IT-Audit-Prüfkatalog „Sicherheit von IT-Diagnose-Daten“ – Was Sie Ihr Revisor zu IT-Diagnose-Daten fragen wird

Der Prüfkatalog der IT-Audits zu IT-Diagnose-Daten umfasst die gesamte Tragweite dieses Sicherheits- und Datenschutzrisikos. Keys, IP-Adressen, Passwörter, sensible Daten mit Personenbezug befinden sich in Dumps, Logs und Traces. Sobald diese den IT-Betrieb unanonymisiert verlassen, verletzen sie z.B. NIS-2, DORA oder die DSGVO. Die Diskussion um den Schlüsseldiebstahl vermeintlich aus einem Crash-Dump bei Microsoft und die Angriffe auf die US-Behörden zeigten 2023 die Gefahr. Oft sind die USA das Ziel der Dump-Uploads. Trotz des neuen EU-U.S. Data Privacy Framework (EU-US DPF) ist der Datentransfer nur zu den nach DPF zertifizierten Unternehmen gestattet. Auch Cyber-, IT-Haftpflicht- oder D&O-Versicherungen nehmen das Risiko für ihre Prüfungen und Obliegenheiten bereits in Augenschein.
Der Vortrag macht das Sicherheits- und Datenschutz-Risiko durch unanonymisierte sensible Daten in IT-Diagnose-Daten transparent. Er zeigt anhand des Audit- und Revisions-Fragenkatalogs, wo die Angriffspunkte für die IT durch Cyberkriminelle und durch Rechtsverletzungen (NIS-2, DORA, DSGVO) liegen.