Sonntag, 28. Dezember 2014

Vorsicht vor gefälschten Überweisungsträgern - Betrugsversuche aus dem Ausland

Wir möchten Sie hiermit dringend vor einer Betrugsmasche warnen, die gerade um sich greift. Immer öfter werfen Unbekannte Überweisungsträger mit gefälschten Unterschriften bei Banken ein oder senden diese per Post. Manchmal haben sie damit Erfolg. Bei uns von yourIT ging's gerade nochmal gut.


Uns von yourIT war diese Betrugsmasche mit den gefälschten Überweisungsträgern bereits bekannt. Immerhin durften wir erst im Juli 2014 neben Banken und dem LKA vortragen und die IT-Sicht vertreten bei der Veranstaltung "Betrugsversuche aus dem Ausland". Ein Vertreter der regionalen Banken hatte über die Betrugsmasche mit gefälschten Überweisungsträgern berichtet. Er hatte auch darauf hingewiesen, dass sie ihr Risikomanagement darauf ausgerichtet hatten. Die Bankmitarbeiter sind darauf geschult. Wer hätte gedacht, dass jemand versuchen würde, diesen Betrugsversuch kaum 5 Monate später bei uns selbst anzuwenden.

Betrugsversuch aus dem Ausland - gefälschter Überweisungsträger

Wie läuft der Betrugsversuch ab?


Innerhalb von nur 3 Tagen wurden an unsere beiden Girokonten bei unseren Hausbanken 2 Überweisungsträger geschickt. Beide kamen aus Spanien. Beide wollten etwas mehr als 19.000 EUR abbuchen. Wir sprechen hier also von fast 40.000 EUR. Die Unterschriften beider (!) Geschäftsführer auf den Überweisungsträgern sahen täuschend etc. aus.

In beiden Fällen fielen die Überweisungsträger den Bankangestellten nur deshalb auf,
  • weil die Bank unser Unternehmen kennt,
  • weil wir eigentlich nie Überweisungsträger verwenden und
  • weil wir selten bis nie Überweisungen ins Ausland tätigen.
Die Bankvertreter haben daher erstmal bei uns angefragt und um Freigabe gebeten. Da bei uns nur Geschäftsführer Zahlungen freigeben dürfen, konnte dies bei uns selbstverständlich nicht funktionieren.

Wie sieht das bei Ihrem Unternehmen aus?


Sie sollten sich folgende Fragen stellen:
  • Ist Ihr Unternehmen Ihrer Bank ausreichend bekannt?
  • Verwenden Sie noch papierbasierte Überweisungsträger? Ist dies der Bank bekannt?
  • Kommen Überweisungen ins Ausland von Ihrem Konto vor?

Wer haftet bei einem erfolgreichen Überweisungsmissbrauch?


Erst einmal wird gemäß § 675 u BGB (Bürgerliches Gesetzbuch) die Bank haften, denn bei einer vom Kontoinhaber nicht autorisierten Überweisung ist zwischen Kontoinhaber und der Bank kein wirksamer Vertrag zustande gekommen. Kein Wunder also, dass die Bankmitarbeiter gut geschult und das Risikomanagement aktiv sind.

Um Ärger mit der Bank zu vermeiden empfehlen wir allerdings, selbst entsprechende Vorkehrungen zu treffen und die Schadenswahrscheinlichkeit dadurch zu senken.

Wie können Sie diesen Betrugsversuchen mit gefälschten Überweisungsträgern vorbeugen?


Folgende Maßnahmen sollten Sie jetzt ergreifen:
  • Machen Sie Ihre Bank auf die Betrugsmasche aufmerksam (falls noch nicht bekannt).
  • Teilen Sie Ihrer Bank Ihr übliches Überweisungsverhalten mit.
  • Falls möglich: Verzichten Sie komplett auf beleghafte Überweisungen. Oder veranlassen Sie, dass Ihre Bank bei beleghaften Überweisungen immer Rücksprache mit Ihnen hält.
  • Grenzen Sie die Zahl der Länder ein, an die Sie Überweisungen tätigen werden.
Ein weiterer wichtiger Hinweis kommt vom LKA und zielt auf die täuschend echten Unterschriften der yourIT-Geschäftsführer auf den Überweisungsträgern:
  • Veröffentlichen Sie auf keinen Fall Unterschriftsproben der Zeichnungsberechtigten Ihres Unternehmens (Vorstand, Geschäftsführer, Prokuristen, ...). Angebote müssen in der Regel nicht unterschrieben werden. Wer von sich Unterschrifts-Muster gar im Internet veröffentlicht, braucht sich über Betrugsversuche mit gefälschten Überweisungsträgern nachher nicht wundern.
Achtung: Es wurden bereits Fälle bekannt, in denen der Überweisungsträger ein deutsches Girokonto als Empfängerkonto enthielt. Begrenzen Sie Ihr Augenmerk also nicht ausschließlich auf ausländische Konten.

So machen Sie Ihr Unternehmen sicherer


Bereits im Juli haben wir 10 Handlungsempfehlungen verfasst, um Ihr Unternehmen sicherer zu machen. Lesen Sie hier weiter.

Wir hoffen, wir konnten Ihnen mit dieser Information weiterhelfen.

yourIT - securITy in everything we do.



Ihr Thomas Ströbele

Thomas Ströbele

Donnerstag, 4. Dezember 2014

yourIT stellt mit Thomas Ströbele ab sofort einen leitenden Auditor ISO 27001

Das Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa verstärkt sein Engagement im Bereich Informationssicherheit. Mitglieder aus dem Netzwerk zum Institut für Datenschutz und Informationssicherheit in Europa (IDIE) nahmen in der Woche vom 24.11.2014 bis zum 28.11.2014 an der Schulung zum „ISO/IEC 27001:2013 Leitender Auditor“ in Bad Arolsen teil. Für die yourIT GmbH aus Hechingen nahm Thomas Ströbele erfolgreich teil. Nach eigenen Recherchen ist er damit einer von derzeit gerade mal etwa 80 ISO 27001:2013 Lead Auditoren in ganz Baden-Württemberg.


Das Seminar durchgeführt hat der Marktführer für Normung, Zertifizierung und Weiterbildung, die British Standards Institution (kurz: BSI – http://www.bsigroup.com/de-DE/). Der Tutor Adrian Lambeck begleitete die Teilnehmer durch das fünftägige Training und vermittelte die notwendigen Fähigkeiten und Fertigkeiten, um ein Informationssicherheits-Management-Audit kompetent und konform bis zur höchsten Stufe durchführen zu können.

Die Teilnehmer der BSI-Schulung zum "ISO/IEC 27001:2013 Lead Auditor" mit Thomas Ströbele (5. v.links) von yourIT


Inhalte des Seminars


Durch die Schulung wurde das Fundament der modernen Informationssicherheits-Management-Systeme (ISMS - Information Security Management System) beschrieben und vermittelt, im Einzelnen:
  • der internationale Standard für Informationssicherheit ISO/IEC 27001:2013,
  • der dazugehörige Implementierungsleitfaden ISO/IEC 27002 mit
  • allen wichtigen Teilbereichen wie Security Policies, Risikomanagement, Business Continuity Planning oder internes Auditing.
In den fünf Tagen wurden nicht nur die wesentlichen Grundlagen der Informationssicherheit dargelegt, erörtert und besprochen, sondern auch übergeordnete Aspekte wie die Organisation, Technik oder das Prozessmanagement kamen nicht zu kurz. Zudem wurden die nachfolgenden Inhalte im Kurs erarbeitet:
  • Erstellung eines ISMS, Auswahl und Handhabung der Kontrollinstrumente;
  • Audit- und Interviewtechniken, Führen und Leiten des Auditteams;
  • Einleitung und Durchführung eines Audits, Organisation von Einführungs- und Abschlussmeeting;
  • Auditbericht, Formulierung von Abweichungen und Ausarbeitung von Korrekturmaßnahmen.

