BLACKOUT - der Roman von Marc Elsberg - empfiehlt sich als nützliche Lektüre fürs Corona-HomeOffice - nicht nur für Geschäftsführer und IT-Leiter.

Seit 1,5 Jahren arbeiten Mitarbeiter häufiger von zu Hause als aus dem Büro. Sie auch? Dann nutzen Sie die eingesparte Fahrtzeit doch für eine interessante Lektüre, die sich mit dem Thema IT-Security beschäftigt und viel mit Ihrem Beruf als Geschäftsführer, IT-Leiter / Administrator oder Datenschutzbeauftragter zu tun hat: Entscheiden Sie sich jetzt für den Roman BLACKOUT - Morgen ist es zu spät.

Empfohlene Urlaubslektüre von yourIT: Roman BLACKOUT - Morgen ist es zu spät

Viele kleine Unternehmen, Kanzleien und Praxen wurden Mitte 2019 von der Pflicht befreit, einen Datenschutzbeauftragten zu bestellen. Diese sollten nun reagieren und entweder freiwillig einen (externen) Datenschutzbeauftragten bestellen oder zumindest einen oder mehrere interne Datenschutzkoordinatoren bestellen und entsprechend ausbilden. Denn die Pflicht zu Aufbau und Pflege eines Datenschutz-Managementsystems (DSMS) im Unternehmen ist geblieben. Packen wir's an!

Hintergründe für diesen Blogbeitrag

Der Datenschutzkoordinator - ein Tausendsassa!

Der Bundestag hat im 2. DSAnpUG den Schwellenwert für die Pflicht zur Bestellung eines (externen) Datenschutzbeauftragten verdoppelt. Nun gilt diese Pflicht erst für ein Unternehmen, wenn sich mindestens zwanzig (bisher: zehn) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Für viele kleine Unternehmen/ Kanzleien/ Praxen wie z.B. Steuerberater, Rechtsanwälte, Ärzte, Zahnärzte, Apotheken, Handwerker, Architekten, etc. entfällt nun die Pflicht, einen Datenschutzbeauftragten zu bestellen. Doch Branchenverbände und auch Landesdatenschutzbeauftragte warnen offiziell davor, den Datenschutz durch den Wegfall der Pflicht auf die leichte Schulter zu nehmen.

Aufgrund eines blöden Schreibfehlers wurde dieser Blogbeitrag neu erstellt und veröffentlicht unter https://mydatenschutz.blogspot.com/2019/08/tausendsassa-datenschutzkoordinator-wie.html

Bereits seit 2013 werden unsere Beratungsangebote für Datenschutz, IT- bzw. Informationssicherheit, Digitalisierung und Organisation durch den Europäischen Sozialfonds (ESF) gefördert. Allein im Jahr 2018 haben wir über 75 geförderte Beratungen durchgeführt - vor allem im Bereich Datenschutz aufgrund der Umstellung auf die EU-DSGVO. Mittlerweile haben wir so mehrere hunderttausend Euro Fördermittel in den deutschen Mittelstand zurückgeholt.

Ein Unternehmen zu führen kann ganz schön anstrengend sein: Datenschutz, IT-Sicherheit, Digitalisierung, Organisation, EDV, neue Technologien oder Innovation – als Unternehmer müssen Sie sich mit vielen Themen vertraut machen. Wer dabei nur auf „learning by doing“ setzt, zahlt nicht selten hohes Lehrgeld. Schlimmer noch: Informationsdefizite sind die zweithäufigste Ursache für das Aus von Unternehmen.

Wir bieten Ihnen Unterstützung durch unsere Beratungsleistungen an. Unser Ziel ist es, die Wettbewerbsfähigkeit Ihres Unternehmens im globalen Markt zu erhalten und zu erhöhen.

BAFA-ESF-Beraterprofil-Thomas-Ströbele-yourIT

Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) betreut im Auftrag des Bundesministeriums für Wirtschaft und Technologie (BMWi) die Förderung von Unternehmensberatungen für kleine und mittlere Unternehme sowie Freie Berufe.

Seit Anfang 2018 arbeiten wir im Bereich Datenschutz-Schulungen mit unserem Partner Verein zur Förderung der Berufsbildung e. V., kurz VFB, zusammen. Der VFB ist die Bildungseinrichtung der IHK-Bezirkskammern Ludwigsburg und Böblingen und bringt 35 Jahre Erfahrung in der beruflichen Aus- und Weiterbildung mit. Die Partnerschaft ohne viel Blabla: der VFB organisiert, yourIT schult. Ab können unsere Datenschutz-Schulungen auch mit EU-Fördermitteln mit bis zu 50% der Kosten gefördert.

Bis zu 50% EU-Fördermittel auf Datenschutz-Schulungen von yourIT

yourIT setzt bereits seit 2013 sehr erfolgreich ESF-Fördermittel ein, um mittelständischen Unternehmen die Datenschutz-Initialprozesse Analyse und (Erst-) Beratung (kurz: Phase A+B) attraktiv anzubieten (weitere Infos hierzu unter https://www.mitgroup.eu) . So haben wir in den letzten Jahren über 200 geförderte Beratungen im Mittelstand durchgeführt. Der Rückfluß an Fördermitteln an die Unternehmen betrug weit über 300.000 EUR.

