Mittwoch, 2. Dezember 2015

Win-win durch Datenschutz

5 typische Schwachstellen und wie Sie diese beheben können


„Datenschutz in Deutschland bedeutet „mit Gürtel + Hosenträger“ weiß Thomas Ströbele von yourIT aus seiner Erfahrung als externer Datenschutzbeauftragter. Das BDSG ist bekannt für seine Strenge. Für Unternehmen, die sich an die gesetzlichen Vorgaben halten, bringt Datenschutz aber auch einige Vorteile.


Vor allem mittelständische Unternehmen konzentrieren sich immer noch auf Schwachstellen in der Informationssicherheit. Wertvolle Unternehmensdaten sollen nicht durch technische Defekte oder menschliche Fehler verloren gehen oder von Unbefugten unberechtigt kopiert oder ausgeschnüffelt werden. Das ist zweifelsohne wichtig.

Dabei wird aber oft der Datenschutz vernachlässigt, also die sichere Handhabung personenbezogener Daten. Dabei hängen Informationssicherheit und Datenschutz eng zusammen, denn was personenbezogene Daten schützt, schützt auch Betriebs- und Geschäftsgeheimnisse.


yourIT - Datenschutz im Informationssicherheits-Kontext

Das Bundesdatenschutzgesetz (BDSG) kümmert sich um personenbezogene Daten und verpflichtet Unternehmen dazu, Mitarbeiter-, Kunden und Lieferantendaten zu schützen und nur zweckgebunden zu verwenden.

Verbot mit Erlaubnisvorbehalt


„Das BDSG verbietet jegliche Nutzung von personenbezogenen Daten, es sei denn, diese ist erlaubt.“ Für Thomas Ströbele, Geschäftsführer der yourIT aus Hechingen ist damit der Auftrag klar. Als externer Datenschutzbeauftragter und Lead Auditor ISO27001 hilft er mittelständischen und großen Unternehmen, personenbezogene Daten genau so zu schützen wie andere für das Unternehmen wertvolle Daten – und bringt damit den Unternehmen Vorteile.

Win-win durch Datenschutz


Zu den Vorteilen für Unternehmen gehört eine geringere Geschäftsführer-Haftung durch die Einhaltung gesetzlicher Vorgaben. Daneben macht sich die Vorbeugung gegen Schäden wie Umsatzeinbußen bei Datenverlust sowie Bußgelder bezahlt. Kunden bevorzugen immer häufiger sichere Unternehmen und die Maßnahmen führen zudem zu einer besseren Organisation und zu effektiveren Prozessen. „Investitionen in Datenschutz und Informationssicherheit machen bereits aus gesundem Menschenverstand Sinn.“


Datenschutz - mit yourIT



Datenschutzkonzept in 4 Phasen


Um Unternehmen ohne große Reibungsverluste in das Thea Datenschutz einzuführen, hat yourIT ein Datenschutzkonzept in 4 Phasen entwickelt. „In der ersten Phase analysieren wir den aktuellen Zustand des Unternehmens sowie was  in welcher Form geschützt werden muss, um den Umfang – und die Kosten - klein zu halten.“ erklärt Ströbele den Start in den Datenschutz.
In der nächsten Phase wird das Datenschutz-Pflichtenheft erstellt. Welche Maßnahmen sind zu ergreifen, um die gefundenen Schwachstellen zu eliminieren? „Als Schwabe liebe ich es, nach dem Minimax-Prinzip zu arbeiten: Wie kann ein Unternehmen mit minimalem Ressourcenaufwand die maximalen Fortschritte machen!“ Dieser Plan gefällt den Verantwortlichen in den Unternehmen verständlicherweise.

Erst jetzt in Phase 3 macht sich der Datenschutz-Experte an die Umsetzung der notwendigen Maßnahmen im Unternehmen. Dabei unterscheidet er technische, organisatorische und qualifizierende Maßnahmen. Letztere bedeuten die Sensibilisierung der Mitarbeiter. „Die meisten Datenschutzpannen entstehen wegen Fehlern von Mitarbeitern!“ warnt Ströbele. Eine sinnvolle Einweisung der Mitarbeiter ist unverzichtbar. yourIT setzt hier auf kurze Präsenz- und Onlineschulungen gemäß dem Prinzip „Man kann über alles reden, aber nicht über 45 Minuten! Bewährt hat sich auch die Mandantenzeitung „Datenschutz Now!“, welche yourIT ihren Kunden 6x im Jahr kostenfrei zur Verfügung stellt.

Zum kostenlosen Download Ihrer aktuellen Ausgabe Datenschutz Now!

In der vierten und letzten Phase übt Ströbele mit den Unternehmen das Dranbleiben. Dazu gehören die Aufnahme neuer Verfahren genauso wie die Durchführung von Kontrollen zur Einhaltung der getroffenen Schritte.

5 typische Schwachstellen


Zum Schluss nennt Ströbele noch 5 typische Schwachstellen, die Sie selbst eliminieren können.

1. Rechner nicht gesperrt

Damit führen Mitarbeiter jedes Berechtigungskonzept ad absurdum. Schulen Sie Ihre Mitarbeiter, beim Verlassen des Arbeitsplatzes den Rechner zu sperren. Unglaublich, aber oft scheitert dies am mangelnden Wissen der Mitarbeiter um die Tastenkombination Windows-Taste + L.

2. Verwendung unsicherer Passwörter

Der Name des Ehepartners oder Hundes ist genauso ungeeignet wie ein Geburtsdatum. Schulen Sie ihren Mitarbeitern, wie sie ein sicheres Passwort mit 8-12 Klein-/Großbuchstaben, Zahlen und Sonderzeichen generieren und es sich merken, ohne es aufzuschreiben. Unterschiedliche Passwörter je Anwendung und ein regelmäßiger Wechsel der Passwörter machen Angreifern das Leben schwer.

3. Sorgloses Klicken auf Links und Öffnen von Dateianhängen

Ein falscher Klick und ein Trojaner verschlüsselt alle Unternehmensdaten. Meist folgt auf diesen Angriff eine erpresserische Zahlungsaufforderung. Aber egal ob Sie bezahlen oder nicht – die Daten bleiben meist verloren. Hier helfen nur vorbeugende Schulung der Mitarbeiter und funktionierende Viren-, Spam und Backup-Konzepte.

4. Steuernummer auf der Website

In vielen Finanzämtern ist Datenschutz noch immer ein Fremdwort. Wenn ein Unbefugter geschickt anfragt, funktioniert die Steuernummer wie eine Art „PIN“ zur Steuerakte und damit zu vertraulichen Finanzdaten. Verwenden Sie stattdessen ausschließlich die Umsatzsteuer-ID.