bsi.-Zertifikat ISO 27001:2013 Lead Auditor Thomas Ströbele

Resümee eines Teilnehmers


Mit erfolgreichem Bestehen der IRCA Prüfung haben die Teilnehmer die Fähigkeit mitgenommen, exzellente interne und externe Audits nach ISO/IEC 27001:2013 planen und durchführen zu können. Dies kann Thomas Ströbele, Geschäftsführer der yourIT GmbH aus Hechingen und Teilnehmer des ISO/IEC 27001:2013-Seminars, nur bestätigen: "Zusammen mit anderen Experten aus den Bereichen Datenschutz & IT-Sicherheit an einem fünftägigen Intensivtraining teilzunehmen war ein besonderes Erlebnis. Ohne die langjährige Erfahrung aus vielen Datenschutz- und IT-Sicherheits-Audits wäre der Stoff kaum zu meistern gewesen. Wir werden unsere Vorgehensweise nun noch mehr an den Standards der Norm ISO 27001 ausrichten. Dennoch steht für unsere mittelständischen Kunden die Zertifizierung nach ISA+ weiterhin im Vordergrund - eventuell als Zwischenschritt zur ISO 27001.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Abgrenzung Datenschutz & Informationssicherheit

Der Begriff "Informationssicherheit" bezieht sich auf alle schutzwürdigen Informationen im Unternehmen (wie z.B. Betriebsgeheimnisse, Technologie-Knowhow, etc.). Zur Informationssicherheit zählt somit auch die Sicherheit personenbezogener Daten. Der Schutz personenbezogener Daten wird als Datenschutz bezeichnet und ist somit Teil der Informationssicherheit.

Abgrenzung Informationssicherheit und Datenschutz

Ein wichtiger Unterschied: Der Schutz personenbezogener Daten ist gesetzlich vorgeschrieben und somit für Unternehmen unumgänglich.

In beiden Bereichen sind vom Unternehmen bestimmte Sicherheitsstandards einzuhalten. Dies kann über Informations-Sicherheits-Management-Systeme (ISMS - Information Security Management System) geschehen sowie über proaktives Vorgehen zum Datenschutz. Damit erfüllen Unternehmen die gesetzliche Vorschriften (Datenschutzgesetze) und gewinnen und sichern gleichzeitig das Vertrauen von Kunden, Lieferanten und Partnern.

yourIT - securITy in everything we do

… so lautet der Leitgedanke von yourIT. Unser Ziel ist es, Ihre IT-Prozesse zu optimieren und damit langfristig Ihre Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus prüfen wir den Sicherheits-Status Ihrer IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT-Sicherheit & Datenschutz und implementieren die für Sie besten Lösungen.

Wir unterstützen Sie ebenso bei der Richtlinien-Definition, Einhaltung der Policies und sichern den laufenden Betrieb. Lernen Sie unsere bedarfsgerechte und praxiserprobte Arbeitsweise jetzt in einem kostenlosen Vor-Ort-Termin kennen und überzeugen Sie sich selbst!

yourIT - securITy in everything we do

Wir stehen für Sicherheit in allen IT-Fragen und freuen uns auf Ihre Projektanfragen.

Ihr yourIT-Team

Für weitere Fragen zum Thema Datenschutz und Informationssicherheit steht Ihnen Herr Ströbele gerne zur Verfügung. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Sonntag, 23. November 2014

Kein Impressum-Button im XING-Profil - OLG Stuttgart beendet #XINGGATE

Stuttgart, 20.11.2014: Das OLG Stuttgart hat entschieden, dass Personenprofile auf XING nun doch kein Impressum benötigen. Damit endet die sogenannte #XINGGATE-Affäre mit einem Sieg des vor einiger Zeit abgemahnten XING-Nutzers. Im Sommer 2014 musste man noch mit einer großen Abmahnwelle auf XING rechnen.

Mit einem Verweis auf dieses Urteil haben XING-Nutzer große Chancen, im Falle einer Abmahnung e benfalls den Sieg davon zu tragen. Wer allerdings schon gar nicht in die Gefahr einer Abmahnung geraten möchte, sollte auch weiterhin einen Link auf das Unternehmens-Impressum auf seinem XING-Profil platzieren. Eine Anleitung finden Sie im weiteren Verlauf dieses Posts.

Was vorher geschah:

Hechingen, 19.08.2013: Die häufigen Anfragen von uns Datenschützern haben endlich gefruchtet. XING hat reagiert und stellt nun zumindest im persönlichen XING-Profil einen Impressum-Button im Standard zur Verfügung. Leider steht der Impressum-Button für das XING-Unternehmensprofil noch aus. Hier zeigen wir Ihnen, wie Sie es richtig machen und Abmahnungen vermeiden.


Um diesen zu aktivieren scrollen Sie in den Profildetails ganz nach unten und klicken dann auf Impressum bearbeiten.

Neue XING-Funktion "Impressum bearbeiten"

*******************************************************************

Änderung im August 2014 zum Impressum-Link auf XING

Der Impressum-Link im XING-Profil wurde nun weiter nach oben verschoben. XING reagiert damit auf ein Urteil des Landgerichts Stuttgart. Dieses stellte fest, dass der bisherige klitzekleine Impressum-Link rechts unten die gesetzlichen Anforderungen nicht erfüllte. Ob das nun besser gelöst ist, bleibt abzuwarten.

Der Impressum-Link auf dem XING-Profil ist nun weiter oben zu finden

******************************************************************

Im sich öffnenden Fenster weist XING auf folgendes hin:
"Hier können Sie Ihr Impressum eintragen, das in einigen Ländern auch für Internetpräsenzen von Privatpersonen vorgeschrieben ist. 
Ob eine Verpflichtung für Sie besteht und welche Angaben notwendig sind, entnehmen Sie bitte den auf Sie anwendbaren Gesetzen. Im deutschen Recht finden Sie Impressumspflichten insbesondere in § 5 Telemediengesetz."
Wir empfehlen Ihnen, zumindest einen Link zum Impressum auf der Firmenwebseite zu setzen. Dort sollten Sie noch folgenden Text hinterlegen: "Dieses Impressum gilt auch für die XING-Profile unserer Mitarbeiter." Zum Thema "Abmahnungen und korrektes Impressum" berichteten wir hier bereits im März 2012.

So sieht das fertige XING-Impressum dann für Besucher Ihres XING-Profils aus:

XING-Impressum von Thomas Ströbele mit Link zum yourIT-Impressum

Leider hat es XING bisher nicht geschafft, einen Impressum-Button auch für das XING-Unternehmenprofil bereitzustellen. Als Zwischenlösung empfehlen wir daher, einen direkten Link auf das Impressum der Firmen-Webseite zu setzen. Ein korrektes Beispiel sehen Sie auf dem XING-Unternehmensprofil von yourIT.

Achtung: Weisen Sie Ihre Mitarbeiter unbedingt in Ihrer Social Media Policy auf die korrekte Vorgehensweise mit dem XING-Impressum hin. Die wesentlichen Inhalte einer solchen Social Media Policy finden Sie in meinem Post "Chefsache Facebook".

Für weitere Fragen zum Thema Datenschutz und Social Media stehe ich Ihnen mit unserem Team gerne zur Verfügung. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Donnerstag, 9. Oktober 2014

Datenschutz Now! - 2 Jahre Mandanten- und Mitarbeiterzeitung

Für regelmäßige Datenschutz-Schulungen bzw. -Einweisungen ist in erfolgreichen mittelständischen Unternehmen in der Regel wenig Zeit. Außerdem haben theoretisch geführte Datenschutz-Schulungen mit klein beschriebenen PowerPoint-Folien nicht gerade einen hohen Beliebtheitsgrad bei den Mitarbeitern.


Vor etwa 2 Jahren haben wir von yourIT uns dieses Problems angenommen. Unsere Lösung lautet seither "Datenschutz Now!" und erscheint seither alle 2 Monate, also 6x im Jahr.

yourIT - unsere Mitarbeiter- und Mandantenzeitung Datenschutz Now!

In unserer Mitarbeiter- und Mandantenzeitung Datenschutz Now! versuchen wir, für viele langweilige Datenschutzproblematiken aus der privaten Sicht der Mitarbeiter zu beleuchten. Unser Themen-Mix und die Relevanz der Beiträge auch für das Privatleben unserer Leser sorgen für mehr Motivation und Aufmerksamkeit und gehören deshalb zu Ihrer erfolgreichen Strategie bei der Mitarbeitersensibilisierung.

