Mit Erfahrung Nutzen schaffen

Meinen Kunden biete ich Wissen und Erfahrung aus nahezu fünfundzwanzig Jahren Tätigkeit in der IT-Branche. 
Hier finden Sie Projekte der letzten fünfzehn Jahre zum Thema Informationssicherheit.

Seminar Technischer Datenschutz/informationssicherheit Frauenhäuser evtl. bei Vorträgen
Beratung Psysiotherapeuten Datenschutz in psysiotherapeutischen Praxen

Projektsprache: Englisch

In einem Versicherungskonzern wird im Rahmen des globalen Projekts Human Resources Transformation (HRT) für das Organisationsmanagement und das globale Human Resources Personalmanagement die cloudbasierte Software SAP SuccessFactors Employee Central eingesetzt. In diesem Zusammenhang wird das lokale (on premise) HR System an das globale System angebunden.

Tätigkeiten

Durchführung der erfolgreichen Sicherheitsprüfung von SuccessFactors, Dell Boomi und SAP HR für das Projekt HRT bis zum produktiven Einsatz. Beratung des Projektleiters als Projekt Security Officer (PSO) für das Thema Sicherheitsprüfung HRT bis zur erfolgreichen Abnahme der Prüfung:

  • Analyse der Ist-Situation für SF, Dell Boomi, SAP HR.
  • Definition der Anforderungen an eine Sicherheitsprüfung aller drei Systeme.
  • Beratung bei der Erstellung der erforderlichen sicherheitsrelevanten Dokumente (BIA, BSHB, …).
  • Bewertung der vorhandenen sicherheitsrelevanten Dokumente.
  • Beratung bei der Auswahl eines Dienstleisters für Penetrationstests.
  • Begleitung des Penetrationstests.
  • Begleitung, Unterstützung bei der Auswertung der Ergebnisse des Penetrationstests.
  • Abstimmung und ggf. Diskussion der Ergebnisse der Prüfung mit gegenüber dem Information Security Officer (ISO).
  • Zusammenfassung der Ergebnisdokumentation der Sicherheitsprüfung.

Projektsprache: Englisch
System: SuccessFactors Cloud Dell Boomi
Aufwand: ca. 100 Personentage

Ein Versicherungsunternehmen führt für ein bestehendes Online-Portal eine TüV-Re-Zertifizierung durch. Gegenstand der Re-Zertifizierung ist die Software und der Datenschutz.

Tätigkeiten:

  • Koordination und Begleitung des Re-Zertifizierungsprozesses des TüV-Audits mit den beteiligten Parteien (Betriebsorganisation, Datenschutz, Informationssicherheit und TüV).
  • Beratung des Projekts in Fragen zur Datenschutz, IT Sicherheit und Software(prozesse).
  • Sondierung und Evaluierung der vorhandenen Unterlagen.
  • In Zusammenarbeit mit der Betriebsorganisation Aufstellung eines Termin/Release-Plans zur Beseitigung von Findings aus der Erstzertifizierung.
  • Telefonische/Email Abstimmung des Audits mit allen Beteiligten (Betriebsorganisation, Datenschutz, Informationssicherheit und TüV).
  • Organisation und Begleitung des Audits.
  • Interne Vorbereitung des Audits, einfordern und evaluieren der erforderlichenUnterlagen.
  • Organisation und Begleitung des Audits vor Ort.
  • Auswerten des Audit-Berichtes in Zusammenarbeit mit der Betriebsorganisation, Behebungsplan erstellen.

Aufwand: ca. 15 Personentage

Digitalisierung und Transformation der Webentwicklung und Einbettung des Marketings „On Premise to Cloud“.
Ein Konzern führt ein neues Content Management System und ggf. weitere Werkzeuge im Bereich von digitalem Marketing und digitalem Vertrieb ein. Die am Markt eingekauften Produkte und Dienstleistungen werden auf ihre Konformität bezüglich Informationssicherheit und Datenschutz evaluiert.

