Posts mit dem Label Datenschutzbeauftragter werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Datenschutzbeauftragter werden angezeigt. Alle Posts anzeigen

Donnerstag, 10. September 2020

Tausendsassa Datenschutzkoordinator - Wie Sie Datenschutz jetzt selbst aktiv umsetzen

Viele kleine Unternehmen, Kanzleien und Praxen wurden Mitte 2019 von der Pflicht befreit, einen Datenschutzbeauftragten zu bestellen. Diese sollten nun reagieren und entweder freiwillig einen (externen) Datenschutzbeauftragten bestellen oder zumindest einen oder mehrere interne Datenschutzkoordinatoren bestellen und entsprechend ausbilden. Denn die Pflicht zu Aufbau und Pflege eines Datenschutz-Managementsystems (DSMS) im Unternehmen ist geblieben. Packen wir's an!


Hintergründe für diesen Blogbeitrag



Der Datenschutzkoordinator - ein Tausendsassa!

Der Bundestag hat im 2. DSAnpUG den Schwellenwert für die Pflicht zur Bestellung eines (externen) Datenschutzbeauftragten verdoppelt. Nun gilt diese Pflicht erst für ein Unternehmen, wenn sich mindestens zwanzig (bisher: zehn) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Für viele kleine Unternehmen/ Kanzleien/ Praxen wie z.B. Steuerberater, Rechtsanwälte, Ärzte, Zahnärzte, Apotheken, Handwerker, Architekten, etc. entfällt nun die Pflicht, einen Datenschutzbeauftragten zu bestellen. Doch Branchenverbände und auch Landesdatenschutzbeauftragte warnen offiziell davor, den Datenschutz durch den Wegfall der Pflicht auf die leichte Schulter zu nehmen.

Montag, 1. Juli 2019

Bundestag verabschiedet Anpassung zum BDSG-neu

Die Grenze für die Pflicht zur Benennung eines Datenschutzbeauftragten wird auf 20 Personen heraufgesetzt - oder wie der Gesetzgeber neue Bußgeldfallen stellt.



Der Bundestag hat am Donnerstag, 27. Juni 2019 den Entwurf der Bundesregierung für ein zweites Gesetz zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016 / 679 beschlossen.
 Am meisten Aufmerksamkeit hat dabei Veränderung der Benennungspflicht bekommen.

Das zweites Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG-EU) bietet aber noch mehr Gesprächsstoff. Z.B. das 'Bundesamt für Sicherheit in der Informationstechnik' (BSI) – „die mit dem IT-Grundschutz“ - wird vor Betroffenenanfragen geschützt durch Einschränkung der Auskunftsrechte. Es gibt berechtigte Zweifel, ob dies sinnvoll ist, wenn nun DIE Behörde für Informationssicherheit weniger transparent arbeiten darf - vertrauensbildende Maßnahmen sehen jedenfalls anders aus. 

Schön, wenn wenigstens für die Bürokratie die Bürokratie abgebaut wird. Wie aber ist nun zu bewerten, dass jetzt nur noch Unternehmen, in denen mehr als 20, statt bisher 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtend einen Datenschutzbeauftragen bestellen müssen?


2 Zweites Datenschutz Anpassungsgesetz EU-DSGVO BDSG-neu Erste Änderung Folgen Unternehmen
Zukünftige Pflicht zu Benennung eines DSB ab 20 Mitarbeitern - Wann es sich lohn, durchzählen


Donnerstag, 18. April 2019

Bis zu 50% EU-Fördermittel für Datenschutz-Ausbildung in Baden-Württemberg

Seit Anfang 2018 arbeiten wir im Bereich Datenschutz-Schulungen mit unserem Partner Verein zur Förderung der Berufsbildung e. V., kurz VFB, zusammen. Der VFB ist die Bildungseinrichtung der IHK-Bezirkskammern Ludwigsburg und Böblingen und bringt 35 Jahre Erfahrung in der beruflichen Aus- und Weiterbildung mit. Die Partnerschaft ohne viel Blabla: der VFB organisiert, yourIT schult. Ab können unsere Datenschutz-Schulungen auch mit EU-Fördermitteln mit bis zu 50% der Kosten gefördert.



Bis zu 50% EU-Fördermittel auf Datenschutz-Schulungen von yourIT


yourIT setzt bereits seit 2013 sehr erfolgreich ESF-Fördermittel ein, um mittelständischen Unternehmen die Datenschutz-Initialprozesse Analyse und (Erst-) Beratung (kurz: Phase A+B) attraktiv anzubieten (weitere Infos hierzu unter https://www.mitgroup.eu) . So haben wir in den letzten Jahren über 200 geförderte Beratungen im Mittelstand durchgeführt. Der Rückfluß an Fördermitteln an die Unternehmen betrug weit über 300.000 EUR.

Mittwoch, 13. Februar 2019

Neuer Bundesdatenschutzbeauftragter äußert sich zu WhatsApp

Seit dem 01. Januar 2019 ist mit Ulrich Kelber erstmals ein Informatiker der Bundesbeauftragte für den Datenschutz und die Informationssicherheit – er folgt auf Andrea Voßhoff. In einem Interview äußert sich Kelber zum Thema WhatsApp.


Neuer Bundesdatenschutzbeauftragter


Ende November wurde der SPD-Abgeordnete Ulrich Kelber zum neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gewählt. Kelber wurde zum Nachfolger von Andrea Voßhoff (CDU). Das Amt trat Kelber zum 01. Januar 2019 an und legte dafür sein Bundestagsmandat nieder.