Wir machen Ihre Mitarbeiter mit Datenschutz Now! erfolgreicher fit im Datenschutz


Für uns und unsere Kunden ist Datenschutz Now! seither eine sehr effektive Datenschutz-Maßnahme und führt zu einer positiven Wirkung auch beim internen Datenschutz-Audit.

Und das Beste: Datenschutz Now! ist für Sie als (potentieller) Kunde kostenlos.

Alle unsere bisherigen Ausgaben der Datenschutz Now! haben wir Ihnen hier zum Download bereitgestellt. Zu jeder Ausgabe haben wir die behandelten Themen kurz zusammengefasst. Wir wünschen viel Spaß beim Lesen.

Datenschutz mit uns bedeutet Nutzen für Sie


Datenschutz ist ein wichtiges Qualitätsmerkmal, das gerade in der immer stärker vernetzten Welt eine zentrale Rolle spielt. Datenschutz ist
  • mehr als nur gesetzliche Pflicht und
  • mehr als bürokratische Notwendigkeit.

Gelebter Datenschutz mit uns ist
  • qualitätsverbessernd für Ihr Unternehmen
  • motivierend für Ihre Mitarbeiter und Kunden
  • transparent durch klare Strukturierung
  • revisionssicher durch übersichtliche Dokumentation
  • und nachhaltig nutzbringend für Sie

Optimieren Sie jetzt mit uns den Datenschutz in Ihrem Unternehmen und nutzen Sie den daraus entstehenden Wettbewerbsvorteil.

Empfehlen Sie uns weiter!


 Thomas Ströbele - Experte bei 10minutes

Dienstag, 30. September 2014

Achtung Kontrolle - BayLDA prüft Mindestanforderungen von Mailservern

Ein durch Verschlüsselung geschützter E-Mail-Transport ist zwar schon seit 1999 standardisiert, aber erst durch die Abhörskandale der letzten Zeit ins öffentliche Bewusstsein geraten. Nun testet das Bayrische Landesamt für Datenschutz die Mailserver von Firmen, Freiberuflern, Verbänden und Vereinen, ob sie eine verschlüsselte Datenübertragung nach den aktuellen Standards unterstützen, da diese auch für den gesetzlich vorgeschriebenen Schutz personenbezogener Daten notwendig ist. Wie und was prüft das Bayrische Landesamt für Datenschutzaufsicht BayLDA und wer ist davon betroffen?


Wie findet das BayLDA die relevanten Mailserver?


Die Bayrische Datenschutz Aufsicht beginnt bei der Prüfung der Mailserver zunächst bei den Webangeboten in Bayern ansässiger Firmen und anderer nichtöffentlicher Organisationen. Damit eine Webseite in einem Browser aufrufbar ist, muss die Domain im DNS, der globalen Adressdatenbank des Internet eingetragen sein. Zusätzlich zu den für Webzugriffe nötigen Address-Records finden sich dort in der Regel auch MX-Records, Einträge für sogenannte Mail Exchanger, die für den E-Mail-Transport innerhalb der Domain verantwortlich sind. Diese verweisen auf Mailserver, die vom Domaininhaber selbst oder einem externen Dienstleister betrieben werden. Hier setzt die Bayerische Datenschutz Behörde an und führt stichprobenartige Prüfungen der so erreichbaren Server durch.

Achtung Kontrolle - BayLDA kontrolliert aktuell Mailserver


Was prüft das Bayerische Landesamt für Datenschutzaufsicht?


Die Bayerische Datenschutz Behörde hat drei Punkte identifiziert, die für die Datensicherheit beim E-Mail-Transport und damit für den Datenschutz relevant sind. Zuallererst muss der Mailserver die verschlüsselte Datenübertragung zulassen und unterstützen. Anders als bei den Webzugriffen, die zwischen HTTP und HTTPS unterscheiden, gibt es dafür beim E-Mail-Transport per SMTP keinen vollständig separaten Dienst, sondern die Verschlüsselung wird nach einem normalen Verbindungsaufbau ausgehandelt. Dies geschieht mit dem Kommando STARTTLS, das der Mailclient an den Server sendet. Ob ein Mailserver die verschlüsselte Datenübertragung grundsätzlich unterstützt lässt sich dadurch überprüfen, ob er das STARTTLS-Kommando akzeptiert oder mit einem Fehlercode beantwortet.

Zusätzlich zur Verfügbarkeit der Verschlüsselung prüft das BayLDA zwei Faktoren, die zu einer Beeinträchtigung der Sicherheit führen können, beziehungsweise diese verbessern. Perfect Forward Secrecy ist eine Option, die sicherstellt, dass die Datenkommunikation im Nachhinein auch mit dem Hauptschlüssel nicht mehr entschlüsselt werden kann. Der Heartbleed Bug ist dagegen ein schwerwiegender Softwarefehler in der meistgenutzten Verschlüsselungssoftware OpenSSL, der im April 2014 bekannt wurde (wir berichteten).

Was tun wenn sich das BayLDA meldet?


Wenn ein Schreiben vom BayLDA eintrifft besteht bei mindestens einem der oben genannten Punkte Handlungsbedarf. Dem Schreiben liegt ein Fragebogen bei, den Sie ausfüllen und an die Behörde zurücksenden sollten, da eine mangelnde Mitwirkung nach dem Bundesdatenschutzgesetz eine Ordnungswidrigkeit darstellt und eine Geldbuße nach sich ziehen kann. Bei Unklarheiten und Fragen zur Vorgehensweise helfe ich Ihnen als Datenschutz-Berater gerne weiter.

Ich freue mich auf Ihre Anfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Sicherheitslücke Mensch - Schwachstellen gibt es nicht nur in der Technik

Der IT-Service ist in jedem Unternehmen ein beliebter Ansprechpartner. Doch so häufig die Mitarbeiter mit den EDV-Fachkenntnissen gerufen werden, so selten liegt ein echter Software- oder Hardwaredefekt vor. Die Hauptursache aller Störungen sind Bedienfehler, Versäumnisse und andere menschliche Fehler. Das muss jedoch nicht so bleiben.


Handgemachte Serviceausfälle oft vorhersehbar


Die Vielfalt der Programme und Möglichkeiten ist für viele Mitarbeiter nicht leicht zu verstehen. Gerade das Zusammenspiel von Geräten und Software im Firmennetzwerk führt immer wieder dazu, dass Mitarbeiter im falschen Moment Eingaben machen oder ungünstige Prozesse in Gang setzen. Regelmäßige Fortbildungen wirken gegen die Problematik an. Neben der initialen Ausbildung der Mitarbeiter und Arbeitnehmer darf also die Option "Schulungen bei neuer Software oder neueren Versionen" nicht vergessen werden.

Datenschutz & IT-Sicherheit im Zwiebelschalenmodell


Betrachtet man Datenschutz & IT-Sicherheit im Zwiebelschalenmodell, so stellt der Mensch / Mitarbeiter immer die größte Schwachstelle dar. Er befindet sich regelmäßig in der kritischen äußersten Schale.

Schwachstelle Mensch: Datenschutz & IT-Sicherheit im Zwiebelschalenmodell


Lebenszyklus elektronischer Geräte verstehen


Nicht nur bei reinen PC-Arbeitsplätzen, auch in ausführenden Gewerken gilt: Je höher das Verständnis für die Maschinen und Programme, desto niedriger die Fehlerquote. Um ein Netzwerk aus elektronischen Geräten in einem Betrieb möglichst lange verfügbar zu halten, sollten die Mitarbeiter über die Phasen der Lebenszyklen aufgeklärt sein und somit die Ersatzteilplanung effizient laufen. Sind die Mitarbeiter über die Auswirkungen von Geräteausfällen in Kenntnis gesetzt, so können sie sensibler mit den entsprechenden Maschinen und Rechengeräten umgehen.


