Informationssicherheit ist für jedes Unternehmen wichtig

Der Begriff Informationssicherheit ist sehr komplex. Auf die Frage was Informationssicherheit ist, bekommt man immer eine andere Antwort und nahezu alle Antworten sind in irgendeine Art und Weise richtig. Häufig fallen auch andere Begriffe, wie bspw. Datenschutz, Datensicherung oder IT-Sicherheit, um den Begriff Informationssicherheit zu erläutern. Wikipedia definiert den Begriff Informationssicherheit so: „Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.“

Im heutigen Zeitalter sind Informationen und Daten wertvolle Güter, die es zu schützen gilt. Fehleinschätzungen über die Sicherheitszustände im Unternehmen können fatale Auswirkungen auf die Konkurrenzfähigkeit (Wirtschaftsspionage), Partnerschaften oder Kundenbeziehungen haben. Für die Implementierung eines ISMS (Information Security Management System) benötigt man Verfahren und Regeln im Unternehmen, um die Informationssicherheit und die Sicherheitsstandards einzuhalten. Diese Verfahren bilden die Grundlage für die Umsetzung des ISMS im Unternehmen.

Die Verantwortung liegt hierbei nicht in der IT-Abteilung eines Unternehmens, sondern bei der obersten Führungsetage. Ohne dessen volle Rückendeckung wäre das Vorhaben ein ISMS aufzubauen und es zu betreiben von Anfang an zum Scheitern verurteilt. Zumal der Aufbau und Betrieb eines ISMS kein Vorhaben ist, dass an eine einzelne Fachabteilung oder eine Person delegiert werden kann. Alle Unternehmensabteilungen sind von der Implementierung betroffen und müssen die Richtlinien, die im Zuge eines ISMS aufgestellt werden beachten und umsetzen. Des Weiteren benötigt der Aufbau und Betrieb eines ISMS Ressourcen in Form von Personal, Geld und Zeit. Diese Ressourcen sind nicht nur beim Aufbau enorm. Auch der Betrieb und die Weiterentwicklung benötigt die genannten Ressourcen. Besonders wichtig ist die Einbindung der Mitarbeiter in den implementierten Prozessen. Die Prozesse und Verfahren sollen leben und nicht nur beschrieben sein. Aus diesem Grund ist es immens wichtig, dass alle Mitarbeiter des Unternehmens von Anfang an über die Notwendigkeit eines ISMS zu informieren. Die Mitarbeiter müssen alle geschult und sensibilisiert werden, damit die Implementierung und der Betrieb eines ISMS Erfolg hat. Den Mitarbeitern sollten die Richtlinien bekannt und jederzeit verfügbar sein.

Nach dem Aufbau eines ISMS ist es sinnvoll, dass es nach außen kommuniziert wird. Die Zertifizierung durch externe Auditoren bestätigt die entwickelten und implementierten Verfahren. Neben der Tatsache, dass der Umgang und die Verarbeitung mit Informationen weniger risikobehaftet ist, ist die Zertifizierung zugleich auch ein Pluspunkt für das Marketing. Umgangssprachlich ist es ein Siegel für den sicheren Umgang mit Informationen (Kundeninformationen / Lieferanteninformationen).

Alle Standards haben die PDCA Vorgabe, um die Qualität des Prozesses stetig weiter zu verbessern, zumal die Technologie sich immer schneller weiterentwickelt. PDCA steht für Plan, Do, Check und Act. Die PDCA-Methodik sorgt dafür, dass die Prozesse und Werte nicht nur einmal entwickelt und identifiziert werden, sie sorgt auch dafür, dass eine Dynamik entsteht und die neuen oder geänderten Rahmenbedingungen und Anforderungen angepasst werden.

Unternehmen stehen einige Standards zur Verfügung an denen sie sich orientieren können, um die Sicherheitsmaßnahmen zu realisieren. Folgend sind einige Standards aufgelistet und kurz beschrieben:

 

BSI IT-Grundschutz:

Der IT-Grundschutz wurde vom BSI (Bundesamt für Informationssicherheit) entwickelt. Der Grundschutzkatalog umfasst ca. 4000 Seiten, wird jedoch derzeit umfangreich umgestellt. Diese sind gegliedert in Bausteine, Maßnahmen und Gefährdungskatalogen Die Umsetzung erfolgt auf Basis der vom BSI definierten Maßnahmen. Die Standards beschreiben ziemlich genau die Vorgehensweise bei der Implementierung. Des Weiteren geben sie mit ergänzenden Dokumenten Hinweise, wie das System auszusehen hat. Ein Vorteil sind die vorgegebenen Maßnahmen, die wenig Spielraum lassen. National ist der IT-Grundschutz anerkannt, international ist der Standard jedoch weitestgehend unbekannt.

