Q PERIOR Audit & Risk Newsletter · Liebe Audit & Risk Newsletter Leserinnen und Leser, ... schutz-Analyse anschließen möchten.1 Im Folgenden wird kurz auf die grundlegend neuen

AKTUELLES

Q_PERIOR Audit & Risk Newsletter – 2016 – Ausgabe 6

1

Q_PERIOR

Audit & Risk

Newsletter

Ausgabe 06/2016

AKTUELLES


2

Liebe Audit & Risk Newsletter Leserinnen und Leser,

der Winter hat uns mittlerweile eingeholt und das Jahr 2016 neigt sich langsam dem Ende zu. Wir möchten diese Gelegenheit nutzen, um uns ganz herzlich für Ihre positive Resonanz und Ihre Treue zu unserem Newsletter zu bedanken.

Ich freue mich, Ihnen eine neue Ausgabe unseres Q_PERIOR Audit & Risk Newsletters zu präsentieren. Diesmal haben wir den Schwerpunkt unseres Newsletters auf das Themengebiet IT-Audit & Security gelegt. Sie erwarten zahlreiche Themeninhalte wie z.B. der neue Risikomanagement-Standard 200-3 des BSI, Erfordernis eines IT-Risiko-managements mit hohem Reifegrad, sowie die Sicherheit von Mobile payments und vieles mehr.

Außerdem blicken wir auf die bevorstehenden Seminare zu Prävention von wirt-schaftskriminellen Handlungen und dem GRC-ROUNDTABLE, für die wir hochranginge Referenten gewinnen konnten.

Auch im kommenden Jahr möchten wir Sie wie gewohnt über Neuigkeiten rund um die Themen Revision, Risikomanagement, IT-Sicherheit sowie Compliance informieren und hoffen, Sie damit in Ihrer täglichen Arbeit unterstützen zu können.

Wir wünschen Ihnen fröhliche und erholsame Festtage sowie ein gesundes und er-folgreiches Jahr 2017.

Ich wünsche Ihnen eine angenehme Lektüre.

Christof Merz (Partner, Lead Audit & Risk)

AKTUELLES


3

Agenda

Schwerpunktthema ........................................................................................................................................... 4

Neuer Risikomanagement-Standard 200-3 des BSI ................................................................................ 4

Schäden einen Schritt voraus sein - Erfordernis eines IT-Risikomanagements mit hohem Reifegrad............................................................................................................................... 8

Mobile payment & mobile Security – Steht das Bargeld vor dem Aus? ............................................... 12

Aktuelles .......................................................................................................................................................... 16

Dynamische IP-Adressen als personenbezogene Daten – aber nur unter bestimmten Voraussetzungen ................................................................................................................................... 16

E-Mail Überwachung am Arbeitsplatz - Europäischer Gerichtshof für Menschenrechte .................... 17

Änderungen im internen Modell ........................................................................................................... 18

Seminar „Prävention von wirtschaftskriminellen Handlungen - Aktuelles, Trends und Praxisbeiträge“ ................................................................................................................... 21

Vorankündigung: GRC-ROUNDTABLE - Von Teilnehmern für Teilnehmer ............................................ 24

Seminartermine ............................................................................................................................................... 25

Im Folgenden möchten wir Ihnen ausgewählte Seminare bei Q_PERIOR vorstellen ........................... 25

Januar bis März 2017 ............................................................................................................................ 25

Who is Who ..................................................................................................................................................... 26

Impressum ....................................................................................................................................................... 27

SCHWERPUNKT THEMA


4

Schwerpunktthema

Neuer Risikomanagement-Standard 200-3 des BSI

Im Rahmen der Anpassung des IT-Grundschutzes durch das Bundesamt für Sicherheit in der Informations-technik (BSI) werden auch die BSI-Standards grundlegend geprüft und überarbeitet. Als erster Community-Draft ist jetzt der neue Risikomanagement-Standard 200-3 veröffentlicht worden. Hier sind erstmals alle risi-kobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt dargestellt. Weiterhin wird die Risikoanalyse aus dem bisherigen BSI-Standard 100-3 in ein vereinfachtes Gefährdungsmodell überführt. Anwender können dadurch mit einem reduzierten Aufwand das angestrebte Sicherheitsniveau erreichen, indem sie sich der vorgegebenen „best practices“ des Standards bedienen. Neu aufgenommen worden sind eine Einführung in ein Risikomanagementsystem sowie ein Matrix-Ansatz zur Bewertung von Risiken. Der neue Risikomanagement-Standard 200-3 bietet sich für Unternehmen oder Behörden an, die bereits erfolg-reich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grund-schutz-Analyse anschließen möchten.1 Im Folgenden wird kurz auf die grundlegend neuen Elemente des Ri-sikomanagement-Standards 200-3 eingegangen.

Einführung eines Risikomanagementsystems

Die Einführung eines Risikomanagementsystems für Behörden und Unternehmen umfasst die Identifikation und Bewertung von Risiken sowie die Durchsetzung von Mechanismen, um mit diesen effektiv umzugehen. Das Risikomanagementsystem soll dabei unterstützen, Risiken besser zu identifizieren und zu bewerten, ge-eignete Gegenmaßnahmen abzuleiten und diese in einer entsprechenden Risikostrategie verankern. Weiter-hin muss eine Verbesserung der Risikokultur angestrebt werden und das Risikomanagementsystem letztend-lich einer regelmäßigen Revision unterzogen werden. Dabei soll die Risikoanalyse auch als wichtiger Bestand-teil des gesamtheitlichen Information Security Managements Systems (ISMS) erarbeitet werden.

Risikoanalyse auf Basis der elementaren Gefährdungen

Die Richtlinie zur Risikoanalyse sollte gemäß den Vorgaben des Informationssicherheitsmanagementsystems (siehe BSI-Standard 200-2) erstellt werden. Sie muss in regelmäßigen Abständen oder anlassbezogen auf ihre Aktualität hin überprüft und gegebenenfalls, orientiert an den Zielen der Institution, angepasst werden. Ins-besondere sollte auch die eingesetzte Vorgehensweise zur Risikoanalyse regelmäßig überprüft werden. Da-bei sollen vor allem die entsprechenden Vorarbeiten abgeschlossen sein. Dazu zählen:

Erstellung einer Strukturanalyse

Schutzbedarfsfeststellung

Die Modellierung der Sicherheitsanforderungen und die daraus abgeleiteten Sicherheitsmaßnahmen bil-den die Basis für das IT-Grundschutz-Sicherheitskonzept

Durchführung eines IT-Grundschutz-Checks

Priorisierung der Gefährdungen Weiterhin gibt das BSI jetzt einen Grundkatalog an elementaren Gefährdungen vor, welche eine effizientere Durchführung der Risikoanalyse ermöglichen sollen. Die Gefährdungen werden später in der Risikoanalyse in eine Gefährdungsübersicht überführt. Selbstverständlich dient der Grundkatalog nur als Orientierungshilfe. Weitere Gefährdungen sind und sollen in die Gefährdungsübersicht aufgenommen werden. Die Gefährdun-gen werden in einem weiteren Schritt in die Risikomatrix überführt, welche das Risiko ermittelt, welches von der jeweiligen Gefährdung ausgeht. Nachfolgend der Auszug aus dem Gefährdungskatalog nach BSI 200-3.

