland
ISSS
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
14
7
12. Berner Tagung 2008
12/24/2009
Fragen, Kritik, Anregungen?
Wolfgang Straub
Deutsch Wyss & Partner
Effingerstrasse 17/Postfach 5860
CH-3001 Bern
+41 31 381 44 25
[email protected]
www.advobern.ch
Information Security Society Switzerland
Information Security Society Switzerland
ISSS
Berner Tagung 2009
Wolfgang Straub
ISSS2008X627993
15
8
Zugehörige Unterlagen
Schutzbereich 2 Anmeldung Hiermit melde ich mich verbindlich zur
Schutzbereich 2 Anmeldung Hiermit melde ich mich verbindlich zur
Der Regisseur Ueli Remund Ueli Remund wird
Der Regisseur Ueli Remund Ueli Remund wird
01. Juni 2015 - AASSET Security GmbH
01. Juni 2015 - AASSET Security GmbH
Datenjournalismus 27. Oktober 2015 Widder Hotel, Zürich
Datenjournalismus 27. Oktober 2015 Widder Hotel, Zürich
Auf den Bühnen der Welt zu Hause
Auf den Bühnen der Welt zu Hause
PowerPoint-Präsentation
PowerPoint-Präsentation
Wirtschaft und politische Bildung – lange Zeit schienen dies
Wirtschaft und politische Bildung – lange Zeit schienen dies
Berner Weissschwanz - Förderverein Schweizer Kleintierrassen
Berner Weissschwanz - Förderverein Schweizer Kleintierrassen
CfP Tagung: „Werbung – Konsum – Audiovision
CfP Tagung: „Werbung – Konsum – Audiovision
6. Tagungseröffnung durch den Institutsleiter Paul Gerhard
6. Tagungseröffnung durch den Institutsleiter Paul Gerhard
Pressemitteilung
Pressemitteilung
Diagnose und Therapie degenerativer, neoplastischer und
Diagnose und Therapie degenerativer, neoplastischer und
Herunterladen
Werbung