5. Newsletter-Versand an offenen E-Mail-Verteiler

Sicher haben auch Sie schon einmal eine Serienmail erhalten, bei der sie sehen können, wer außer Ihnen diese noch erhalten hat. E-Mail-Adressen sind personenbezogene Daten. Manche Empfänger finden diese unerlaubte Veröffentlichung unpassend. So wurde unlängst in einem solchen Fall ein Bußgeld festgesetzt. Hier hilft nur Schulung.

„IT’s not your business!“


So lautet die Empfehlung von yourIT an mittelständische Geschäftsführer. „Holen Sie sich externe Experten für Datenschutz und IT-Sicherheit ins Haus und nutzen Sie deren Erfahrung aus anderen Projekten. Dann bleibt mehr Zeit für Ihre eigentlichen Wertschöpfungsprozesse.“


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


Freitag, 23. Oktober 2015

yourIT empfiehlt - 8 Punkte, auf die Mittelständler bei der Auswahl einer passenden Cyber-Versicherungs-Police achten sollten

So segensreich die Möglichkeiten der digitalen Vernetzung für die meisten Menschen auch sind - ehrlicherweise sollten auch die daraus resultierenden Gefahren nicht verschwiegen werden. Sogenannte Cyber-Kriminalität gewinnt leider immer mehr an Bedeutung, weil sich mit sensiblen Daten unter Umständen viel Geld verdienen lässt. Außerdem werden die meisten Unternehmen durch Angriffe auf ihre IT-Infrastruktur an einem empfindlichen Nerv getroffen. Neben entsprechenden Maßnahmen in den Bereichen Datenschutz & IT-Sicherheit sowie der Einführung eines Risikomanagements sollte deshalb auch der Transfer des Restrisikos auf eine Cyber-Versicherungs-Police in Betracht gezogen werden.


Vor welchen (Rest-) Risiken schützt eine Cyber-Versicherungs-Police?


yourIT-Übersicht Cyber-Risiken, Maßnahmen und Risiko-Transfer auf eine Cyber-Versicherungs-Police

Die Schäden sich schon jetzt erheblich: Auch wenn viele Firmen ungern über erfolgreiche IT-Angriffe sprechen, um das Vertrauen ihrer Kunden nicht zu verlieren, verursachen Kriminelle im Internet hohe Kosten. Laut Einschätzungen des Branchenverbandes Bitkom gehen derzeit jährlich rund 50 Milliarden Euro durch digitale Straftaten verloren. Betroffen sind vor allem mittelständische Unternehmen. Warum nicht die Großunternehmen und Konzerne in das Visier der Hacker geraten, erschließt sich schnell: Im Vergleich zu den Großen fehlen Mittelständlern häufig sowohl das Verständnis für die Risiken als auch die Fähigkeiten und die Mittel, dieser Gefahr zu begegnen. Eine Cyber-Versicherungs-Police sichert genau den Eigenschaden bei Eintreten des Schadenfalls ab. Unverzichtbar für Unternehmen ist es aber auch weiterhin, gemeinsam mit Ihrem IT-Systemhaus die erforderlichen Maßnahmen in den Bereichen Datenschutz, IT-Sicherheit und Risikomanagement zu ergreifen.

Lernen Sie die zwei Typen von Cyber-Versicherungs-Policen kennen


Grundsätzlich muss zwischen zwei Typen Deckungselementen unterschieden werden: Der eine Typ deckt die Eigenschäden ab, die direkt durch den Datenverlust nach einem Angriff entstehen. Das könnte vor allem wichtiges Knowhow sein, welches dem Unternehmen verloren geht. Weiterhin entstehen durch den Ausfall der digitalen Infrastruktur natürlich weitere Kosten (insbesondere Betriebsausfall bis hin zum Bandstillstand) - die meisten Unternehmen können heute ohne Rechner nicht mehr arbeiten. Als zweiter Typ werden die Fremdschaden-Versicherungen bezeichnet, die für Schäden gegenüber Dritten einstehen. Dieser Typ entspricht einer Haftpflicht-Versicherung. Kommt es zu einem Cyber-Schaden bei Dritten, durch den vertrauliche Geschäftsdaten an die Öffentlichkeit kommen, sollten auch Vermögensschäden mitversichert sein.

Es gibt viele Anbieter von Cyber-Policen - Sie haben die Qual der Wahl


Wenn Sie sich nun an die Auswahl der passenden Cyber-Versicherungs-Police machen, sollten Sie vor allem an Haftungseinschränkungen und Haftungsausschlüssen orientieren. Nur so vermeiden Sie kritische Fehler und Sie erhalten am Ende auch den zu Ihrem Unternehmen passenden Cyber-Schutz.

Achten Sie bei der Auswahl insbesondere auf folgende Punkte:

  1. Ist eine Rückdatierung der Versicherung und damit eine rückwirkende Absicherung möglich?
  2. Leistet die Versicherung auch bei einem Verlust von unverschlüsselten Daten?
  3. Leistet die Versicherung auch bei einem Verlust bei Fahrlässigkeit?
  4. Wie steht es um den Versicherungsschutz, wenn Ihre Daten beim Cloud-Dienstleister oder anderen Dritten verloren gehen?
  5. Was ist mit Daten in der Cloud, auf mobilen Geräten und auf Papier?
  6. Wer trägt die Kosten der Benachrichtigung der Betroffenen?
  7. Manchmal sind nach einem Schadensfall längerfristige Überwachungs-Dienstleistungen notwendig - evtl. über Jahre. Werden die Kosten übernommen?
  8. Zahlt die Versicherung auch die oft hohen Kosten der Datenwiederherstellung?
Falls Sie überfordert sind oder keine Zeit haben: Zur Abrundung Ihrer bestehenden Versicherungen empfehlen wir Ihnen gerne einen Versicherungsmakler, der sich als Experte im Bereich der Cyber-Versicherung hervortut. Fragen Sie uns an.

Fazit: Nehmen Sie Eigenverantwortung wahr


Eine Cyber-Versicherungs-Police erscheint unserer Meinung nach sinnvoll und kann ein ganz existenzielles Unternehmensrisiko abdecken. Für uns als IT-System- und Beratungshaus ist sie ein wichtiger Partner, um Ihr Risiko als Unternehmen so gering wie möglich zu halten. Als Unternehmer sollten Sie dem Thema daher mehr Aufmerksamkeit widmen.

Aber Vorsicht: Wie bei vielen anderen Versicherungen auch, führt fahrlässiges und grob fahrlässiges Verhalten zu einem Leistungsausschluss. Mit Passwörtern sollte also verantwortungsvoll umgegangen werden, ebenso muss die Sicherheitsinfrastruktur des Unternehmens auf dem aktuellen Stand sein.