1 https://www.bsi.bund.de/DE/Themen/ITGrundschutz/IT-Grundschutz-Modernisierung/GS_Standards/gs_standards_node.html

SCHWERPUNKT THEMA


5

Kennung Elementare Gefährdungen Grundwert

G 0.1 Feuer A

G 0.2 Ungünstige klimatische Bedingungen I, A

G 0.3 Wasser I,A

G 0.4 Verschmutzung, Staub, Korrosion I,A

G 0.5 Naturkatastrophen A

G 0.6 Katastrophen im Umfeld A

G 0.7 Großereignisse im Umfeld C,I,A

G 0.8 Ausfall oder Störung der Stromversorgung I,A

G 0.9 Ausfall oder Störung von Kommunikationsnetzen I,A

G 0.10 Ausfall oder Störung von Versorgungsnetzen A

G 0.11 Ausfall oder Störung von Dienstleistern C,I,A

G 0.12 Elektromagnetische Störstrahlung I,A

G 0.13 Abfangen kompromittierender Strahlung C

G 0.14 Ausspähen von Informationen / Spionage C

G 0.15 Abhören C

G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten C,A

G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten C,A

G 0.18 Fehlplanung oder fehlende Anpassung C,I,A

G 0.19 Offenlegung schützenswerter Informationen C

G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle C,I,A

G 0.21 Manipulation von Hard- oder Software C,I,A

G 0.22 Manipulation von Informationen I

G 0.23 Unbefugtes Eindringen in IT-Systeme C,I

G 0.24 Zerstörung von Geräten oder Datenträgern A

G 0.25 Ausfall von Geräten oder Systemen A

G 0.26 Fehlfunktion von Geräten oder Systemen C,I,A

G 0.27 Ressourcenmangel A

G 0.28 Software-Schwachstellen oder -Fehler C,I,A

G 0.29 Verstoß gegen Gesetze oder Regelungen C,I,A

G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen C,I,A

G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen C,I,A

G 0.32 Missbrauch von Berechtigungen C,I,A

G 0.33 Personalausfall A

G 0.34 Anschlag C,I,A

G 0.35 Nötigung, Erpressung oder Korruption C,I,A

G 0.36 Identitätsdiebstahl C,I,A

G 0.37 Abstreiten von Handlungen C,I

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/g/g00/g00025.html?nn=6604996













SCHWERPUNKT THEMA


6

Kennung Elementare Gefährdungen Grundwert

G 0.38 Missbrauch personenbezogener Daten C

G 0.39 Schadprogramme C,I,A

G 0.40 Verhinderung von Diensten (Denial of Service) A

G 0.41 Sabotage A

G 0.42 Social Engineering C,I

G 0.43 Einspielen von Nachrichten C,I

G 0.44 Unbefugtes Eindringen in Räumlichkeiten C,I,A

G 0.45 Datenverlust A

G 0.46 Integritätsverlust schützenswerter Informationen I

Matrix-Ansatz zur Bewertung von Risiken

Die Bewertung der Gefährdungen erfolgt wie bereits aus anderen Risikomanagement-Standards (z.B. ISO 31000) bekannt, nun auch in einer Risikomatrix. Hier werden die Schadenshöhe und die Eintrittswahrschein-lichkeit gegenübergestellt. Die Kategorien für Schadenshöhe, Eintrittswahrscheinlichkeit und letztendlich das resultierende Risiko sind von den Unternehmen entsprechend ihrer eigenen Anforderungen anpassbar. Als Vorschlag des BSI sind die Einstufung der Risiken in geringe, mittlere, hohe und sehr hohe Risiken vorgenom-men worden. Aus der Risikomatrix erhält man eine Übersicht zu der Einstufung und dem Ausmaß der Risiken. In einem weiteren Schritt leiten sich dann unterschiedliche Gegenmaßnahmen ab. Die Behandlung von Risi-ken wurde bereits im BSI-Standard 100-3 ausführlich beschrieben und wird daher hier nicht weiter erläutert. Die aus der Risikoanalyse gewonnen Erkenntnisse müssen dann wieder in das Risikomanagementsystem und letztendlich in das ISMS des Unternehmens überführt werden.

Einführung Risikoappetit und Chancenmanagement

Risikoappetit bezeichnet die durch kulturelle, interne, externe oder wirtschaftliche Einflüsse entstandene Neigung einer Institution, wie sie Risiken bewertet und mit ihnen umgeht. Die Neigung innerhalb einer Insti-tution, Risiken einzugehen, wird durch eine Vielzahl von Faktoren beeinflusst, so dass eine quantitative Ein-stufung des Risikoappetits recht komplex werden kann. Ein Ziel dieses Kapitels ist es, die Komplexität zu ver-ringern und eine beherrschbare Zahl von Risikoneigungstypen zu definieren, denen Empfehlungen für sinn-vollen Umgang mit Risiken gegeben werden können.2

2 Vgl. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-Grundschutz-Modernisierung/BSI_Standard_200-3.pdf?__blob=publicationFile&v=3 - S. 36

Abbildung: Risikomatrix










SCHWERPUNKT THEMA


7

Abbildung: Risikomanagementsystem

Als Einflussfaktoren beschreibt das BSI die folgenden:

Kulturelle Einflüsse (Die Kultur beeinflusst die Mentalität und damit die Risikobereitschaft)

Interne Faktoren (z.B. die Einstellung des Managements)

Marktumfeld (z.B. Risikoaffinität der Konkurrenz)

Finanzierung der Institution (z.B. Eigenkapitalquote)

Mittels des Chancenmanagements werden die identifizierten Risiken mit den Chancen abgeglichen. Der Risi-koappetit entscheidet dann, ob die Marktchance so groß ist, dass man das Risiko ggf. akzeptieren kann, oder ob das Risiko der Chance überwiegt und man Gegenmaßnahmen ableiten sollte.

Zusammenfassung

Unterschiedliche Unternehmen und dessen Geschäftsmodelle haben auch einen unterschiedlichen Umgang mit Risiken zur Folge. Der Risikoappetit beeinflusst dabei die Ausnutzung von Chancen. Um das Risiko in ei-nem moderaten Maß zu halten, kann die Einführung eines Risikomanagementsystems genutzt werden. Hier erweitert das BSI den Standard 100-3 um die in der untenstehenden Abbildung verdeutlichten Aspekte. Durch die Analyse der Gefährdungen und deren anschließenden Bewertung kann ein Vorgehen zur Behand-lung der Risiken definiert werden. Man kann die Risiken zu einem gewissen Maße akzeptieren, oder aber Gegenmaßnahmen zur Verringerung der Risiken definieren. Weiterhin können natürlich Versicherungen zur Minimierung der Schadensmenge abgeschlossen werden. Dies wird in der Risikostrategie definiert. Die Stra-tegie ist vor allem vom Risikoappetit, also der Risikobereitschaft eines Unternehmens abhängig. Durch eine entsprechende Risikokultur soll die Affinität und die Awareness der Mitarbeiter des Unternehmens zum Um-gang mit Risiken geschärft werden. Eine entsprechende Risikorevision überprüft fortlaufend den Umgang mit Risiken und die Überführung der Risikostrategie in das Information Security Management System eines Un-ternehmens stellt sicher, dass diese auch auf der obersten Managementebene verankert ist.

Ansprechpartner: Jörg Wöhler (Principal Consultant, Lead IT Security) und Kersten Schöbe (Consultant IT Security)

SCHWERPUNKT THEMA


8

Schäden einen Schritt voraus sein - Erfordernis eines IT-Risikomanagements mit hohem Reifegrad

Eine Betrachtung auf Versicherungsunternehmen

Der Fortschritt und die Weiterentwicklung der Informationstechnologie (IT) hat jeden Unternehmensbereich von Versicherungen heute fest im Griff. Die starke Präsenz und Anwendung prozessunterstützender techno-logischer Hilfsmittel, die durch einen hohen Vernetzungsgrad gekennzeichnet sind, bieten ein enormes Po-tenzial zur unternehmerischen Erfolgssteigerung, bedürfen aber auch der notwendigen Risikosensibilität und der Eingliederung in die Unternehmensstrategie.

Der verstärkte IT-Einsatz und die dazugehörige Vernetzung ist mit einer Vielzahl von Risiken verbunden. War früher der Fokus stärker auf interne Risiken gerichtet, betrachtet man heute durch die Digitalisierung zuneh-mend Risiken, die von außen einwirken und auf Schwachstellen in Unternehmen abzielen. Exponentiell stei-gen Nachrichten über Cyber-Angriffe, Datendiebstählen und Spionage. Die abzuleitenden Folgen zeigen sich in Betriebsstörungen, Systemausfällen, Datenverlusten, Identitätsdiebstählen, den resultierenden Image-Schäden und monetären Schäden in Millionenhöhe.