Kostenintensive, menschengemachte Fehler vermeiden


Bei Aus- und Fortbildungen entstehen gewisse Kosten für den Dozenten, Materialien sowie Reisekosten. Welche Mitarbeiter wann in den Genuss welcher Schulung gelangen, sollte wohlüberlegt werden. Bei der Auswertung der vielfältigen Angebote im Bereich der Erwachsenenbildung zu IT-Themen, lassen Sie sich am besten von Insidern beraten. Informieren Sie sich bei uns über Fortbildungen und vermeiden Sie somit künftig Anwendungsfehler, durch mangelhaft geschulte Mitarbeiter!

Kostenlose Erstberatung


Nehmen Sie unverbindlich Kontakt mit uns auf und wir zeigen Ihnen Ihre individuellen Möglichkeiten, wie Ihr Unternehmen durch Fortbildungen und gekonnten Umgang mit Hard- und Software Kosten einsparen kann.

Ich freue mich auf Ihre Anfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Montag, 15. September 2014

Lückenhafter Datenschutz - Die Gefahr lauert im Unternehmen

Um Angriffe auf ihre Daten abzuwehren, investieren Unternehmen viel Geld. Dabei wird aber meist nur die Gefahr von außen berücksichtigt. Doch auch eine wirkungsvolle Firewall bietet keinen Schutz, wenn der Angreifer zum Zugriff autorisiert ist. Jüngste Erhebungen zeigen, dass eine große Gefahr besonders im Unternehmen selbst lauert. Mit einem Beschneiden der Zugriffsrechte sowie restriktiveren Vorgaben beim Passwortschutz ließe sich schon viel gewinnen.


Denn der Datenklau wird in den meisten Fällen nicht durch Hacker von außen, sondern durch Insider verursacht. In vielen Unternehmen wird mit Administrator-Rechten aus Bequemlichkeit zu nachlässig umgegangen. Weil ein kleiner Kreis Privilegierter die Personal- und Prozessplanung zumindest im Bereich der Flexibilität erschweren kann, werden auf Kosten eines schlüssigen Sicherheitskonzepts oft großzügig Zugriffsrechte eingeräumt.

Wie sich bei einer kürzlich durchgeführten Befragung ergab, wird die Nutzung der (Admin-) Rechte in der Regel nicht überwacht. Doch auch wenn eine Kontrolle stattfindet, wird der Sicherheit nicht immer ausreichend gedient: In vielen Fällen lassen sich die genutzten Mechanismen ganz einfach umgehen.

Verhängnisvolle Partnerschaft: Sicherheitskonzept muss kooperierende Firmen einschließen


Ein umfassendes Sicherheits- und Datenschutzkonzept wird umso notwendiger, wenn ein Zugriff von Dienstleistern wie z.B. IT-Systemhäusern auf die eigenen Daten möglich ist. Denn hier kommt zu der grundsätzlichen Problematik, bereits den eigenen Mitarbeitern vertrauen zu müssen, die Schwierigkeit hinzu, auch Dritte an den Prozessen zu beteiligen und Einsicht zu gewähren. Bedenken Sie: Wettbewerber haben immer ein Interesse an Ihren sensiblen Geheimnissen. Nicht umsonst gebietet § 11 BDSG die regelmäßige Kontrolle aller Auftragsdatenverarbeiter. Tipp: Wählen Sie wenn möglich ausschließlich Auftragsdatenverarbeiter aus, die entsprechend geprüft und zertifiziert sind. Wir wissen was zu tun ist und können die §-11-Zertifzierung gerne bei Ihren bestehenden Dienstleistern durchführen. Empfehlen Sie uns weiter!

Nutzer-Monitoring deckt Missbrauch auf


Obwohl dieses Problem von immer mehr Unternehmen erkannt wird, fehlt es häufig an wirksamen Maßnahmen. Dabei sind diese meist recht einfach umsetzbar. Zu den Grundregeln gehört es beispielsweise, dass jeder Mitarbeiter und besonders jeder Admin nur jene Zugriffsrechte bekommen darf, die für seine Arbeit auch tatsächlich benötigt werden. Pauschale Vollzugriffe erhöhen die Gefahr erheblich.

Die Nutzung sogenannter "Shared-Accounts" sollte vermieden werden. Personalisierte Zugriffe ermöglichen es, die Mitarbeiter im Zweifel auch persönlich zur Verantwortung ziehen zu können.
Sollten eventuell Super-User oder Root-Rechte vergeben werden, dann dürfen diese bei einem einzelnen Mitarbeiter nicht alle in der IT genutzten Systeme umfassen, sondern nur jene, für die er auch zuständig ist.

Die Einführung eines Nutzer-Monitorings sollte in jedem Fall erfolgen. Wichtig ist dabei die Möglichkeit des "Privileged Activity Monitoring": Darunter versteht man die Möglichkeit, im Zweifel auch den Inhalt einer Aktion nachverfolgen zu können. Viele einfache Monitoring-Lösungen speichern nur eine Aktion als solches.

Wir beraten - Sie erhalten die staatliche Fördermittel


Welche Maßnahmen konkret sinnvoll sind, können auf IT-Sicherheit & Datenschutz spezialisierte Beratungsdienstleister wie yourIT am besten beurteilen. Die Voraussetzung ist allerdings, dass die betroffenen Firmen die Risiken zunächst erkennen und angemessen bewerten. Denn glaubt man den Auskünften, die die Verantwortlichen in der Studie gegeben haben, ist ein Bewusstsein für die Problematik häufig vorhanden. Einzig die Konsequenzen daraus werden noch viel zu selten gezogen.

yourIT_Sicherheitsaudit_IT-Infrastruktur-sponsored_by_ESF


Unser yourIT-Beratungskonzept ist zertifiziert - dadurch erhält Ihr Unternehmen unter bestimmten Voraussetzungen Fördermittel aus dem Europäischen Sozialfonds (ESF) zur Unterstützung der Beratung.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele

Thomas Ströbele


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Am 16.03.2015 wurden unsere Beratungspakete
beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete

Sonntag, 31. August 2014

Urteil gegen Microsoft - Daten von US-Cloudanbietern auch in Europa nicht zugriffssicher

Hechingen, 04.08.2014: Schwerer Schlag gegen den Europäischen und Deutschen Datenschutz: Auch amerikanische Cloud-Server in Europa sollen von US-Ermittlern durchsucht werden dürfen. Dagegen hatte Microsoft erfolglos geklagt.


Microsoft und andere US-Internetkonzerne sollen nach Auffassung eines New Yorker Bundesgerichts zur Herausgabe auch von tatsächlich in Europa gespeicherten Daten gezwungen werden können, z.B. durch die NSA. Damit wurde eine Beschwerde von Microsoft gegen einen Durchsuchungsbeschluss der US-Justizbehörden zurückgewiesen. Konkret ging es dabei um E-Mail-Daten in Rechenzentren die auf irischen Servern liegen - also eben nicht auf amerikanischem Boden.

Kontrolle der Information statt des Speicherorts


Bei diesem Urteil geht es um die Frage nach der Kontrolle der Information, nicht des Speicherorts, begründete Richterin Preska ihre Entscheidung. Der amerikanische Technologiekonzern Microsoft will außerhalb der USA gespeicherte Daten auch weiterhin nicht an die US-Regierung weiterreichen. Das Urteil ist jedoch noch nicht rechtskräftig. Microsoft will die Entscheidung vor einem Berufungsgericht anfechten. Nach Meinung von Microsoft-Chefjustiziar Brad Smith verdienen E-Mails von Menschen in den USA und rund um die Welt einen starken Datenschutz.

Unterstützung erhält der Softwaregigant von anderen US-Technologiefirmen wie Apple, Verizon oder AT&T. Seit der Späh-Affäre um den US-Geheimdienst NSA sind diese besonders bemüht, die Sorgen ausländischer Nutzer über die Sicherheit ihrer Daten zu zerstreuen. All diese Firmen verdienen Milliarden mit sogenanntem Cloud-Computing, bei dem große Datenmengen privater Nutzer auf externen Servern gespeichert werden. Der auf Datenrecht spezialisierte New Yorker Anwalt Craig Newman bringt es auf den Punkt: "Diese Art Urteil öffnet die Büchse der Pandore für alle Bedenken der europäischen Staaten."