Neuer Bundesdatenschutzbeauftragter äußert sich zu WhatsApp


Klare Aussage gegen den Messenger-Dienst WhatsApp


In einem Interview mit Legal Tribune Online (LTO) stellt Ulrich Kelber dar, ...

Dienstag, 2. Januar 2018

EU-DSGVO - Was ändert sich für Cloud-Nutzer?

Wer in Zukunft Cloud-Dienste verwenden will, muss die Vorgaben der EU-Datenschutzgrundverordnung (kurz: EU-DSGVO) beachten. Doch was ändert sich im Vergleich zu heute?


Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung


Cloud Computing, also die Nutzung von IT-Ressourcen wie Rechenleistung, Applika-tionen und Speicherkapazität über das Internet, wird immer beliebter. Zwei von drei Unternehmen haben in Deutschland im Jahr 2016 Cloud Computing eingesetzt, so der Digitalverband Bitkom. Wenn in Kürze die Zahlen für 2017 vorliegen, wird zweifel-los eine weitere Steigerung festzustellen sein.

EU-DSGVO - Was ändert sich für Cloud-Nutzer?

Aus Sicht des Datenschutzes handelt es sich bei Cloud Computing in der Regel um eine Auftragsdatenverarbeitung. Diesen Begriff findet man in der Datenschutz-Grundverordnung (EU-DSGVO/GDPR), die ab 25. Mai 2018 anzuwenden ist, nicht mehr. Dort spricht man nur noch von Auftragsverarbeitung. Ist dies die einzige Änderung im Datenschutz, die Cloud-Nutzer kennen sollten? Nein, das ist sie nicht.


Donnerstag, 9. Juni 2016

EU-Datenschutz-Grundverordnung - 8 Dinge, die Sie jetzt vorbereiten sollten

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) soll das Datenschutzrecht innerhalb der Europäischen Union wesentlich vereinfachen, um Privatpersonen und Unternehmen mehr Kontrolle über die eigenen Daten zu verschaffen.


Wichtigste Neuerungen im Überblick


Der wichtigste Teil der neuen Datenschutzverordnung bezieht sich auf Data Governance und Rechenschaftspflicht, wodurch auf die Aufsichtspersonen (Bundesaufsichtspersonal) zahlreiche neue Verpflichtungen zukommen werden. Die Verordnung "Privacy by design" stellt für die Rechtssysteme aller EUMitgliedstaaten eine Neuerung dar. "Privacy by design" besagt, dass Unternehmen interne Richtlinien ausarbeiten und alle notwendigen technischen und organisatorischen Maßnahmen treffen müssen, so dass künftig eine personenbezogene Datenverarbeitung gewährleistet werden kann, bei der die persönlichen Daten ausschließlich für spezifische Zwecke verarbeitet werden können.

Die EU-Datenschutz-Grundverordnung ist jetzt festzementiert


Schutzverletzung und Persönlichkeitsrechte


Mit der neuen EU-Datenschutz-Grundverordnung werden neue Fristen eingeführt, die sich auf den Zeitraum beziehen, ab wann nationalen Aufsichtsorgane über eine Datenschutzverletzung informiert werden müssen. Die neue Frist beträgt nun 72 Stunden. Einzelpersonen werden zudem mehr Kontrolle über ihre persönlichen Daten haben. So können künftig Unternehmen verpflichtet werden, die personenbezogenen Daten der betroffenen Person zu löschen und alle Kopien zu vernichten.

Wie in unserem Blogbeitrag EU-DSGVO – was kommt auf den Mittelstand zu? ausgeführt, gibt es eine Übergangsfrist bis Mai 2018. Wir raten Ihnen aber dringend, Ihr Unternehmen jetzt bereits auf Kurs zu bringen.

Acht Dinge aus der EU-DSGVO, die sich jetzt schon umsetzen sollten


Anhand dieser unvollständigen Liste lässt sich klar erkennen, dass auf Unternehmen eine Menge Arbeit zukommen wird, um die neuen Regelungen und Richtlinien befolgen zu können:


  1. Vorbereitung auf den Verstoß gegen Persönlichkeitsrechte: Es sollten Richtlinien und Methoden entwickelt werden, die es ermöglichen, auf Datenschutzverletzungen schnellstens zu reagieren.
  2. Klar definierte Richtlinien gewährleisten Rechenschaftspflicht: Es sollte sichergestellt werden, dass klar definierte und transparente Richtlinien eingesetzt werden, um zu beweisen, dass alle notwendigen Datenschutz-Kriterien erfüllt werden.
  3. Integration von "Privacy by Design": Die Datenschutzbestimmungen sollten in jedem Datenverarbeitungs-Prozess befolgt werden, insbesondere bei Software-Lösungen.
  4. Detaillierte Analyse der Rechtsgrundlage, auf der personenbezogene Daten verwendet werden: Es sollte eine ausführliche Analyse der unternehmensinternen Datenverarbeitung durchgeführt werden, um sicherzustellen, dass gegen keine der neuen Datenschutzverordnungen verstoßen wird.
  5. Datenschutzbestimmungen und Richtlinien transparent und verständlich gestalten: Die Datenschutzbestimmungen und Richtlinie des Unternehmens sollten transparent gestaltet und in einer verständlichen Ausdrucksweise formuliert werden.
  6. Die Rechte der "Datensubjekte" in den Vordergrund stellen: Unternehmen sollten sich darauf vorbereiten, dass Einzelpersonen ihre zustehenden Rechte nach der neuen EU-Datenschutz-Grundverordnung einfordern werden. Bei der Speicherung persönlicher Daten, sollte unbedingt darauf geachtete werden, dass alle neuen Richtlinien zur Aufbewahrung persönlicher Daten erfüllt werden.
  7. Neue Verpflichtungen für Datenanbieter: Durch die neue EU-Datenschutz-Grundverordnung werden neue Verpflichtungen für Datenanbieter entstehen, die künftig umgesetzt und befolgt werden müssen.
  8. Internationale Datenübertragung: Bei internationalen Datentransfers sollte festgestellt werden, ob es gesetzlich erlaubt ist, personenbezogene Daten in ein anderes Land weiterzuleiten. 