Als exemplarisches Beispiel sei hier auf die Pressemitteilung eines großen Spezialversicherers zu Beginn des Jahres 2016 zitiert. Demnach belegen drei Geschäftsrisiken das höchste Eintrittspotenzial:

Platz 1: Betriebsunterbrechung (inkl. Lieferkettenunterbrechung)

Platz 2: Marktentwicklungen (Volatilität, verstärkter Wettbewerb, stagnierende Märkte)

Platz 3: Cybervorfälle (Cyberkriminalität, Verletzung der Datenschutzrechte, technisches Versagen)

Versicherungsunternehmen selbst haben eine Vielzahl von regulatorischen Anforderungen zu erfüllen. Wich-tige aufsichtsrechtliche Regelungen sind dabei u.a. die Solvabilitäts- bzw. Eigenmittelvorschriften nach Sol-vency II, die Anforderungen nach MaGo, oder den Anforderungen zur Kontrolle und Transparenz nach Kon-TraG und zusätzlichen Anforderungen wie beispielsweise KWG, VAG oder den GoBD.

Abbildung: Anforderungen an Versicherungen

SCHWERPUNKT THEMA


9

Diese regulatorischen Anforderungen werden durch entsprechend gesetzliche Anforderungen erweitert. So werden nach dem neuen IT-Sicherheitsgesetz (IT-SiG) auch Unternehmen des Finanz- und Versicherungswe-sen als Betreiber kritischer Infrastrukturen (KRITIS) betrachtet, die als Basis funktionierender Wirtschafts-kreisläufe und für die Stabilität von Staat und Gesellschaft fungieren.

Im Rahmen des IT-Risikomanagements sind insbesondere die Leitlinien für das operationelle Risiko unter Solvency II von besonderer Bedeutung:

In diesem Kontext soll das Unternehmen in seinen Risikomanagementleitlinien in Bezug auf das operationelle Risiko zumindest folgende Punkte erfassen:

Ermittlung der operationellen Risiken, denen es ausgesetzt ist oder ausgesetzt sein könnte, und die Ein-schätzung der Möglichkeiten zu deren Minderung;

Tätigkeiten und interne Prozesse, um operationelle Risiken zu managen, einschließlich des IT-Systems zu deren Unterstützung; und

Risikotoleranzschwellen in Bezug auf die Hauptbereiche operationeller Risiken des Unternehmens. Das Unternehmen sollte über Prozesse für die Ermittlung, Analyse und Meldung von operationellen Risiko-ereignissen verfügen. Zu diesem Zweck sollte das Unternehmen einen Prozess für die Erhebung und Über-wachung operationeller Risikoereignisse einrichten.

Ferner soll das VU für die Zwecke des operationellen Risikomanagements eine angemessene Reihe von Sze-narien für operationelle Risiken entwickeln und analysieren, die zumindest auf den folgenden Konzepten basieren:

a) Versagen eines wesentlichen Prozesses, Mitarbeiters oder Systems; und

b) Eintreten externer Ereignisse.

Zur Umsetzung können Unternehmen Standards und Methoden und Frameworks (ISO/IEC, BSI, ITIL, COBIT) verwenden, die auf die Anforderungen und den sich ändernden Umwelteinflüssen entsprechend angepasst werden.

Der BSI-Standard 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz) für das IT-Risikomanagement wurde im Rahmen der Überarbeitung des IT-Grundschutzes der BSI-Standards erneuert und als vorläufige Erweite-rung veröffentlicht. Dieser Standard führt bei Anwendung zu einem deutlich reduzierten Aufwand, um ein entsprechendes Sicherheitsniveau in den Bereichen Vertraulichkeit, Verfügbarkeit, Integrität (und Authenti-zität) der IT-Systeme zu erreichen, unter der Voraussetzung, dass die Unternehmen die IT-Grundschutzme-thodik bereits anwenden und eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten. Dies wird im BSI-Standard 200-2 (IT-Grundschutz-Vorgehensweise) beschrieben. Dabei führt bereits die Anwen-dung des BSI-Standards 200-2 zu einer Einordnung in das 3. Level des nachfolgend beschriebenen Reifegrad-modells, indem ein Informationssicherheitsprozess initiiert und die Aktivitäten zur strukturierten Abarbei-tung vorliegen.

Wenn jedes Versicherungsunternehmen diese Anforderungen erfüllt, wie kann ein hoher Reifegrad des IT-Risikomanagements erreicht werden?

Das Ziel: Risiken minimieren, Chancen erkennen und das Risikomanagement vom reaktiven zu einem inte-grierten Risikomanagement transformieren. Diese Entwicklung wird in nachfolgenden fünf Levels dargestellt:

SCHWERPUNKT THEMA


10

Level 1:

Großrisiken sind qualifiziert und weitreichend dokumentiert. Die Berichtserstattung erfolgt reaktiv.

Level 2:

Risiken sind vollständig erfasst und dokumentiert und in zyklischen Abständen aktualisiert und berichtet.

Level 3:

Der Risikomanagement-Prozess ist etabliert. Der Prozess quantifiziert und aggregiert Risiken. Maßnahmen sind definiert, werden verfolgt und bewertet.

Level 4:

Als sogenannter „Risiko-Korridor“ sind Risiken in der Unternehmensplanung bewertet und aggregiert. Inter-dependenzen der Risiken sind bekannt und die Maßnahmen werden neben der Nachverfolgung und Bewer-tung in Ihren Kosten und ihrem Nutzen berücksichtigt.

Level 5:

Optimiertes Risikomanagement ist ein risikoorientierter Planungsprozess und Teil der strategischen Unter-nehmensführung sowie der unternehmerischen Steuerungssysteme. Risikoidentifikation wird beispielsweise durch analytische Methoden durchgeführt und daraus entsprechende Maßnahmen abgeleitet wodurch eine Risikokultur etabliert ist.

„Dieses Reifegradmodell wird als „Risk Maturity Model“ oder „Maturity Level Risk Management“ bezeichnet“

Trotz großer Möglichkeiten einer technischen und vorrausschauenden Betrachtung durch moderne Risiko-managementmethoden steht der Mensch im Mittelpunkt aller Entscheidungen, um Risiken zu reduzieren und Chancen zu wahren unter Berücksichtigung der unsicheren Zukunft. Diese Unsicherheiten sind darzu-stellen und im Kontext von Entscheidungen zu berücksichtigen.

Abbildung: Fünf Level zum integrierten Risiko Mgmt.

SCHWERPUNKT THEMA


11

Zusätzliche Simulationsverfahren ermöglichen Interpretationen zu Häufigkeitsverteilungen oder Bandbrei-ten, die in Entscheidungen mit einfließen können, werden jedoch relativ wenig für Risiko-Assessments ge-nutzt.

Unterstützung hierzu können qualitativ hochwertige IT-Lösungen sein, die den IT-Risikomanagementprozess begleiten und wesentliche Kennzahlen für taktische- und strategische Entscheidungen bereitstellen.

Fazit:

Versicherungsunternehmen unterliegen einer Vielzahl an regulatorischen und gesetzlichen Vorgaben, zu de-ren Einhaltung sie verpflichtet sind. Die EIOPA bzw. BaFin in Deutschland, gibt für das Risikomanagement unter Solvency II Leitlinien vor, dass für ein angemessenes Risikomanagement wirksame, effiziente und inte-grierte Maßnahmen erforderlich sind. Diese Leitlinien lassen aber ganz bewusst einen hohen Freiheitsgrad bezüglich der anzuwenden Methodik.

Der BSI-Standard 200-3 kann hierbei eine gute Anleitung für die weitere Ausgestaltung des IT-Risikomanage-ments geben. Durch die Anwendung eines Maturity Modells lässt sich der Reifegrad des IT-Risikomanage-ments überprüfen und eine Weiterentwicklung gezielt angehen.