Tätigkeiten:

  • Beratung in Fragen zur Informationssicherheit und ggf. Compliance und Datenschutz.
  • Prüfung der Prozesse und geplanter Verfahren auf Verträglichkeit mit den Sicherheitsanforderungen Sicherheitsrichtlinien des Auftraggebers.
  • Produktanalyse, Produkt-Evaluation.
  • Datenschutz- und Informationssicherheitsanalyse.
  • Risikobewertung.
  • Vorschläge für Datenschutzvertragsklauseln.
  • Maßnahmen-Katalog.

System: Adobe Marketing Cloud
Aufwand: ca. 20 Personentage

Eine Versicherung führt eine App zur Berechnung von Schäden aus Sachversicherungen ein. Der Einsatz von iPADs in der Versicherung soll untersucht werden. Schwerpunkt der Untersuchung ist, ob die durch den IT-Dienstleister eingesetzten Sicherheitsmaßnahmen und Sicherheitseinstellungen für den Einsatz in der Versicherung ausreichend sind.

Tätigkeiten:

  • Prüfung einer iPAD App und Webanwendung
  • Evaluierung der Sicherheitseinstellungen
  • Analyse der Sicherheitsrisiken (agile Entwicklung)
  • Vorschläge für Maßnahmen
  • Organisation des Pentests
  • Bewertung und Behebung der Findings

System: Dedizierte Entwicklung für den Kunden, Rechenzentrum Outsourcing
Aufwand: ca. 20 Personentage

Für einen Energie-Konzern wird die Evaluierung und Dokumentation des Identity Managements durchgeführt.

Tätigkeiten:

  • Erhebung und Dokumentation der eingesetzten Identity Management Tools.
  • Erhebung und Dokumentation fehlender ID Management Prozesse.
  • Erstellung einer Roadmap zur Steuerung des Austauschs der eingesetzten Tools und Verfahren.

Systeme: diverse Eigenentwicklungen, Active Directory, LDAP, Sailpoint
Aufwand: ca. 50 Personentage

Das Unternehmen hatte bislang nur einen dokumentierten Prozess für den Software Entwicklungsprozess (Wasserfall). Dieser Prozess wurde angepasst an den agilen Software Entwicklungsprozess. In diesem Rahmen wurde die Ausbildung „Sichere Software Entwicklung angepasst.

Tätigkeiten:

  • Evaluierung, Optimierung und Dokumentation des sicheren Software-Entwicklungsprozesses für agile und herkömmliche Vorgehensweisen.
  • Evaluierung der Schulung für Mitarbeiter in der Entwicklung.

Aufwand: ca. 20 Personentage

Bei einer Versicherung wird das Outsourcing des gesamten Rechenzentrumbetriebes an einen externen Dienstleister begleitet.

Tätigkeiten:

  • Entwurf und Verhandlung der erforderlichen Sicherheitsthemen und KPIs im Master Service Level Agreement.
  • Entwurf und Dokumentation des Abnahmeprozesses der zu migrierenden Anwendungen.
  • Evaluierung und Abnahme der Dokumentation (Betriebskonzepte, SLAs, Sicherheitskonzepte der angebotenen Services).

Projektsprache: Englisch
Systeme: Virtualisierung, Rechenzentrum Betrieb, Data Center Netzwerk, Service Management Area, Security Monitoring, SIEM, Jumpserver, Windows Server, Linuxserver, Mainframe RACF, ESX, Oracle, DB2, MS SQL
Aufwand: ca. 90 Personentage

Verbesserung des Identity Management Systems zur Behebung von durch die interne Revision festgestellten Mängeln.

Tätigkeiten:

  • Konsolidierung, Optimierung und Dokumentation der Prozesse im Identiy Management/Access Management und Monitoring.

Projektsprache: Englisch
System: Eigenentwicklung, Confluence

Bei zwei fusionierten Unternehmen in der Automobil-Branche wurde der Abgleich von Policy und Richtlinien-Dokumenten durchgeführt mit Dokumentation der Ergebnisse.