Aus diesem kurzen Überblick über die neue EU-Datenschutz-Grundverordnung wird ersichtlich, dass die neuen Richtlinien Unternehmen nicht nur zwingen, personenbezogene Daten zu speichern, sondern auch bei Bedarf sicher und effektiv zu löschen.

Bei eventuellen Fragen und Unklarheiten zu der neuen EU-Datenschutz-Grundverordnung oder zu Datenschutz-Themen ganz allgemein stehen wir Ihnen jederzeit mit unserem fachmännischen Rat zur Seite.

Wir helfen Ihnen gerne, Ihr Unternehmen optimal auf die neuen Datenschutzregelungen vorzubereiten.

Ihr yourIT-Datenschutz-Team

Mittwoch, 25. Mai 2016

EU-Datenschutz-Grundverordnung – was kommt auf den Mittelstand zu?

Selbst Tageszeitungen haben darüber berichtet: In Brüssel hat man sich auf eine EU-Datenschutz-Grundverordnung EU-DSGV geeinigt. Lesen Sie, warum die Verordnung zwar erst ab Mitte 2018 gilt, aber schon jetzt eine gewisse Beachtung verdient.


EU-weite Regelungen als Vorteil


Einheitliche Datenschutzregelungen für die gesamte EU fordern gerade exportorientierte Unternehmen schon lange. Aber auch für Verbraucher, die gern über das Internet jenseits der deutschen Grenzen einkaufen, sind einheitliche Vorgaben von Vorteil. In erstaunlich kurzer Zeit haben sich die EU-Instanzen nun auf solche EU-weiten Regelungen geeinigt. Für jedes andere Mitgliedland ist die Regelung jetzt gültig und tritt in Kraft am 25. Mai 2018 – etwas mehr als zwei Jahre nachdem sie im Amtsblatt veröffentlich wurde.

Die EU-Datenschutz-Grundverordnung ist jetzt festzementiert

EU-Verordnungen wirken wie Gesetze


Das zentrale rechtliche Instrument - Die EU-Datenschutz-Grundverordnung EU-DSGV - ist nicht wie bisher nur eine Richtlinie sondern eine europäische "Verordnung" – und damit bindendes Recht in den teilnehmenden Mitgliedstaaten. Sie wirkt wie ein Gesetz. Daher gibt es keine Notwendigkeit mehr zur Anpassung in das lokale nationale Recht. Einige Länder werden dies aber höchstwahrscheinlich trotzdem tun und ihre bestehenden Datenschutzgesetze, sowie andere Gesetze in Bezug auf personenbezogene Daten, überarbeiten. Jedes Unternehmen sollte nun die verbleibende Zeit nutzen, um zu überprüfen, ob ihre aktuelle Datenverarbeitung und die Datenschutzrichtlinien und Regeln dem neuen Gesetz entsprechen.

Das war bei der EG-Datenschutzrichtlinie EU-DSGV von 1995 anders, die bisher die maßgebliche EU-Regelung für den Datenschutz darstellte. Diese hatte für sich allein keine rechtliche Wirkung für Unternehmen und Privatpersonen. Die erforderliche Umsetzung im Recht der Mitgliedstaaten geschah erst mit jahrelanger Verzögerung.

Übergangsfrist bis Mai 2018


Bei der EU-Datenschutz-Grundverordnung EU-DSGV wird es anders ablaufen. Anfang Mai 2016 wurde sie im Amtsblatt der EU veröffentlicht. Nun läuft eine Übergangszeit von zwei Jahren. Und dann gilt die Verordnung ab dem 25. Mai 2018 über Nacht in vollem Umfang für alle Unternehmen und Privatpersonen innerhalb der EU.

Folge dadurch: „Fallbeileffekt“


Dieser „Fallbeileffekt“ wird alle Unternehmen dazu zwingen, sich bis Mitte 2018 zunehmend stärker auf die Verordnung vorzubereiten. Wundern Sie sich also nicht, wenn demnächst viele Informationen im Unternehmen gesammelt werden müssen, obwohl die Verordnung streng rechtlich gesehen noch gar nicht gültig ist. Zu den Vorgaben der Grundverordnung gehört es nämlich, dass Unternehmen in vielerlei Hinsicht zusätzliche Dokumente erstellen müssen. So müssen sie etwa nachweisen, dass sie erforderliche technische Schutzmaßnahmen bei der Datenverarbeitung und bei der Auftragsdaten-Verarbeitung tatsächlich einhalten.

Extrem hohe Bußgelder möglich


Unabhängig wie hoch die (Geld-)strafen in der alten nationalen Gesetzgebung waren, die in der EU-DSGVO verankerten Strafen sind wirklich immens. So hoch, dass, wenn sie einer kleinen bis mittelgroßen Firma auferlegt werden, existenzbedrohend sein können. „Schlampereien“ können da teuer zu stehen kommen. Im Extremfall sind nämlich Bußgelder bis zu 20 Millionen Euro und 4% des weltweiten Umsatzes des Unternehmens möglich.