Microsoft hatte bei den in Irland gespeicherten Nutzerdaten argumentiert, die US-Regierung dürfe keinen Zugriff auf E-Mails haben, die in Übersee gespeichert seien. Der Durchsuchungsbeschluss sei demnach als nichtig zu bewerten, da er US-Behörden übermäßigen Zugriff auf private Daten ermöglichen würde. Dafür seien jedoch die dortigen Behörden zuständig. Nach einer zweistündigen Anhörung in New York schlug sich das Bundesgericht auf die Seite des US-Justizministeriums, das die E-Mails im Rahmen von Drogenermittlungen einsehen will. Die Büchse der Pandora ist also längst geöffnet.

Da war doch mal was - der Sinn eines älteren Microsoft-Werbegeschenks wird nun klarer


Bei alledem habe ich mich an ein Werbegeschenk von Microsoft erinnert, dessen Sinn mir sich bisher nie so richtig erschließen wollte: Ein Bügel-Schloss mit 4-stelligem Zahlencode und zusätzlichem TSA-Schloss.

Found by yourIT: Microsoft-Werbegeschenk_Bügel-Schloss_mit_4-stelligem_Zahlencode_und_TSA_Schloss

Laut Wikipedia ist ein TSA-Schloss "eine spezielle Form eines Verschlusses, mit dem Gepäckstücke gesichert werden. Diese Schlösser wurden im Zuge der Verschärfung der Sicherheitsmaßnahmen im internationalen Reiseverkehr (vornehmlich in und aus den USA) entwickelt. Sollte in einem Gepäckstück verdächtiges oder nicht identifizierbares Material durch die Gepäckdurchleuchtung gefunden werden, so kann das TSA-Schloss mit einem Generalschlüssel der US-amerikanischen Transportation Security Administration geöffnet, das Gepäckstück durchsucht und das Schloss anschließend wieder verschlossen werden."

Nochmal zum Mitschreiben: Die US-amerikanische Transportation Security Administration (TSA) hat einen Generalschlüssel und räumt sich das Recht ein, jedes Gepäckstücke zu durchwühlen, das sie für verdächtig hält. Da verwundert es doch nicht, wenn sich die US-Behörden ebenfalls berechtigt sehen, alle Dateien mit ihrem Generalschlüssel zu öffnen und dann zu durchsuchen, die sie für verdächtig halten.

Auf der Rückseite des Schlosses steht übrigens:
"Write down your Code here
_ _ _ _",
gefolgt von einem neckisch grinsenden Smiley. Was das zu bedeuten hat, überlasse ich Ihrer Phantasie...

yourIT - wir stehen für Sicherheit in allen IT-Fragen


Wenn Sie nicht wollen, dass jemand Ihre Daten und die Ihres Unternehmens durchsucht, was hindert Sie daran, ein anderes Schloss zu verwenden? Wir sprechen hier vor allem über Ihre Betriebs- und Geschäftsgeheimnisse. Schließlich geht es den USA (und anderen Nationen) nachweislich nicht nur um die Sicherheit sondern eben auch um Wirtschaftsspionage. Als Systemhaus können wir von yourIT Ihnen helfen, Ihre Daten sicher abzulegen (ob Cloud oder nicht) und sicher zu kommunizieren (z.B. über verschlüsselte Mails). Außerdem helfen wir Ihnen, Schwachstellen aufzudecken und diese zu schließen.

Achtung Mittelständler: Nutzen Sie jetzt unser ESF-gefördertes Beratungspaket

Schaffen Sie Klarheit in Ihrem Unternehmen: Mit unserem Beratungspaket Sicherheitsaudit IT-Infrastruktur erstellen wir Ihnen unter anderem auch eine Liste der schwachen Passwörter in Ihrem Unternehmen. Wir bieten Ihnen persönliche Beratung zum Fixpreis - sponsored by ESF.

yourIT Sicherheitsaudit IT-Infrastruktur

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Thomas Ströbele


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Am 16.03.2015 wurden unsere Beratungspakete
beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete

Dienstag, 29. Juli 2014

So machen Sie Ihr Unternehmen sicherer

Kein Unternehmen kommt heute mehr ohne Computer, Internet und Firmenwebseite aus, wenn es den Anschluss nicht verpassen möchte. Gleichzeitig rüsten auch die Datendiebe auf und interessieren sich nicht nur für die Großen der Branchen, sondern auch für den kleinen Mittelständler von nebenan. Aus diesem Grund ist es besonders wichtig, dass Ihr Unternehmen sicher ist. Besonders in kleineren und mittleren Unternehmen wird die Gefahr von Cyberattacken leicht unterschätzt. Dabei sind diese von besonders häufig betroffen, weil ihr Schutz oft geringer ist. Früher reichte es meistens, ein Antivirenprogramm einfach zu installieren, wohingegen heutzutage die Kriminellen im Internet immer raffinierter und geschickter vorgehen.


Welche Bedrohungen gibt es?


Schäden durch Insider: Eine große Schwachstelle, durch die Schäden entstehen können, sind USB-Speicher. Bekommen Angestellte auf einer Messe diese als Werbegeschenk, stecken sie die USB-Sticks oft ohne Prüfung in die Firmen-PCs. Inzwischen gibt es Geräte, die sich als Speicher tarnen und mit denen sich hervorragend Firmenspionage betreiben oder eine Schadsoftware starten lässt.
Lösung: Sämtliche USB-Anschlüsse lassen sich im Netzwerk sperren und können nur durch den Administrator einzeln freigegeben werden. Damit Mitarbeiter diese Sperren nicht umgehen können, bleibt dem Unternehmen eigentlich nur, Krypto-USB-Sticks für die Mitarbeiter zu finanzieren und nur diese im Firmennetz zu erlauben.


Schäden durch Internet-Kriminelle: Industriespione und Hacker sammeln systematisch Daten. Werden diese per Internet übertragen, lassen sie sich relativ einfach auslesen. Lagern die Daten irgendwo auf Speichern, können diese das Ziel von Hackerangriffen werden. Ob beim Online-Banking, Phishing  oder Spam: Nicht immer sind die Angriffe leicht als solche zu enttarnen. Trotzdem gehen viele Firmen recht sorglos mit Passwörtern um, wählen nur einfache aus und verwenden diese mehrfach.  Datendiebe recherchieren diese gezielt in sozialen Netzwerken und probieren den Namen des  Nutzers mit Passwort auf allen Systemen aus. Ebenso sind ungesicherte Firmennetzwerke ein Einfallstor für Kriminelle. Ein kabelvernetztes Netzwerk ist sicherer, als ein Funknetzwerk. Dazu Portsperren für die LAN-Anschlüsse und eine gute Firewall.
Lösung: Ein sicheres Passwort hat mindestens 12 Zeichen, die möglichst scheinbar sinnlos aufeinander folgen und mindestens einen Großbuchstaben, ein Sonderzeichen und eine Zahl  enthalten. Mit einem Satz, der sich geschickt abkürzen lässt, bleibt ein solches Passwort besser im Gedächtnis. 

Spionage durch Mitbewerber: Ob Kundendaten oder Geschäftsinterna: Die Konkurrenz kann damit das Meiste anfangen. Besonders leicht lassen sich die Daten stehlen, wenn sie auf mobilen Geräten leicht zugänglich sind.
Lösung: Hier ist auf der sicheren Seite, wer den Teil der Festplatte verschlüsselt, auf dem die sensiblen Daten liegen. Dafür gibt es vorinstallierte Programme für Unternehmen. Macht eine zusätzliche Software die Informationen gezielt unleserlich, sind diese noch sicherer.