Unterstützung des ISO in einer Versicherung.

Tätigkeiten:

  • Prüfung von Ausnahmeanträgen und Service Accounts (Technischen Usern) - Anträge, Abnahme von Sicherheits- und Datenschutzkonzepten.
  • Durchführung von Business Impact Analysen.
  • Planung von Interviews zur Evaluierung des Sicherheitsprozesses.

Projektsprache: Englisch

Konzeptionund Durchführung von mehreren 4 tägigen Inhouse Schulungen für Project Security Officer in einerVersicherung.

Inhalte:

  • Grundlagen der Informationssicherheit, interne Sicherheitsrichtlinien und Prozesse, ...

Diese viertägige Schulung mit einem anschließenden Coaching-Tag im Unternehmen für jeden Teilnehmer ist für IT-Sicherheitsbeauftragte konzipiert, die ihre Rolle neu übernehmen. Folgende Themen werden tagesaktuell behandelt: 

Tätigkeiten:

  • Rolle und Grundlagen der IT-Sicherheit (Standards, Grundschutz, Awareness usw.)
  • Verantwortung und Aufgaben eines CERT Mitarbeiters
  • Handling von Bedrohungen und Schwachstellen
  • Bewertung und Einschätzung von Bedrohungen und Schwachstellen
  • Vermittlung von Grundlagen u.a. Verschlüsselung, Betriebs- und Netzwerksicherheit
  • rechtliche Aspekte der IT-Sicherheit, Datenschutz

Der anschließende Coaching-Tag bietet den Teilnehmern die Möglichkeit, die erlernten Kenntnisse bei alltäglichen Aufgaben gemeinsam mit dem Coach zu sichern und auf die eigene Situation zu übertragen.

Durchführung von Business Impact Analysen, Risikoanalysen/ Auswertung von Sourcecode-Scans und Beauftragung/Begleitung von Pentests. Beratung bei Projekten in Fragen des Datenschutzes und anderer Compliance-Vorschriften.

Unterstützung eines Information Security Officers in einem Logistik-Unternehmen beim Schwachstellen-Management, Auswertung von Schwachstellen-Scans, Erstellen von Virenreports.

Unterstützung eines Information Security Officers in einem Logistik-Unternehmen bei der Etablierung eines neuen GRC Portals, Evaluierung der Altprozesse, Transformation in Neusystem.

System: RSA Archer

Diese viertägige Schulung mit einem anschließenden Coaching-Tag im Unternehmen für jeden Teilnehmer ist für IT-Sicherheitsbeauftragte konzipiert, die ihre Rolle neu übernehmen. Folgende Themen werden tagesaktuell behandelt:

Tätigkeiten

  • Rolle und Grundlagen der IT-Sicherheit (Standards, Grundschutz, Awareness usw.)
  • Verantwortung und Aufgaben eines IT-Sicherheitsbeauftragten
  • technische, organisatorische und personelle Bedrohungen und Schwachstellen
  • IT-Risikomanagement (Risikoanalyse, Risikobewertung, Sicherheitskonzepte, usw.)
  • Vermittlung von Grundlagen u.a. Identity Management, Verschlüsselung, Betriebs- und Netzwerksicherheit
  • rechtliche Aspekte der IT-Sicherheit, Datenschutz

Der anschließende Coaching-Tag bietet den Teilnehmern die Möglichkeit, die erlernten Kenntnisse bei alltäglichen Aufgaben gemeinsam mit dem Coach zu sichern und auf die eigene Situation zu übertragen.

Nach der Fusion zweier großer international tätiger Finanzdienstleister existierten zwei verschiedene Arten von IT-Sicherheitsrichtlinien. Die Richtlinien des einen Finanzdienstleisters bestanden lediglich aus Geboten, die Richtlinien des anderen Finanzdienstleisters ergänzten die Gebote um detaillierte Erklärungen und praktische Beispiele.