Am letzten Wochenende ist nach rund sechsmonatigen parlamentarischen Beratungen das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in Kraft getreten. Das sogenannte IT-Sicherheitsgesetz (kurz IT-SiG) stellt für Unternehmen "der kritischen Infrastruktur" Mindestanforderungen an die IT-Sicherheit auf. Es enthält z.B. eine Verpflichtung zur Meldung von Datenpannen und Cyber-Attacken. Kleine und mittelständische Unternehmen (KMUs) in diesem Bereich fallen eigentlich durch das Gesetzesraster. Weshalb diese häufig trotzdem betroffen sind, wissen die securITy-Experten von yourIT.

Das IT-Sicherheitsgesetz stellt dabei eine Zusammenfassung von bereits bestehenden Gesetzen dar. Wer darin eine konkrete Festlegung von Maßnahmen erwartet, die Betreiber kritischer Infrastrukturen zur Sicherung ihrer IT umsetzen müssen, kann lange suchen. Auf Grund der Schnelllebigkeit im Bereich IT-Sicherheit wäre dies aber auch nicht zielführend. Das IT-Sicherheitsgesetz stellt aber einen Rahmen dar - der durch noch zu erlassende Rechtsverordnungen und abzustimmende Sicherheitsstandards konkretisiert werden wird.

Ziele des IT-Sicherheitsgesetzes

Ein wichtiges Ziel des IT-Sicherheitsgesetzes ist es, das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu stärken. Die dort künftig zusammenlaufenden Informationen über IT-Angriffe sollen zügig ausgewertet und den Betreibern Kritischer Infrastrukturen zur Verbesserung des Schutzes ihrer Infrastrukturen schnellstmöglich zur Verfügung gestellt werden. Nachdem das IT-Sicherheitsgesetz jetzt inkraft getreten ist, sind die Betreiber Kritischer Infrastrukturen nun zur Erarbeitung und Umsetzung von IT-Mindeststandards in ihrem Bereich verpflichtet.

Definition "Kritische Infrastruktur"

Definition "Kritische Infrastruktur" in Sektoren, Branchen und Schutzzielen

Das IT-Sicherheitsgesetz nennt eine "kritischen Infrastruktur" - KRITIS. Dazu zählen speziell Betreiber von Kernkraftwerken und Telekommunikationsunternehmen sowie Unternehmen aus den Branchen Energie- und Wasserversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit und Ernährung / Lebensmittel.

Weshalb sind KMUs vom IT-Sicherheitsgesetz betroffen?

Direkt betroffen vom IT-Sicherheitsgesetz sind Schätzungen zufolge nur etwa 2.000 Betriebe in ganz Deutschland. Kleine und mittelständische Unternehmen - sogenannte KMUs fallen eigentlich durch das Raster der Gesetzgebung. Demnach könnte man meinen, KMU müssten die Anforderungen an die IT-Sicherheit nicht zwingend erfüllen. Davon ist aber nicht auszugehen. Arbeitet z.B. ein KMU als Zulieferer für ein Unternehmen der Kritischen Infrastruktur, das sehr wohl das IT-Sicherheitsgesetz beachten muss, kann das KMU fest damit rechnen, dass der Auftraggeber die Einhaltung gewisser IT-Sicherheits-Standards vom KMU fordert.

Vom IT-Sicherheitsgesetz IT-SiG direkt und indirekt betroffene Unternehmen

"Eine gute Wahl für einen IT-Sicherheitsstandard ist sicherlich die ISO 27001", so Thomas Ströbele, Geschäftsführer der yourIT und Lead Auditor ISO 27001. "Diese Norm ist derzeit der international anerkannteste Standard zum Thema Informationssicherheit."

Auf dem Weg zur ISO 27001 macht es aber oft Sinn, sich "kleinerer" IT-Sicherheitsstandards als Etappenziele zu bedienen. Beispiele hierfür sind ISA+, ISIS12 oder BSI-Grundschutz. Zwischen-Zertifizierungen sind damit einfacher erreichbar. Es stellt sich schneller ein Erfolgserlebnis ein. Die erreichten Ergebnisse lassen sich für die Erreichung der Zertifizierung nach ISO 27001 wiederverwerten.

IT-Sicherheits-Standards im Vergleich - ISA+, ISIS12, BSI-IT-Grundschutz und ISO 27001

Kosten der Umsetzung der Vorschriften des IT-Sicherheitsgesetzes für betroffene Unternehmen?

Für die Wirtschaft entsteht bei Betreibern Kritischer Infrastrukturen sowie deren Zulieferern Erfüllungsaufwand für die Einhaltung von IT-Sicherheits-Standards und die Einrichtung und Aufrechterhaltung entsprechender Meldewege.

