Upload
vuongnguyet
View
213
Download
0
Embed Size (px)
Citation preview
1©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
CYBER CRIME
WKO / GRAZ
Eine reale Bedrohung für jedes Unternehmen
09. MAI 2017
2©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Vorstellung Georg Beham
Georg Beham arbeitet seit 1989 in der IT-Branche
und hat einen Master Abschluss in „Sichere
Informationssysteme“. Er ist Geschäftsführender
Partner bei Grant Thornton und Herausgeber des
Buches „Datenschutz-Audit“ zur DSGVO.
Georg Beham und sein Team unterstützen Kunden
beim Aufbau von Managementsystemen für
Informationssicherheit und Datenschutz.
Des Weiteren schreibt Georg Sachverständigen-
Gutachten zu computerforensischen
Untersuchungen wie Datendiebstahl und
Hackerangriffen.
Georg Beham ist Gerichtssachverständiger für
IT-Forensik, Datenschutz und IT-Sicherheit, Lektor an
den Fachhochschulen Hagenberg und Burgenland,
an der Donau Universität Krems und der Universität
Liechtenstein.
Georg Beham ist Lead Auditor der Österreichischen
Computergesellschaft für
Informationssicherheitsmanagement - ISO 27001.
Publikationen als Mit-Autor:
Publikationen als Herausgeber und Autor:
3©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Unser Netzwerk
Grant Thornton Präsenz
• 142 Länder
• 742 Offices
• 47.000 Mitarbeiter
• 4,5 Mrd. EUR Umsatz
Grant Thornton ist weltweit das sechstgrößte Netzwerk von Wirtschaftsprüfungsgesellschaften.
Wir betreuen Unternehmen bei allen grenzüberschreitenden Aktivitäten und Transaktionen
4©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Was wir tun
Transaction Advisory Services
• Valuation
• Transaction Support
• Mergers & Acquisition
• Recovery & Reorganisation
• Debt Advisory
• Trustee & Competition Service
Tax
• Unternehmenssteuern
• Internationale Besteuerung
• Umsatzsteuer
• Global Mobility Services
• Unternehmensnachfolge
• Transaction Tax
• Privatstiftungen
• Verrechnungspreise
• Gruppenbesteuerung
• Integrierte Beratung
Business Risk Services
• Compliance Management
• Risk Management
• Corporate Governance
• Forensic & Investigations
• Data Analytics Services
• Expert Witness Services
• Internal Audit / Internal
Controls
• Corporate Intelligence
(Business Partner
Management)
• Sustainability
Outsourcing
• Rechnungswesen
• Finanzbuchhaltung
• Lohn- / Gehaltsabrechnung
• Einkommensteuer
• Personaladministration
• Controlling / Wirtschaftsberatung
Audit
• Jahres- und Konzernabschlussprüfungen
• Prüferische Durchsichten (Review), Sonderprüfungen
• Jahres- und Konzernabschlusserstellungen
• Rechnungslegungsbezogene Beratung (UGB und IFRS)
• Prüfungsnahe und Enforcement Beratung
IT Advisory
• IT Governance
• Strategy and Alignment
• Digitalization
• Productivity
• Cyber Security
• IT Audit
5©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
CRIME…….CYBER CRIME
10©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Das traditionelle Verbrechen
11©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Das Verbrechen ist im Umbruch
1) The Cost of Cyber
Crime. Cabinet Office.
UK. 2014
2)http://www.national
crimeagency.gov.uk/crim
e-threats/drugs
am 28.10.2015
“37 Mrd EUR:
Estimated cost of
Cyber Crime in the
UK.1
Whereas the illegal
drug trade is worth
just 13 Mrd EUR a
year.2”
12©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Botnets und DDoS for Rent
Trend Micro Incorporated. Russian
Underground 101.
Research Paper. 2012.
13©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Hacking for Dummies mit Exploit Kits
Critx Pack (affects Java5,
Java6 and PDF Lib TIFF)
US$ 600 für 3 Monate
Blackhole Kit
2012 most prevalent web threat
• sophos: 28% of detected web
threats
• avg: 91% of detected web
threats
• more than 1,000 customers
• author earned US$ 50,000 per
month
14©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Exploit Kit for Rent
15©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Exploit Kit for Rent
16©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Cyber Risiko
Critical Information
infrastructure breakdown
Cyberattacks
Data fraud or theft
Failure of critical
infrastructure
The Global Risks Report 2017
World Economic Forum
17©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
CYBER RISIKO
RANDSOMWARE
18©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Alle sind Betroffen – Ransomware
19©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Alle sind Betroffen – Ransomware
Ergebnis einer deutschen BSI-Umfrage:
Fand in Ihrer Institution innerhalb der letzten sechs
Monate eine Infektion mit Ransomware statt?