Ansprechpartner: Jan-Hendrik Uhlenberg (Associate Partner, Lead Regulatory & Risk Management) und Pascal Müller (Consultant Regulatory & Risk Management)

SCHWERPUNKT THEMA


12

Mobile payment & mobile Security – Steht das Bargeld vor dem Aus?

Steht das Bargeld vor dem Aus? Diese Frage wird von vielen Experten heute schon mit einem klaren ja be-antwortet. In Dänemark soll das Bargeld abgeschafft werden. Ab dem Jahr 2017 wird die Notenbank kein weiteres Geld mehr drucken. Weitere Länder haben bereits angekündigt nachzuziehen. Konkrete Daten ste-hen allerdings noch nicht fest. Es stellt sich nicht mehr die Frage ob wir in Zukunft bargeldlos leben, sondern wann es so weit sein wird und in welcher Form wir bargeldlos bezahlen werden.

Das größte Risiko des bargeldlosen Zahlens wird heute im Bereich der Sicherheit angesehen. Daher ist es eine zentrale Aufgabe der IT-Sicherheit zu erklären, wie bargeldlose Zahlungen heute auch schon sicherer als Zah-lungen mit Bargeld sein können und wie die Entwicklung beim mobile Security aussehen kann. In Ländern wie den USA ist die Kartenzahlung schon das zentrale Bezahlmittel. Deutschland hängt hierbei weit hinterher. Hier zahlen immer noch 53% aller Menschen mit Bargeld. Der Zahlung mit EC/Kreditkarte stehen die Deut-schen dagegen kritischer gegenüber; 23,7% zahlen aktuell mit diesem Zahlungsmittel.

Allerdings können sich in Deutschland 81%vorstellen, biometrische Daten beim bargeldlosen Bezahlen ein-zusetzen.3 Vielleicht ist daher der Schritt zum bargeldlosen Zahlen mit dem Smartphone oder auch der Fin-gerabdrucksensor auf der Kreditkarte für die Deutschen ein denkbares Szenario, den Schritt zu mehr bargeld-losem Zahlungsverkehr zu ebnen.

Weitere biometrische Identifizierungsmethoden wären zwar auch denkbar um damit zu zahlen, allerdings ist die Technik in Smartphones für andere Methoden noch nicht ausgereift genug. Eine Speicherung von bio-metrischen Daten zu jeder einzelnen Person auf einer weltweiten Datenbank, um diese zu identifizieren und dann u.a. auch zur Zahlung zu nutzen, ist wohl eher noch Utopie. Ob das Smartphone sich als das mobile Endgerät der Zukunft etablieren wird, oder ob andere Devices wie Tablets, Smartwatches, Smartglasses, oder andere noch nicht vorhandene Geräte in Zukunft die Funktionen eines Handys übernehmen ist heute noch nicht vollends zu klären.4 Daher wird in diesem Artikel immer vom mobilen Endgerät gesprochen, unabhängig davon, wie dieses in der Zukunft aussehen wird.

Barzahlung vs. Bargeldloses Zahlen vs. mobile Payment:

Barzahlung ist heute vor allem in Deutschland immer noch der Standard. Die Vorteile der Einfachheit liegen auf der Hand, allerdings ist das Risiko bei dieser Zahlungsmethode auch relativ hoch, das Geld zu verlieren. Das klassische bargeldlose Zahlungsmittel ist die Kreditkarte oder die EC Karte. Dieser Form des bargeldlosen Bezahlens stehen viele Personen aufgrund von wenigen Stärken und zahlreichen Schwächen kritisch gegen-über.

Die Vorteile des mobile Payments lassen sich schnell erkennen. Auch hier gibt es noch einige Aspekte zu klären. Es muss vor allem das mobile Endgerät sicherer, d.h. vor Hackingangriffen und auch bei Verlust ge-schützt (siehe dazu mobile Security) und sichergestellt werden, dass die Speicherung der biometrischen Da-ten sicher, d.h. verschlüsselt erfolgt. Allgemein ist vor allem die Einfachheit aber auch bereits die Sicherheit dieser Zahlungsmethode schon auf einem deutlich höheren Niveau als die Barzahlung, oder die Zahlung mit der klassischen Kreditkarte. Mobile Payment könnte sich daher als Zahlungsmethode der Zukunft etablieren.

3 www.bitkom.org/Presse/Presseinformation/Bezahlen-per-Fingerabdruck-trifft-auf-grosses-Interesse.html

4 www.handelsblatt.com/unternehmen/it-medien/zukunft-der-it-das-ende-der-smartphones-naht/12370284.html

SCHWERPUNKT THEMA


13

Abbildung: Vor- und Nachteile von Bezahlverfahren

Mobile Payment:

Wie kann man nun die Vorteile des mobile payments nutzen und die Schwächen so ausmerzen, dass die Akzeptanz erhöht wird und sich mobile Payment mit Biometrie letztlich als Zahlungsmethode der Zukunft durchsetzt? Prinzipiell funktioniert mobile Payment durch das mobile Endgerät schon recht gut. Hat das mo-bile Endgerät z.B. einen NFC Chip, dann kann man dieses auch schon an diversen Kassen als Zahlungsmittel einsetzen. Zum Absichern dieses Vorgangs kann der User u.a. seinen Fingerabdruck oder auch PINs benutzen. Beim Zahlen von Onlinekäufen wird bereits sehr häufig der Fingerabdruck als Authentifizierungsmethode eingesetzt.

Trotzdem zeigt sich wie der untenstehenden Grafik zu entnehmen ist, dass viele Personen in Deutschland noch große Sicherheitsbedenken zum Zahlen mit dem mobilen Endgerät haben, oder dass ihnen diese Funk-tionalität bisher nicht bekannt ist. Hier muss man vor allem die Awareness der Menschen zu dem Thema schaffen und ihnen verdeutlichen wie diese Technik funktioniert und was man tun sollte, um z.B. sein mobiles Endgerät noch weiter abzusichern. Statistiken zeigen, dass Deutsche prinzipiell nicht abgeneigt gegen bio-metrische Verfahren sind und diese als sicherer als die Kreditkartenzahlung erachten. Eine Kombination aus z.B. Fingerabdrucksensor und mobilem Endgerät bietet also gute Möglichkeiten, als mobile Bezahlmethode der Zukunft wohl weiter an Bedeutung zu gewinnen. Damit das mobile Endgerät dann auch für Zahlungsvor-gänge entsprechend sicher ist können u.a. spezielle Apps helfen.

SCHWERPUNKT THEMA


14

Abbildung: Bitkom Research Verbrauchsstudie Mobile MWC 2016

Mobile Security

Im Bereich mobile Security gibt es laut Studien z.B. von Gartner in den nächsten Jahren ein extrem großes Potenzial. Hier können Empfehlungen gegeben werden was Enduser tun sollten, um die Sicherheit auf ihrem mobilen Endgerät zu erhöhen. Diese sollten zuallererst nur Applikationen aus sicheren Quellen auf ihrem mobilen Endgerät installieren und dieses auch regelmäßig updaten. Ein Virenscanner sollte heute auf jedem mobilen Endgerät Standard sein, aber auch Apps zur Anonymisierung sind definitiv empfehlenswert, so dass man mit dem mobilen Endgerät anonymer im Internet unterwegs ist. Hier können spezielle VPN Applikatio-nen eingesetzt werden.

Weiterhin gibt es bestimmte Applikationen aus welchen wiederrum Apps wie z.B. Online Banking aus der sog. „Sandbox“ betrieben werden können. Dies ist eine, zum Ausführen einzelner Apps aus einer vom Be-triebssystem abgekapselte, unabhängige und speziell abgesicherte Umgebung. Weiterhin kann man auch Applikationen des mobilen Endgeräts unterschiedlichen Sicherheitsleveln zuordnen und entsprechend in un-terschiedlich geschützte Container verschieben.