Vergessen Sie nicht, dass Sie sich nicht gegen Geschäftsverlust aufgrund von Imageschäden nach einem Sicherheitsvorfall versichern können. Und diese Kosten können erheblich sein. Laut des Berichts von Ponemon kostet ein Sicherheitsvorfall ein Unternehmen im Durchschnitt etwa 4 Prozent der Kunden. Nehmen Sie daher lieber Sicherheitsmaßnahmen in Kauf, als sich auf die Versicherung im Falle eines Falls zu verlassen.

Wir als Ihr Systemhaus kümmern uns um die technischen und organisatoreischen Maßnahmen in den Bereichen IT-Sicherheit und Datenschutz. Außerdem unterstützen wir Sie gerne bei einer gründlichen Risikobewertung sowie beim Aufbau eines Risiko-Managementsystems. Wurden diese Maßnahmen ergriffen, sorgt die Cyber-Versicherungs-Police aber für ein Stück mehr Sicherheit - von dem im Ernstfall auch Ihre Kunden profitieren werden.

Update vom 23.10.2015: Unternehmen mit viel Nachholbedarf


Der Digitalverband Bitkom geht davon aus, dass mehr als die Hälfte aller Unternehmen in Deutschland in den letzten 2 Jahren Opfer von Sabotage, Datendiebstahl oder digitaler Wirtschaftsspionage geworden sind! Konservativen Berechnungen der Bitkom zu Folge kann man von einem entstandenen Schaden in Höhe von 51 (!!!) Milliarden Euro ausgehen - pro Jahr versteht sich.

Durch den Einsatz von Cyber-Policen schützen sich Firmen vor Produktionsausfällen Auch Lösegelder können erstattet werden, die Unternehmen Kriminellen für die Rückgabe Ihrer Daten bezahlen müssen.

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


Montag, 5. Oktober 2015

Auftragsdatenverarbeitung ohne korrekte ADV-Vereinbarung kann teuer werden

Das Bayrische Landesamt für Datenschutz (BayLDA) verhängte laut eigenen Angaben vom 20.08.2015 erstmals ein Bußgeld in fünfstelliger Höhe gegen einen Auftraggeber, der Auftragnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt hatte, ohne mit diesen gemäß § 11 BDSG hinreichende Vereinbarungen zur Auftragsdatenverarbeitung zu treffen. Speziell die Festlegung konkreter (!) technischer und organisatorischer Maßnahmen (TOM) wurde vernachlässigt (vgl. § 11 (1) Abs. 3 BDSG).


Das betroffene und nun abgestrafte Unternehmen hatte stattdessen nur pauschale Aussagen und Wiederholungen des Gesetzestextes in die Vereinbarungen mit den Auftragnehmern geschrieben. Dies reicht laut dem BayLDA keinesfalls aus. Denn der Auftraggeber ist und bleibt für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz auch in Fällen einer Auftragsdatenverarbeitung verantwortlich.

Auftragsdatenverarbeitung ohne korrekte schriftliche Vereinbarung kann teuer werden


Als Datenschutzbeauftragte bekommen wir aber nicht selten genau diese pauschalen Aussagen und Wiederholungen aus dem Gesetzestext statt konkreter technischer und organisatorischer Maßnahmen zu lesen, wenn wir eine Vereinbarung zur Auftragsdatenverarbeitung schließen wollen. Wenn ich dann konkrete Maßnahmen einfordere, höre ich nicht selten, ich wäre der erste Datenschutzbeauftragte, der sich mit dem "Standard" nicht zufrieden geben möchte.

Aber ganz ehrlich: Wie will ein Auftraggeber seiner gesetzlich auferlegten Datenschutz-Verantwortung nachkommen, wenn er die konkreten technischen und organisatorischen Maßnahmen des Auftragnehmers nicht kennt und daher auch nicht überprüft. Wie kann er dann wissen, ob sein ausgewählter Dienstleister überhaupt in der Lage ist, für Sicherheit und Schutz der Daten zu sorgen - die in seinem Verantwortungsbereich liegen?

Der Datenschutzbeauftragte des Auftraggebers muss sich gemäß Anlage zu § 9 BDSG über die Verhältnisse der

  • Zutrittskontrolle,
  • Zugangskontrolle,
  • Zugriffskontrolle, 
  • Weitergabekontrolle,
  • Eingabekontrolle,
  • Auftragskontrolle,
  • Verfügbarkeitskontrolle und
  • Trennungsgebot

beim Auftragnehmer ein Bild machen - z.B. durch Kontaktaufnahme mit dem Datenschutzbeauftragten des Auftragnehmers. Falls notwendig muss er auch für die Einführung weiterer geeigneter technisch-organisatorischer Maßnahmen sorgen. Gibt es auf Seiten des Auftragnehmers keinen Datenschutzbeauftragten, wird der Datenschutzbeauftragte des Auftraggebers auch diese Arbeiten durchführen müssen.

Der Auftraggeber muss eine dem § 11 BDSG entsprechende Vereinbarung schließen. Die Haftung bleibt bei ihm, solange sich der Auftragnehmer wie vereinbart verhält. Der Auftraggeber wird auch die Kosten dieser Tätigkeiten seines Datenschutzbeauftragten sowohl beim Auftraggeber als auch beim Auftragnehmer tragen müssen. Es ist aber denkbar, diese zumindest teilweise an den Auftragnehmer weiter zu reichen.

Typische Fälle von Auftragsdatenverarbeitung


Auftragsdatenverarbeitung sind laut dem BayLDA regelmäßig z. B. folgende Dienstleistungen:

  • die edv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
  • die Werbeadressenverarbeitung in einem Lettershop,
  • die Kontaktdatenerhebung durch ein Callcenter,
  • die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG),
  • die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
  • die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
  • die Backup-Sicherheitsspeicherung und andere Archivierungen,
  • die Datenträgerentsorgung, 
  • usw.


Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Was Sie als Auftraggeber jetzt tun sollten


Sie sind laut § 11 BDSG in der Pflicht, eine hinreichende schriftliche Vereinbarung mit allen Auftragsdatenverarbeitern zu schließen. Falls Sie das nicht tun, zahlen Sie gegebenenfalls das Bußgeld. Falls noch nicht geschehen, sollten Sie jetzt eine Liste Ihrer Auftragsdatenverarbeiter aufstellen. Auf Anfrage liefern wir Ihnen gerne ein kostenloses Muster einer solchen Liste der Auftragsdatenverarbeiter. Danach sollten Sie überprüfen, mit welchen der in der Liste notierten Auftragsdatenverarbeiter bereits schriftliche Vereinbarungen getroffen wurden und ob diese den Anforderungen des § 11 BDSG entsprechen. Mit allen anderen sollten  Sie schnellstmöglich entsprechende Vereinbarungen treffen.