Ein Drittel (32%) aller befragten
Institutionen war in den letzten 6
Monaten von Ransomware betroffen –
unabhängig von der
Unternehmensgröße (!)
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/ransomware-umfrage-2016-
04.pdf%3bjsessionid=02A21E0A52B7227FEC41A19AA7D4BB27.2_cid359?__blob=publicationFile&v=4
20©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
CYBER RISIKO
FAKE PRESIDENT
21©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Aktuell: Fake President Angriff
Die folgen bei 50 Millionen Euro Schaden:
22©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Ablauf eines Fake President Angriffes:
Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen.
Wissens-aneignung
23©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Ablauf eines Fake President Angriffes:
• Wissen wird zur Identitätsfälschung verwendet (Ausgabe als Geschäftsführer oder vertrauenswürdiger Partner wie Rechtsanwalt, Notar oder Dienstleister).
• Die Kontaktaufnahme mit Mitarbeitern mit Zahlungsbefugnissen (Buchhaltung) erfolgt telefonisch oder per E-Mail.
Kontakt-aufnahme
Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen.
Wissens-aneignung
24©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Ablauf eines Fake President Angriffes:
Der Betrüger verlangt eine dringende Banküberweisung auf ein Bankkonto im Ausland und verwendet eine Kombination aus vertraulichen Informationen und erfundenen Tatsachen:
• Hohe Dringlichkeit
• Autoritäres Auftreten des vermeintlichen Vorgesetzten
• Erhöhte Geheimhaltung der Transaktion
Aufbau von Druck
Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen.
Wissens-aneignung
• Wissen wird zur Identitätsfälschung verwendet (Ausgabe als Geschäftsführer oder vertrauenswürdiger Partner wie Rechtsanwalt, Notar oder Dienstleister).
• Die Kontaktaufnahme mit Mitarbeitern mit Zahlungsbefugnissen (Buchhaltung) erfolgt telefonisch oder per E-Mail.
Kontakt-aufnahme
25©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Ablauf eines Fake President Angriffes:
Der Betrüger verlangt eine dringende Banküberweisung auf ein Bankkonto im Ausland und verwendet eine Kombination aus vertraulichen Informationen und erfundenen Tatsachen:
• Hohe Dringlichkeit
• Autoritäres Auftreten des vermeintlichen Vorgesetzten
• Erhöhte Geheimhaltung der Transaktion
Aufbau von Druck
• Der getäuschte Mitarbeiter führt die Überweisung durch.
• Durch den Täter erfolgt der Bezug des Geldes von den verwendeten Konten und das Verwischen der Spuren.
• Die Chance den Täter zu fassen bzw. das Geld zuückzuerhalten, tendiert zu diesem Zeitpunkt gegen Null.
Überweisung
Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen.
Wissens-aneignung
• Wissen wird zur Identitätsfälschung verwendet (Ausgabe als Geschäftsführer oder vertrauenswürdiger Partner wie Rechtsanwalt, Notar oder Dienstleister).
• Die Kontaktaufnahme mit Mitarbeitern mit Zahlungsbefugnissen (Buchhaltung) erfolgt telefonisch oder per E-Mail.
Kontakt-aufnahme
26©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
CYBER RISIKO
BUSINESS MAIL COMPROMISE
27©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Wissensaneignung über das Ziel im Detail:
Viele Informationen, die ein Angreifer für
einen Fake President Angriff benötigt, sind
öffentlich im Internet verfügbar:
• Homepage des Zielunternehmens
• Soziale Netzwerke mit
Filtermöglichkeiten
Wissensaneignung über den Markt, die Struktur und Kunden des Zielunternehmens via Insider, öffentlich verfügbare Kanäle (Webseiten, Soziale Netzwerke wie Xing, Facebook und LinkedIn) oder die Platzierung von Malware meist durch kriminelle Organisationen.
Wissens-aneignung
28©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Wissensaneignung: ein Beispiel
Projektleiter
Experte mit über 15 Jahren Erfahrung bei Bauprojekten; Projektleiter für Großbauprojekte;
31©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Wissensaneignung: ein Beispiel
1. Profil des Geschäftsführers eines Bau General
Unternehmens auf LinkedIn identifiziert.