Tätigkeiten

  • Vergleich beider Richtlinienkataloge auf der Ebene der Anweisungen, Herausarbeiten der Abweichungen.
  • Unterschiede validieren.
  • Erarbeiten von Vorschlägen zum Vorgehen um finale Gebote zu ermitteln.
  • Vorschläge für das gewünschte Endergebnis des gemeinsamen Richtlinienwerks.
  • Präsentation der Vorschläge, Diskussion und Abstimmung in den zuständigen Gremien.
  • Genehmigung des Vorgehens vorbereitet und eingeholt.
  • Projektübergabe an einen Nachfolger.

Projektsprache: Englisch
Aufwand: ca. 10 Personentage

Eine Bank will die Vergleichbarkeit von IT-Risikoanalysen und IT-Risikobewertungen erreichen. Dafür entwickelt sie ein standardisiertes Verfahren, das sich am British Standard Institute, ISO/IEC 27001, dem Grundschutz des BSI und der Methode von Thomas Peltier orientiert. Das Verfahren wird als Standardvorgehen konzernweit eingeführt.

Tätigkeiten:

  • Vorstudie: Vergleich durchgeführter Risikoanalysen, Konzeption und Durchführung; Vorstellung der Ergebnisse.
  • Entwurf eines Prototypen IT-Risikoanalyse für eine Ausschreibung.
  • Durchführung der Ausschreibung:
    • Anforderungskatalog und Marktanalyse
    • Auswahl des externen Dienstleisters
  • Konzeption des Verfahrens für IT-Risikoanalyse und -bewertung zur Gewährleistung des Sicherheitsniveaus im Konzern:
    • mehrgliedriges Verfahren zur Darstellung der angemessenen Detailtiefe.
    • Spezifikation des Schadenspotentials.
    • Festlegung der Ressourcenkategorien nach internationalem Standard.
    • Maßnahmen zur Risikominimierung.
    • Überprüfung der Anwendbarkeit der Methode in zwei realen Projekten.
    • Verfahrensanweisungen.
    • Abstimmung in den Gremien und Einarbeitung der Korrekturen.
    • Dokumentation und Darstellung von Beispielen für die Anwender.

Aufwand: ca. 160 Personentage

Um Teilnehmern einer Schulung einen einheitlichen Kenntnisstand zu vermitteln, beauftragt eine Bank die Konzeption einer interaktiven Schulungs-CD. Es werden Grundkenntnisse im Themenbereich IT-Sicherheit und IT-Risikoanalyse vermittelt. Am Szenario einer Dienstreise werden die Themen eingeführt. Das Gelernte wird an einzelnen Vorkommnissen abgefragt und über ein Punktesystem erhält der Teilnehmer ein Feedback über seinen Kenntnisstand. 
Die graphische Umsetzung wird an eine Agentur vergeben.

Aufwand: ca. 80 Personentage

Damit das neu eingeführte, standardisierte Verfahren zur Risikoanalyse und –bewertung im Unternehmen von allen Projektleitern angewendet und einheitlich umgesetzt wird, beauftragt die Bank die Konzeption und Durchführung einer entsprechenden Schulung für Projektleiter.

Tätigkeiten:

  • Konzeption der zweitägigen Schulung mit praktischen Übungen
  • Durchführung der Schulung (ca. 20 mal) und jährliche Anpassung

Aufwand: ca. 200 Personentage

Entsprechend der IT-Governance des Unternehmens ist eine Informationssicherheits-Architektur zu erarbeiten, die an den ISO Standard 27001 angelehnt ist, und die Normen COBIT und ITIL berücksichtigt. Diese Sicherheitsarchitektur definiert u.a. für ein gewünschtes Sicherheitsniveau primäre und sekundäre Sicherheitsziele, Prinzipien, prinzipielle Bedrohungen und prinzipielle Sicherheitsmaßnahmen, die von allen IT-Systemen umgesetzt werden müssen.