10 Schritte zum sicheren Unternehmen:


  • Scannen Sie Ihre Schwachstellen regelmäßig und lassen Sie die Patches automatisch erneuern (Angebot: Sicherheitsaudit Webapplikationen bzw. Infrastruktur);
 
yourIT - Wir bieten Sicherheit auf Knopfdruck

  • Definieren Sie Richtlinien, nach denen die Mitarbeiter mobil unterwegs sind, auch in den sozialen Medien, und kontrollieren Sie deren Einhaltung; 
  • Nutzen Sie in besonders sensiblen Bereichen mehrstufige Sicherheitslösungen (auch Zwei-Faktor-Authentifizierung) 
  • Sichern Sie auch die Daten, die sich außerhalb des Unternehmens befinden;
  • Halten Sie Ihre IT auf einem aktuellen Stand: Ältere Systeme sind gegen Angriffe schlechter gewappnet;
  • Überwachen Sie die Sicherheitsmeldungen; 
  • Reduzieren Sie die gespeicherten Datenmengen (Tipp: Proaktive Datendeduplizierung);
  • Stellen Sie sicher, dass auch Drittanbieter die nötige Sicherheit bieten (Stichwort: §-11-Zertifizierung für Auftragsdatenverarbeiter); 
  • Arbeiten Sie nur mit Partnern zusammen, denen Sie vertrauen;
  • Ändern Sie regelmäßig Ihre Kennwörter nach den oben genannten Merkmalen.


Wenn Sie nicht nur im Verdachtsfall das IT-Systemhaus Ihres Vertrauens fragen, sondern bereits vorher
Ihre Hard- und Software, den Datenschutz sowie die Prozesse und Schwachstellen von ihm checken lassen, können Sie unbesorgt online unterwegs sein.

yourIT - wir stehen für Sicherheit in allen IT-Fragen


Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Am 16.03.2015 wurden unsere Beratungspakete
beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete

Samstag, 14. Juni 2014

yourIT bietet mit ISA+ die Einführung eines vom ESF-geförderten ISMS

Mit yourIT und ISA+ Cert. haben kleine und mittelständische Unternehmen ab sofort die Möglichkeit einer kostengünstigen Zertifizierung ihrer Informationssicherheit auf Basis einer Informations Sicherheits Analyse eines akkreditierten Beraters gemäß dem öffentlichen ISA+ Fragenkataloges. 


Auf Basis eines vom Bayerischen IT-Sicherheitscluster e.V. speziell erstellten Fragenkataloges entwickelte das Forum ISA+ Cert des Instituts für Datenschutz und Informationssicherheit in Europa ein Prüf- und Zertifizierungsverfahren für die Erhebung und Bewertung des im Unternehmen erreichten Schutzniveaus für Informationen und Daten.

Muster-Zertifikat des IDIE auf Basis des ISA+ Standards



Mit dem Projekt ISA+ (Informations-Sicherheits-Analyse) bietet das Bayerische IT-Sicherheitscluster für kleine und mittelständische Unternehmen einen einfachen Einstieg in die Informationssicherheit. Mit Hilfe erfahrener Projektmitglieder aus dem IT-Bereich wurde eine für kleine und mittelständische Unternehmen (KMU) angepasste Bedarfsanalyse entwickelt. In der Bedarfsanalyse werden folgende Themenblöcke abgehandelt:
  • Allgemein
  • Organisatorisch
  • Technisch und
  • Rechtlich
Danach werden auf die Anforderungen von kleinen und mittleren Unternehmen angepasste Handlungsempfehlungen ausgesprochen.

Ziele der Informations-Sicherheits-Analyse mit dem ISA+ Fragenkatalog:


  • Entwicklung eines IT-Sicherheitsprozesses, der verständlich die Notwendigkeit von IT-Sicherheit erklärt;
  • auf die Bedürfnisse von kleineren Unternehmen abgestimmt ist;
  • mit vertretbarem Aufwand auch von kleunen und mittelständischen Unternehmen zu bewältigen ist.

In Zusammenarbeit mit dem Institut für Datenschutz und Informationssicherheit in Europa (IDIE) bietet yourIT ab sofort eine einfache, schnelle und transparente Möglichkeit einer Bestandsaufnahme und Bewertung des aktuellen Informations-Sicherheitsniveaus auf Basis des ISA+ Fragenkataloges.

Offizielles Logo der Informations-Sicherheits-Analyse ISA+

Wozu noch ein Informationssicherheits-Management-System (ISMS)?


Angesichts der vielfältigen Gefährdungspotentiale nimmt die Informations-Sicherheit eine immer wichtigere Rolle ein. Wie sicher ist die verwendete IT-Infrastruktur? Welche technischen und organisatorischen Maßnahmen müssen konkret in der Organisation umgesetzt werden? Hierzu standen auch bisher schon eine Reihe von Sicherheitsstandards zur Verfügung:
Aus bisherigen Projekten wissen wir, dass die Einstiegshürden für diese ISMS für kleine und mittelständische Unternehmen (KMU) meist zu hoch sind. Vorbereitung, Durchführung und Zertifizierung überfordern diese schnell. Die erforderlichen Ressourcen und Spezialisten fehlen und müssen teuer zugekauft werden. Aus diesen und weiteren Gründen verzichten viele KMU daher auf die Einführung eines ISMS - auch wenn Ihnen die Risiken bewußt sind. Das führt dazu, dass KMU in der Regel bereits an den ISMS-Einstiegsfragen scheitern, weil z.B.  Datenschutzrichtline, Informationssicherheitsleitlinie, Notfallplan, etc. fehlen.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+


Aus diesem Grund halten wir ISA+ für das sinnvolle ISMS bei kleinen und mittelständischen Unternehmen - vor allem, wenn diese sich das erste Mal an solch ein Projekt heranwagen. Eine spätere Erweiterung auf die größeren Standards ISIS12, BSI IT-Grundschutz und sogar ISO 27001 ist später problemlos machbar. Der Grundgedanke ist derselbe.

Und das Beste zum Schluss: Sponsored by ESF



Die im Rahmen der Informations-Sicherheits-Analyse ISA+ erforderliche Beratungsleistung bei kleinen und mittelständischen  Unternehmen (KMU) bildet ab sofort und noch für das restliche Jahr 2014 unser nächstes ESF-gesponsortes Beratungspaket.

yourIT - ESF-gefördertes Beratungskonzept Informations-Sicherheits-Analyse ISA+

Weitere vom Europäischen Sozialfonds (ESF) geförderte yourIT-Beratungspakete finden Sie hier: http://www.mitgroup.eu.


Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr
ISO 27001 Lead Auditor (ab 12/2014)

Thomas Ströbele


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Am 16.03.2015 wurden unsere Beratungspakete
beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete

Montag, 19. Mai 2014

Interessante Entscheidung des EuGH verpflichtet Google zur Ergebniskorrektur

Der Europäische Gerichtshof (EuGH) hat am 13.05.2014 entschieden (Rechtssache C-131/12), dass Einzelpersonen den Suchmaschinenkonzern Google unter bestimmten Voraussetzungen dazu auffordern können, Verweise auf Webseiten mit sensiblen persönlichen bzw. personenbezogenen Daten aus der Liste der Suchergebnisse zu streichen.

Interessante Entscheidung des EuGH


Weitere Infos unter  http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070de.pdf

Mittwoch, 26. März 2014

Externer Datenschutzbeauftragter und interner Datenschutzkoordinator - ein unschlagbares Team

Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen zur Bestellung eines Datenschutzbeauftragten. Es lässt Ihnen dabei die Wahlfreiheit, Ihren Datenschutzbeauftragten entweder intern oder extern zu bestellen.