Dies wird nur dort zu erheblichen Mehrkosten führen, wo bislang noch kein hinreichendes Niveau an IT-Sicherheits-Standards bzw. keine entsprechenden Meldewege etabliert sind. Für diejenigen betroffenen Unternehmen, die sich bereits in der Vergangenheit mit Datenschutz & IT-Sicherheit beschäftigt haben, sind keine steigenden Kosten zu erwarten. Zusätzliche Kosten entstehen für die Betreiber Kritischer Infrastrukturen und deren Zulieferer durch die Durchführung der vorgesehenen IT-Sicherheitsaudits.

Fazit zum IT-Sicherheitsgesetz

Wenn die Umsetzung notwendiger Pflichten auf freiwilliger Basis scheitert, muss der Staat manchmal einschreiten und gesetzliche Regelungen erlassen. Insofern finden sich viele Parallelen zwischen der Einführung des IT-Sicherheitsgesetzes und der Durchsetzung der Gurtpflicht. 1975 verweigerten sich Millionen Menschen dem Lebensretter Sicherheitsgurt. Männer fürchteten um ihre Freiheit, Frauen um ihren Busen. Erst die Einführung der Gurtpflicht mit empfindlichen Strafen ebnete der Vernunft und dem Sicherheitsgurt den Weg zum Lebensretter Nr. 1. Genauso wird das IT-Sicherheitsgesetz den Sicherheits-Muffeln unter den Unternehmen mit Kontrollen und empfindlichen Strafen den richtigen Weg ebnen. Schaut man sich die oben genannten Schutzziele an, profitieren wir alle davon.

“Unternehmen aus den im IT-Sicherheitsgesetz genannten Branchen sollten sich spätestens jetzt mit der Sicherheit ihrer Informationstechnik auseinandersetzen”, empfiehlt Thomas Ströbele. “Nach in Kraft treten der Rechtsverordnung bleibt diesen gerade mal sechs Monate Zeit, eine Kontaktstelle für das BSI zu benennen. Innerhalb von zwei Jahren müssen dann die definierten Mindeststandards umgesetzt werden.”

Wer schon jetzt die Voraussetzungen für ein gesundes und nachhaltiges Management von Informationen schafft, kann den gesetzlichen Neuerungen gelassen entgegensehen. yourIT unterstützt Unternehmen unter anderem mit IT-Schwachstellenanalysen sowie Datenschutz- und IT-Sicherheits-Audits, durch die festgestellt werden kann, inwieweit die Anforderungen der ISO 27001 bereits umgesetzt sind oder welche Maßnahmen noch notwendig sind. Außerdem unterstützt yourIT Unternehmen beim Erreichen der Zertifizierung nach ISO 27001.

Nachdem ich vergangenes Jahr in meinem Urlaub den Roman "BLACKOUT - Morgen ist es zu spät" gelesen habe, kommen mir die genannten Schutzziele vielleicht als besonders schützenswert vor. Beachten Sie unsere Sommeraktion 2015: Zu jedem Termin im August und September 2015 bringen wir ein kostenloses Exemplar des Bestsellers mit.

Empfohlene Urlaubslektüre von yourIT: Roman BLACKOUT - Morgen ist es zu spät

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr Thomas Ströbele

 

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT

Unsere Beratungspakete

• Kern-Prozessanalyse
• Sicherheitsaudit "IT-Infrastruktur"
• Informations-Sicherheitsanalyse ISA+

wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.

Sie haben ein Anschreiben eines Kunden (hier: Auftraggeber) erhalten, der mit Ihnen eine Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG schließen möchte? Sie haben nicht so wirklich einen Plan, was nun zu tun ist? Dann sind Sie hier richtig. Wir verhelfen Ihnen schnell und unkompliziert - und im besten Fall noch staatlich gefördert - zur notwendigen §11-Zertifizierung.

Mit einer proaktiven §11-Zertifizierung sparen Sie als Auftragnehmer bei der Auftragsdatenverarbeitung sich und Ihrem Auftraggeber sehr viel Prüfaufwand und damit Zeit und Geld.

Zertifizierung für Auftragsdatenverarbeiter gemäß §11 BDSG - von yourIT

Was bedeutet Auftragsdatenverarbeitung?

Datenverarbeitung im Auftrag liegt immer dann vor, wenn personenbezogene Daten Im Auftrag von einem Dienstleistungsunternehmen erhoben, verarbeitet oder genutzt werden.

Ihr Auftraggeber, also Ihr Kunde, muss Sie in regelmäßigen Abständen prüfen ob Sie ausreichende technische und organisatorische Maßnahmen zum Datenschutz eingerichtet haben und diese auch eingehalten werden. Wie diese Überprüfung durchzuführen ist, hat der Gesetzgeber nicht näher bestimmt, die Überprüfung ist aber zu dokumentieren und in regelmäßigen Abständen zu wiederholen. Dasselbe gilt im Umkehrschluss für Sie, wenn Sie in der Position als Auftraggeber fungieren.

Die Verantwortung für die Einhaltung der Datenschutzvorschriften verbleibt beim Auftraggeber! Der Mindestumfang des Vertragsinhalts wird im Gesetz konkret und umfassend vorgegeben.