2. Projektmanager und Buchhalter des gleichen
Unternehmens ebenfalls öffentlich einsehbar.
3. Informationen über aktuelles Bauprojekte in der
Schweiz auf der Homepage des Unternehmens
auffindbar. Dort werden auch Angaben über einen
Vermittler gemacht.
4. Nach einer Recherche findet man einen deutschen
Baukonzern inklusive dessen Geschäftsführer und
Leiter eines dieser Projekte.
5. Betrugskonzept überlegen und durchführen.
Peter Bauer
Bau GmbH
Geschäftsführer
Projekt Manager
Max Terf
Buchhaltung
Susanne Klaa
Oliver Agent
Vermittler
Agent
Schweiz
Frank Construct
Errichtung GmbH
CTO
32©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
33©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
CYBER SECURITY
FRAGEN AN DIE
VERANTWORTLICHEN
34©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Cyber Security
Fragen der Unternehmensleitung an die Verantwortlichen
• Haben wir einen Sicherheitsprozess nach ISO 27001?
• Gibt es einen Verantwortlichen für das Thema? hat dieser ausreichend Zeit?
• Führen wir regelmäßig Cyber Security Audits durch?
• Werden unsere Mitarbeiter regelmäßig geschult?
• Sind wir für die Abwehr von CyberAngriffen vorbereitet?
– Checkliste/Schulungen/Monitoring
• Haben wir einen Partner, der uns bei Cyber Angriffen unterstützt?
• Sind wir ausreichen versichert?
Organisatorische Themen
35©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
• Sind Daten auf Notebooks o.
Festplatten verschlüsselt?
• Werden unsere Systeme
regelmäßig aktualisiert?
• Verwenden wir durchgängig
Zwei-Faktor-Anmeldung?
• Haben wir moderne Methoden
zur Schadsoftwareerkennung
(mehr als Anti-Virus)?
• Haben wir ein SIEM-System
(zentrales Log-Daten-
Management)?
Technische Themen
Cyber Security
Fragen der Unternehmensleitung an die Verantwortlichen
36©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
HYPOTHESE
„MEINE MITARBEITER SIND
ERPRESSBAR“
37
38©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
GT CYBER SECURITY
WIR HELFEN IHNEN SICH
SEBST ZU SCHÜTZEN
39©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Cyber SecurityInformationsschutz und Abwehr von Cyber Crime
Unsere Vorgehensweisebereitet ihre Organisation auf IT Security Incidents und Cyberangriffe vor:
PR
EP
AR
E
• Incident Readiness
Assessment
• Incident Prozesse
• Checklisten
PR
OT
EC
T
• Threat
Intelligence
• Security
Operation Center
RE
AC
T
• CERT und Forensik
Team
• Beweismittel-
sicherung
• Incident Recovery
• Incident
Coordination
• Risk Assessment
• Incident Training
• Security Audit
• Penetration Tests
• Security Awareness
IMP
RO
VE
Unsere Unterstützungsleistungen
Wir helfen Ihnen sich nach internationalen
Good Practices auf Cyberangriffe vorzubereiten:
• Wir strukturieren Ihre Aufbauorganisation so,
dass die Bearbeitung eines IT Security Incidents
strukturiert, zielgerichtet und nachhaltig erfolgt.
• Wir helfen Ihnen das Optimum aus den Daten Ihrer
IT Sicherheitssysteme heraus zu holen.
• Wir verbessern die Zusammenarbeit zwischen
IT Betrieb und IT Sicherheit.
• Wir erstellen für Sie Checklisten, um das Handeln in
Krisensituationen zu erleichtern.
• Wir trainieren Ihr Personal mit Planspielen
um im richtigen Zeitpunkt optimal zu reagieren.
Protect & DetectSchutzmaßnahmen betreiben.
ReactStrukturiert auf Vorfälle reagieren.
ImproveKontinuierliche Verbesserungs-
maßnahmen setzen.
PrepareOrganisationales Zusammenwirken
gestalten.
Ihr Mehrwert
• Sie erkennen Cyberangriffe bevor der Schaden entsteht.
• Ihre Mitarbeiter wehren Cyberangriffe professionell ab.
• Sie betreiben Ihre Schutzmaßnahmen integriert.
• Als verlässlicher Geschäftspartner betreiben Sie ihre Prozesse
auch in Krisenzeiten souverän.
Ihre Herausforderungen
• Cyberkriminelle stehlen unser Geld, unsere Ideen und unsere
Kundendaten.