ISO 27001

Der Standard gibt allgemeine Anforderungen an die IT-Sicherheit vor. Die ISO ist im Gegensatz zum IT-Grundschutz ein weltweit anerkannter Standard mit ca. 30 Seiten. Der Standard ist kompatibel mit weiteren ISO-Normen, Unternehmen mit einer QM-Zertifzierung (z.B. ISO 9001) wird die Arbeit mit der 27001 leicht fallen. Die praktische Umsetzung ist komplex, da die Anforderungen an die IT-Sicherheit nicht konkretisiert werden.

ISIS12

ISIS 12 wurde speziell für KMU und Kommunen entwickelt. Die wesentlichen Punkte basieren auf dem Grundschutzkatalog des BSI. Die Implementierung erfolgt, wie der Name es schon sagt in 12 Schritten. Vorteile bieten sich hier für kleine Unternehmen und Kommunen, da geringere Anforderungen an die IT-Sicherheit gestellt wird. Die ISIS 12 betrachtet nur unternehmerische Anwendungen und bietet dementsprechend weniger umfangreiche Maßnahmen. Der Standard ist nicht international anerkannt. Es dient jedoch sehr gut als Vorstufe zur einer Zertifizierung nach BSI IT-Grundschutz und ISO 27001.

VdS 3473

Die Richtlinie enthält Vorgaben und Hilfestellungen speziell für kleine und mittlere Organisationen mit der Zielsetzung ein angemessenes Schutzniveau zu erreichen. Der Standard ist nicht international anerkannt. Der sechsstufige Maßnahmen Katalog bietet jedoch eine einfache Implementierung des Standards. Das Unternehmen VdS Schadenverhütung GmbH hat diesen Standard entwickelt. Da das Unternehmen zum „Gesamtverband der Deutschen Versicherungswirtschaft e.V.“ (GDV) gehört, lassen sich ggf. Vereinfachungen für den Abschluss einer Versicherung im Cybersicherheitsumfeld realisieren.

 

Warum eigentlich Informationssicherheit?

Die zunehmende Digitalisierung in den Unternehmen, steigende Risiken im Bereich der Onlineaktivitäten, steigende Anforderungen an den Datenschutz durch die Datenschutz-Grundverordnung (DS-GVO) und eine zunehmende Wirtschaftsspionage sind nur einige Beispiele für die Notwendigkeit der Informationssicherheit in allen Unternehmen. Ob und wenn ja welcher der vorhandenen Standards und Normen zur Informationssicherheit gewählt wird, hängt von vielen Faktoren ab. Neben einer möglicherweise notwendigen Außendarstellung ist auch die Wirtschaftlichkeit, insbesondere bei kleinen und mittleren Unternehmen, von großer Bedeutung. Die Verwendung eines Standards ist in jedem Fall empfehlenswert, auch wenn keine Zertifizierung angestrebt wird, die Standards können auch als Orientierungsrahmen verwertet werden.

Erfahren Sie mehr über die comdatis auf www.comdatis.de

Über die Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer (CISA) für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

 

Social Engineering

Der Begriff stammt ursprünglich aus den Sozialwissenschaften und meint die Beeinflussung von Einstellungen und Verhalten mit sozialen Mitteln für soziale Zwecke. Dahinter steht die Annahme, Mensch und die sozialen Strukturen, in denen sie sich bewegen funktionieren ähnlich wie Maschinen nach vorhersehbaren Regeln.

Beim Social Engineering – auch Soziale Manipulation – genannt, richten sich Angriffe nicht auf technische Systeme, sondern auf ihre Benutzer.

Also richtet sich der Angriff im Gegensatz zum normalen (technischen) Hacking nicht auf die Schwachstelle eines Computersystems, um an geheime Informationen zu gelangen, sondern auf die Schwachstelle des Menschen.

