Da Technologie für die Erfüllung der Anforderungen von Kund:innen, Mitarbeiter:innen, Lieferant:innen und anderen Stakeholder:innen immer wichtiger wird, muss die Cybersicherheit eines Unternehmens sowohl Widerstandsfähigkeit als auch Vertrauen aufbauen. Wie können Sie neben dem Schutz Ihrer geschäftskritischen Systeme und der Sicherstellung der Geschäftskontinuität nach einem Cyberangriff auch die Daten schützen, die Ihnen Ihre Stakeholder:innen anvertrauen?
Es gibt zwar keinen einheitlichen Aktionsplan für Cybersicherheit, aber geschäftsorientierte Schutzstrategien müssen in Governance-Modelle, betriebliche Prozesse und die Unternehmenskultur eingebettet werden. Wenn Sie Cybersicherheit in die Struktur Ihres Unternehmens einbinden, können Sie kritische Werte schützen und Vertrauen gewinnen. Das bedeutet, dass Sie Ihre Chancen maximieren, widerstandsfähig bleiben, sich an die sich schnell ändernden Risiken und Vorschriften anpassen und schneller transformieren können.
Unsere Lösungen
Die Datenschutz-Grundverordnung verpflichtet ab Mai 2018 Unternehmen in Europa dazu, die persönlichen Daten von Mitarbeiter:innen, Kund:innen und Lieferant:innen noch besser als bisher zu schützen. Vom Gesetzgeber werden zu diesem Zweck europaweit einheitliche Vorgaben erlassen.
Die DSGVO stärkt die Rechte von natürlichen Personen (zB „Recht auf Löschung persönlicher Daten“) und verpflichtet Organisationen dazu, die Verarbeitung von personenbezogenen Daten zu dokumentieren und über die dabei getroffenen Schutzmaßnahmen Rechenschaft abzulegen.
Beispiele der wesentlichen Neuerungen:
- Massiv erweiterte Sanktionen (bis EUR 20 Mio oder bis zu 4 Prozent des Vorjahresumsatzes)
- Erweiterte Haftungsrisiken (Rechenschaftspflicht)
- Neue Fristen sowie Transparenzpflichten
- Verschärfte Notifikationspflichten bei Datenschutzverstößen (72-Stunden-Frist)
- Erfordernis einer auf einer Risikoanalyse basierenden Datenschutz-Folgenabschätzung bei besonders sensiblen Daten wie zB gesundheitsbezogenen Informationen
- „Privacy by Design“ und „Privacy by Default“
- Neue Anforderungen an das Verfahrensverzeichnis
- Recht auf Datenportabilität
- Neue Anforderungen an die Einwilligung
KPMG unterstützt Unternehmen bei der raschen und kosteneffizienten Umsetzung der DSGVO-Kernanforderungen ua durch:
- Erstellung eines sogenannten Verfahrensregisters
- Prüfung von Anwendungen auf Einhaltung von Betroffenenrechten
- Etablierung von Benachrichtigungsprozessen die Betroffene fristgerecht (neue Vorgabe: weniger als 72 Stunden) über Datenpannen informieren
- Umsetzung des Rechts auf Datenportabilität oder Beistellung externer Datenschutzbeauftragter
Neben der Gesetzeskonformen Umsetzung der Vorgaben sorgen wir so für eine spürbare Vereinfachung und Verbesserung des Themas Informationssicherheit und Datenschutz im Tagesgeschäft.
IAM beschreibt Dienste und Funktionen, mit denen digitale Identitäten von Maschinen und Menschen sowie deren Lebenszyklen in Unternehmen beschrieben werden. Aus einer von vielen Cybersecurity Kompetenzen, bietet dies einen Governance-Rahmen für digitale Identitäten und ermöglicht Unternehmen, intelligente und risikobasierte Entscheidungen darüber zu treffen, wer wann und in welchem Kontext auf welche Informationsressourcen zugreifen darf. Mit zunehmender Geschwindigkeit der digitalen Transformation von Geschäftsmodellen hat sich das Identitäts- und Zugriffsmanagement zu zwei fokussierten Angeboten der KPMG entwickelt:
Enterprise (IAM): Enterprise IAM umfasst das Identitäts- und Zugriffsmanagement für die moderne Belegschaft und konzentriert sich auf Compliance, Risiko, Governance, Sicherheit, Datenschutz, Workforce Lifecycle Management und betriebliche Effizienz. Durch die Anbindung von Cloudsystemen und vermehrter Nutzung von Bring-Your-Own-Device (BYOD) Richtlinien, gewinnt das Thema mehr und mehr an Wichtigkeit.
Customer Identity & Access Management (CIAM): CIAM deckt Identitäts- und Zugriffsmanagementfunktionen für Kund:innen und das unterstützende Ökosystem wie Partner:innen ab. Dieser Zweig von IAM konzentriert sich auf Geschäftschancen, Wachstum und die Identifizierung von Kund:innenpräferenzen, um mit relevanten, zeitnahen und hochgradig personalisierten Erfahrungen zu reagieren.
Gemeinsame Serviceelemente für IAM & CIAM
- Assessments
- Strategie und Roadmap
- Architektur
- Softwareauswahl
- Entwicklung von Governance- und Betriebsmodellen
- Technische Lösungskonzepte
Fragen wie „Wie einfach ist es, mich zu hacken?“ oder „Wie sind die Daten unserer Kund:innen gesichert?“ müssen im Rahmen der Informationssicherheit laufend beantwortet werden. Sicherheitstests liefern darauf realistische Antworten.
Technische Schwachstellen sind zwar oft das Ergebnis aber nicht die Wurzel des Übels. Oft liegt das eigentliche Problem bei Mängeln in Prozessen. Unsere Stärke liegt darin, dies zu erkennen und passende Maßnahmenpakete abzuleiten. Dies soll nicht nur die einmalige Behebung von Schwachstellen garantieren – jeder einzelne Sicherheitstest trägt dazu bei, die Gesamtsicherheit des Unternehmens zu erhöhen.
Szenariobasierte Tests: Dieser Ansatz zeigt die Systeme so, wie sie ein:e Angreifer:in unter bestimmten Startbedingungen sieht, z. B. von einer infizierten Workstation.
Einsatz von technischen Spezialist:innen: Um ein System anzugreifen, oder es davor zu schützen, muss man im Detail verstehen, wie es funktioniert. Aus diesem Grund stellt KPMG Pentest-Teams ausschließlich aus Mitarbeiter:innen zusammen, die Erfahrung im Testen der zu prüfenden Komponenten haben.
Zertifizierungen: Die eingesetzten KPMG Expert:innen unterstreichen ihr Fachwissen und das Engagement zur laufenden Weiterbildung mit anerkannten Zertifizierungen (OSCP usw).
Informationstransfer: Um die identifizierten Schwachstellen zu beheben, müssen Ihre Mitarbeiter:innen die Ursachen verstehen. Deshalb bekommen sie von uns nicht nur den Report, sondern wir führen sie persönlich durch mögliche Behebungsstrategien und sorgen für einen bleibenden Wissenstransfer in Ihrer Organisation..