Wie wir von yourIT Sie als Auftraggeber unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel - aber nur bei Durchführung der Beratung bis 31.12.2016.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.


Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.



Hinweis: Auch für Auftragnehmer haben wir ein passendes Beratungspaket geschnürt:

Die §-11-Zertifizierung für Auftragsdatenverarbeiter


yourIT Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter


Wenn Sie Ihren Auftraggeber unterstützen und diesem seine gemäß § 11 BDSG auferlegten Aufgaben so einfach wie möglich machen wollen, lassen Sie Ihr Unternehmen als Auftragsdatenverarbeiter durch uns von yourIT kontrollieren und zertifizieren. In diesem Fall erstellen wir ein Zertifikat, da Ihr Auftragsdatenverarbeiter direkt als Nachweis verwenden kann.

Freitag, 31. Juli 2015

yourIT-Tipps zum IT-Sicherheitsgesetz - Was Mittelständler jetzt beachten sollten

Am letzten Wochenende ist nach rund sechsmonatigen parlamentarischen Beratungen das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in Kraft getreten. Das sogenannte IT-Sicherheitsgesetz (kurz IT-SiG) stellt für Unternehmen "der kritischen Infrastruktur" Mindestanforderungen an die IT-Sicherheit auf. Es enthält z.B. eine Verpflichtung zur Meldung von Datenpannen und Cyber-Attacken. Kleine und mittelständische Unternehmen (KMUs) in diesem Bereich fallen eigentlich durch das Gesetzesraster. Weshalb diese häufig trotzdem betroffen sind, wissen die securITy-Experten von yourIT.


Das IT-Sicherheitsgesetz stellt dabei eine Zusammenfassung von bereits bestehenden Gesetzen dar. Wer darin eine konkrete Festlegung von Maßnahmen erwartet, die Betreiber kritischer Infrastrukturen zur Sicherung ihrer IT umsetzen müssen, kann lange suchen. Auf Grund der Schnelllebigkeit im Bereich IT-Sicherheit wäre dies aber auch nicht zielführend. Das IT-Sicherheitsgesetz stellt aber einen Rahmen dar - der durch noch zu erlassende Rechtsverordnungen und abzustimmende Sicherheitsstandards konkretisiert werden wird.

Ziele des IT-Sicherheitsgesetzes


Ein wichtiges Ziel des IT-Sicherheitsgesetzes ist es, das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu stärken. Die dort künftig zusammenlaufenden Informationen über IT-Angriffe sollen zügig ausgewertet und den Betreibern Kritischer Infrastrukturen zur Verbesserung des Schutzes ihrer Infrastrukturen schnellstmöglich zur Verfügung gestellt werden. Nachdem das IT-Sicherheitsgesetz jetzt inkraft getreten ist, sind die Betreiber Kritischer Infrastrukturen nun zur Erarbeitung und Umsetzung von IT-Mindeststandards in ihrem Bereich verpflichtet.

Definition "Kritische Infrastruktur"


Definition "Kritische Infrastruktur" in Sektoren, Branchen und Schutzzielen

Das IT-Sicherheitsgesetz nennt eine "kritischen Infrastruktur" - KRITIS. Dazu zählen speziell Betreiber von Kernkraftwerken und Telekommunikationsunternehmen sowie Unternehmen aus den Branchen Energie- und Wasserversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit und Ernährung / Lebensmittel.

Weshalb sind KMUs vom IT-Sicherheitsgesetz betroffen?


Direkt betroffen vom IT-Sicherheitsgesetz sind Schätzungen zufolge nur etwa 2.000 Betriebe in ganz Deutschland. Kleine und mittelständische Unternehmen - sogenannte KMUs fallen eigentlich durch das Raster der Gesetzgebung. Demnach könnte man meinen, KMU müssten die Anforderungen an die IT-Sicherheit nicht zwingend erfüllen. Davon ist aber nicht auszugehen. Arbeitet z.B. ein KMU als Zulieferer für ein Unternehmen der Kritischen Infrastruktur, das sehr wohl das IT-Sicherheitsgesetz beachten muss, kann das KMU fest damit rechnen, dass der Auftraggeber die Einhaltung gewisser IT-Sicherheits-Standards vom KMU fordert.

Vom IT-Sicherheitsgesetz IT-SiG direkt und indirekt betroffene Unternehmen

"Eine gute Wahl für einen IT-Sicherheitsstandard ist sicherlich die ISO 27001", so Thomas Ströbele, Geschäftsführer der yourIT und Lead Auditor ISO 27001. "Diese Norm ist derzeit der international anerkannteste Standard zum Thema Informationssicherheit."

Auf dem Weg zur ISO 27001 macht es aber oft Sinn, sich "kleinerer" IT-Sicherheitsstandards als Etappenziele zu bedienen. Beispiele hierfür sind ISA+, ISIS12 oder BSI-Grundschutz. Zwischen-Zertifizierungen sind damit einfacher erreichbar. Es stellt sich schneller ein Erfolgserlebnis ein. Die erreichten Ergebnisse lassen sich für die Erreichung der Zertifizierung nach ISO 27001 wiederverwerten.


IT-Sicherheits-Standards im Vergleich - ISA+, ISIS12, BSI-IT-Grundschutz und ISO 27001

Kosten der Umsetzung der Vorschriften des IT-Sicherheitsgesetzes für betroffene Unternehmen?


Für die Wirtschaft entsteht bei Betreibern Kritischer Infrastrukturen sowie deren Zulieferern Erfüllungsaufwand für die Einhaltung von IT-Sicherheits-Standards und die Einrichtung und Aufrechterhaltung entsprechender Meldewege.

Dies wird nur dort zu erheblichen Mehrkosten führen, wo bislang noch kein hinreichendes Niveau an IT-Sicherheits-Standards bzw. keine entsprechenden Meldewege etabliert sind. Für diejenigen betroffenen Unternehmen, die sich bereits in der Vergangenheit mit Datenschutz & IT-Sicherheit beschäftigt haben, sind keine steigenden Kosten zu erwarten. Zusätzliche Kosten entstehen für die Betreiber Kritischer Infrastrukturen und deren Zulieferer durch die Durchführung der vorgesehenen IT-Sicherheitsaudits.

Fazit zum IT-Sicherheitsgesetz


Wenn die Umsetzung notwendiger Pflichten auf freiwilliger Basis scheitert, muss der Staat manchmal einschreiten und gesetzliche Regelungen erlassen. Insofern finden sich viele Parallelen zwischen der Einführung des IT-Sicherheitsgesetzes und der Durchsetzung der Gurtpflicht. 1975 verweigerten sich Millionen Menschen dem Lebensretter Sicherheitsgurt. Männer fürchteten um ihre Freiheit, Frauen um ihren Busen. Erst die Einführung der Gurtpflicht mit empfindlichen Strafen ebnete der Vernunft und dem Sicherheitsgurt den Weg zum Lebensretter Nr. 1. Genauso wird das IT-Sicherheitsgesetz den Sicherheits-Muffeln unter den Unternehmen mit Kontrollen und empfindlichen Strafen den richtigen Weg ebnen. Schaut man sich die oben genannten Schutzziele an, profitieren wir alle davon.