Tätigkeiten:

  • Erarbeiten und Vorstellen des Grobkonzepts in den Gremien.
  • Erarbeiten eines Feinkonzepts und Spezifikation der Ziele und Anforderungen.
  • Ausschreibung eines Projekts für externe Dienstleister.
  • Verhandlungen mit den externen Dienstleistern.
  • Übergabe des Themas an einen Nachfolger.

Aufwand: ca. 30 Personentage

Das IT-Sicherheitsmanagement der Bank soll durch eine webbasierte Informationsplattform unterstützt werden. Dafür ist das passende Produkt zu evaluieren und einzuführen.

Tätigkeiten:

  • Projektverantwortung
  • Recherche und Tool-Evaluation
  • Vorstellung von Varianten und Vorschlag
  • Vertragsverhandlungen und Vertragsabschluss mit dem Toolhersteller
  • Betreuung der Installation
  • Erstellung eines webbasierten Betriebskonzepts
  • Erstellung eines Sicherheitskonzepts
  • Organisation von Schulungen

Umgebung: HiScout, SQL Datenbank, Window2003 Server
Aufwand: ca. 60 Personentage

Die Bank unterzieht in einem Projektgenehmigungsverfahren alle  IT-Projekte vor ihrem Start einem Sicherheits-Check. Anhand der vom Projektleiter eingereichten Unterlagen (Projektantrag, technische und logische Architektur, Selbstauskunft) sind die Projekte hinsichtlich ihrer Sicherheitsrisiken zu beurteilen.
Im genannten Zeitraum wurden nach sehr effizienten Verfahren mehr als 500 Projektanträge bearbeitet. Das Projektvolumen bewegte sich zwischen 50.000 € und mehr als 20 Mio €.

Tätigkeiten:

  • Beurteilen der Risiken, die sich aus dem Vorhaben ergeben.
  • Projektvotum innerhalb von vier Stufen:
    Nicht sicherheitsrelevant – Genehmigung – Genehmigung mit Auflagen und Begründen der Auflagen – Ablehnung mit Begründung (Projekt kann nicht starten).
  • Besprechen der Einschätzung; bei Einspruch der Projektleitung ggf. Neubewertung.
  • Eruieren von Lösungen für Problemfälle, Diskussion mit den zuständigen Genehmigungsausschüssen.

Aus Sicherheitsgründen sind für die meisten Mitarbeiter der Bank viele Internetseiten gesperrt oder können nur eingeschränkt genutzt werden. Den vollumfänglichen Zugriff auf Seiten, die u.a. Scripting, ActiveX nutzen, muss der jeweilige Mitarbeiter bzw. der Vorgesetzte beantragen und begründen. Mit einer Risiko-Nutzen-Analyse wird beurteilt, ob bei einer Freischaltung Risiko oder Nutzen für das Unternehmen überwiegen.

Tätigkeiten:

  • Untersuchung und Bewertung der betreffenden Internetseiten
  • Überprüfung der Begründung im Antrag zur Freischaltung
  • Abschätzen der Risiken bei Freischaltung
  • Genehmigung oder begründete Ablehnung
  • In bestimmten Fällen Grundsatzentscheidung und Erweiterung bzw. Bearbeitung des Kriterienkatalogs

Das Thema Informationssicherheit soll bei den Mitarbeitern der Bank eine höhere Aufmerksamkeit bekommen. Dafür wird eine Awareness-Kampagne konzipiert und durchgeführt, bei der verschiedene Medien eingesetzt werden.

Tätigkeiten:

Mitarbeit an Grobkonzept und Feinkonzept der Themenbereiche:

  • Verantwortlich für das Thema mobile Kommunikation (Mobiltelefon, WLAN, Blackberrys, PDAs, Funktechniken etc.).
  • Inhaltliche Gestaltung eines interaktiven Quiz und interne Abstimmung der Inhalte.
  • Inhaltliche Gestaltung sogenannter „Wussten Sie schon ...“-Teaser. Fragen zu aktuellen Themen, Antwortmöglichkeiten, Lösung und Verlinkung zu vertiefender Literatur.
  • Inhaltliche Qualitätssicherung der anderen fünf Modulthemen.
  • Anfertigung von Gutachten für Verbesserungsvorschläge, die im Rahmen des internen Vorschlagwesens eingereicht wurden.
  • Infobrief für Blackberry-Besitzer.