Das Bundesdatenschutzgesetz legt dagegen für Bußgelder bisher noch eine Obergrenze von 300.000 Euro fest. Der Vergleich der beiden Beträge zeigt deutlich, wie sehr die Zügel angezogen werden. Bitte haben Sie also Verständnis dafür, wenn notwendige Unterlagen auch einmal etwas drängend angefordert werden. Nur so lässt sich möglicher Schaden vom Unternehmen abwenden.

Mehr Datenschutzbeauftragte in der gesamten EU


Nichts ändert sich übrigens daran, dass es einen betrieblichen Datenschutzbeauftragten geben muss. Die Einzelheiten dafür, wann dies erforderlich ist, überlässt die Verordnung zwar weiterhin dem Recht der Mitgliedstaaten. Für Behörden schreibt sie jedoch europaweit behördliche Datenschutzbeauftragte vor. Für Unternehmen gilt dies dann, wenn es bei ihren Kernaktivitäten um die regelmäßige und systematische Beobachtung von Betroffenen geht oder um besonders sensible Daten. Zumindest im Personalbereich hat jedes Unternehmen solche besonders personenbezogenen Daten. Also braucht jedes Unternehmen einen Datenschutzbeauftragten. Außerdem brauchen Auftragsdatenverarbeiter künftig ganz selbstverständlich einen Datenschutzbeauftragten - unabhängig von der Größe.

Einwilligungen von Kunden gelten weiter


Für die Praxis wichtig: Einwilligungen von Kunden, die bereits vorliegen, wenn die Verordnung Mitte 2018 gültig wird, bleiben auch danach wirksam! Bedingung ist nur, dass sie unter Beachtung der Vorgaben des bisherigen Rechts eingeholt wurden. Beachten Sie also weiterhin peinlich genau das geltende Recht, wenn eine Einwilligung erfolgt! Das macht sich bezahlt, wenn die neue Verordnung ab Mai 2018 gilt.

Betriebsvereinbarungen bleiben in Kraft


Auch Betriebsvereinbarungen zum Datenschutz bleiben unverändert in Kraft. Eine entsprechende Klarstellung konnte bei den Verhandlungen in Brüssel erreicht werden. Es ist also nicht notwendig, wegen der EU-Datenschutz-Grundverordnung EU-DSGV bewährte Betriebsvereinbarungen neu zu verhandeln.
Anpacken statt abwarten!

Insgesamt gesehen wird es notwendig sein, die EU-Datenschutz-Grundverordnung EU-DSGV bis Mitte 2018 mehr und mehr zu berücksichtigen. Nur so lässt sich vermeiden, dass dann alles Mögliche sozusagen „über Nacht“ neu gestaltet werden muss. Wann gehen wir das Thema Datenschutz gemeinsam in Ihrem Unternehmen an?

BEST OF CONSULTING 2015 und 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet.


Freitag, 1. April 2016

Erpressungs-Trojaner: So reagieren Sie richtig

Aktuell überstürzen sich die Meldungen über Erpressungs-Trojander, die sich auf Rechnern einschleichen. Diese "Ransomware" verschlüsselt wichtige Daten der Opfer und verlangt Lösegeld für die Entschlüsselung. Sowohl Unternehmen als auch Privatnutzer sind in Gefahr. Was tun, um dem zu begegnen?


Erpresser kommen per E-Mail sowie über Internet und Apps


2016 wird das Jahr der Online-Erpressung, da sind sich IT-Sicherheits-Experten einig. Bereits seit über zehn Jahren versuchen Internet-Kriminelle, ihren Opfern Angst einzujagen und Geld zu erpressen. Früher behaupteten die Erpresser, sie hätten die Nutzer bei einer illegalen Tat erwischt, zum Beispiel bei der Nutzung einer Raubkopie. Nur gegen Zahlung eines Geldbetrags würden sie der Polizei gegenüber schweigen. Die Erpressermasche hat sich inzwischen geändert und bedroht nun das Herzstück jeder IT, die Daten.

yourIT warnt vor gefährlichen Erpresser-Trojanern

Die Erpressung beginnt mit einer Schadsoftware, die über E-Mail, Browser oder mobile Apps auf das Gerät des Opfers kommt. Dort verschlüsselt das Schadprogramm alle Daten des Nutzers. Nur gegen Zahlung des Lösegelds werden die Daten wieder freigegeben, also entschlüsselt, so die Drohung.  Diese Art von Attacken werden auch als Ransomware bezeichnet ("Ransome" ist der englische Begriff für "Lösegeld").

Neue Maschen der Ransomware


Täglich erreichen unsere Security-Experten erschreckende  Meldungen über neue Arten von Erpressungs-Trojanern. Einer schlimmer als der letzte. Die neuesten Maschen sind:

  • 30.03.2016: Der Erpressungs-Trojaner SAMSA (auch Samsam, Samas oder Mokoponi genannt) wird über Hacker aktiv eingeschleust. Mittels aktive durchgeführter Penetrationstests finden die Cyber-Verbrecher bekannte und nicht geschlossene Schwachstellen in Ihrem IT-Netzwerk und nutzen diese daraufhin aus. Im nächsten Schritt versuchen die Erpresser soviele Systeme im Netz zu übernehmen wie möglich. Erst zum Schluß wird der eigentliche Erpressungs-Trojaner SAMSA eingeschleust und hat dann natürlich leichtes Spiel, einen großen Teil des Unternehmensnetzwerks zu verschlüsseln. 
  • 29.03.2016: Gelangt der Erpressungs-Trojaner PETYA auf ihren Rechner (häufig per Dropbox!), tut er erstmal so, als ob Windows abgestürzt wäre. Erst in einer zweiten Phase - beim Neustart des Systems - werden die Daten verschlüsselt. Startet man das System nicht neu, kann man die daten noch retten. Also: Aktuell sollte man Vorsicht walten lassen, wenn der Rechner plötzlich abstürzt.