Hier wird auch sehr häufig von „Social Hacking“ gesprochen. Das Ziel ist Informationsgewinnung. Dabei führt ein Benutzer (aus dem System) die vom Angreifer gewünschten Aktionen aus. Die Wahl der Person, die ausspioniert werden soll, kann zufällig (z.B. im Bus oder Bahn) oder durch eine gezielte Suche über die Sozialen Netzwerke erfolgen. Diese bieten eine gute Basis für das Social Engineering. Über die jeweiligen Plattformen können viele Informationen über Personen gefunden werden. Diese unerschöpfliche Informationsquelle dient als Grundlage für die weitere Informationsbeschaffung. Zudem ist es unter den Nutzern Sozialer Netzwerke weitverbreitet, dass der Nutzer viele seiner „Freunde“ nicht kennt. Auch dadurch können Social Engineers direkt mit ihren Opfern in Kontakt treten. Wichtig ist die Konfiguration sicherer Datenschutzeinstellungen in sozialen Netzwerken, auch wenn diese vornehmlich oder in vollem Umfang privat genutzt werden. Letztlich führt dies auch im betrieblichen Umfeld zu einer Risikoreduzierung bezogen auf „Social Engineering“.

Dringt ein Angreifer durch, können dem Unternehmen große Schäden entstehen, sei es durch Industriespionage, Identitätsdiebstahl, Image- oder Rufschädigung, Erpressung oder der einfache Zugriff auf firmeninterne Datensysteme.

Bei IT-Sicherheit wird oft zuerst oder ausschließlich an die Technik gedacht und zu wenig an den Faktor Mensch. Dieser sollte mehr beachtet werden, denn diese Gefahr gibt es immer, sei es bei Freunden, Verwandten, dem Partner oder dem Sitznachbarn im Bus oder Bahn. Dabei kann jede menschliche Schwäche ausgenutzt werden.

Hilfsbereitschaft, Vertrauen, Angst, Stolz, Neid oder Schuldgefühle können ausgenutzt werden, um an Information zu kommen. Die Angreifer bleiben meist im Hintergrund und werden nicht wahrgenommen. Das Opfer erfährt meist nicht, dass er ausspioniert worden ist.

Das Telefon spielt beim Social Engineering eine wichtige Rolle. Angreifer greifen für die erste persönliche Kontaktaufnahme gerne zum Telefon. Dieses Medium ermöglicht es ihnen Distanz zu wahren und ihre wahre Identität zu verschleiern, aber dennoch flexibel auf die Reaktion des Opfers einzugehen. Sie bauen eine persönliche Beziehung zum Opfer auf und wollen so das Vertrauen gewinnen, um an vertrauliche Informationen zu kommen.

Wie kann es verhindert werden?

Eine Verhinderung des Social Engineering gibt es nicht, jedoch können die Unternehmen Ihre Mitarbeiter sensibilisieren. Die Sensibilisierung lässt sich mit Schulungen und anderen Maßnahmen realisieren. Neben Schulungen spielen auch die Geschäftsführung und die Arbeitskollegen eine wichtige Rolle. Fühlt sich ein Mitarbeiter im Unternehmen nicht wohl und vermisst er die Anerkennung durch die Geschäftsführung oder den Kollegen, dann ist er wesentlich empfänglicher für Lob und Schmeicheleien von außen. Eine weitere Herausforderung für Unternehmen ist es die Loyalität der Mitarbeiter zu stärken und zu fördern. Täter können auch aus der eigenen Firma kommen. Der Verkauf von Daten kann teilweise sehr lukrativ für Innentäter sein.

Besprechung von firmeninternen Angelegenheiten sollten nie an öffentlichen Orten durchgeführt werden. Vermeiden Sie Shoulder-Surfing durch Hilfsmittel. Lassen Sie sich nicht auf den Bildschirm schauen, wenn Sie mit Ihren mobilen Geräten an öffentlichen Stellen arbeiten.

Benutzen Sie keine unsicheren Downloadkanäle (z.B. Apps aus nicht offiziellen Quellen).

E-Mails müssen kritisch hinterfragt werden. Geben Sie niemals firmeninternes oder Passwörter per Mail weiter. E-Mails können gefälscht werden. Der Absender mag Ihnen bekannt vorkommen, es kann sich jedoch um eine Fälschung handeln. Öffnen Sie niemals ausführbare Dateien, die per Mail ankommen.

Geben Sie keine Informationen, wie bspw. Passwörter oder Transaktionsnummern am Telefon oder per Mail weiter, auch wenn Sie der Meinung sind, dass derjenige gegenüber nur helfen möchte. Seien Sie besonders skeptisch gegenüber unerwarteten Anrufen und überprüfen sie die Identität des Anrufers. Holen Sie sich stets eine zweite Meinung ein, wenn Sie sich über ein technisches Thema im Unklaren sind oder wenn Sie nicht wissen, wie vertraulich eine Information wirklich ist.