Mitarbeit an der Konzeption eines interaktiven Web Based Trainings (WBT):

  • Qualitätssicherung der Modulthemen "Im Büro" und "Zu Hause".
  • Inhaltliche Qualitätssicherung der Drehbücher.
  • Abstimmungsarbeit in den Gremien.
  • abschließende Qualitätssicherung des Web Based Trainings.

Aufwand: ca. 120 Personentage

Für das Privatkundengeschäft entwickelt eine Bank eine neue Version ihres Internetportals. Um die Sicherheit der Kundendaten zum integralen Bestandteil der Anwendung zu machen, wird bereits in der Planungsphase mit der Risikoanalyse begonnen.
So können die Sicherheitsanforderungen bereits im Design der Anwendung berücksichtigt werden.

Tätigkeiten:

  • verantwortliche Durchführung der Risikoanalyse in Zusammenarbeit mit Kollegen aus den Fach- und IT-Abteilungen:
    • Auswahl und Einstufung der zu verarbeitenden Informationen hinsichtlich ihrer Sicherheitsziele
    • Definition des zu untersuchenden Systems und der zu untersuchenden Ressourcen
    • Identifikation und Zusammenführung von Schwachstellen und Bedrohungen der Ressourcen
    • Identifikation und Bewertung der Risiken
    • Identifikation und Auswahl von Maßnahmen zur Risikominimierung
    • finale Dokumentation der Risikoanalyse
  • Vorstellen der Ergebnisse der Risikoanalyse in den zuständigen Gremien von Fachabteilung und IT.
  • Unterstützung bei der Erstellung des IT-Sicherheitskonzepts, Coaching eines IT-Mitarbeiters zum Thema "Sicherheitskonzept".
  • Begleitung der Umsetzung der Maßnahmen.

Aufwand: ca. 30 Personentage für Risikoanalyse und IT-Sicherheitskonzept, 10 Personentage Coaching

Die Bank will ihre Personalakten zukünftig elektronisch archivieren. Mit Beginn der Planungsphase des Projekts lässt sie eine Risikoanalyse durchführen, um die grundsätzlichen Risiken im Design berücksichtigen zu können. Im Laufe des Projektes wird die Risikoanalyse verfeinert und ein IT-Sicherheitskonzept erstellt. 
Besonderes Augenmerk ist auf die Vorschriften des Datenschutzes, insbesondere der Vertraulichkeit von Personaldaten zu legen. Da es sich um Personaldaten handelte, war der Betriebsrat in die Arbeit einzubinden.

Tätigkeiten:

  • Clustern der Informationen und Einstufung des Schadenspotenzials hinsichtlich der Sicherheitsziele.
  • Erfassen der Ressourcen, die die Informationen verarbeiten.
  • Vererben der Sicherheitsziele und Schadenspotenzialklassen der Informationen, die von den Ressourcen verarbeitet werden.
  • Identifikation der Schwachstellen und Bedrohungen für die Ressourcen und Zusammenführen zu Risikoszenarien.
  • Bewertung dieser Risikoszenarien.
  • Minimieren der Risiken bis ein für alle akzeptiertes Risiko erreicht wird.
  • Dokumentation der Risikoanalyse.
  • Konzeption der Zugriffsrechte.
  • Dokumentation aller umgesetzten Maßnahmen.
  • Vorstellung und Besprechung von Risikoanalyse und IT-Sicherheitskonzept in der Fachabteilung und der IT.
  • Erstellung und Dokumentation des Sicherheitskonzeptes.