Opfer sind größtenteils völlig hilf- und schutzlos


Leider sind viele Opfer so hilflos, dass sie tatsächlich bezahlen, oft aber ohne dass die versprochene Entschlüsselung stattfindet. Bezahlt man mit Kreditkarte, missbrauchen die Täter womöglich auch diese Daten, zusätzlich zu den unbrauchbaren eigenen Daten.

Der Schaden ist enorm 


Wie erfolgreich die Online-Erpresser sind, zeigen aktuelle Beispiele: Die Schadsoftware CryptoWall konnten IT-Sicherheitsforscher in über 406.000 Fällen nachweisen. Die Erpresser erbeuteten dabei 325 Millionen US-Dollar als Lösegeld. Leider ist das kein Einzelfall. Der Schaden für die betroffenen Unternehmen und Nutzer geht aber noch weiter, als es die Höhe des Lösegelds vermuten lässt. Da die Angreifer die Daten häufig gar nicht mehr entschlüsseln, fehlen sie dauerhaft.

Verschlüsselte Daten als Super-Gau


Häufig gibt es keine Datensicherung bei den Betroffenen, oder die Datensicherung war ebenso schlecht geschützt wie die Daten selbst, und beides wurde verschlüsselt. Je nach Daten und Art des Unternehmens kann ein solcher Datenverlust die Existenz bedrohen oder aber den Ruf so stark schädigen, dass Kundenzahl und Umsatz drastisch zurückgehen.

Bei Privatnutzern ist der Schaden finanziell gesehen zwar meist geringer. Aber wenn sich wichtige Daten wie die einzigen Fotos, die von einem geliebten Menschen noch vorhanden sind, nicht mehr öffnen lassen, ist der Verlust ebenfalls groß.

Nicht erpressen lassen, sondern Daten besser schützen


Auch Deutsche Sicherheitsbehörden wie das Bundeskriminalamt oder die Landeskriminalämter warnen derzeit vor Erpressungs-Trojanern. Sie raten dazu, den Online-Erpressern kein Lösegeld zu zahlen. Gegen diese Online-Erpresser können Sie sich nur durch eine gute Absicherung der IT wappnen: Ein professionelles Firewall-Konzept, aktuelle Antiviren-Software und eine Begrenzung der Berechtigungen auf den Computern, die mit dem Internet verbunden sind.

Entscheidend ist vor allem die regelmäßige, vollständige und geschützte Sicherung der Daten, um Erpressungs-Trojanern den Schrecken zu nehmen. Hat man ein Backup, braucht man keine Entschlüsselung – die oft sowieso nie kommen würde.

So schützen Sie sich vor den aktuellen Erpressungs-Trojanern



Liebe Unternehmer, den effektivsten Schutz für Ihre Daten bringt derzeit eine umfassende Sensibilisierung der Mitarbeiter! Schulen Sie diese jetzt und weisen Sie dabei auf folgende Punkte hin:

  • Prüfen Sie eingehende E-Mails sorgfältig, insbesondere dann, wenn Sie über einen Link zum Download von Unterlagen unbekannter Quellen aufgefordert werden.
  • Öffnen Sie niemals Links oder Dateianhänge in Nachrichten von Ihnen unbekanntem Absendern.
  • Überprüfen Sie Links hinsichtlich der tatsächlichen Zieladresse, indem Sie mit dem Zeiger der Maus über den Link streifen („Mouse-Over“). Bitte nicht klicken!
  • Öffnen Sie niemals Dateianhänge mit unüblichen Dateitypen (.exe, .vbs, .pdf.exe, .js, etc.). Achten Sie darauf, dass Ihr System Dateianhänge vollständig anzeigt. Sonst wird z.B. die Endung *.pdf.exe als *.pdf angezeigt.
  • Prüfen Sie ein- und ausgehende E-Mails und Dateien mit Anti Malware Tools (Spamfilter, etc.)
  • Sichern Sie Ihre Systeme mit Schutzsoftware (Firewall, Anti-Viren-Programm) und halten Sie diese aktuell
  • Installieren Sie regelmäßig Updates für Adobe Flash, Java, Adobe Reader etc.
  • Führen Sie regelmäßige Datensicherungen auf externe Medien bzw. Online-Backups durch.
  • Denken Sie zweimal nach, bevor Sie in Portalen wie Facebook auf sensationshaschende oder neugierigmachende Meldungen klicken.


Sollten Sie doch einmal Opfer eines solchen Angriffs werden: Ruhe bewahren!