Des Weiteren gibt es Apps die im Falle eines Verlustes des mobilen Endgeräts sinnvoll sind. Diese schützen z.B. wichtige Applikationen mit zusätzlichen Passwörtern. Neben der angesprochenen Apps, wie z.B. Vi-renscanner (vor allem auf renommierte Anbieter achten) werden auch sogenannte platform health checks und mobile Authentifizierungsmethoden zunehmend an Bedeutung gewinnen. Diese Apps richten sich zwar eher an den Endverbraucher, aber es wird sich auch ein Bedarf durch Dienstleistungen in Verbindung mit diesen Apps verstärken. Dieses Marktpotenzial vor allem für IT-Security Dienstleistungen, wird dadurch be-günstigt, dass mobile Endgeräte nicht nur die Zukunft der Zahlungsmethoden sein können, sondern auch den PC als Arbeitsgerät ersetzen könnten. Dies wird weiter an Bedeutung sowohl im privaten Umfeld, als auch in der gesamten Unternehmenswelt weiter an Bedeutung gewinnen werden.

Daraus begründet ergibt sich Potenzial in klassischen Security-Beratungsschwerpunkten wie Security Asses-sments (um z.B. Schwachstellen auf dem mobilen Endgerät sowie der Netzwerkintegration festzustellen) oder Datenschutz, Risikomanagement und Business Continuity Management als Themenfelder für Unterneh-men die mobile Devices, oder auch mobile payment Systeme einsetzen werden. Weiterhin wird auch die Beratung zum Einsatz entsprechender Sicherheitsprodukte für das mobile Endgerät und zur Integration der mobilen Endgeräte in die Firmenwelt zunehmen.

SCHWERPUNKT THEMA


15

Auch biometrische Funktionalitäten auf dem mobilen Endgerät könnten für andere Unternehmensbereiche, wie z.B. für das Identity and Access Managements eingesetzt werden und ermöglichen wieder Ansatzpunkte für IT-Security Beratungen. Wird sich das mobile Endgerät als mobile Workstation für alle denkbaren Aufga-ben in Unternehmen durchsetzen, dann ergeben sich natürlich auch weitere strategische und prozessuale Beratungsaspekte.

Schafft man es also, die Awareness der potenziellen Nutzer zu verbessern und die Sicherheit des mobilen Endgeräts sicherzustellen, dann kann sich mobile Payment als Zahlungsmethode der Zukunft etablieren. Viele weitere Ansatzpunkte für IT-Security Solutions ergeben sich erst, falls sich das mobile Endgerät für wesentlich mehr Bereiche des Privaten- als auch des Arbeitslebens als primäres Device durchsetzen wird.

Zusammenfassung:

Wenn es in Zukunft tatsächlich dazu kommt, dass primär bargeldlos gezahlt wird, dann muss vor allem in Bezug auf die Zahlungssicherheit ein großer Schritt getan werden. Hier bieten sich vor allem biometrische Verfahren an, da diese verhältnismäßig sicher und einfach im Gebrauch sind. Das mobile Endgerät wird dabei sicherlich weiter in den Fokus rücken. Zwar sind heute noch die Akkulaufzeiten der mobilen Endgeräte ein gewisses Hindernis. Daher könnte sich auch die Kreditkarte mit NFC und/oder biometrischen Verfahren als Zahlungsmittel eignen, aber auf kurz oder lang kann sich das mobile Endgerät sehr wahrscheinlich als Zah-lungsmittel der Zukunft durchsetzen.

Vor allem auch Studien von Apple zeigen eine enorme Akzeptanz beim mobile payment mittels Fingerab-drucksensor. Neben der Zahlung mit dem mobilen Endgerät, wird sich dieses möglicherweise weiter als pri-märes Arbeitsgerät entwickeln und immer mehr in den Mittelpunkt des täglichen Lebens rücken. Daher wer-den endsprechend auch die Security-Aspekte in dem Bereich mobile Security ein großer Trend für die Zukunft sein.5

Aus Sicht von IT Security werden sich viele Ansatzmöglichkeiten bieten, um die Zahlungsvorgänge und die mobilen Endgeräte im Allgemeinen sicherer zu machen und User für das Thema mobile Security zu sensibili-sieren. Hier geht es zum einen aus rein technischer Sicht um die Verbesserung von biometrischen Sensoren, der generellen Absicherung der mobilen Endgeräte z.B. durch spezielle „Sandbox“ Apps, oder auch einer si-chereren end to end Verschlüsselung.

Beratungstechnisch bietet das Thema wie bereits erwähnt auch einige interessante Ansatzpunkte. Fragen nach Risiken, Compliance, Datenschutz und eine generelle Awareness durch Trainings zum Thema Sicherheit mobile Devices sind hier nur einige Ansatzpunkte. Das Potential mobiler Endgeräte ist bei weitem noch nicht ausgeschöpft, sei es nun für mobile payment oder auch als möglicher Computerersatz. IT-Dienstleister sollten diesen Trend verstärkt wahrnehmen und entsprechende Portfolioelemente im Bereich mobile Security for-cieren, um für Kunden im Bereich mobile Security ein guter Partner zu sein.

Ansprechpartner: Jörg Wöhler (Principal Consultant, Lead IT Security) und Kersten Schöbe (Consultant IT Se-curity)

5 Vgl. August-Wilhelm Scheer, Thomas Feld, Mark Göbl, Michael Hoffmann, Mobile Unternehmen S.92 ff.

AKTUELLES


16

Aktuelles

Dynamische IP-Adressen als personenbezogene Daten – aber nur unter bestimmten Voraussetzungen

Dynamische IP Adressen im Gegensatz zu statischen IP Adressen

Dynamische IP-Adressen

Dynamische IP-Adressen sind die am häufigsten genutzten IP-Adressen. Sie können sich stetig ändern und tun das in der Regel in festen oder unregelmäßigen Zeitabständen. Verbindet sich der Router mit dem Inter-net, bekommt er eine IP-Adresse zugewiesen, die aktuell niemand sonst auf der Welt nutzt. Spätestens bei der nächsten Einwahl ins Internet erhält der Router eine neue IP-Adresse. Die meisten Router bekommen zwangsweise alle 24 Stunde eine neue IP. Da sich die IP-Adresse regelmäßig ändert, handelt es sich hierbei um dynamische IP-Adressen.

Statische IP-Adresse

Statische IP-Adressen sind fest bestimmt und ändern sich nicht. Einmal zugewiesen, ändert sich eine statische IP-Adresse in der Regel erst dann, wenn der Besitzer der IP dies veranlasst.

Da alle IP-Adressen stets zufällig an jeden Teilnehmer im World Wide Web vergeben werden, benötigt das Internet statische IP-Adressen, die beispielsweise an Webseiten wie Q-PERIOR.COM vergeben werden, damit die Adresse stets unter Ihrer festen URL erreichbar ist.

Der Sachverhalt

In dem der EuGH-Entscheidung zugrundeliegenden Rechtsstreit ging es um eine Klage des Piratenpartei-Po-litikers Patrick Breyer, der erreichen will, dass es der Bundesrepublik Deutschland untersagt wird, die dyna-mischen IP-Adressen von Personen zu speichern, die auf den Webseiten des Bundes surfen. Zurzeit speichert der Bund neben dem Zeitpunkt des Zugriffs auf die Webseiten auch die IP-Adresse des Nutzers.

Das Urteil

Nach Ansicht des EUGH stellen dynamische IP-Adressen für den Webseitenbetreiber personenbezogene Da-ten dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand von Zusatzinforma-tionen bestimmen zu lassen, über die regelmäßig dessen Internetzugangsanbieter verfügt. Die Speicherung der folglich personenbezogenen dynamischen IP-Adressen ist nach dem EuGH zulässig, wenn der Webseiten-betreiber ein berechtigtes Interesse hieran hat und legitime Interessen und Grundrechte der Nutzer einer Speicherung nicht überwiegen. Dies sei im vorliegenden Sachverhalt der Fall. Offen bleibt allerdings was ge-nau ein „berechtigtes Interesse“ im Sinne dieses Urteils ist. Dieser Frage wird sich nun der BGH annehmen müssen.