Betrachtet man die hohen Anforderungen an einen internen betrieblichen Datenschutzbeauftragten (bDSB) und insbesondere dessen Sonderkündigungsschutz realistisch, bietet sich die Bestellung eines externen Datenschutzbeauftragten geradezu an:

Vergleich interner vs. externer Datenschutzbeauftragter (DSB)

interner DSB externer DSB
unternehmerisches Risiko hoch - nur Arbeitnehmerhaftung gering - Beraterhaftung - auf Versicherungsschutz achten
Start später - erst notwendige Fachkunde aufbauen sofort - Knowhow und Erfahrung aus unterschiedlichen Projekten vorhanden
Kosten hoch - Achtung "eh da"-Kosten gering - nur tatsächlicher Aufwand wird bezahlt
Schulungskosten hoch - mind. jährliche Fortbildung ist Pflicht gering - auf mehrere Schultern (= Kunden) verteilt
Sonderkündigungsschutz ja nein
Betriebsblindheit möglich keine
Interessenskonflikte möglich keine
Ausfallrisiko hoch - da keine Vertretung bei Krankheit, Elternzeit, ... gering, da Vertretung geregelt

Zusammenfassung Vorteile eines externen Datenschutzbeauftragter:


  • Keine zusätzlichen Kosten für Aus- und Weiterbildung: Externe Datenschutzbeauftragte und -berater von yourIT haben eine hohe Fachkenntnis und bilden sich permanent weiter, ohne dass Ihnen hierfür Kosten entstehen.
  • Flexibilität: Ein interner Datenschutzbeauftragter unterliegt einem besonderen Kündigungsschutz. Nach § 626 BGB, hingegen ist der Vertrag mit einem externen Datenschutzbeauftragten kündbar.
  • Vermeidung von Interessenskonflikten: Geschäftsführung oder Leitung IT, Personal bzw. Marketing dürfen die Aufgabe des Datenschutzbeauftragten nicht wahrnehmen.
  • Effizienz: Aufgrund von Expertenwissen können erforderliche Maßnahmen schneller und mit geringerem Aufwand praxisgerecht umgesetzt werden.
  • Konzentration auf das Kerngeschäft: Ihre Mitarbeiter werden von den Aufgaben eines Datenschutzbeauftragten befreit und können sich auf ihr Kerngeschäft fokussieren.
  • Synergieeffekte: Ein externer Datenschutzbeauftragter nutzt seine Erfahrungen aus der Betreuung anderer Unternehmen für Ihre Betreuung, pflegt den Kontakt zu den Aufsichtsbehörden und nutzt Technologien, die ggf. in Ihrem Hause keine Anwendung finden.
  • Kosteneinsparung: Das Pauschalangebot eines externen Datenschutzbeauftragten ist häufig kostengünstiger, als die Bereitstellung eigener Personalressourcen für die Bestellung eines internen betrieblichen Datenschutzbeauftragten.

Unsere erfolgreiche Vorgehensweise


Sie bestellen mich als Ihren externen Datenschutzbeauftragten und bestimmen zusätzlich einen oder mehrere Datenschutzkoordinatoren. Gemeinsam mit Ihrem internen Datenschutzkoordinator
  • machen wir zu Beginn einen Kick-Off-Workshop;
  • führen wir eine Datenschutz-Schwachstellenanalyse durch;
  • erstellen ein individuelles zu Ihrem Unernehmen passendes Datenschutz-Konzept;
  • planen und unterstützen die Umsetzung;
  • stellen Richtlinien und Anweisungen auf;
  • erstellen / führen das Verfahrensverzeichnis und das Jedermannverzeichnis;
  • schulen die Mitarbeiter;
  • kontrollieren die Richtlinieneinhaltung;
  • dokumentieren und berichten regelmäßig an die Geschäftsleitung.
So macht Datenschutz Sinn für Ihr Unternehmen und bringt Ihnen zusätzlich viele Vorteile.

yourIT ESF-gefördertes Beratungskonzept in 4 Phasen

Wie hoch sind die Kosten für einen externen Datenschutzbeauftragten?

Vorneweg: Unser Ziel ist es, die Kosten für den Datenschutz in Ihrem Unternehmen gemeinsam mit Ihnen so gering wie möglich zu halten.

"Wie hoch sind die Kosten für den Datenschutz?" - die Frage steht sehr schnell im Raum, wenn Unternehmer sich der gesetzlichen Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz erst einmal bewusst sind. Dabei geht es um die kaufmännische Abwägung, ob man einen internen Mitarbeiter fachlich qualifizieren und zum internen Datenschutzbeauftragten bestellen soll oder für die Umsetzung der datenschutzrechtlichen Maßnahmen im Unternehmen lieber auf die fachkundige Betreuung eines externen Datenschutzbeauftragten setzen sollte.

Diese Frage nach der Höhe der Kosten für die Bestellung eines externen Datenschutzbeauftragten ist verständlich und nachvollziehbar, speziell wenn Ihr Unternehmen entsprechend der gesetzlichen Regelung gemäß § 4f des Bundesdatenschutzgesetzes - BDSG - zur Bestellung eines Beauftragten für den Datenschutz verpflichtet ist, es also für Ihr Unternehmen unabdingbar ist, unmittelbar zu handeln um die datenschutzrechtlichen Vorgaben zu erfüllen.

Kein Unternehmen gleicht dem Anderen 


Wichtige Unterschiede gibt es z.B.
  • in der Anzahl der Mitarbeiter, welche mit der Verarbeitung personenbezogener Daten betraut sind,
  • in der Art der verarbeiteten personenbezogenen Daten,
  • in der Unternehmensstruktur und natürlich nicht zu vergessen
  • in der vom Unternehmen eingesetzten Informationstechnologien sowie IT-Infrastruktur.

Neben diesen Punkten können weitere Faktoren im Unternehmen zum Tragen kommen, die zu einem gewissen Grad oder gar in Gänze von datenschutzrechtlicher Relevanz sind und somit den zeitlichen Umfang der Tätigkeit des externen Datenschutzbeauftragten - woraus sich entsprechende Kosten ergeben - beeinflussen können.

Datenschutz im Unternehmen ist größtenteils sehr individuell


Je nach Unternehmensart, Branche, Art und Umfang personenbezogener Daten sowie vorhandener IT-Lösungen einhergehend mit dem aktuellen Datenschutzniveau kann die Ausgangssituation für den externen Datenschutzbeauftragten sehr unterschiedlich ausfallen, womit sich natürlich auch die "Kosten für den Datenschutz" bzw. die Kosten für die Tätigkeit des externen Datenschutzbeauftragten - von Unternehmen zu Unternehmen - stark unterscheiden können.

Wie Sie aus dieser Darlegung ersehen können, ist eine Benennung der "Kosten für den Datenschutz" im Vorfeld - z.B. in Form eines pauschalen Angebots zum monatlichen Festpreis für jedes Unternehmen - ohne Kenntnis der tatsächlichen Gegebenheiten in Ihrem Unternehmen unter seriöser Betrachtung nicht möglich.

Daher haben wir für Sie unser 4-Phasen-Konzept entwickelt. Wenn wir Ihr Unternehmen in Phase A analysiert und daraus in Phase B ein Datenschutzkonzept für Sie erstellt haben, können danach die Kosten für Phase C Implementierung und Phase D Betrieb tatsächlich ziemlich genau kalkuliert werden.

Das Schöne für Sie ist dabei, dass wir Ihnen die Erarbeitung der Phasen A+B zum Festpreis anbieten können. Sie tragen kein Risiko. Das Ergebnis ist ein Datenschutzkonzept - quasi das Pflichtenheft für den Aufbau des Datenschutzes in Ihrem Unternehmen.

Fördermöglichkeiten nutzen und dadurch Kosten verringern


Mittelständischen Unternehmen in Deutschland ist es häufig möglich, einen Teil der Kosten für unsere Beratungsleistungen über Mittel des Bundes und des Europäischen Sozialfonds - ESF - erstattet zu bekommen.

Weblink zur Beratungsförderung: http://www.mitgroup.eu/unsere-beratungspakete/3-datenschutzkonzept

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Mittwoch, 12. März 2014

Eine firmeneigene Cloud - Zugriff auf alles jederzeit? Aber sicher!

Weltweit werden täglich Milliarden und Abermilliarden E-Mails mit beruflichem Bezug verschickt. Häufig werden an diese zusätzlich mit Dateienanhängen versehen und dann unverschlüsselt versendet. Dies macht es Datendieben einfach, erfolgreich Industriespionage zu betreiben. Verschlüsselungstechniken und andere Sicherheitsvorkehrungen sind Angestellten häufig zu kompliziert. Noch ernster werden die Sicherheitsfragen, wenn bestimmte Dateien im Internet hinterlegt werden. Denn ab einer gewissen Datenmenge verstopft man gegebenenfalls den E-Mail-Account des Empfängers, wenn man die betreffende Datei einfach an eine E-Mail anhängt. Viele wählen dann den höflichen Weg der Versendung eines entsprechenden Links, der mit oder ohne Passwort Zugang zur jeweiligen Datei verschafft.


Die firmeneigene Cloud - aber sicher!