Bleiben Sie ruhig und gehen Sie wie folgt vor:

  • Trennen Sie das befallene Gerät umgehend vom Netzwerk (durch Abziehen des LAN-Kabels).
  • Gehen Sie auf keinen Fall auf die Forderung der Kriminellen ein. Bezahlen Sie nicht!
  • Melden Sie das Problem Ihrem Vorgesetzten, dem IT-Verantwortlichen oder Ihrem IT-Dienstleister.
  • Erstatten Sie eine Anzeige bei der nächsten Polizeidienststelle.
  • Stellen Sie Ihre Daten aus einem Backup wieder her, gegebenenfalls mit der Unterstützung externer IT-Sicherheits-Spezialisten wie yourIT.

Wie können wir von yourIT Sie unterstützen?


Wir haben einen Leitfaden entwickelt. Gefahr erkannt - Gefahr gebannt: So schütze ich mich vor Viren und Erpressungs-Trojanern. Fragen Sie uns jetzt an.

Erpressungs-Trojaner Wir von yourIT helfen Ihnen gern!
Leitfaden: So schütze ich mich vor Viren und Erpressungs-Trojanern

Sie benötigen professionelle Unterstützung? Als IT-Systemhaus bieten wir Ihnen beispielsweise folgende Leistungen:

  • Beratung und Implementierung von Datenschutz- und IT-Sicherheits-Konzepten
  • Durchführung von Sicherheitsaudits für "IT-Infrastruktur" und "Webapplikationen"
  • Durchführung Basis-Check ISO27001 und Einführung eines ISMS
  • Stellung des externen Datenschutzbeauftragten / IT-Sicherheitsbeauftragten
  • Technische Maßnahmen wie Firewall, Anti-Viren-Software, Spam-Schutz, Offline- und Online-Backup, Clientmanagement, IT-Monitoring, Managed Services, etc.
  • Konzeption und Durchführung von Schulungs- / Sensibilisierungsmaßnahmen für Ihre Mitarbeiter
  • ...

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


Mittwoch, 2. Dezember 2015

Win-win durch Datenschutz

5 typische Schwachstellen und wie Sie diese beheben können


„Datenschutz in Deutschland bedeutet „mit Gürtel + Hosenträger“ weiß Thomas Ströbele von yourIT aus seiner Erfahrung als externer Datenschutzbeauftragter. Das BDSG ist bekannt für seine Strenge. Für Unternehmen, die sich an die gesetzlichen Vorgaben halten, bringt Datenschutz aber auch einige Vorteile.


Vor allem mittelständische Unternehmen konzentrieren sich immer noch auf Schwachstellen in der Informationssicherheit. Wertvolle Unternehmensdaten sollen nicht durch technische Defekte oder menschliche Fehler verloren gehen oder von Unbefugten unberechtigt kopiert oder ausgeschnüffelt werden. Das ist zweifelsohne wichtig.

Dabei wird aber oft der Datenschutz vernachlässigt, also die sichere Handhabung personenbezogener Daten. Dabei hängen Informationssicherheit und Datenschutz eng zusammen, denn was personenbezogene Daten schützt, schützt auch Betriebs- und Geschäftsgeheimnisse.


yourIT - Datenschutz im Informationssicherheits-Kontext

Das Bundesdatenschutzgesetz (BDSG) kümmert sich um personenbezogene Daten und verpflichtet Unternehmen dazu, Mitarbeiter-, Kunden und Lieferantendaten zu schützen und nur zweckgebunden zu verwenden.

Verbot mit Erlaubnisvorbehalt


„Das BDSG verbietet jegliche Nutzung von personenbezogenen Daten, es sei denn, diese ist erlaubt.“ Für Thomas Ströbele, Geschäftsführer der yourIT aus Hechingen ist damit der Auftrag klar. Als externer Datenschutzbeauftragter und Lead Auditor ISO27001 hilft er mittelständischen und großen Unternehmen, personenbezogene Daten genau so zu schützen wie andere für das Unternehmen wertvolle Daten – und bringt damit den Unternehmen Vorteile.

Win-win durch Datenschutz


Zu den Vorteilen für Unternehmen gehört eine geringere Geschäftsführer-Haftung durch die Einhaltung gesetzlicher Vorgaben. Daneben macht sich die Vorbeugung gegen Schäden wie Umsatzeinbußen bei Datenverlust sowie Bußgelder bezahlt. Kunden bevorzugen immer häufiger sichere Unternehmen und die Maßnahmen führen zudem zu einer besseren Organisation und zu effektiveren Prozessen. „Investitionen in Datenschutz und Informationssicherheit machen bereits aus gesundem Menschenverstand Sinn.“


Datenschutz - mit yourIT



Datenschutzkonzept in 4 Phasen


Um Unternehmen ohne große Reibungsverluste in das Thea Datenschutz einzuführen, hat yourIT ein Datenschutzkonzept in 4 Phasen entwickelt. „In der ersten Phase analysieren wir den aktuellen Zustand des Unternehmens sowie was  in welcher Form geschützt werden muss, um den Umfang – und die Kosten - klein zu halten.“ erklärt Ströbele den Start in den Datenschutz.
In der nächsten Phase wird das Datenschutz-Pflichtenheft erstellt. Welche Maßnahmen sind zu ergreifen, um die gefundenen Schwachstellen zu eliminieren? „Als Schwabe liebe ich es, nach dem Minimax-Prinzip zu arbeiten: Wie kann ein Unternehmen mit minimalem Ressourcenaufwand die maximalen Fortschritte machen!“ Dieser Plan gefällt den Verantwortlichen in den Unternehmen verständlicherweise.