Ansprechpartner: Christian Brockhausen (Managing Consultant, Lead Compliance)

AKTUELLES


17

E-Mail Überwachung am Arbeitsplatz - Europäischer Gerichtshof für Menschenrechte

Der Sachverhalt

Ein rumänischer Arbeitgeber hatte in seinem Betrieb strikt verboten, Computer, Fotokopierer, Telefone, Te-lex und Faxmaschinen für persönliche Zwecke zu nutzen. Aufgrund der nachgewiesenen Privatnutzung war das Arbeitsverhältnis eines Beschäftigen gekündigt worden.

Mit Blick auf die vertragswidrige Privatnutzung hatte das zuständige rumänische Gericht entschieden, dass die Erwägungen des Arbeitgebers sachgerecht gewesen seien, zum Schutz der Disziplin – aber auch der Un-ternehmensgegenstände – die Überwachung über z.B. einen Yahoo-Messenger durchzuführen, um festzu-stellen, ob das Verbot der Privatnutzung von Computern eingehalten worden sei.

Der Europäische Gerichtshof für Menschenrechte (EGMR) – Urteil Januar 2016

Der EGMR hält es für berechtigt und nicht unbillig, die Arbeitsleistung eines Arbeitnehmers während der Arbeitszeit zu überprüfen. Der Arbeitgeber könne sich aus Gründen berechtigten Interesses in einem Arbeits-gerichtsstreit auch zur Darlegung eines Vertragsverstoßes auf Transskription der E-Mail-Korrespondenz bzw. Yahoo-Messenger-Korrespondenz berufen. Dies sei eine zulässige Verwertung.

Des Weiteren sei es so, dass der Arbeitgeber aufgrund des Verbots der Privatnutzung davon ausgehen durfte, dass die Arbeitsmittel nur dienstlich genutzt werden. Der Arbeitgeber habe also nicht vorsätzlich ein Persön-lichkeitsrecht verletzt. Die Interessen von Arbeitgeber und Arbeitnehmer seien in einen angemessenen Aus-gleich gebracht worden. Im Ergebnis ist die Kontrolle der Internet-Nutzung des Arbeitnehmers und die daraus folgende Kündigung vom EGMR als gerechtfertigt angesehen worden.

Es bleibt spannend in wieweit diese Entscheidung als Beitrag im Rahmen der fortwährenden Diskussion um Verwertungsverbote im Arbeitsgerichtsverfahren gewertet werden kann.

Ansprechpartner: Christian Brockhausen (Managing Consultant, Lead Compliance)

AKTUELLES


18

Änderungen im internen Modell

Nach Solvency II können Versicherungsunternehmen für die Berechnung der Solvabilitätskapitalanforderung (SCR) zwischen dem Standard- oder (partiellen) internen Modellen wählen. Während das Standardmodell größtenteils von der Aufsicht vorgegeben ist, entwickeln Versicherungsunternehmen interne Modelle eigen-ständig. Darüber hinaus erstellen sie eine Leitlinie für Verwendung eines internen Modells und eine Leitlinie für Modelländerungen. Beide Leitlinien und deren Änderungen werden von der BaFin genehmigt, bevor sie in Kraft treten.

Der aufsichtsrechtliche Genehmigungsprozess unterscheidet sich hinsichtlich der einzureichenden Doku-mente und Informationen. Während größere Modelländerungen und Modellerweiterungen den vollständi-gen Genehmigungsprozess durchlaufen, unterliegen kleinere Modelländerungen wiederum nicht einem Ge-nehmigungsvorbehalt, können jedoch optional vierteljährlich an die BaFin gemeldet werden. Die Einstufung in kleinere oder größere Modelländerungen erfolgt in der Leitlinie für Modelländerungen.

Bei jeglichen Änderungen am internen Modell sind Interdependenzen zu ggf. betroffenen Systemen (Risiko-managementsystem, internes Kontrollsystem, IT-Systeme etc.) zu prüfen. Die daraus folgenden Anpassungen sollten jedoch erst vorgenommen werden, wenn die Änderungen von der BaFin genehmigt wurden. Letzteres kann bis zu sechs Monate dauern. Nicht zuletzt sollte für eine ausgewogene interne Kommunikation gesorgt werden, damit alle betroffenen Personen adäquat mit Informationen und Änderungen versorgt sind.

Modellgenehmigung und -erweiterung

Bevor ein internes Modell verwendet werden kann, muss zuerst der vollständige Genehmigungsprozess durchlaufen werden. Dafür reicht das Versicherungsunternehmen folgende Unterlagen bei der BaFin ein:

Antrag auf Genehmigung

Leitlinie für Verwendung eines internen Modells

Leitlinie für Modelländerungen

Dokument zum Aufbau und zur Funktionsweise des internen Modells

Erläuterung, dass das interne Modell (bzw. die Modellerweiterung) alle wesentlichen Risiken abdeckt

Erläuterung, dass Berechnungsmethoden sich auf geeignete versicherungsmathematische und statisti-sche Verfahren stützen unter realistischen Annahmen und Berücksichtigung der Datenqualität und des Datenstandards

Erläuterung, wie die Risikokategorisierung und die Zuweisung von Gewinnen und Verlusten jedes Haupt-geschäftsbereichs mit dem Risikoprofil in Einklang stehen

Darstellung der Validierungsstandards für das interne Modell.

Wird der Anwendungsbereich im internen Modell um bisher unberücksichtigte Aspekte erweitert, handelt es sich um eine Modellerweiterung. Beispiele hierfür sind die Aufnahme zusätzlicher

Rechtlicher Einheiten,

(Haupt-)Geschäftsbereiche,

Risikokategorien,

Risikomodule,

Submodule.

Bevor eine Modellerweiterung im internen Modell verwendet werden kann, ist – in Anlehnung an den Ge-nehmigungsprozess zur Verwendung des internen Modells - das Durchlaufen des vollständigen Genehmi-gungsprozesses erforderlich. Die Modellerweiterungen werden in den entsprechenden Leitlinien dokumen-tiert und die betroffenen Mitarbeiter informiert.

AKTUELLES


19

Kleinere und größere Modelländerungen

Werden Änderungen am bereits von der BaFin genehmigten internen Modell unter Berücksichtigung der Modelländerungsleitlinie vorgenommen, liegen Modelländerungen vor. Weitere Modelländerungen stellen Änderungen der aufsichtsrechtlichen Anforderungen und gesetzliche Änderungen dar, die direkten Einfluss auf das interne Modell ausüben. Die Rückkehr vom internen zum Standardmodell stellt hingegen keine Mo-delländerung dar.

Grundsätzlich ist zwischen kleineren und größeren Modelländerungen sowie Modellerweiterungen zu diffe-renzieren. Die Akkumulierung von kleineren zu größeren Modelländerungen werden als größere Modellän-derungen betrachtet. Die Spezifikation, wann es sich um kleinere und größere Modelländerungen bzw. Mo-dellerweiterungen handelt, wird in der Modelländerungsleitlinie festgehalten. Wie oben erwähnt, bedarf es einer Genehmigung der BaFin bevor die Modelländerungsleitlinie sowie deren Änderungen in Kraft treten.