Verzichten Sein auf USB-Sticks, wenn Sie Ihnen als Geschenk angeboten werden. Stecken Sie gefundene USB-Sticks niemals an Ihren Computer an.

Sensibilisieren Sie Ihre Mitarbeiter darauf, dass sie auffälliges Verhalten an die Geschäftsführung oder eine Vertrauensperson (z.B. dem Datenschutzbeauftragten) melden.

Nehmen Sie die Angst – auch wenn ein Mitarbeiter Opfer eines Angriffs geworden ist und dies erst im Nachhinein bemerkt, sollte er keine Angst vor Abmahnungen oder der fristlosen Kündigung haben. Diese Mitarbeiter sollten als Opfer und nicht als Mittäter angesehen werden. Erfährt ein Unternehmen zeitnah von den Sicherheitsvorfällen, können vielleicht noch größere Schäden vermieden werden und weitere Angriffe verhindert werden. Auch das stärkt das Loyalitätsbewusstsein bei den Mitarbeitern.

 

Über den Autoren:

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Wann muss ein Datenschutzbeauftragter benannt werden?

Ab Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO), diese vereinheitlicht den Datenschutz europaweit. So wird es auch eine europaweit geltende Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) geben. Was wird sich für Deutschland ändern?

Anforderungen aus dem aktuellen Bundesdatenschutzgesetz (BDSG)

Nach dem derzeit noch geltenden Bundesdatenschutzgesetz (BDSG) besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn

  • mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten in Berührung kommen. Dabei ist nicht relevant, ob es sich um eigene Angestellte handelt oder nicht. (§4f Abs. 1 BDSG)
  • wenn die verantwortliche Stelle automatisierte Datenverarbeitungsvorgänge vornimmt, die eine Vorabkontrolle verlangen. (§4f Abs. 1 BDSG, §3 Abs. 9 BDSG)
  • wenn die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erhebt, verarbeitet oder nutzt. Dies gilt unabhängig von der Anzahl der Beschäftigten. (§4f Abs. 1 BDSG)
  • wenn die verantwortliche Stelle mindestens zwanzig Personen regelmäßig mit nichtautomatisierter Datenerhebung, -verarbeitung oder -nutzung beschäftigt (§4f Abs. 5 BDSG)

Eine „automatisierte Verarbeitung“ liegt beispielsweise vor, wenn personenbezogene Daten unter Einsatz von IT-Systemen erhoben, verarbeitet oder genutzt werden. Dies kann bereits für eine einfache Textverarbeitung vorliegen oder bei der Pflege von Kundendaten in einer Warenwirtschafts- oder Fakturalösung.

Die Bestellung des Datenschutzbeauftragten muss zwingend schriftlich durch die Unternehmensleitung erfolgen. Des Weiteren müssen die Mitarbeiter der Organisation der Datenschutzbeauftragte bekanntgemacht werden. Es besteht jedoch keine Pflicht der Aufsichtsbehörde die Bestellung mitzuteilen. Falls diese jedoch nach dem Datenschutzbeauftragten fragt, besteht eine Meldepflicht.

Sachverhalt mit DSGVO und neuem Bundesdatenschutzgesetz

In der DSGVO reduziert sich die Zahl der zur Bestellung eines DSB verpflichteten Unternehmen drastisch. Es ist bspw. keine Mindestzahl an Beschäftigten vorgegeben. Doch für die DSGVO gibt es eine Öffnungsklausel für nationale Ausnahmeregelungen. Hier kommt das ABDSG (Allgemeine Bundesdatenschutzgesetz) ins Spiel, das Nachfolgegesetz zum heutigen Bundesdatenschutzgesetz (BDSG).

Die Bestellpflicht für einen Datenschutzbeauftragten besteht für nicht öffentliche Unternehmen demnach unverändert fort gem. § 38 BDSGneu:

  • in der Regel sind mindestens 10 Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten beschäftigt oder
  • es werden Daten verarbeitet, die einer Datenschutz-Folgeabschätzung unterliegen oder
  • personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet

Nach der DSGVO muss die verantwortliche Stelle die Kontaktdaten des Datenschutz-beauftragten veröffentlichen und der zuständigen Aufsichtsbehörde melden. Das ermöglicht eine einfache und schnelle Kommunikation. Geschieht dies nicht, drohen Bußgelder. Diese können gem. § 83 Abs. 4 bis zu einer Höhe von 10 Millionen Euro oder 2% des weltweiten Umsatzes verhängt werden.