Wird die Überprüfung des Auftragnehmers unterlassen oder der Vertrag nicht, nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise abgeschlossen, erfüllt dies den Tatbestand einer Ordnungswidrigkeit und ist mit einem Bußgeld bis zu 50.000 € belegt. Daher das Interesse Ihres Auftraggebers, diesen Vertrag nun korrekt mit Ihnen zu schließen.

Die Vorprüfung: Sind Sie überhaupt ein Auftragsdatenverarbeiter?

Das tun wir für Sie

Das alles erhalten Sie von uns im Rahmen des Auftrags

Ihr Nutzen

Achtung: Die §11-Zertifizierung durch unser Beratungsunternehemen ist im Jahr 2017 noch förderfähig! Mehr zu diesem und unseren anderen staatlich geförderten Beratungspaketen haben wir auf einer Webseite zusammengestellt: http://www.mITgroup.eu

Das yourIT Beratungskonzept in 4 Phasen

Ihr Thomas Ströbele

Dateien in der Cloud lassen sich von jedem Endgerät mit Internetzugang aus bequem erreichen, vorausgesetzt, die Dateien verschwinden nicht. Denken Sie bei Backups daran: Wolken können Löcher haben.

Der Speicherplatz in der Wolke

Jeder fünfte Bundesbürger speichert oder teilt Dateien wie Dokumente, Fotos oder Videos im Netz, wie eine Umfrage des Digitalverbands BITKOM ergeben hat. 36 Prozent der deutschen Internetnutzer ab 14 Jahren können sich vorstellen, Daten künftig ausschließlich in der Cloud zu speichern.

Wenn Sie nun denken, Sie gehören nicht zu denjenigen, die einen Speicherplatz in der Cloud nutzen, könnten Sie falsch liegen. Verwenden Sie einen Webmail-Dienst, dann liegen Ihre gespeicherten E-Mails in der Cloud. Und wenn Sie ein Smartphone verwenden, landen ebenfalls viele Dateien in der Cloud, da sowohl das iPhone als auch die Android-Smartphones beharrlich anbieten, Kontaktdaten, Dokumente, Fotos und Videos mit der jeweiligen Cloud zu synchronisieren.

Die Cloud als Speicherplatz in der Wolke

Flexibilität, Komfort und Gefahr in einem

Der Wunsch, von überall auf die eigenen Daten zugreifen zu können, lässt sich mit der Cloud verwirklichen. Einzige Voraussetzung für diese flexible und komfortable IT-Nutzung scheint eine gute Internetverbindung zu sein. In Wirklichkeit aber müssen die Dateien auch in der Cloud verfügbar sein, um auf sie zugreifen zu können.

Obwohl viele Nutzer die Cloud als ihr Backup nutzen, ist ein Datenverlust in der Cloud nicht ausgeschlossen, im Gegenteil. Die Verfügbarkeit in einer Cloud ist keineswegs selbstverständlich, wie viele Ausfälle und Datenverluste in Clouds in den letzten Monaten und Jahren gezeigt haben.

Unerlaubte Zugriffe sind nicht das einzige Cloud-Risiko

21 Prozent der Bundesbürger sind laut Umfrage besorgt um den Datenschutz, wenn es um die Datenspeicherung in der Cloud geht. Die meisten aber fürchten den Kontrollverlust und einen möglichen Datenmissbrauch durch unbefugte Zugriffe auf ihre Daten. Zweifellos muss man diese Risiken ernst nehmen.

Das Problem Verfügbarkeit

Doch die Verfügbarkeit der Daten in der Cloud ist ebenfalls in Gefahr:

• Einerseits kann der Cloud-Dienst ausfallen oder gestört sein. Die Daten sind dann zwar nicht automatisch weg, aber zumindest nicht erreichbar, selbst nicht mit der besten Internetverbindung.
• Zudem können die Daten auch tatsächlich verloren gehen. Es gab selbst bei führenden Cloud-Anbietern bereits Ausfälle und Störungen, bei denen Daten zerstört wurden, die sich nicht mehr wiederherstellen ließen.

Die Cloud braucht selbst ein Backup

Gerade bei der Nutzung mobiler Endgeräte scheint die Cloud das ideale Medium für die Datensicherung zu sein, und die meisten mobilen Backup-Lösungen nutzen Cloud-Speicher.

Allerdings kann man sich nicht einfach darauf verlassen, dass die Cloud ein Speicher ohne Löcher wäre. Ein Datenverlust ist auch in der Cloud möglich, und die Wiederherstellung und Datenrettung sind nicht einfach. Denn dazu muss man ja den ursprünglichen Speicherort kennen und die Bedingungen für eine Datenrettung herstellen, was gerade in einer Cloud, die man sich mit vielen anderen Nutzern teilt (Public Cloud), nicht ohne Weiteres möglich ist.

Wenn Sie also einen Cloud-Speicherdienst nutzen, um die Daten auf Ihrem Smartphone zu sichern oder um wichtige Dateien von jedem Standort mit Internetzugang im Zugriff zu haben, sollten Sie an das Verlustrisiko denken. Die Cloud braucht selbst ein Backup, auch wenn sie oftmals als Backup-Medium genutzt wird. Dass der Cloud-Anbieter für regelmäßige Backups sorgt, können Sie leider nicht einfach voraussetzen.