“Unternehmen aus den im IT-Sicherheitsgesetz genannten Branchen sollten sich spätestens jetzt mit der Sicherheit ihrer Informationstechnik auseinandersetzen”, empfiehlt Thomas Ströbele. “Nach in Kraft treten der Rechtsverordnung bleibt diesen gerade mal sechs Monate Zeit, eine Kontaktstelle für das BSI zu benennen. Innerhalb von zwei Jahren müssen dann die definierten Mindeststandards umgesetzt werden.”

Wer schon jetzt die Voraussetzungen für ein gesundes und nachhaltiges Management von Informationen schafft, kann den gesetzlichen Neuerungen gelassen entgegensehen. yourIT unterstützt Unternehmen unter anderem mit IT-Schwachstellenanalysen sowie Datenschutz- und IT-Sicherheits-Audits, durch die festgestellt werden kann, inwieweit die Anforderungen der ISO 27001 bereits umgesetzt sind oder welche Maßnahmen noch notwendig sind. Außerdem unterstützt yourIT Unternehmen beim Erreichen der Zertifizierung nach ISO 27001.

Nachdem ich vergangenes Jahr in meinem Urlaub den Roman "BLACKOUT - Morgen ist es zu spät" gelesen habe, kommen mir die genannten Schutzziele vielleicht als besonders schützenswert vor. Beachten Sie unsere Sommeraktion 2015: Zu jedem Termin im August und September 2015 bringen wir ein kostenloses Exemplar des Bestsellers mit.

Empfohlene Urlaubslektüre von yourIT: Roman BLACKOUT - Morgen ist es zu spät

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


BLACKOUT - Empfehlung Urlaubslektüre 2015 für Geschäftsführer und IT-Leiter

Vor kurzem gingen in Deutschland die Sommerferien 2015 los. Falls Sie noch auf der Suche nach einer spannenden Urlaubslektüre sind, die sich mit dem Thema IT-Security beschäftigt und viel mit Ihrem Beruf als Geschäftsführer, IT-Leiter / Administrator oder Datenschutzbeauftragter zu tun hat: Entscheiden Sie sich für den Roman BLACKOUT - Morgen ist es zu spät.


Empfohlene Urlaubslektüre von yourIT: Roman BLACKOUT - Morgen ist es zu spät

Das Buch hat mir ein Freund geliehen (auch ein IT-Verantwortlicher). Ich habe es letztes Jahr in meinem Urlaub gelesen. Es hat fast 800 Seiten - aber ich habe es in den wenigen Tagen geradezu verschlungen. Da mir das bei Romanen nicht oft passiert, möchte ich meinen Blog für Datenschutz & IT-Sicherheit nutzen, um Ihnen das Buch zu empfehlen.

BLACKOUT - Morgen ist es zu spät (E-Book) BLACKOUT - Morgen ist es zu spät (E-Book) ZERO - Sie wissen, was du tust
BLACKOUT -
Morgen ist es zu spät
BLACKOUT -
Morgen ist es zu spät (E-Book)
ZERO -
Sie wissen, was du tust


Der Inhalt in aller Kürze:

An einem kalten Februartag legt ein Stromausfall ganz Europa lahm. Zunächst geht man noch von technischen Schwierigkeiten aus, die sich innerhalb weniger Stunden beheben lassen. Aus Stunden wird ein Tag, dann mehrere Tage, und es wird klar, dass mehr hinter diesem Stromausfall steckt.

Während Kraftwerksangestellte, Regierungen, Software- und Sicherheitsfirmen versuchen, die Ursache für den Ausfall zu finden, kämpft die Bevölkerung im kalten Winter zunächst darum, den Alltag in Gang zu halten, und ziemlich schnell dann ums nackte Überleben.

Denn nichts funktioniert mehr ohne Strom. Denken Sie mal darüber nach: Toilettenspülung, Wasserhahn, Heizung, Licht, Kühlschrank, Aufzug, Tankstellen, Bus und Bahn, Computer, Internet, ... Alles braucht irgenwie Strom. Seit Fukushima wissen wir: Auch abgeschaltete Atomkraftwerke brauchen Strom zur Kühlung verbrauchter Brennelemente. BLACKOUT führt dem Leser vor Augen, wie abhängig wir vom Strom sind, wie unvorbereitet und wie schnell diese angespannte Notsituation das Verhalten der Menschen zum Negativen verändern kann - wenn der Strom über mehrer Tage eben nicht aus der Steckdose kommt.

Fazit:
Blackout ist ein spannender, realitätsnaher Thriller, der den Leser nicht nur vom Anfang bis zum Ende mitfiebern, sondern auch über das Leben nachdenken lässt. Interessant für mich als Berater für Datenschutz & IT-Sicherheit sind die vielen vermeidbaren Pannen und Regelverstöße, welche die Katastrophe überhaupt erst ermöglichen.


Weshalb ich dieses Buch spannend finde:


Aktuell beschäftige ich mich an mehreren Fronten mit dem Thema Risikomanagement. Unter diesem Begriff bieten wir von yourIT gemeinsam mit unseren Partnern mehrere Leistungen, Produkte und Lösungen an. Hierzu zählen:
  1. Beratungspaket Sicherheitsaudit "IT-Infrastruktur" - sponsored by ESF
  2. Beratungspaket Informations-Sicherheits-Analyse ISA+ - sponsored by ESF
  3. Beratungspaket Datenschutzkonzept Phase A+B - sponsored by ESF
  4. Lösung Risikomanagement / Internes Kontrollsystem (IKS) mit BPM inspire
  5. Schwachstellenmanagement / Vulnerabilitymanagement mit QualysGuard
Ende Juni durfte ich einen Vortrag halten bei der IHK Neckaralb in Reutlingen, der für mich ebenfalls im Bereich Risikomanagement anzusiedeln war: Das Thema der Veranstaltung lautete "Vorsicht Falle: Betrugsversuche aus dem Ausland". Vorgetragen haben neben mir eine Dame der AHK, ein Mitarbeiter der Sparkasse Zollernalb und ein Herr vom Landeskriminalamt. Die Beispiele der Vorredner waren teilweise unglaublich. In vielen Fällen passte der Spruch "Gier frisst Hirn!". Interessant war es auch der Hinweis, man sollte keine Unterschriften von Zeichnungsberechtigten auf Angeboten ins Ausland platzieren, da diese sehr häufig (von Unterschriften-Robotern!) nachgemacht und auf Überweisungsträgern genutzt würden. Ich durfte die IT-Sicht vertreten. Am Ende stimmten wir Redner überein: Es mangelt meist schon an den Basics in der IT-Security. So lange keine Sicherheits- und Datenschutzleitlinien in den Unternehmen vorhanden sind und die Mitarbeiter wenig bis nicht geschult werden, sind Betrügereien (nicht nur aus dem Ausland) ein Kinderspiel.