Werden Änderungen an der Modellierung, Validierung oder der organisatorischen Einbettung des internen Modells vorgenommen, stellen diese größere Modelländerungen dar. Diese sollten zeitnah an die BaFin ge-meldet werden und zumindest folgende Informationen umfassen:

Erläuterung und Begründung der beabsichtigen Modelländerung

Potenzielle quantitative und qualitative Auswirkungen auf das interne Modell

Angestrebter Zeitplan der Umsetzung

Darstellung des Zusammenhangs bei mehreren Modelländerungen untereinander

Ggf. Hinweis auf nachfolgende Modelländerungen

Bei der (optionalen) Meldung von kleineren Modelländerungen an die BaFin sollten unter Berücksichtigung des Proportionalitätsprinzips folgende Unterlagen eingereicht werden:

Vom Vorstand signiertes Begleitschreiben

Auflistung betroffener rechtlicher Einheiten

Verzeichnis der Modelländerung

Beschreibung, Begründung und geplante Umsetzung der Modelländerung

Begründung, warum es sich um kleinere Modelländerungen handelt

Erläuterung des internen Freigabeverfahrens und der Validierung

Darstellung der entstehenden Verbesserung im Risikomanagementsystem

Leitlinie für Modelländerungen

Verwendet ein Versicherungsunternehmen ein internes Modell, ist, wie oben erwähnt, neben der Leitlinie zur Verwendung eines internen Modells die Leitlinie für Modelländerungen zu erstellen. In der Modellände-rungsleitlinie wird u.a. festgehalten,

welche Änderungen das Versicherungsunternehmen am Modell vornehmen kann,

welche Änderungen kleinere bzw. größere Modelländerungen darstellen,

wann eine Akkumulation von kleineren Modelländerungen größere darstellen,

welche Grenzwerte existieren und wie bei Überschreitung damit umzugehen ist,

die Verfahrensweise, Dokumentation und interne Kommunikation bei Modelländerungen

die Beschreibung eines Reportingprozesses inkl. der einzureichenden Unterlagen sowie Informationen in Abhängigkeit der Änderung

der Umgang mit Änderungen während laufender Genehmigungsprozesse.

AKTUELLES


20

Ist eine Änderung der Leitlinie beabsichtigt, so ist der Antrag auf Genehmigung von Änderungen der Leitlinie zur Änderung des internen Modells bei der BaFin einzureichen. Dieser Antrag enthält eine Begründung für die geplante Änderung mit den o.g. erforderlichen Nachweisen. Grundsätzlich genehmigt die Aufsicht den Antrag, wenn sichergestellt ist, dass das Risikomanagementsystem samt Risikoerkennung, -messung, -über-wachung und -berichterstattung bei der Umsetzung der Änderung im internen Modell berücksichtigt wurden.

Fazit

Versicherungsunternehmen sollten Modelländerungen und -erweiterungen idealerweise zeitnah an die BaFin melden. Anschließend wird in gemeinsamer Absprache geklärt, welche Unterlagen einzureichen sind, um eine effiziente Genehmigung und anschließende Umsetzung im internen Modell zu ermöglichen. Falls das Versicherungsunternehmen mehrere größere Modelländerungen bzw. mehrere Modellerweiterungen beab-sichtigt vorzunehmen, sollten die akkumulierten Anträge auf Modelländerungen bzw. auf Modellerweiterun-gen an die BaFin geschickt werden.

Jedoch sind sowohl zeitlich parallele Anträge auf Modelländerungen als auch -erweiterungen zu vermeiden. Es kann der Fall eintreten, dass der Antrag auf die Modelländerung genehmigt wird, das Versicherungsunter-nehmen dahingehend ihr internes Modell anpasst und anschließend der Antrag auf Modellerweiterung (teil-weise) abgelehnt wird. Der Mehraufwand ergibt sich schließlich bei der erneuten Anpassung des internen Modells bzw. Rückkehr zum historisch genehmigten Stand.

Nicht zuletzt sind sowohl eine ausgewogene interne Kommunikation im Versicherungsunternehmen als auch die externe mit der BaFin empfehlenswert. Bei den einzureichenden Unterlagen an die BaFin ist die Angabe von Kontaktdaten der jeweiligen Ansprechpartner im Unternehmen sinnvoll. Dadurch wird eine effiziente Abstimmung zwischen der BaFin und dem Versicherungsunternehmen bis hin zur Genehmigung mit anschlie-ßender Anpassung im internen Modell erzielt.

Ansprechpartner: Jan-Hendrik Uhlenberg (Associate Partner, Lead Regulatory & Risk Management) und Vitali Pawelko (Analyst, Regulatory & Risk Management)

AKTUELLES


21

Abbildung: Büro der Q_PERIOR, Leopoldstr. 28A in München

Seminar „Prävention von wirtschaftskriminellen Handlungen - Aktuelles, Trends und Praxisbeiträge“

am 30.03.2017 in Hamburg

Rückblick auf das Seminar am 22.11.16 in München

Im November haben wir dieses Seminar das erste Mal in unseren neuen Räumlichkeiten in der Leopoldstraße 28A in München durchgeführt.

Die Referenten und Vorträge

Christof Merz, Business Line Lead Audit & Risk und Partner der Q_PERIOR moderierte die Veranstaltung und startete mit dem Vortrag „Durchführung einer Gefährdungsanalyse Fraud“. Es ging vor allem darum, den Teilnehmern ein praktikables Vorgehen vorzustellen, wie die Fraud-Risiken regelmäßig und systematisch er-fasst, analysiert und bewertet werden können. Von besonderer Bedeutung war dabei, das bereits vorhan-dene Wissen und die gesammelte Erfahrung mit externen Quellen anzureichern.

Im Vortrag „Toolgestützte Fraud-Prevention and -Detection“ von Gastreferent Zoran Jotanovic, Sales Mana-ger der Audicon GmbH konnte man mehr erfahren, wie man sich vor dolosen Handlungen schützen kann und welche Werkzeuge dabei unterstützend sein können.

Raffaele Kubal, Rechtsanwalt in eigener Kanzlei, trug zu „Arbeitsrecht und Datenschutz“ vor und beleuchtete die rechtlichen Aspekte von Fraud-Fällen. Die im Vortrag anschaulich vorgetragenen Aspekte aus dem Ar-beitsrecht zum Umgang mit wirtschaftskriminellen Handlungen sowie zum Datenschutz im Zusammenhang mit Fraud Untersuchungen gaben den Teilnehmern weitere Denkansätze für deren Arbeit.

Robert von Winter, Fraud-Experte, berichtete sehr lebendig zum Thema „Sensibilisierung für betrügerische Handlungen und Vorgehen bei Deliktrevisionen“. Im Mittelpunkt der Ausführungen standen die unterschied-lichen Auslöser und begünstigenden Umstände von Fraud-Risiken sowie die systematische Vorbereitung und Durchführung einer Sonderuntersuchung bei begründetem Anfangsverdacht auf eine wirtschaftskriminelle Handlung.

AKTUELLES


22

Abbildung: Seminar „Prävention von wirtschaftskriminellen Handlungen - Aktuelles, Trends und Praxisbeiträge“ am Veranstaltungsort in München

Abbildung: Bild von links nach rechts: Robert von Winter (Fraud-Experte), Zoran Jotanovic (Audicon GmbH), Christof Merz (Q_PERIOR), Raffaele Kubal (RA)

AKTUELLES


23

Abbildung: Veranstaltungsort Hotel Hafen Hamburg

Abbildung: Konferenzraum Ellipse im Hotel Hafen Hamburg

Wir bieten dieses Seminar auch als individualisierte Inhouse-Schulung an. Sprechen Sie uns gerne dazu an. Wir würden uns freuen, Sie bei der nächsten Veranstaltung in Hamburg begrüßen zu dürfen.

Der nächste Termin ist am 30.03.2017 in Hamburg

Mehr Informationen und die Möglichkeit zur Anmeldung finden Sie hier

Ansprechpartner: Christof Merz (Partner, Business Line Lead Audit & Risk)

http://www.q-perior.com/seminar-praevention-von-wirtschaftskriminellen-handlungen/

AKTUELLES


24

Abbildung: Büro der Q_PERIOR, Leopoldstr. 28A in München

Vorankündigung: GRC-ROUNDTABLE - Von Teilnehmern für Teilnehmer

am 16. Februar 2017 in München

Gemeinsam mit Nasdaq BWise bieten wir nun bereits zum zweiten Mal einen ROUNDTABLE für einen Erfah-rungsaustausch zum Thema GRC-Initiativen an.

Hier haben die Fachkollegen aus den Bereichen IKS, Interne Revision, Compliance, Risikomanagement, Finanz und IT-Security im Rahmen eines ROUNDTABLE die Möglichkeit, sich über ihre Erfahrungen, Herausforderun-gen, Methoden und Ansätze auszutauschen und zu erfahren, wie andere Unternehmen GRC umsetzen.