Was bedeutet das für Ihre Arbeit?

Clouds spielen nicht nur im Privatleben eine zunehmend wichtige Rolle. Im vergangenen Jahr haben in Deutschland 44 Prozent aller Unternehmen Cloud Computing eingesetzt. Das ist ein Anstieg um 4 Prozentpunkte im Vergleich zum Vorjahr, wie eine Studie der Wirtschaftsprüfungsgesellschaft KPMG gezeigt hat.

Umfrage zum Einsatz von Cloud Computing in deutschen Unternehmen bis 2014

Bei der Nutzung von Public Clouds sind Lösungen wie E-Mail und Kalender mit 46 Prozent die am weitesten verbreitete Anwendung. 36 Prozent der befragten Unternehmen nutzen Cloud-Lösungen für das Kundenmanagement.

Allein die Verwendung einer Cloud-Lösung sorgt nicht dafür, dass die E-Mails, Termine und Kundenadressen vor Verlust geschützt sind. Denken Sie deshalb daran, die internen Vorgaben zur Datensicherung genau einzuhalten.

Wenn Sie selbst Backups Ihrer Arbeitsdateien machen wollen, nutzen Sie bitte nur die intern freigegebenen Möglichkeiten. Verwenden Sie nicht einfach Ihren privaten Cloud-Speicherplatz, um Ihre beruflichen Dateien zu sichern. Das kann den Datenschutz gleich mehrfach gefährden, unter anderem durch das Risiko, Daten in der Cloud zu verlieren. Wolken können Löcher haben, durch die am Himmel die Sonne durchkommt, in der IT aber gehen auf diese Weise Daten verloren.

Schriftliche Regelung für Cloud-Nutzung ist notwendig

Eine Regelung der Nutzung von Cloud-Diensten sollte in jedem Unternehmen schriftlich erfolgen. In der Regel wird diese Teil der Datenschutz- bzw. der IT-Sicherheitsrichtlinie sein, ggfs. aber auch als separater Anhang.

Sie tun sich schwer damit, für Ihr Unternehmen schriftliche Richtlinien für Datenschutz & IT-Sicherheit zu formulieren? Wir übernehmen das gerne für Sie. Mit unserem Beratungspaket "Datenschutzkonzept Phase A+B" legen wir die Grundlage für die Erstellung von zu Ihrem Unternehmen passenden Datenschutzrichtlinien und IT-Sicherheitsrichtlinien.

Aktuell werden unsere Erstberatungen im Bereich Datenschutz von der BAFA mit Mitteln aus dem Europäischen Sozialfonds gefördert.

Unser gefördertes Datenschutz-Beratungskonzept Phase A+B

Weitere Infos hierzu finden Sie auf unserer Fördermittelseite http://www.mitgroup.eu/unsere-beratungspakete/3-datenschutzkonzept

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Auszug aus Datenschutz Now! April 2015

Datenschutz Now! ist unsere kostenlose Mitarbeiterzeitung für mehr Datenschutz & IT-Sicherheit in Ihrem Unternehmen. Eine Übersicht über die bisherigen Themen finden Sie unter http://mydatenschutz.blogspot.de/p/datenschutz-now.html. Dort können Sie unsere Mitarbeiterzeitungen auch kostenlos herunterladen.

Um Angriffe auf ihre Daten abzuwehren, investieren Unternehmen viel Geld. Dabei wird aber meist nur die Gefahr von außen berücksichtigt. Doch auch eine wirkungsvolle Firewall bietet keinen Schutz, wenn der Angreifer zum Zugriff autorisiert ist. Jüngste Erhebungen zeigen, dass eine große Gefahr besonders im Unternehmen selbst lauert. Mit einem Beschneiden der Zugriffsrechte sowie restriktiveren Vorgaben beim Passwortschutz ließe sich schon viel gewinnen.

Denn der Datenklau wird in den meisten Fällen nicht durch Hacker von außen, sondern durch Insider verursacht. In vielen Unternehmen wird mit Administrator-Rechten aus Bequemlichkeit zu nachlässig umgegangen. Weil ein kleiner Kreis Privilegierter die Personal- und Prozessplanung zumindest im Bereich der Flexibilität erschweren kann, werden auf Kosten eines schlüssigen Sicherheitskonzepts oft großzügig Zugriffsrechte eingeräumt.

Wie sich bei einer kürzlich durchgeführten Befragung ergab, wird die Nutzung der (Admin-) Rechte in der Regel nicht überwacht. Doch auch wenn eine Kontrolle stattfindet, wird der Sicherheit nicht immer ausreichend gedient: In vielen Fällen lassen sich die genutzten Mechanismen ganz einfach umgehen.