• 100% Sicherheit gibt es im Zeitalter der Digitalisierung nicht.
• Die Daten aus IT Sicherheitssystemen können aufgrund der hohen
Anzahl nicht durch den IT Betrieb bearbeitet und gesichtet werden.
• Es dauert oft Monate um State-of-the-art Cyberangriffe zu erkennen.
• Die Verantwortlichkeiten für die Abwehr von Hackerattacken sind in
Unternehmen ungeklärt.
• Das Verhalten bei IT Notfällen wird nicht geübt.
40©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
NEUES GESETZ
DSGVO –
DIE EU DATENSCHUTZ
GRUNDVERORDNUNG
41©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
DSGVO –GRUNDLAGEN & NEUERUNGEN
§ DSG2000
§ DSGVO
Die EU-Datenschutz-Grundverordnung tritt am 25. Mai 2018 europaweit
in Kraft und ersetzt damit das Bundesdatenschutzgesetz beinahe
ganzheitlich. Die Neuerungen treffen jedes Unternehmen jeder
Branche und fordern in einer nur kurzen Umsetzungszeit, dass der
Bereich Datenschutz von jedem Unternehmen in seiner Gesamtheit
überprüft und angepasst wird. Neue Prozesse müssen geschaffen
werden. Existierende Muster, Checklisten und Vertragsdokumente sind
zu überarbeiten. Datenschutzgrundsätze wie beispielsweise
„Datenschutz durch Technik (data protection by design)“ und
„datenschutzfreundliche Voreinstellungen (data protection by default)“
treten nun mehr neben die erweiterten Anforderungen einer
„Datenschutz-Folgenabschätzung (data protection impact assessment)“
und fordern angepasste technische und organisatorische
Maßnahmen.
42©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Wesentliche Neuerungen durch die DSGVOMehr Verantwortung für den „Verantwortlichen“ / Wegfall des Datenverarbeitungsregisters
• Stärkere Verantwortung für den „Verantwortlichen“ (vormals Auftraggeber) durch Datenschutz
durch Technikgestaltung (Privacy by Design).
Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B.
Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt
und die Rechte der betroffenen Personen geschützt werden.
• Entfall der Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister), dafür neue
Regelungen:
Erstellung „Verzeichnis der Verarbeitungstätigkeiten“, wobei der Inhalt ähnlich den
derzeitigen DVR-Meldungen ist. Ausnahmen bestehen in Einzelfall (Voraussetzungen) bei
Unternehmen mit weniger als 250 Mitarbeiter (gilt auch für Auftragsverarbeiter –
Dienstleister)
25. Mai 2018Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft. Bis dahin müssen alle
Datenanwendungen an die neue Rechtslage angepasst werden.heute
43©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Wesentliche Neuerungen durch die DSGVOPflicht zur Datenschutz-Folgenabschätzung – Risikobasierter Ansatz
• Pflicht zur Datenschutz-Folgenabschätzung (Risikoanalyse) bei Verarbeitungsvorgängen, die
(insbesondere bei Verwendung neuer Technologien) aufgrund der Art, des Umfangs, der
Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten
natürlicher Personen zur Folge haben.
Systematische automationsunterstützte Auswertungen von personenbezogenen Aspekten,
z.B. Profiling
Bei einer großen Zahl an Datenverarbeitungen von sensiblen Daten
Vorherige Konsultation der Aufsichtsbehörde, wenn aus einer Datenschutz-
Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte,
sofern der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des
Risikos trifft.
44©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Wesentliche Neuerungen durch die DSGVOPflicht zur Meldung von „Data Breaches“ / Pflicht zur Bestellung eines Datenschutzbeauftragten
• Meldung von Datenschutzvorfällen sowohl an die nationalen Aufsichtsbehörden (ohne
unangemessene Verzögerung – möglichst binnen höchstens 72 Stunden nach dem Entdecken)
als auch den betroffenen Personen
Risikoabwägung für die betroffenen Personen bzw. Aufwandsabwägung
• Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen
wenn
Kerntätigkeit eine regelmäßige und systematische Beobachtung von betroffenen Personen
Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien (z.B. Gesundheitsdaten)
45©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Wesentliche Neuerungen durch die DSGVOPflicht zur Informationserteilung / Wahrung der Betroffenenrechte
• Informationen und Betroffenenrechte sind ohne unangemessene Verzögerung, spätestens aber
innerhalb eines Monats, zu erledigen
Ähnlich zum § 24 DSG 2000 (Datenschutzgesetz 2000), aber doch umfassender, ist die
Informationsverpflichtung des Verantwortlichen (z.B. Dauer der Aufbewahrung, Hinweis auf
Betroffenenrechte, usw.) aufgebaut. Zusätzliche Rechte des Betroffenen:
Recht auf „Vergessenwerden“: Der Löschungsanspruch soll auch die Verpflichtung
umfassen, alle anderen „Verarbeiter“, welche die Daten verarbeiten oder sonstige Kopien der
Daten angefertigt haben, zu informieren, dass auch diese gelöscht werden müssen.