Erst jetzt in Phase 3 macht sich der Datenschutz-Experte an die Umsetzung der notwendigen Maßnahmen im Unternehmen. Dabei unterscheidet er technische, organisatorische und qualifizierende Maßnahmen. Letztere bedeuten die Sensibilisierung der Mitarbeiter. „Die meisten Datenschutzpannen entstehen wegen Fehlern von Mitarbeitern!“ warnt Ströbele. Eine sinnvolle Einweisung der Mitarbeiter ist unverzichtbar. yourIT setzt hier auf kurze Präsenz- und Onlineschulungen gemäß dem Prinzip „Man kann über alles reden, aber nicht über 45 Minuten! Bewährt hat sich auch die Mandantenzeitung „Datenschutz Now!“, welche yourIT ihren Kunden 6x im Jahr kostenfrei zur Verfügung stellt.

Datenschutz Now!
Unsere Mandantenzeitung Datenschutz Now!


In der vierten und letzten Phase übt Ströbele mit den Unternehmen das Dranbleiben. Dazu gehören die Aufnahme neuer Verfahren genauso wie die Durchführung von Kontrollen zur Einhaltung der getroffenen Schritte.

5 typische Schwachstellen


Zum Schluss nennt Ströbele noch 5 typische Schwachstellen, die Sie selbst eliminieren können.

1. Rechner nicht gesperrt

Damit führen Mitarbeiter jedes Berechtigungskonzept ad absurdum. Schulen Sie Ihre Mitarbeiter, beim Verlassen des Arbeitsplatzes den Rechner zu sperren. Unglaublich, aber oft scheitert dies am mangelnden Wissen der Mitarbeiter um die Tastenkombination Windows-Taste + L.

2. Verwendung unsicherer Passwörter

Der Name des Ehepartners oder Hundes ist genauso ungeeignet wie ein Geburtsdatum. Schulen Sie ihren Mitarbeitern, wie sie ein sicheres Passwort mit 8-12 Klein-/Großbuchstaben, Zahlen und Sonderzeichen generieren und es sich merken, ohne es aufzuschreiben. Unterschiedliche Passwörter je Anwendung und ein regelmäßiger Wechsel der Passwörter machen Angreifern das Leben schwer.

3. Sorgloses Klicken auf Links und Öffnen von Dateianhängen

Ein falscher Klick und ein Trojaner verschlüsselt alle Unternehmensdaten. Meist folgt auf diesen Angriff eine erpresserische Zahlungsaufforderung. Aber egal ob Sie bezahlen oder nicht – die Daten bleiben meist verloren. Hier helfen nur vorbeugende Schulung der Mitarbeiter und funktionierende Viren-, Spam und Backup-Konzepte.

4. Steuernummer auf der Website

In vielen Finanzämtern ist Datenschutz noch immer ein Fremdwort. Wenn ein Unbefugter geschickt anfragt, funktioniert die Steuernummer wie eine Art „PIN“ zur Steuerakte und damit zu vertraulichen Finanzdaten. Verwenden Sie stattdessen ausschließlich die Umsatzsteuer-ID.

5. Newsletter-Versand an offenen E-Mail-Verteiler

Sicher haben auch Sie schon einmal eine Serienmail erhalten, bei der sie sehen können, wer außer Ihnen diese noch erhalten hat. E-Mail-Adressen sind personenbezogene Daten. Manche Empfänger finden diese unerlaubte Veröffentlichung unpassend. So wurde unlängst in einem solchen Fall ein Bußgeld festgesetzt. Hier hilft nur Schulung.

„IT’s not your business!“


So lautet die Empfehlung von yourIT an mittelständische Geschäftsführer. „Holen Sie sich externe Experten für Datenschutz und IT-Sicherheit ins Haus und nutzen Sie deren Erfahrung aus anderen Projekten. Dann bleibt mehr Zeit für Ihre eigentlichen Wertschöpfungsprozesse.“


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


Sonntag, 23. Juni 2013

yourIT - Datenschutz und IT-Sicherheit in Ihrem Unternehmen

Datenschutz ist kein Luxus sondern gesetzlich vorgeschrieben! Wir unterstützen Sie gerne als Datenschutz-Berater und/oder als externer Datenschutzbeauftragter. yourIT steht seit 11 Jahren für Sicherheit in allen IT-Fragen.


Die Pflicht eines Unternehmens zur Schaffung einer sicheren IT-Struktur ist im Datenschutzrecht [im BundesDatenSchutzGesetz, im TeleKommunikationsGesetz und im Gesetz zu Kontrolle und Transparenz] begründet.

Das Bundesdatenschutzgesetz (BDSG) schreibt den Umgang mit persönlichen Daten von Kunden, Geschäftpartnern und Mitarbeitern vor. Es beinhaltet u.a. die Vorschrift zur Bestellung eines Datenschutzbeauftragten (DSB), wenn mehr als 9 Mitarbeiter ( incl. Teilzeitkräfte, Aushilfen, Azubi ) personenbezogene Daten mittels EDV bearbeiten.

Werden so genannte "sensible Daten", das sind Daten über Gesundheit, Leistungsfähigkeit, Religion oder ethnische Herkunft verarbeitet, muss in jedem Fall ein DSB bestellt werden. Verstöße werden mit hohen Bußgeldern geahndet.

Wenn Mitarbeiter den PC an ihrem Arbeitsplatz auch für privates E-Mailen und Surfen nutzen dürfen, müssen die einschlägigen Vorschriften des Telekommunikations Gesetzes (TKG) beachtet werden, sonst droht auch hier ein Bußgeld sowie die Strafbarkeit nach §206 des Strafgesetzbuches (STGB).