Verhängnisvolle Partnerschaft: Sicherheitskonzept muss kooperierende Firmen einschließen

Ein umfassendes Sicherheits- und Datenschutzkonzept wird umso notwendiger, wenn ein Zugriff von Dienstleistern wie z.B. IT-Systemhäusern auf die eigenen Daten möglich ist. Denn hier kommt zu der grundsätzlichen Problematik, bereits den eigenen Mitarbeitern vertrauen zu müssen, die Schwierigkeit hinzu, auch Dritte an den Prozessen zu beteiligen und Einsicht zu gewähren. Bedenken Sie: Wettbewerber haben immer ein Interesse an Ihren sensiblen Geheimnissen. Nicht umsonst gebietet § 11 BDSG die regelmäßige Kontrolle aller Auftragsdatenverarbeiter. Tipp: Wählen Sie wenn möglich ausschließlich Auftragsdatenverarbeiter aus, die entsprechend geprüft und zertifiziert sind. Wir wissen was zu tun ist und können die §-11-Zertifzierung gerne bei Ihren bestehenden Dienstleistern durchführen. Empfehlen Sie uns weiter!

Nutzer-Monitoring deckt Missbrauch auf

Obwohl dieses Problem von immer mehr Unternehmen erkannt wird, fehlt es häufig an wirksamen Maßnahmen. Dabei sind diese meist recht einfach umsetzbar. Zu den Grundregeln gehört es beispielsweise, dass jeder Mitarbeiter und besonders jeder Admin nur jene Zugriffsrechte bekommen darf, die für seine Arbeit auch tatsächlich benötigt werden. Pauschale Vollzugriffe erhöhen die Gefahr erheblich.

Die Nutzung sogenannter "Shared-Accounts" sollte vermieden werden. Personalisierte Zugriffe ermöglichen es, die Mitarbeiter im Zweifel auch persönlich zur Verantwortung ziehen zu können.
Sollten eventuell Super-User oder Root-Rechte vergeben werden, dann dürfen diese bei einem einzelnen Mitarbeiter nicht alle in der IT genutzten Systeme umfassen, sondern nur jene, für die er auch zuständig ist.

Die Einführung eines Nutzer-Monitorings sollte in jedem Fall erfolgen. Wichtig ist dabei die Möglichkeit des "Privileged Activity Monitoring": Darunter versteht man die Möglichkeit, im Zweifel auch den Inhalt einer Aktion nachverfolgen zu können. Viele einfache Monitoring-Lösungen speichern nur eine Aktion als solches.

Wir beraten - Sie erhalten die staatliche Fördermittel

Welche Maßnahmen konkret sinnvoll sind, können auf IT-Sicherheit & Datenschutz spezialisierte Beratungsdienstleister wie yourIT am besten beurteilen. Die Voraussetzung ist allerdings, dass die betroffenen Firmen die Risiken zunächst erkennen und angemessen bewerten. Denn glaubt man den Auskünften, die die Verantwortlichen in der Studie gegeben haben, ist ein Bewusstsein für die Problematik häufig vorhanden. Einzig die Konsequenzen daraus werden noch viel zu selten gezogen.

yourIT_Sicherheitsaudit_IT-Infrastruktur-sponsored_by_ESF

Unser yourIT-Beratungskonzept ist zertifiziert - dadurch erhält Ihr Unternehmen unter bestimmten Voraussetzungen Fördermittel aus dem Europäischen Sozialfonds (ESF) zur Unterstützung der Beratung.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT

Am 16.03.2015 wurden unsere Beratungspakete

• Kern-Prozessanalyse
• Sicherheitsaudit "IT-Infrastruktur"
• Informations-Sicherheitsanalyse ISA+

beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete

Mit yourIT und ISA+ Cert. haben kleine und mittelständische Unternehmen ab sofort die Möglichkeit einer kostengünstigen Zertifizierung ihrer Informationssicherheit auf Basis einer Informations Sicherheits Analyse eines akkreditierten Beraters gemäß dem öffentlichen ISA+ Fragenkataloges. 

Auf Basis eines vom Bayerischen IT-Sicherheitscluster e.V. speziell erstellten Fragenkataloges entwickelte das Forum ISA+ Cert des Instituts für Datenschutz und Informationssicherheit in Europa ein Prüf- und Zertifizierungsverfahren für die Erhebung und Bewertung des im Unternehmen erreichten Schutzniveaus für Informationen und Daten.

Muster-Zertifikat des IDIE auf Basis des ISA+ Standards

Mit dem Projekt ISA+ (Informations-Sicherheits-Analyse) bietet das Bayerische IT-Sicherheitscluster für kleine und mittelständische Unternehmen einen einfachen Einstieg in die Informationssicherheit. Mit Hilfe erfahrener Projektmitglieder aus dem IT-Bereich wurde eine für kleine und mittelständische Unternehmen (KMU) angepasste Bedarfsanalyse entwickelt. In der Bedarfsanalyse werden folgende Themenblöcke abgehandelt:

• Allgemein
• Organisatorisch
• Technisch und
• Rechtlich

Danach werden auf die Anforderungen von kleinen und mittleren Unternehmen angepasste Handlungsempfehlungen ausgesprochen.