Umgebung: SAP HR, Internettechnologie, WORM SER, Hochleistungsscanner
Aufwand: ca. 25 Personentage

Um Transaktionen mit sehr großem Volumen in Fremdwährungen durchführen zu können, nutzt die Bank eine Plattform eines externen Dienstleisters. Für die Anwendung selbst, die Anbindung und den Zugriff auf die Plattform für Großhändler im Finanzmarkt und interner Händler wird ein IT-Sicherheitskonzept erstellt, dessen Kernthemen Authentifizierung, Transaktionssicherheit, Datensicherheit auf der Plattform und während der Übertragung sind.

Tätigkeiten:

  • Zusammen mit der Fachabteilung Auswahl und Einstufung des Schadenspotenzials der zu verarbeitenden Informationen hinsichtlich ihrer Sicherheitsziele.
  • Beschreibung der technischen und der logischen Systemarchitektur.
  • Vereinfachte Risikoanalyse.
  • Ableiten der Sicherheitsanforderungen.
  • Vorschlag und Auswahl geeigneter Sicherheitsmaßnahmen.
  • Dokumentation der umgesetzten Maßnahmen und Restrisiken.
  • Nach Freigabe des Sicherheitskonzepts durch Fachabteilung und IT Umsetzen der Maßnahmen.

Projektsprache: Englisch
Umgebung: UNIX, Host, diverse (Web)-Applikationen, Windows NT, Verisign
Aufwand: ca. 25 Personentage

Ein Gremium aus Vertretern namhafter deutscher Privatbanken (Deutsche Bank, Dresdner Bank, Commerzbank und HypoVereinsbank), des Bundesverbandes deutscher Banken (BdB) und eines Unternehmens für IT-Sicherheit erarbeitet ein IT-Sicherheitskonzept für die neue Generation von Debit- und Kreditkarten.

Tätigkeiten:

  • Beurteilen externer Gutachten zu Einzelthemen der Kreditkartensicherheit.
  • Erarbeiten der Anforderungen an die Sicherheit der Debit- und Kreditkarten.
  • Validieren von Geschäftsprozessen und Anwendungsszenarien.
  • Validieren von Bedrohungen und Schwachstellen.
  • Validieren von Maßnahmen und Endabnahme.
  • Parallel laufend interne Abstimmungen der Ergebnisse des Arbeitskreises.

Aufwand: ca. 25 Personentage

Jede Bank ist verpflichtet, der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) regelmäßig u.a. Handelsgegenstände und Handelsvolumen zu melden. Kommt sie dem nicht nach, kann ihr die Handelslizenz entzogen werden.
Auf der Basis der bisherigen Erfahrungen optimiert die Bank das Verfahren und erweitert ihr BaFin-Reporting-Tool. Um die notwendigen Sicherheitsmaßnahmen festlegen zu können, beginnt sie, in der Designphase eine Risikoanalyse zu erstellen.
Damit dem Geschäftsprozess dienliche Reports erzeugt werden können, integriert die Bank ein Marktanalyseinstitut in das System. Die Fachabteilungen liefern ihre Daten über das Intranet. Die BaFin erhält einen konsolidierten Report, die Fachabteilungen erhalten dedizierte Reports mit Marktvergleichen.

Tätigkeiten:

  • In Zusammenarbeit mit der Fachabteilung Clustern der Informationen und Einstufung des Schadenspotenzials hinsichtlich der Sicherheitsziele.
  • Bestimmung der Bedrohungen und Schwachstellen, die für die Ressourcen relevant sind. Daraus werden Risikoszenarien für die Ressourcen entwickelt..
  • Identifikation und Bewertung der Risiken für die Ressourcen.
  • Minimieren der Risiken mittels angemessener Maßnahmen, um ein von allen akzeptiertes Risiko zu erreichen.
  • Dokumentation der Risikoanalyse.
  • Begleitung des Abnahmeprozesses durch Fachabteilung und IT.
  • Unterstützung bei der Erstellung des Sicherheitskonzeptes.

Aufwand: ca. 10 Personentage