Angemessene Maßnahmen, um Verantwortliche über die verlangte Löschung von Links,
Kopien, Replikationen zu informieren
Recht auf Datenübertragbarkeit: Personenbezogene Daten sollen einfacher von einem
Anbieter auf einen anderen übertragen werden (in strukturiertem, gängigem und
maschinenlesbarem Format und ohne Behinderung an andere Verantwortlichen zu
übermitteln)
46©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Wesentliche Neuerungen durch die DSGVOWeitere Betroffenenrechte / Mitteilungspflicht / Stark erhöhte Strafdrohungen
• Zusätzliche Rechte des Betroffenen:
Regelungen betreffend automatisierte Generierung von Einzelentscheidungen
einschließlich Profiling: Recht des Betroffenen, in Einzelfällen (Negativergebnis) nicht
ausschließlich von automatisierten Entscheidungen betroffen zu sein und die Verpflichtung,
den Betroffenen über die Möglichkeit des Widerspruchs zum Profiling zu informieren.
Mitteilungspflicht an alle Datenempfänger über jede Berichtigung, Löschung oder
Einschränkung; es sei denn unmöglich oder unverhältnismäßig und auf Verlangen:
Information an Betroffene über Datenempfänger
• Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines
weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.
47©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Die Grant Thornton Methodologie
Das Buch
• Das Buch "Datenschutz-Audit" deckt
die Bereiche Recht, Organisation,
Prozess und IT ab.
Das Werk bietet Ihnen
eine praktisch anwendbare
Methodik, um Compliance im
Datenschutz nachzuweisen und Audits
durchzuführen.
• Die Autoren führen seit vielen Jahren
Datenschutz-Audits in der Praxis durch
und legen ihre Erfahrungen jetzt auf die
DSGVO um.
Datenschutz Kontrollen
• Der komplexe Gesetzestext der
DSGVO wird in klar
prüfbaren Kontrollen dargestellt. Diese
Kontrollen können von Auditoren sofort
zur Prüfung angewendet werden. Ein
Unternehmen kann so seiner
Selbstverantwortung zur Einhaltung der
datenschutzrechtlichen Pflichten
nachkommen und dazu beitragen,
Strafen bzw. Sanktionen zu vermeiden.
• Die Kontrollen sind das messbare Ziel
• Die Kontrollen eignen sich auch als
Anleitung zum Aufbau eines
Datenschutz Managementsystems.
Datenschutz Audit
• Das entwickelte Audit-
Konzept basiert auf der Überprüfung
der von den Autoren entwickelten
Kontrollen. Die Audit-Methodologie ist
angelehnt an Audits von
Managementsystemen und leistet
vergleichbare, reproduzierbare Audit-
Ergebnisse.
Datenschutz-Audit Buch - Kontrollen als Basis für die praktische Umsetzung
48©2017 Grant Thornton Unitreu Advisory GmbH. Alle Rechte vorbehalten.
Grant Thornton Unitreu Advisory GmbH
Handelskai 92, Gate 2, 7A | 1200 Wien
Gewerbepark Urfahr 6 | 4040 Linz
T + 43 732 272975 0
W www.grantthornton.at
© 2017 Grant Thornton Unitreu Advisory GmbH. All rights reserved.
Grant Thornton” refers to the brand under which the Grant Thornton member firms provide assurance, tax and advisory services to their clients and/or refers to one or more member firms, as the context requires. Grant Thornton Unitreu Advisory GmbH is a member firm of Grant Thornton International Ltd (GTIL). GTIL and the member firms are not a worldwide partnership. GTIL and each member firm is a separate legal entity. Services are delivered by the member firms. GTIL does not provide services to clients. GTIL and its member firms are not agents of, and do not obligate, one another and are not liable for one another’s acts or omissions.
www.gti.orgwww.grantthornton.at
KONTAKT
Georg Beham, MSc | Partner
Diese Präsentation und eine
Verlosung von fünf DSGVO Büchern
finden Sie unter:
www.gt.at/wko