Richard Jansen, Managing Director bei Nasdaq BWise und Jan-Hendrik Uhlenberg, Associate Partner bei der Q_PERIOR in der Business Line Audit & Risk, werden den ROUNDTABLE moderieren.

Neben Jens Rücker, zentraler IKS-Koordinator bei der MAN SE, wird Harald Laschitz, System Engineer in der Münchener Rück-Gruppe sowie Stephan Schmid mit dabei sein. Darüber hinaus werden noch weitere nam-hafte Referenten an der Veranstaltung teilnehmen.

Wir würden uns freuen, Sie am 16. Februar 2017 bei dieser Veranstaltung in München in der Q_PERIOR Academy begrüßen zu dürfen.

Weitere Informationen und die Möglichkeit zur Anmeldung erhalten Sie hier.

Ansprechpartner: Jan-Hendrik Uhlenberg (Associate Partner, Business Unit Lead Regulatory & Risk Manage-ment)

http://www.q-perior.com/grc-roundtable-von-teilnehmern-fuer-teilnehmer/

SEMINARTERMINE


25

Seminartermine

Im Folgenden möchten wir Ihnen ausgewählte Seminare bei Q_PERIOR vorstellen

Januar bis März 2017

Einführung in die Interne Revision – DIIR (Mehr...) 17. – 21.01.2017

IKS I - Risikoorientierte Prüfung von Prozessen – DIIR (Mehr...) 25. – 27.01.2017

Prüffeld Outsourcing – H+P (Mehr...) 01. – 02.02.2017


IKS I - Risikoorientierte Prüfung von Prozessen – DIIR (Mehr...) 13. – 25.02.2017

Projekte prüfen aus Sicht der Internen Revision – SVIR (Mehr...) 20. – 22.02.2017

Prüfung der Wirtschaftlichkeit von Geschäftsprozessen – DIIR (Mehr...) 22. – 23.02.2017

Prüfung IT-Dienstleister und ausgelagerter Funktionen (Outsourcing) – DIIR (Mehr...)

13. – 14.03.2017


neu: Prüfung Personalentwicklung hinsichtlich demografischen und technologi-schen Wandels – AIR (Mehr...)

14. – 15.03.2017

Wirtschaftlichen Einsatz der IT prüfen und bewerten – DIIR (Mehr...) 15. – 16.03.2017

Aufbau einer modernen Revisionsabteilung im Unternehmen – DIIR (Mehr...) 20. – 21.03.2017

Lehrgang Geprüftes Prozessmanagement (DVA) Grundlagen des Prozessmanage-ments - Modul 3: Prozessdesign und Fallstudie – DVA (Mehr...)

20. – 21.03.2017

Überwachung und Prüfung von Spezialfonds – DVA (Mehr...) 20.03.2017

Projekte prüfen aus Sicht der Internen Revision – DIIR (Mehr...) 20. – 22.03.2017

Der professionelle Revisionsbericht – H+P (Mehr...) 27. – 28.03.2017

Prävention von wirtschaftskriminellen Handlungen – Q_PERIOR (Mehr...) 30.03.2017

Haben Sie Interesse an einer Inhouse-Schulung? Sprechen Sie uns gern direkt an!

Ansprechpartner: Dr. Peter Wesel (Managing Consultant, Internal Audit Banking & Insurance)

http://www.diir.de/akademie/seminare/


http://www.haub-seminare.de/seminare/



http://www.svir.ch/xml_1/internet/de/application/d4/d21/f77.cfm




http://www.internerevision.at/seminare/



http://www.versicherungsakademie.de/startseite/

http://www.versicherungsakademie.de/startseite/


http://www.haub-seminare.de/seminare/

http://www.q-perior.com/unternehmen/news-veranstaltungen/veranstaltungen-einzelansicht/article/seminar-praevention-von-wirtschaftskriminellen-handlungen-8.html

WHO IS WHO


26

Vitali Pawelko Analyst

Who is Who Who is who

Vitali Pawelko

In jeder Ausgabe stellen wir Ihnen Mitglieder unseres Teams bzw. Kollegen, die der Revision oder dem Risi-komanagement nahestehen, vor. Diesmal Vitali Pawelko, Analyst Risk Management & Regulatory Reporting.

Was gefällt Ihnen bei Q_PERIOR am besten? Das kollegiale Miteinander

Was treibt Sie an?

Neue Herausforderungen und spannende Projekte

Welches war Ihr schönstes Musikerlebnis? Silvesterparty am Brandenburger Tor

Welche Themen würden Sie gern beschleunigen? Den Endgültigen Standard zu IFRS 4 Phase II

Welche Freizeitaktivitäten üben Sie aus? Ich verbringe Zeit mit Freunden, mache gerne Sport und verreise

Was sind Ihre persönlichen Motivationen? Berufliche und persönliche Weiterentwicklung

Was hat Sie am meisten beeindruckt? Mein Aufenthalt in Klagenfurt am Wörthersee während meiner Abschlussarbeit

Wen bewundern Sie am meisten? Umweltorganisationen

Was können Sie besonders gut kochen? Alles was schnell und einfach zubereitet werden kann

Was tun Sie, um sich zu entspannen? Im Fitnessstudio trainieren

Was beherrschen Sie im Haushalt besonders gut? Den Staubsauger und die Spülmaschine

Wo hätten Sie gern Ihren Zweitwohnsitz? Derzeit benötige ich keinen

Was haben Sie als schönstes Kauferlebnis emp-funden? Mein Auto

Nennen Sie ein unentdecktes Traumreiseziel: Taiga

IMPRESSUM

27

Impressum

Together With You – Q_PERIOR

Q_PERIOR AG, Buchenweg 11 - 13, 25479 Ellerau (Hamburg), Germany Office: +49 4106 7777-0 Fax: +49 4106 7777-333 E-Mail: [email protected] Internet: http://www.q-perior.com Sitz der Q_PERIOR AG: München Vorstand: Karsten Höppner, Klaus Leitner Vorsitzender des Aufsichtsrats: Michael Girke Registergericht: Amtsgericht München Registernummer: HRB 140669

Aktuelle Anzahl der Ausgaben (Versand im Zwei-Monatsrhythmus): ca. 8.500 Für eine Bestellung bzw. Abbestellung des „Q_PERIOR Audit & Risk Newsletters“ senden Sie bitte eine E-Mail an eine der folgenden Adressen: Bestellung des Q_PERIOR Audit & Risk Newsletters

Abbestellung des Q_PERIOR Audit & Risk Newsletters Für alle weiteren Anliegen senden Sie bitte eine E-Mail an folgende Adresse: [email protected]

Disclaimer

Alle Links zu externen Anbietern wurden zum Zeitpunkt ihrer Aufnahme auf ihre Richtigkeit überprüft. Da sich das Internet jederzeit wandelt, kann Q_PERIOR nicht garantieren, dass diese Links zum Zeitpunkt des Besuchs a) noch zum Ziel führen oder b) noch diesel-ben Inhalte besitzen, wie zum Zeitpunkt der Aufnahme.

Insbesondere macht sich Q_PERIOR nicht die Inhalte der Links zu Eigen und übernimmt dafür auch keine Verantwortung. Links zu externen Anbietern stellen keine Wertung oder eine Empfehlung der Q_PERIOR dar.

Der Inhalt dieses Newsletters ist urheberrechtlich geschützt. Ohne Genehmigung der Q_PERIOR darf der Inhalt dieser Seite in keiner Form reproduziert und/oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.

© Q_PERIOR, München, Deutschland, 2016. All rights reserved.

http://www.q-perior.com/

mailto:[email protected]?subject=Bestellung%20des%20Q_PERIOR%20Audit%20and%20Risk%20Newsletters

mailto:[email protected]?subject=Kündigung%20des%20Q_PERIOR%20Audit%20and%20Risk%20Newsletters

mailto:[email protected]

Documents

Q PERIOR Audit & Risk Newsletter · Liebe Audit & Risk Newsletter Leserinnen und Leser, ... schutz-Analyse anschließen möchten.1 Im Folgenden wird kurz auf die grundlegend neuen