Die Anforderungen an Verträge zur Auftragsdatenverarbeitung wurden durch die Novellierung des BDSG im September 2009 drastisch verschärft.

GmbH-Geschäftführer und Vorstände einer AG sind nach dem KonTraG verpflichtet, ein Risiko-Früherkennungssystem einzuführen um den Fortbestand des Unternehmens zu sichern. Dieses System muß auch den IT-Bereich umfassen (Zugriff auf Daten im Notfall). Versagt das Konzept haftet die Unternehmensführung persönlich.

yourIT - Wir stehen für Sicherheit in allen IT-Fragen


Immer mehr Firmen, speziell Auftragsdatenverarbeiter gemäß § 11 BDSG entdecken das Thema Datenschutz als Bestandteil ihrer Marketingstrategie neu. Denn die Kunden (hier: Auftraggeber) werden aufgrund der aktuellen Entwicklungen gesteigerten Wert darauf legen, dass sorgsam mit Ihren persönlichen Daten umgegangen wird. Als Dienstleister für Dienstleister bieten wir Ihnen die passende §-11-Zertifizierung - für KMU sponsored by ESF.

Vor allem bei internationalem Datentransfer und/oder in internationalen Konzernen sollten Sie einen Datenschutzbeauftragten haben, der sich damit auskennt. Dass wir von yourIT Ahnung von Konzern-Strukturen und -Abläufen haben, belegen unsere Lösungen zur Konzernkonsolidierung (www.intercompanyWEB.com und www.groupreportWEB.com). Lesen Sier hierzu auch meinen Beitrag auf diesem Blog.

Wir bieten Ihnen die Möglichkeit, einen geprüften Datenschutzbeauftragten (externer DSB) gemäß §4f des Bundesdatenschutzgesetzes (BDSG) zu bestellen, der Sie bei der Umsetzung der o.g. Vorschriften unterstützt.

Um den Weg in das Thema Datenschutz so einfach wie möglich zu gestalten, bieten wir unseren Kunden und Interessenten einen halbtägigen Workshop Datenschutz an. In 5 Schritten zeigt unser Datenschutzberater Ihnen die wichtigsten Punkte des BDSG incl. Novellen 2009 und erklären dabei, wie Sie aus eigener Power mit externer Unterstützung die Anforderungen schnellstmöglich erreichen. Wir machen Ihnen gerne ein Angebot!

Ihre Möglichkeiten einer Zusammenarbeit mit yourIT:

- Sie haben einen betrieblichen / internen Beauftragten für den Datenschutz bestellt? Über einen Beratervertrag unterstützen und schulen wir diesen gerne ab sofort bei der Durchführung seiner Tätigkeit.
- Alternativ bestellen Sie einen unserer Mitarbeiter zu Ihrem externen Datenschutzbeauftragten.

In dieser Region macht eine Zusammenarbeit mit yourIT auf jeden Fall Sinn:

Bestellen Sie einen externen Datenschutzbeauftragten von yourIT, wenn Sie aus folgenden Regionen kommen - denn unsere Mitarbeiter sind auch von hier.


Landkreise
Städte
Böblingen, Calw, Esslingen, Freudenstadt, Reutlingen, Rottweil, Schwarzwald-Baar, Sigmaringen, Stuttgart, Tübingen, Tuttlingen, Zollern-Alb, Zollernalbkreis
Aichtal, Albstadt, Alpirsbach, Altensteig, Bad Cannstatt, Bad Dürrheim , Bad Herrenalb, Bad Liebenzell, Bad Saulgau ,Bad Teinach-Zavelstein, Bad Urach, Bad Wildbad, Balingen, Birkach, Blumberg, Botnang, Böblingen, Bräunlingen ,Burladingen, Degerloch, Donaueschingen, Dornhan, Dornstetten, Esslingen, Feuerbach, Filderstadt, Freudenstadt, Fridingen an der Donau, Furtwangen im Schwarzwald, Geislingen, Gammertingen, Geisingen, Haigerloch, Haiterbach, Hayingen , Hechingen, Hedelfingen, Herrenberg, Hettingen, Horb am Neckar, Hüfingen ,Kirchheim unter Teck, Leinfelden-Echterdingen, Mengen ,Meßstetten, Meßkirch , Metzingen , Möhringen,, Mössingen, Mühlhausen, Mühlheim an der Donau, Münsingen, Münster Nagold, Neubulach, Neuffen, Nürttingen, Oberndorf am Neckar, Obertürkheim, Ostfildern, Owen, Pfullendorf, Pfullingen , Plieningen, Plochingen, Reutlingen, Rottenburg am Neckar, Rottweil, Rosenfeld, Scheer, Schiltach , Schömberg, Schramberg, Sigmaringen, Sillenbuch, Sindelfingen, Spaichingen, Starzach, Stammheim , St. Georgen im Schwarzwald, Stuttgart, Sulz am Neckar, Triberg im Schwarzwald, Trochtelfingen, Trossingen, Tübingen, Tuttlingen, Untertürkheim, Vaihingen, Veringenstadt, Villingen-Schwenningen, Vöhrenbach , Wangen, Weilheim an der Teck


Sollten Sie Ihren Firmensitz außerhalb unserer Region haben, können wir Sie auf Wunsch gerne trotzdem betreuen. Gerne nennen wir Ihnen aber auch einen unserer deutschlandweit vertretenen und ebenso qualifizierten Partner.

Möchten auch Sie unseren Weg ins Thema Datenschutz kennenlernen? Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr

Thomas Ströbele