Die wichtigsten Szenen und deren Bedeutung für die IT:

  1. "Was technisch machbar ist, wird auch gemacht. Wer etwas anderes behauptet, lügt!" Für einen Hacker wie den Protagonisten Manzano ist es selbstverständlich, dass er sich moderne Geräte wie z.B. die neuen Smart Meter genauer ansieht und prüft, was diese genau machen. Nur so kommt es, dass Manzano den Code zum Abschalten des Stroms auf dem Gerät in seiner Wohnung entdeckt.
  2. "Durchsetzungsvermögen gegen den Widerstand der Vorgesetzten lohnt sich!" Der Verantwortliche für die Notstromversorgung beim Software-Hersteller Talaefer wird vom Vorstandsvorsitzenden persönlich zur Schnecke gemacht, als der Notfall eintritt und eben kein Notstrom zur Verfügung steht. Grund: Der Verantwortliche hätte sich vor 1 Jahr mehr engagieren müssen, als es um die Anschaffung eines solchen Notfall-Systems ging und die 5 Millionen Euro vom Vorstand als unnötig abgelehnt wurde. Mal ganz ehrlich: Wie viele sinnvolle und wichtige Investitionen wurden in Ihrem Unternehmen bereits mehrfach abgelehnt (z.B. IT-Security-Management-System, Dokumentenmanagementsystem, elektronisches Archiv, Datenschutzkonzept, etc.). Wen werden die Vorstände / Geschäftsführer in Ihrem Haus im Ernstfall verantwortlich machen?
  3. "Das schwächste Glied bricht!" Die Terroristen infiltrieren über lange Zeit die Unternehmen und Systeme, die sie für Ihren Angriff brauchen können. Über Viren, Trojaner und Social Engineering gelangen Sie an die Zugänge und Informationen, die sie benötigen. Es gibt zwar Sicherheitskonzepte und-Richtlinien, diese wurden aber systematisch umgangen und nicht regelmäßig kontrolliert.
  4. "Selbstüberschätzung und grenzenloses Vertrauen in der IT". Europol lässt über lange Zeit nicht einmal den Gedanken zu, dass ihr eigenes Sicherheitssystem angreifbar ist und die Häcker längst alles mitlesen, mithören und mit anschauen können. Aber auch auf der anderen Seite: Nur weil die Angreifer (allesamt IT-Profis) sich selbst unangreifbar fühlen und daher auf Anonymisierung, Verschlüsselung und gute Passworte verzichten, gelingt es Manzano, in deren Kommunikationsplattform einzudringen.
  5. Nachdem sich der Verdacht erhärtet, dass Europol gehackt wurde und die Angreifer aktiv Falschmeldungen innerhalb Europol versenden,  wir endlich die 2-Faktor Authentifizierung eingeführt: E-Mails müssen auf einem anderen Kommunikations-Weg bestätigt werden.
  6. "18 Monate in der IT sind wie 100 Jahre in der realen Welt!", so antwortet ein IT-Mitarbeiter auf die Frage, weshalb sie nicht einfach ein Backup einspielen.
Es wäre schön, wenn BLACKOUT dem einen oder anderen die Augen öffnet und so manch dringend notwendiges (IT-)Projekt zum Laufen bringen würde.

Wie können wir die Situation gemeinsam verbessern? Sommeraktion 2015!


Unser Slogan heißt nicht umsonst "yourIT - Wir bringen Sicherheit in allen IT-Fragen!" Ein Gespräch mit unseren Experten von yourIT bringt Ihnen viele Vorteile. Jetzt kommt noch einer dazu: Zu allen Terminen, die wir im Juli, August und September 2015 bei Ihnen machen, bringen wir Ihnen 1 kostenloses Exemplar des Bestsellers "BLACKOUT - Morgen ist es zu spät" mit. Das ist es uns wert.

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Am 16.03.2015 wurden unsere Beratungspakete
beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete

Donnerstag, 23. Juli 2015

Gefördertes Angebot - §11-BDSG-Zertifikat zur Auftragsdatenverarbeitung

Sie haben ein Anschreiben eines Kunden (hier: Auftraggeber) erhalten, der mit Ihnen eine Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG schließen möchte? Sie haben nicht so wirklich einen Plan, was nun zu tun ist? Dann sind Sie hier richtig. Wir verhelfen Ihnen schnell und unkompliziert - und im besten Fall noch staatlich gefördert - zur notwendigen §11-Zertifizierung.


Mit einer proaktiven §11-Zertifizierung sparen Sie als Auftragnehmer bei der Auftragsdatenverarbeitung sich und Ihrem Auftraggeber sehr viel Prüfaufwand und damit Zeit und Geld.

Zertifizierung für Auftragsdatenverarbeiter gemäß §11 BDSG - von yourIT

Was bedeutet Auftragsdatenverarbeitung?


Datenverarbeitung im Auftrag liegt immer dann vor, wenn personenbezogene Daten Im Auftrag von einem Dienstleistungsunternehmen erhoben, verarbeitet oder genutzt werden.

Ihr Auftraggeber, also Ihr Kunde, muss Sie in regelmäßigen Abständen prüfen ob Sie ausreichende technische und organisatorische Maßnahmen zum Datenschutz eingerichtet haben und diese auch eingehalten werden. Wie diese Überprüfung durchzuführen ist, hat der Gesetzgeber nicht näher bestimmt, die Überprüfung ist aber zu dokumentieren und in regelmäßigen Abständen zu wiederholen. Dasselbe gilt im Umkehrschluss für Sie, wenn Sie in der Position als Auftraggeber fungieren.

Die Verantwortung für die Einhaltung der Datenschutzvorschriften verbleibt beim Auftraggeber! Der Mindestumfang des Vertragsinhalts wird im Gesetz konkret und umfassend vorgegeben.

Wird die Überprüfung des Auftragnehmers unterlassen oder der Vertrag nicht, nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise abgeschlossen, erfüllt dies den Tatbestand einer Ordnungswidrigkeit und ist mit einem Bußgeld bis zu 50.000 € belegt. Daher das Interesse Ihres Auftraggebers, diesen Vertrag nun korrekt mit Ihnen zu schließen.