Ziele der Informations-Sicherheits-Analyse mit dem ISA+ Fragenkatalog:

• Entwicklung eines IT-Sicherheitsprozesses, der verständlich die Notwendigkeit von IT-Sicherheit erklärt;
• auf die Bedürfnisse von kleineren Unternehmen abgestimmt ist;
• mit vertretbarem Aufwand auch von kleunen und mittelständischen Unternehmen zu bewältigen ist.

In Zusammenarbeit mit dem Institut für Datenschutz und Informationssicherheit in Europa (IDIE) bietet yourIT ab sofort eine einfache, schnelle und transparente Möglichkeit einer Bestandsaufnahme und Bewertung des aktuellen Informations-Sicherheitsniveaus auf Basis des ISA+ Fragenkataloges.

Offizielles Logo der Informations-Sicherheits-Analyse ISA+

Wozu noch ein Informationssicherheits-Management-System (ISMS)?

Angesichts der vielfältigen Gefährdungspotentiale nimmt die Informations-Sicherheit eine immer wichtigere Rolle ein. Wie sicher ist die verwendete IT-Infrastruktur? Welche technischen und organisatorischen Maßnahmen müssen konkret in der Organisation umgesetzt werden? Hierzu standen auch bisher schon eine Reihe von Sicherheitsstandards zur Verfügung:

• ISO 27001
• BSI IT-Grudschutz
• ISIS12

Aus bisherigen Projekten wissen wir, dass die Einstiegshürden für diese ISMS für kleine und mittelständische Unternehmen (KMU) meist zu hoch sind. Vorbereitung, Durchführung und Zertifizierung überfordern diese schnell. Die erforderlichen Ressourcen und Spezialisten fehlen und müssen teuer zugekauft werden. Aus diesen und weiteren Gründen verzichten viele KMU daher auf die Einführung eines ISMS - auch wenn Ihnen die Risiken bewußt sind. Das führt dazu, dass KMU in der Regel bereits an den ISMS-Einstiegsfragen scheitern, weil z.B.  Datenschutzrichtline, Informationssicherheitsleitlinie, Notfallplan, etc. fehlen.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Aus diesem Grund halten wir ISA+ für das sinnvolle ISMS bei kleinen und mittelständischen Unternehmen - vor allem, wenn diese sich das erste Mal an solch ein Projekt heranwagen. Eine spätere Erweiterung auf die größeren Standards ISIS12, BSI IT-Grundschutz und sogar ISO 27001 ist später problemlos machbar. Der Grundgedanke ist derselbe.

Und das Beste zum Schluss: Sponsored by ESF

Die im Rahmen der Informations-Sicherheits-Analyse ISA+ erforderliche Beratungsleistung bei kleinen und mittelständischen  Unternehmen (KMU) bildet ab sofort und noch für das restliche Jahr 2014 unser nächstes ESF-gesponsortes Beratungspaket.

yourIT - ESF-gefördertes Beratungskonzept Informations-Sicherheits-Analyse ISA+

Weitere vom Europäischen Sozialfonds (ESF) geförderte yourIT-Beratungspakete finden Sie hier: http://www.mitgroup.eu.


Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele
ISO 27001 Lead Auditor (ab 12/2014)

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT

Am 16.03.2015 wurden unsere Beratungspakete

• Kern-Prozessanalyse
• Sicherheitsaudit "IT-Infrastruktur"
• Informations-Sicherheitsanalyse ISA+

beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete

Das digitale Zeitalter bietet nicht nur technisch beste Möglichkeiten. Zurückliegende Diskussionen zeigen eindrucksvoll, wie groß die Herausforderungen der Gegenwart sind. Vor allem der Nachweis der Einhaltung der Vorgaben des Bundesdatenschutzgesetzes (BDSG) ist eine maßgebliche Voraussetzung, damit Auftragnehmer auf der einen Seite und Auftragggeber auf der anderen den erforderlichen Schutz ihrer Daten erreichen und nachweisen können. Die Sicherheit und Verlässlichkeit der Auftragsdatenverarbeitung wird in der §11-Zertifizierung auf Grundlage des BDSG sichergestellt - ein echtes Plus in der täglichen Arbeit.

Lassen Sie Ihr Unternehmen jetzt als Auftragsdatenverarbeiter gemäß §-11-BDSG zertifizieren

Datenschutz wird umfassend garantiert

Die Zertifizierung nach §11 erfolgt nicht ohne Grund auf Basis bundesgesetzlicher Regelungen. Da unterschiedliche Auftraggeber in der Regel auch verschiedene Anforderungen an ihre auftragnehmenden Geschäftspartner übermitteln, ist es oftmals schwierig, eine belastbare und allgemein gültige Grundlage zur Auftragsbearbeitung zu erstellen. Der entscheidende Vorteil:

Ist ein Geschäftspartner nach §11 zertifiziert, so verzichten die meisten Auftraggeber auf eine weitere Prüfung. Das spart Kosten und sorgt für eine sachgerechte Abarbeitung.