Die Vorteile einer Cloud


Entsprechend stark ist die Nutzung so genannter Clouds angewachsen. Denn auf viele Inhalte und Dokumente müssen häufig gleich mehrere Personen Zugriff haben können. Wenn die Datei per E-Mail versendet wird, entstehen mehrere Kopien, die jeweils Speicherkapazitäten verbrauchen. Solche Dateien sind starr. Denn wenn an ihnen weitergearbeitet wird, erfolgen die Änderungen nur jeweils auf dem Rechner, auf dem diese geändert und in dieser neuen Version abgespeichert wird. Ist die Datei dagegen in einer Cloud abgelegt, können Veränderungen von mehreren berechtigten Personen vorgenommen werden und alle Nutzer bleiben jederzeit auf dem aktuellen Stand. Durch intelligente Unterteilung der Cloud und die Vergabe unterschiedlicher Formen der Zugangsberechtigung, kann diese zu einem zentralen digitalen Anlaufpunkt des Unternehmens ausgebaut werden.

Die Cloud ganz wegzulassen - das ist der Tod

Manch mittelständischer Unternehmer zweifelt derzeit an der Machbarkeit einer Cloud-Teilnahme seines Unternehmens. Ich möchte hier betonen, dass es unausweichlich ist, sich mit mit dem Thema Cloud auseinanderzusetzen. Die Cloud ganz wegzulassen ist der sichere Tod des Unternehmens.


Abgelegt auf dem eigenen Server


Hinsichtlich der Sicherheit einer solchen Firmen-Cloud ist es vorteilhaft, wenn diese auf einem im eigenen Unternehmen befindlichen Server installiert wird. Denn auf diese Weise hat man auch physisch Zugriff, wenn sich Probleme ergeben sollten. Außerdem lässt sich die eigene Cloud wesentlich einfacher gegen unberechtigte Zugriffe von außen sichern, indem man sie vom Netz trennt. Gleichzeitig erlaubt eine solche Lösung, die Zahl der dezentral gespeicherten firmenbezogenen Dateien auf ein Minimum zu reduzieren. Dies spart nicht zuletzt den Mitarbeitern Zeit, die dann keinen regelmäßigen Abgleich der Dateien auf ihrem stationären Rechner, Laptop sowie ihrem Smartphone durchführen müssen. Denn dank der Cloud haben sie auf alle ihre Dateien von jeder Plattform aus jederzeit Zugriff.

Jetzt den ersten Schritt machen


Insofern bietet eine hausinterne Lösung gegenüber der Nutzung von webbasierten Diensten wie Dropbox und anderen Anbietern klare Vorteile in Sachen Zugriffsmöglichkeiten und vor allem beim Thema Datensicherheit. Daher gehört die Einrichtung eines eigenen Servers für die Installation einer firmeninternen Cloud weit oben auf die Prioritätenliste. Gerade die letzten Wochen haben durch millionenfach digitalen Identitätsdiebstahl erneut gezeigt, dass die Sicherheit von Daten gar nicht ernst genug genommen werden kann. Außerdem wird die Zusammenarbeit im Unternehmen deutlich vereinfacht, weil alle Beteiligten bei den für sie relevanten Daten immer auf dem gleichen Stand sind. Insofern ist eine schnelle Entscheidung für eine eigene Cloud der beste Weg, die Kommunikation innerhalb des Betriebs kurzfristig nachhaltig zu verbessern.

Dienstag, 11. März 2014

§-11-Zertifizierung - Verlässliche Hilfe zur Selbsthilfe

Das digitale Zeitalter bietet nicht nur technisch beste Möglichkeiten. Zurückliegende Diskussionen zeigen eindrucksvoll, wie groß die Herausforderungen der Gegenwart sind. Vor allem der Nachweis der Einhaltung der Vorgaben des Bundesdatenschutzgesetzes (BDSG) ist eine maßgebliche Voraussetzung, damit Auftragnehmer auf der einen Seite und Auftragggeber auf der anderen den erforderlichen Schutz ihrer Daten erreichen und nachweisen können. Die Sicherheit und Verlässlichkeit der Auftragsdatenverarbeitung wird in der §11-Zertifizierung auf Grundlage des BDSG sichergestellt - ein echtes Plus in der täglichen Arbeit.


Lassen Sie Ihr Unternehmen jetzt als Auftragsdatenverarbeiter gemäß §-11-BDSG zertifizieren



Datenschutz wird umfassend garantiert


Die Zertifizierung nach §11 erfolgt nicht ohne Grund auf Basis bundesgesetzlicher Regelungen. Da unterschiedliche Auftraggeber in der Regel auch verschiedene Anforderungen an ihre auftragnehmenden Geschäftspartner übermitteln, ist es oftmals schwierig, eine belastbare und allgemein gültige Grundlage zur Auftragsbearbeitung zu erstellen. Der entscheidende Vorteil:

Ist ein Geschäftspartner nach §11 zertifiziert, so verzichten die meisten Auftraggeber auf eine weitere Prüfung. Das spart Kosten und sorgt für eine sachgerechte Abarbeitung.

Zertifizierung nach § 11 bietet wertvolle Erkenntnisse


Die §-11-Zertifizierung umfasst die Berücksichtigung spezieller Datenschutz-Anforderungen und erfolgt daher regelmäßig durch einen externen Dienstleister wie yourIT. Der für die Zertifizierung nach §11 zuständige Dienstleister bespricht zuerst die Ausgangssituation evaluiert Schwachstellen innerhalb der Organisation und erarbeitet daraus nachhaltige Verbesserungsvorschläge. Der entscheidende Vorteil: Durch den Blick von außen können die Organisationen oder Unternehmen sicher sein, dass wirkliche Schwachstellen entdeckt und damit beseitigt werden können. Die Anleitungen zur Verbesserung der betrieblichen Praxis werden dann in einem Katalog von Auditfragen festgehalten und später mit den zuständigen internen Mitarbeitern besprochen. Durch die schriftliche Fixierung erhält das unter die Lupe genommene Unternehmen gewissermaßen eine Handlungsanleitung.

Zertifizierung als ein wichtiges Marketinginstrument


Die Zertifizierung erfolgt nicht überraschend, sondern der Audittermin wird vorab im persönlichen Gespräch vereinbart. Abschließend erhalten Unternehmen oder Organisation einen schriftlich ausformulierten Bericht, der das Audit und die Handlungsempfehlungen abschließend fixiert. Dieser Audit-Bericht wird durch die Zertifizierten nicht nur nach innen, sondern auch nach außen genutzt. Während der Audit-Bericht für den internen Bereich wertvolle Erkenntnisse liefert, kann er nach außen als wichtiges Marketinginstrument für die Akquise neuer Kunden genutzt werden.

Da die Rezertifizierung nach §11 regelmäßig erfolgt, ist das Audit stets auf dem aktuellen Stand und die Möglichkeit der Nutzung, beispielsweise für Marketingzwecke, jederzeit gegeben. Weil alles nachprüfbar ist, können Unternehmen oder Organisationen offensiv bewerben, dass sie verlässlich nach §-11-BDSG zertifiziert sind.

Wenn Sie die Möglichkeit nutzen, unser IT-Systemhaus um eine konkrete Unterstützung anzufragen, sind wir gerne mit einem Angebot behilflich. Durch die zeitnahe Zertifizierung sind wir in Lage, Ihnen schnellstmöglich die Sicherheit zu geben, die Ihre Arbeit auf verlässlicher Grundlage möglich macht und Ihnen wertvolle Pluspunkte im Kundenkontakt sichert.

Bonus für mittelständische Unternehmen - Jetzt Fördermittel nutzen!



Die yourIT-§-11-Zertifizierung für mittelständische Unternehmen - sponsored by ESF

Um die Wettbewerbsfähigkeit mittelständischer Unternehmen zu steigern, stehen für Beratungsprojekte wie z.B. die §-11-Zertifizierung Fördergelder des Europäischen Sozialfonds bereit. Achtung: Diese Fördermittel laufen Ende 2015 aus. Handeln Sie jetzt! Nähere Infos hierzu finden Sie hier.

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Thomas Ströbele