Doch wie ist der Datenschutzbeauftragte auszuwählen? Im Grunde hat jedes Unternehmen das Recht zu wählen, ob die Position intern oder extern besetzt werden soll. Im Unternehmen sollte man die Vor- und Nachteile eines internen oder externen abwägen. In Artikel 39 der Datenschutzgrundverordnung sind die Aufgaben des Datenschutzbeauftragten klar aufgelistet. Hierzu zählen:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten
  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten sowie der Strategie des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgeabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 „Datenschutz-Folgeabschätzung“
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 „Vorherige Konsultation“, und ggf. Beratung zu allen sonstigen Fragen.

Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Die oben genannten Aufgaben plus eine berufliche Qualifikation sowie das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis und die Fähigkeit zur Erfüllung der gesetzlichen Aufgaben müssen bei der Benennung beachtet und umgesetzt werden. Eine stetige Weiterbildung sowohl im IT-Bereich, als auch im juristischen Bereich sind von Nöten. Demnach dürfte dann jedermann, der qualifiziert ist im Datenschutzbereich, aktiv werden.

Unternehmen, die einen internen Datenschutzbeauftragten benennen wollen, müssen drauf achten, dass keine Interessenskonflikte entstehen. Doch was heißt das? Das heißt, dass wenn der Datenschutzbeauftragte einer weiteren Tätigkeit nachgeht (was bei einem internen Datenschutzbeauftragten in der Regel der Fall ist), darf er sich nicht selbst kontrollieren. Demnach darf kein Mitarbeiter aus der IT-Abteilung, der Personalabteilung oder gar aus der Geschäftsführung benannt werden.

Neu ist ferner, dass nach BDSG-Neu öffentliche Stellen nach §5 Abs. 4 einen externen Datenschutzbeauftragten benennen können. Die öffentliche Stelle muss die Kontaktdaten der oder des Datenschutzbeauftragten veröffentlichen und diese auch an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mitteilen. Nach dem alten BDSG durften externe Datenschutzbeauftragte nicht für eine öffentliche Stelle benannt werden.

 

Über den Autoren:

Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig.

Datenschutzprüfung durch Aufsichtsbehörde in Unternehmen

Wie könnten die Aufsichtsbehörden die höheren Überwachungspflichten in Unternehmen ab Mai 2018 prüfen? Am 25. Mai 2018 müssen Unternehmen die Anforderungen der EU #Datenschutzgrundverordnung (#DSGVO) umgesetzt haben. Die Aufsichtsbehörden sind in der Pflicht, die Umsetzung zu prüfen.

Es liegt auf der Hand, dass die zuständigen Behörden in 2018 anfangen, den Unternehmen Fragebögen bzgl. der Umsetzung zuzusenden. Die häufig in der Praxis diskutierte Frage, ob ein #Datenschutzbeauftragter zu bestellen ist, wird mit den EU-Vorgaben erweitert um eine Veröffentlichung und Meldepflicht (Art. 37 Abs. 8 #DS-GVO) gegenüber der Datenschutzaufsicht.

Diejenigen Unternehmen, die ihre Pflichten im Datenschutz erfüllt haben, wissen, dass alleinig die Bestellung eines #DSB nicht alle Anforderungen erfüllt. Viele Weitere Begrifflichkeiten tauchen auf: #Auftragsverarbeitung #ADV #Verarbeitungstätigkeiten #Verfahrensverzeichnis #Betroffenenrechte #Risikobewertung #Datenschutzverletzungen #PIA #Löschkonzept

Was sind jetzt aber konkret die Anforderungen und vor allem, wie könnten die Aufsichtsbehörden die Umsetzung in Unternehmen prüfen? Die bayerische Landesdatenschutzaufsicht (BayLDA) hat hierzu eine Antwort geliefert und exakt ein Jahr vor Ende der Übergangsfrist zur DS-GVO einen beispielhaften Fragebogen veröffentlicht.

Den Fragebogen (PDF) haben wir hier zum Download bereitgestellt.

Der Fragebogen ist sehr gut auch als Checkliste geeignet, anhand derer die Anforderungen zur Umsetzung im Projekt abgearbeitet werden können.

Die IT-Berater und IT-Sachverständigen der #comdatis unterstützen Sie gerne bei der Umsetzung der Anforderungen. Für Unternehmen verschiedener Größenordnung und Branche sind wir seit vielen Jahren als #Datenschutzberater und externe #Datenschutzbeauftragte tätig.