Zertifizierung nach § 11 bietet wertvolle Erkenntnisse

Die §-11-Zertifizierung umfasst die Berücksichtigung spezieller Datenschutz-Anforderungen und erfolgt daher regelmäßig durch einen externen Dienstleister wie yourIT. Der für die Zertifizierung nach §11 zuständige Dienstleister bespricht zuerst die Ausgangssituation evaluiert Schwachstellen innerhalb der Organisation und erarbeitet daraus nachhaltige Verbesserungsvorschläge. Der entscheidende Vorteil: Durch den Blick von außen können die Organisationen oder Unternehmen sicher sein, dass wirkliche Schwachstellen entdeckt und damit beseitigt werden können. Die Anleitungen zur Verbesserung der betrieblichen Praxis werden dann in einem Katalog von Auditfragen festgehalten und später mit den zuständigen internen Mitarbeitern besprochen. Durch die schriftliche Fixierung erhält das unter die Lupe genommene Unternehmen gewissermaßen eine Handlungsanleitung.

Zertifizierung als ein wichtiges Marketinginstrument

Die Zertifizierung erfolgt nicht überraschend, sondern der Audittermin wird vorab im persönlichen Gespräch vereinbart. Abschließend erhalten Unternehmen oder Organisation einen schriftlich ausformulierten Bericht, der das Audit und die Handlungsempfehlungen abschließend fixiert. Dieser Audit-Bericht wird durch die Zertifizierten nicht nur nach innen, sondern auch nach außen genutzt. Während der Audit-Bericht für den internen Bereich wertvolle Erkenntnisse liefert, kann er nach außen als wichtiges Marketinginstrument für die Akquise neuer Kunden genutzt werden.

Da die Rezertifizierung nach §11 regelmäßig erfolgt, ist das Audit stets auf dem aktuellen Stand und die Möglichkeit der Nutzung, beispielsweise für Marketingzwecke, jederzeit gegeben. Weil alles nachprüfbar ist, können Unternehmen oder Organisationen offensiv bewerben, dass sie verlässlich nach §-11-BDSG zertifiziert sind.

Wenn Sie die Möglichkeit nutzen, unser IT-Systemhaus um eine konkrete Unterstützung anzufragen, sind wir gerne mit einem Angebot behilflich. Durch die zeitnahe Zertifizierung sind wir in Lage, Ihnen schnellstmöglich die Sicherheit zu geben, die Ihre Arbeit auf verlässlicher Grundlage möglich macht und Ihnen wertvolle Pluspunkte im Kundenkontakt sichert.

Bonus für mittelständische Unternehmen - Jetzt Fördermittel nutzen!

Die yourIT-§-11-Zertifizierung für mittelständische Unternehmen - sponsored by ESF

Um die Wettbewerbsfähigkeit mittelständischer Unternehmen zu steigern, stehen für Beratungsprojekte wie z.B. die §-11-Zertifizierung Fördergelder des Europäischen Sozialfonds bereit. Achtung: Diese Fördermittel laufen Ende 2015 aus. Handeln Sie jetzt! Nähere Infos hierzu finden Sie hier.

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Liebe Leser meines Datenschutz-Blogs,

das alte Jahr ist zu Ende. Die Jahresdatenschutzberichte werden bereits fertiggestellt. Ich hoffe, meine Beiträge und die Ausgaben unserer Mitarbeiter- und Mandantenzeitung "Datenschutz Now!" der letzten Monate konnten etwas zum kontinuierlichen Verbesserungsprozess in Ihrem Unternehmen beitragen. Meine Bitte an Sie: Bleiben Sie dran!

Das neu Jahr bleibt spannend:

Die aktuelle Ausgabe der CHIP 02/2014 meldet, dass lt. Informationen von Dr. Bruce G. Blair (der ehemalige Präsident des Center for Defense Information) die Raketen-Abschusscodes für die internationalen Atomwaffen der USA mit dem selben Code gesichert: "00000000" - und das über 20 Jahre lang. Und das nicht mal unabsichtlich: Die Generäle wollten dadurch sicherstellen, dass sie die Raketen auch dann abschießen hätten können, wenn der Präsident keine Anweisungen mehr gegeben hätte.

Hoffen wir, dass es sich dabei um eine Zeitungs-Ente handelt.

Sie vermuten es sicherlich: Auch in Ihrem Unternehmen lauern weiterhin viele Schwachstellen, die es zu finden und zu beseitigen gilt. Unsere yourIT-Spezialisten sind darauf trainiert, mit ihrem Knowhow und Spezialwerkzeugen eben diese Schwachstellen zu finden und gemeinsam mit Ihnen zu eliminieren. Lassen Sie uns jetzt anfangen.

Übrigens: Diese yourIT-Beratungsleistung ist förderfähig. Die Fördermittel des ESF werden in 2014 letztmalig ausgeschüttet. Holen Sie sich jetzt Ihren Teil vom Kuchen.

Weitere Informationen zu diesem und unseren weiteren staatlich geförderten Beratungspaketen haben wir Ihnen auf einer eigenen Webseite zusammen gestellt: http://www.mitgroup.eu

Das yourIT Beratungskonzept in 4 Phasen

Ich freue mich auf Ihre Projektanfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele