{"id":108,"date":"2025-04-01T12:00:23","date_gmt":"2025-04-01T10:00:23","guid":{"rendered":"https:\/\/robertogreco.eu\/professione\/?p=108"},"modified":"2025-08-02T12:50:04","modified_gmt":"2025-08-02T10:50:04","slug":"informationssicherheit-%f0%9f%87%a9%f0%9f%87%aa","status":"publish","type":"post","link":"https:\/\/robertogreco.eu\/professione\/informatica\/informationssicherheit-%f0%9f%87%a9%f0%9f%87%aa\/","title":{"rendered":"Informationssicherheit (\ud83c\udde9\ud83c\uddea)"},"content":{"rendered":"<h1><strong>Informationssicherheitsbereiche und Richtlinien<\/strong><\/h1>\n<ul>\n<li>Risikomanagement: Richtlinie zum Informationssicherheits-Risikomanagement<\/li>\n<li>Sicherheitsrichtlinien und -verfahren\n<ul>\n<li>Informationssicherheits-Rahmenrichtlinie<\/li>\n<li>Richtlinie zur Klassifizierung von Informationen<\/li>\n<li>Richtlinie zur sicheren Systemkonfiguration<\/li>\n<li>Richtlinie zur Zugriffsverwaltung<\/li>\n<li>Richtlinie zur Kryptografie<\/li>\n<li>Richtlinie zur physischen Sicherheit<\/li>\n<li>Richtlinie zur sicheren Softwareentwicklung (falls zutreffend)<\/li>\n<\/ul>\n<\/li>\n<li>Notfallplanung: Richtlinie zum Business Continuity Management (BCM) und Disaster Recovery (DR)<\/li>\n<li>Sensibilisierung und Schulung der Mitarbeiter: Richtlinie zur Informationssicherheits-Schulung und Sensibilisierung<\/li>\n<li>Incident Response: Richtlinie zum Informationssicherheits-Incident Response Management<\/li>\n<li>\u00dcberwachung und Auditierung: Richtlinie zur \u00dcberwachung und Auditierung der Informationssicherheit<\/li>\n<li>Technische Sicherheitsma\u00dfnahmen\n<ul>\n<li>Richtlinie zur Netzwerksicherheit<\/li>\n<li>Richtlinie zum Endpoint Security<\/li>\n<li>Richtlinie zur Datensicherung und -wiederherstellung<\/li>\n<\/ul>\n<\/li>\n<li>Lieferantenmanagement (Sicherheitsaspekte): Richtlinie zum Lieferantenmanagement (Informationssicherheit)<\/li>\n<\/ul>\n<h2>EU Richtlinien (Finanzinstitution)<\/h2>\n<p>F\u00fcr eine Finanzinstitution, muss man in der EU folgenden wichtigsten\u00a0 Richtlinien und Verordnungen beachten:<\/p>\n<ul>\n<li><strong>Datenschutz-Grundverordnung (<a href=\"https:\/\/robertogreco.eu\/biblioteca\/dsgvo\/\" target=\"_blank\" rel=\"noopener\">DSGVO<\/a>):<\/strong>\n<ul>\n<li>Umgang mit personenbezogenen Daten deiner Kunden und Mitarbeiter.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Geldw\u00e4schegesetz (2025: <a href=\"https:\/\/www.gesetze-im-internet.de\/gwg_2017\/GwG.pdf\" target=\"_blank\" rel=\"noopener\">GwG<\/a>) basierend auf EU-Geldw\u00e4scherichtlinien:<\/strong>\n<ul>\n<li>Sorgfaltspflichten bei der Identifizierung von Kunden.<\/li>\n<li>Meldung verd\u00e4chtiger Transaktionen.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Digital Operational Resilience Act (<a href=\"https:\/\/robertogreco.eu\/rsg\/de\/dora\/\">DORA<\/a>):<\/strong>\n<ul>\n<li>Anforderungen an die IKT-Sicherheit und digitale Widerstandsf\u00e4higkeit im Finanzsektor.<\/li>\n<li>Meldung von IKT-Vorf\u00e4llen. (F\u00fcr kleine Leasing-Unternehmen gibt es hier oft Erleichterungen und l\u00e4ngere \u00dcbergangsfristen.)<\/li>\n<\/ul>\n<\/li>\n<li><strong>Richtlinie \u00fcber pr\u00e4ventive Restrukturierungsrahmen (EU 2019\/1023):<\/strong>\n<ul>\n<li>Regelungen zu pr\u00e4ventiven Restrukturierungsverfahren f\u00fcr Unternehmen in finanziellen Schwierigkeiten.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Kapitalad\u00e4quanzverordnung (2025: <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/PDF\/?uri=CELEX:02013R0575-20250629\" target=\"_blank\" rel=\"noopener\">CRR<\/a>) und Kapitalad\u00e4quanzrichtlinie (CRD IV\/V):<\/strong>\n<ul>\n<li>Eigenmittelanforderungen, Liquidit\u00e4tsanforderungen und Verschuldungsquoten. (Dies betrifft Leasing-Unternehmen, die als Kreditinstitute oder Finanzdienstleistungsinstitute im Sinne des KWG gelten.)<\/li>\n<\/ul>\n<\/li>\n<li><strong>EU-Taxonomie-Verordnung:<\/strong>\n<ul>\n<li>Offenlegungspflichten f\u00fcr nachhaltige Wirtschaftsaktivit\u00e4ten, falls du bestimmte Gr\u00f6\u00dfenkriterien erf\u00fcllst oder nachhaltige Finanzprodukte anbietest.<\/li>\n<\/ul>\n<\/li>\n<li><strong>IFRS 16 (International Financial Reporting Standard 16) Leasingverh\u00e4ltnisse:<\/strong>\n<ul>\n<li>Internationale Rechnungslegungsstandards f\u00fcr Leasingverh\u00e4ltnisse, die EU-weit \u00fcbernommen wurden.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><strong>Beachte<\/strong>: die genaue Anwendbarkeit und der Umfang der Pflichten von der genauen Klassifizierung des Unternehmens (z.B. als Finanzdienstleistungsinstitut nach KWG) und dessen Gr\u00f6\u00dfe und Komplexit\u00e4t abh\u00e4ngen k\u00f6nnen.<\/p>\n<h2>Lokale Gesetze und Verordnungen (in Deutschland)<\/h2>\n<p>Zus\u00e4tzlich zu den EU-Richtlinien man muss auch spezifische deutsche Gesetze und Verordnungen befolgen:<\/p>\n<ul>\n<li><strong>Kreditwesengesetz (2025: <a href=\"https:\/\/www.gesetze-im-internet.de\/kredwg\/KWG.pdf\" target=\"_blank\" rel=\"noopener\">KWG<\/a>):<\/strong>\n<ul>\n<li>Leasinggesch\u00e4fte, insbesondere Finanzierungsleasing, k\u00f6nnen unter das KWG fallen und eine Erlaubnis der BaFin (Bundesanstalt f\u00fcr Finanzdienstleistungsaufsicht) erfordern, je nach Umfang und Art des Gesch\u00e4fts. Es gibt auch Ausnahmetatbest\u00e4nde.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Geldw\u00e4schegesetz (2025: <a href=\"https:\/\/www.gesetze-im-internet.de\/gwg_2017\/GwG.pdf\" target=\"_blank\" rel=\"noopener\">GwG<\/a>):<\/strong>\n<ul>\n<li>Als Finanzinstitut bist du Verpflichtete im Sinne des GwG. Das bedeutet:\n<ul>\n<li><strong>Kundenidentifizierungspflichten:<\/strong> Sorgf\u00e4ltige Pr\u00fcfung der Identit\u00e4t deiner Kunden und ggf. der wirtschaftlich Berechtigten.<\/li>\n<li><strong>Meldepflichten:<\/strong> Verd\u00e4chtige Transaktionen m\u00fcssen an die Zentralstelle f\u00fcr Finanztransaktionsuntersuchungen (FIU) gemeldet werden.<\/li>\n<li><strong>Interne Sicherungsma\u00dfnahmen:<\/strong> Du musst interne Prozesse zur Geldw\u00e4schepr\u00e4vention einrichten (z.B. Risikomanagement, Schulungen).<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<li><strong>Datenschutzrecht (erg\u00e4nzend zur <a href=\"https:\/\/robertogreco.eu\/biblioteca\/dsgvo\/\" target=\"_blank\" rel=\"noopener\">DSGVO<\/a>):<\/strong>\n<ul>\n<li><strong>Bundesdatenschutzgesetz (2025: <a href=\"https:\/\/www.gesetze-im-internet.de\/bdsg_2018\/BDSG.pdf\" target=\"_blank\" rel=\"noopener\">BDSG<\/a>):<\/strong> Erg\u00e4nzt die DSGVO in bestimmten Bereichen, insbesondere bei der Verarbeitung von Besch\u00e4ftigtendaten oder spezifischen nationalen \u00d6ffnungsklauseln der DSGVO.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Handelsgesetzbuch (2025: <a href=\"https:\/\/www.gesetze-im-internet.de\/hgb\/HGB.pdf\" target=\"_blank\" rel=\"noopener\">HGB<\/a>):<\/strong>\n<ul>\n<li>Rechnungslegungsvorschriften, Buchf\u00fchrungspflichten und Handelsregistereintragungen.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Abgabenordnung (2025: <a href=\"https:\/\/www.gesetze-im-internet.de\/ao_1977\/AO.pdf\" target=\"_blank\" rel=\"noopener\">AO<\/a>):<\/strong>\n<ul>\n<li>Regelungen zur Besteuerung, darunter auch Aufbewahrungsfristen f\u00fcr Gesch\u00e4ftsunterlagen.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Verordnung \u00fcber die Anforderungen an die IT-Systeme von Banken (<a href=\"https:\/\/robertogreco.eu\/biblioteca\/bait\/\" target=\"_blank\" rel=\"noopener\">BAIT<\/a>) \/ zuk\u00fcnftig DORA-Umsetzungsgesetz:<\/strong>\n<ul>\n<li>Obwohl DORA eine EU-Verordnung ist und direkt gilt, wird es nationale Umsetzungsgesetze geben. Die BAIT ist derzeit die nationale Auslegung und Konkretisierung der Anforderungen an die IT-Sicherheit f\u00fcr beaufsichtigte Unternehmen. DORA wird die BAIT mittelfristig ersetzen oder erg\u00e4nzen. F\u00fcr kleine Leasing-Unternehmen gibt es bei DORA, wie bereits erw\u00e4hnt, Erleichterungen.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Sonstige relevante Gesetze:<\/strong>\n<ul>\n<li><strong>B\u00fcrgerliches Gesetzbuch (2025: <a href=\"https:\/\/www.gesetze-im-internet.de\/bgb\/BGB.pdf\" target=\"_blank\" rel=\"noopener\">BGB<\/a>):<\/strong> Allgemeines Vertragsrecht.<\/li>\n<li><strong>Verbraucherkreditrecht:<\/strong> Falls du Leasingvertr\u00e4ge mit Verbrauchern abschlie\u00dft, musst du spezifische Verbraucherschutzvorschriften beachten.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Die <a href=\"https:\/\/www.bafin.de\/\" target=\"_blank\" rel=\"noopener\">BaFin<\/a> ist die zust\u00e4ndige Aufsichtsbeh\u00f6rde, die die Einhaltung dieser Gesetze \u00fcberwacht.<\/p>\n<hr \/>\n<p>Das Bild in der Kopfzeile ist:Foto von <a href=\"https:\/\/pixabay.com\/it\/users\/buffik-17824401\/?utm_source=link-attribution&amp;utm_medium=referral&amp;utm_campaign=image&amp;utm_content=5475656\">Buffik<\/a> aus <a href=\"https:\/\/pixabay.com\/it\/\/?utm_source=link-attribution&amp;utm_medium=referral&amp;utm_campaign=image&amp;utm_content=5475656\">Pixabay<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Informationssicherheitsbereiche und Richtlinien Risikomanagement: Richtlinie zum Informationssicherheits-Risikomanagement Sicherheitsrichtlinien und -verfahren Informationssicherheits-Rahmenrichtlinie Richtlinie zur Klassifizierung von Informationen Richtlinie zur sicheren Systemkonfiguration &hellip; <a href=\"https:\/\/robertogreco.eu\/professione\/informatica\/informationssicherheit-%f0%9f%87%a9%f0%9f%87%aa\/\" class=\"more-link\">More <span class=\"screen-reader-text\">Informationssicherheit (\ud83c\udde9\ud83c\uddea)<\/span> <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":189,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[58,3],"tags":[62,63],"class_list":["post-108","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-deutsch","category-informatica","tag-eu","tag-informationssicherheits"],"_links":{"self":[{"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/posts\/108","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/comments?post=108"}],"version-history":[{"count":4,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/posts\/108\/revisions"}],"predecessor-version":[{"id":169,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/posts\/108\/revisions\/169"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/media\/189"}],"wp:attachment":[{"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/media?parent=108"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/categories?post=108"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/robertogreco.eu\/professione\/wp-json\/wp\/v2\/tags?post=108"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}