Ransomware – wie schützen?

Aktueller denn je: #Ransomware

Hier ein paar Tipps von Europol zum Schutz:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

#cybersecurity #comdatis #ransomware #informationssicherheit #wirtschaftsspionage #digitalisierung

ISO 27001 Auditor – Glückwunsch zur bestandenen Prüfung!

Wieder eine bestandene Prüfung bei unseren Mitarbeitern. Wir gratulieren unserem Mitarbeiter Faraz Afscharian zur bestandenen Prüfung zum „ISO/IEC 27001 Lead Auditor“.

Die ISO 27001 ist eine internationale Norm im Bereich der Informationssicherheit, nach der sich Unternehmen zertifizieren lassen können.

Erfahren Sie hier mehr über unsere Beratungs- und Prüfungslösungen zur Informationssicherheit.

Guter Vorsatz für’s neue Jahr: Sichere Kennwörter

„hallo“ ist das meistgenutzte deutsche Passwort, wie es heise im folgenden Artikel vom 22.12.2016 darstellt (öffnet in neuem Tab):

heise.de Artikel

Wie wäre es mit einem guten Vorsatz für’s neue Jahr: Sichere Kennwörter

Hierbei bitte folgende Regeln beachten:

  • Je länger ein Kennwort ist, desto besser
  • Ein gutes Kennwort enthält Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen
  • Kennwörter sollten regelmäßig geändert werden
  • für jeden Dienst im Web wird ein eigenes Kennwort verwendet
  • je nach verwendetem Dienst kann eine Zwei-Faktor-Authentifizierung verwendet werden (z.B. Benutzername und Kennwort und Einmal-Kennung aus einer SMS oder App)

Das weltweit am meisten verwendete Kennwort ist übrigens 123456.

Unterschiedliche Kennwörter für verschiedene Dienste sind insbesondere deswegen wichtig, weil wir als Anwender von Webdiensten nicht wissen, wie sicher die Kennwörter beim Anbieter gespeichert werden. Im schlimmsten Fall liegen die Kennwörter unverschlüsselt in einer Datenbank beim Anbieter.

Haben Sie als Unternehmen Fragen zu Sicherheit & Datenschutz? Sprechen Sie uns gerne an.

 

 

 

 

Absicherung von Telemediendiensten

Durch das IT-Sicherheitsgesetz haben sich auch Änderungen am Telemediengesetz (TMG) ergeben. Hierdurch entstehen verschärfte Anforderungen für geschäftsmäßig angebotene Telemedien. Bereits das Betreiben der Unternehmenswebsite fällt unter die Regelungen des § 13 Abs. 7 TMG. Gefordert wird eine Absicherung der Dienste nach dem „Stand der Technik“.

Wir hatten bereits darüber berichtet, dass z.B. Kontaktformulare mit der Eingabemöglichkeit personenbezogener Daten (z.B. Name) über eine Verschlüsselung verfügen müssen, um dem „Stand der Technik“ zu entsprechen.

Im Rahmen der Allianz für Cybersicherheit, bei der auch die comdatis Mitglied ist, hat das „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) am 27.09.2016 ein Empfehlungspapier veröffentlicht.

Das Dokument kann über den folgenden Link heruntergeladen werden (öffnet in neuem Tab):

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_125.html

Bei Fragen stehen unsere Datenschutz- und Informationssicherheitsspezialisten gerne zur Verfügung.

Polizeiwarnung für Rechnungsstellung per Mail

Die Digitalisierung bringt erhebliche Vorteile für die Geschäftsprozesse in Unternehmen. Dies gilt selbstverständlich auch für den Rechnungsversand per E-Mail. Neue Prozesse und Verfahren bringen leider auch neue oder veränderte Risiken mit sich. Aktuell warnt das LKA Baden-Württemberg vor einer Betrugsmasche, bei denen neue Bankverbindungen des Rechnungsstellers angekündigt werden.

Hierdurch wird schnell deutlich, wie wichtig Sensibilisierungen der Mitarbeiter und transparent dokumentierte Geschäftsprozesse (Verfahrensdokumentation) einschl. notwendiger Kontrollmaßnahmen (Internes Kontrollsystem (IKS)) sind.

Nachfolgend eine Downloadmöglichkeit der Meldung (öffnet in neuem Tab)):

https://www.polizei-bw.de/Dienststellen/LKA/Aktuelle%20Warnmeldungen/Betrug%20durch%20Austausch%20der%20Bankverbindung.pdf