Die Vorprüfung: Sind Sie überhaupt ein Auftragsdatenverarbeiter?


Zuallererst prüfen wir, ob Sie im fraglichen Fall überhaupt ein Auftragsdatenverarbeiter sind. Typische Beispiele für Auftragsdatenverarbeitung sind:
  • Ihr Callcenter ruft die Kunden des Auftraggebers an und erhebt Kontaktdaten;
  • Ihr Lettershop adressiert Werbe-Briefe an die Kunden des Auftraggebers;
  • Ihr IT-Systemhaus wartet die IT-Systeme des Auftraggebers, z.B. auch per Fernwartung;
  • Sie stellen das Rechenzentrum für Ihren Auftraggeber;
  • Sie betreiben eine (online) Backup-Sicherheits-Speicherung oder andere Archivierung für Ihre Kunden;
  • Sie betreiben ein Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing;
  • Sie betreiben zumindest teilweise die Telekommunikationsanlage Ihres Auftraggebers (soweit nicht TKG);
  • Sie erfassen und/oder konvertieren für Ihre Kunden Daten und scannen dessen Dokumente ein;
  • Sie entsorgen Papier und/oder andere Datenträger für Ihren Auftraggeber.
Die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen sind kraft Gesetzes (§ 11 Abs. 5 BDSG) Datenverarbeitung im Auftrag nach § 11 BDSG. Das gilt bereits dann, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Keine Auftragsdatenverarbeitung liegt z.B. vor bei Unternehmensberatung, reinem Postversand, reiner Transport- oder Telekommunikationsdienstleistung im Sinne des TKG oder Bankgeschäften, Reinigungsdienstleistungen. Strittig ist aktuell die Rolle des Steuerberaters.

Aber auch hier gilt: Ohne Vertrag geht nichts! Die insoweit mit dem Aufgabenübernehmer zu treffenden vertraglichen Vereinbarungen müssen im Hinblick auf die zu berücksichtigenden Interessenlagen der betroffenen Personen und die Zweckbindung für die Daten (vgl. § 28 Abs. 5 BDSG) oft einen vergleichbaren Inhalt wie Verträge nach § 11 BDSG haben.

Das tun wir für Sie


Wir haben Sie als Auftragsdatenverarbeiter klassifiziert. Nun klären wir mit Ihnen im Rahmen unserer Schwachstellenanalyse die notwendigen Unterlagen und Auditfragen. Sollten Unterlagen fehlen, können wir Ihnen in den meisten Fällen mit Mustern aushelfen, die Sie dann nur noch an Ihr Unternehmen anpassen müssen. Dann bekommen Sie von uns Zeit, sich auf ein erfolgreiches Audit vorzubereiten. Wir vereinbaren den Audittermin mit Ihnen und führen das Audit durch. Wir erstellen einen schriftlichen Beratungbericht und - falls die Anforderungen erfüllt wurden - Ihr §11-Zertifikat. Die Rezertifizierung kann durch uns regelmäßig durchgeführt werden.

Das alles erhalten Sie von uns im Rahmen des Auftrags


Sie erhalten von uns:
  • die Zertifizierungs-Urkunde gemäß §11 BDSG Auftragsdatenverarbeitung;
  • einen schriftlichen Beratungsbericht;
  • die notwendigen Checklisten und Fragebögen;
  • fehlende Dokumente / Formulare zur Anpassung an Ihr Unternehmen;
  • jede Menge Tipps zur Optimierung Ihrer datenschutzrechtlichen Abläufe.
Der erste Tipp vorweg: Nutzen Sie Ihre §11-Zertifizierung werblich. Sie bringt Ihnen Vorteile bei der erfolgreichen Akquise neuer Kunden.

Ihr Nutzen


Folgenden Nutzen bringt Ihnen die §11-Zertifizierung:
  • Sie können die angeforderte Vereinbarung zur Auftragsdatenverarbeitung zeitnah und guten Gewissens unterzeichnen;
  • für künftige Anfragen anderer Auftraggeber sind Sie gut vorbereitet;
  • in der Regel ersparen Sie sich weitere Prüfungen durch den Auftraggeber;
  • da Ihr Auftraggeber die Kontrolle sonst durchführen müsste, sparen Sie diesem Zeit und Kosten bei der Vergabe von Aufträgen an Sie;
  • Sie erhalten ein günstiges Werbemittel, mit dem Sie sich von den meisten Mitbewerbern abgrenzen können.

Achtung: Die §11-Zertifizierung durch unser Beratungsunternehemen ist im Jahr 2017 noch förderfähig! Mehr zu diesem und unseren anderen staatlich geförderten Beratungspaketen haben wir auf einer Webseite zusammengestellt: http://www.mITgroup.eu


Das yourIT Beratungskonzept in 4 Phasen


Holen Sie sich Fördermittel bis zu 1.500 EUR. Die Bedingungen finden Sie hier.

Die §11-Zertifizierung bieten wir erfolgreich bundesweit an. Unsere Methodik und modernste Technik ermöglicht es uns in den meisten Fällen, das Audit schnell und unkompliziert auch ohne vor-Ort-Termin durchzuführen. Ihr Auftraggeber sollte nicht unnötig warten müssen, oder?

Worauf warten Sie noch? Sprechen Sie mich an.

Ihr Thomas Ströbele

Thomas Ströbele

Montag, 29. Juni 2015

Personaler haben Facebook & Co. im Blick

Ein "angemessener" Auftritt in Sozialen Netzwerken wie Facebook, XING, LinkedIN, etc. ist bei der Bewerbung um einen Job mittlerweile sehr wichtig. Fast die Hälfte der Personalverantwortlichen (46 Prozent) informiert sich laut einer Umfrage des Branchenverbands Bitkom bei Neueinstellungen in Sozialen Medien über die Bewerber. 15 Prozent hätten aufgrund von dort gefundenen Informationen sogar mindestens schon einmal Bewerber nicht eingeladen oder nicht eingestellt – meist, weil diese im Widerspruch zu den Bewerbungsdaten standen. Allerdings: Private Dinge, Fotos und vor allem politische Ansichten erscheinen den Personalern auch hier weniger relevant als die fachliche Qualifikation.

Infografik: Personaler haben Soziale Netzwerke im Blick | Statista
Die Grafik zeigt worüber sich Personaler über Bewerber in Sozialen Netzwerken informieren

Erst denken - dann Posten


Das Posten von Kommentaren oder Statusmeldungen sollte daher mit Bedacht erfolgen. Leichtsinnige negative Posts über den Chef oder die Kollegen beim letzten Arbeitgeber können sich bei Ihrer nächsten Bewerbung schnell negativ für Sie auswirken.

Beleidigungen und unwahre Tatsachenbehauptungen sind dazu hin illegal und werden oft sogar strafrechtlich verfolgt. Auch die Urheber vermeintlich anonymer Posts z.B. auf Unternehmens-Bewertungsplattformen wie Kununu o.ä. können durch Einschaltung von Polizei und Staatsanwaltschaft schnell ausfindig und haftbar gemacht werden. Grenzen sind hier schnell überschritten. Also immer erst denken und dann Posten.

Freitag, 26. Juni 2015

Aktuelle Abmahnungen wegen „Gefällt mir“-Button von Facebook

Die Verbraucherzentrale NRW mahnt zur Zeit Facebook-„Gefällt mir“-Buttons (auch Facebook-Like-Button) auf Webseiten ab.

Das sollten Sie beachten:

  • Der Einsatz des Facebook-"Gefällt mir"-Buttons auf einer Unternehmensseite ist datenschutzrechtlich problematisch.
  • Bieten Sie dem Nutzer Ihrer Unternehmensseite die Möglichkeit, seine Like-Entscheidung durch einen zweiten Klick zu bestätigen.

Die Einbindung des "Gefällt mir"-Buttons von Facebook erfolgt über HTML-Codeseiten, durch welche der Programmcode direkt von dem Server des Anbieters geladen wird. Dadurch findet bereits bei Aufrufen der Website ein Datenaustausch zwischen dem Browser des Nutzers und den Servern von Facebook statt, ohne dass der jeweilige Website-Nutzer vorher eine Einwilligung erteilt hätte oder darüber belehrt wurde. Dies geschieht allein schon deshalb, weil der Browser automatisch eine Verbindung mit den Servern dieses Netzwerks aufbaut. Ist der Nutzer bei Facebook eingeloggt, so kann der Besuch der Website direkt seinem Nutzerprofil bei Facebook zugeordnet werden.

Selbst wenn der Nutzer der Website nicht bei Facebook angemeldet ist und noch nicht einmal einen Facebook-Account besitzt: Mit Hilfe der Cookies können die IP-Adressen wiedererkannt und daraus "anonyme" Surfprofile angelegt werden. Wenn der Nutzer sich dann irgendwann bei Facebook anmeldet und damit seine Identität preisgibt, wird einfach de-anonymisiert und zugeordnet.

Wettbewerbszentrale NRW mahnt Facebook-"Gefällt mir"-Button auf Websites ab


Aktuelle Abmahnungen durch die Verbraucherzentrale NRW 


Die Verbraucherzentrale NRW mahnt zur Zeit die Implementierung des Facebook-Gefällt-mir-Buttons ab, da der Nutzer weder im Vorfeld ausdrücklich über die Datenweitergabe belehrt wurde oder vorher eingewilligt habe und er dieser Weitergabe auch nicht widersprechen könne.

Erstmal trafen die Abmahnungen große Namen wie HRS, Nivea (Beiersdorf), Payback, CTS Eventim, Peek&Cloppenburg (Fashion-ID) und Kik. Es ist damit zu rechnen, dass im nächsten Schritt auch kleine und mittelständische Unternehmen in Anspruch genommen werden.

Datenschutzrechtlicher Hintergrund


Von zahlreichen Landesdatenschutzbeauftragten wird die Ansicht vertreten, dass es sich dabei um eine nach § 15 Abs. 1 TMG ohne Einwilligung des Nutzers unzulässige Datenübermittlung handelt, da vor Inanspruchnahme des Telemediums eine Einwilligung erteilt werden müsse.

Aufgrund dieser datenschutzrechtlichen Problematik wird empfohlen, die sogenannte „Zwei-Klick-Lösung“ von Heise/Shariff zu integrieren. Bei dieser Lösung werden erst dann Daten übertragen, wenn der Nutzer den Button anklickt.

Achtung: Auch bei diesem Verfahren ist noch nicht abschließend geklärt, ob die Nutzung unter einer Einwilligung erfolgt, bei der dem Betrachter der Seite hinreichend klar ist, dass die Daten übertragen werden, wenn der Nutzer den Button anklickt.

Folgende Ideen wurden mir schon angetragen, bringen aber leider keine Abhilfe: Die Einbindung eines Hinweises in das Impressum bzw. in die Datenschutzerklärung der Website, dass die Weiterleitung der Nuitzerdaten an Facebook erfolgt, genügt nicht. Auch der übliche Passus, dass das verantwortliche Unternehmen keinen Einfluß auf diese Praktik und den Umfang der Daten hat, die das soziale Netzwerk mit Hilfe der Social Plugins erhebt, ist kein stichhaltiges Alibi. Auf die Datenschutz-Richtlinien von Facebook zu verweisen, wird Ihnen auch nichts bringen.

Ergänzender Hinweis wegen Änderung der Verbandsklagebefugnis


Es wird darauf hingewiesen, dass derartige Verstöße in Zukunft sehr wahrscheinlich noch stärker abgemahnt werden. Wenn die Änderungen im Bereich des Unterlassungsklagengesetzes UKlaG (siehe unser Datenschutz Now! Sonderausgabe 05|2015) umgesetzt werden, dann werden diese Themen noch stärker in den Focus der Verbraucherverbände treten.

Download_yourIT_DatenschutzNow_052015_zum_Unterlassungsklagengesetz_UKlaG

Diese Abmahnung durch die Verbraucherzentrale NRW zeigt erneut, wie wichtig es ist, die rechtlichen Hinweise in Webshops, Onlineplattformen und Webpages stets aktuell zu halten und im Hinblick auf die datenschutzrechtliche Rechtsprechung zu prüfen. Wir von yourIT unterstützen Sie gerne dabei.

Über das IT- und Beratungshaus yourIT


yourIT - securITy in everything we do


securITy in everything we do...


… so lautet der Leitgedanke von yourIT. Unser Ziel ist es, Ihre IT-Prozesse zu optimieren und damit langfristig Ihre Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus in der Region Neckar-Alb prüfen wir den Sicherheits-Status Ihrer IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT- Sicherheit & Datenschutz und implementieren die für Sie besten Lösungen.

Wir unterstützen Sie ebenso bei der Richtlinien-Definition, Einhaltung der Policies und sichern den laufenden Betrieb. Lernen Sie unsere bedarfsgerechte und praxiserprobte Arbeitsweise jetzt in einem kostenlosen Vor-Ort-Termin kennen und überzeugen Sie sich selbst!

Informationen:

- Gründung 2002
- Geschäftsführer Ralf und Thomas Ströbele
- 20 Mitarbeiter
- Consulting, Solutions, IT-Dienstleistungen

Auszeichnungen/Zertifikate:

- BEST OF CONSULTING 2015
- DIN EN ISO 9001:2008

BEST OF CONSULTING 2015 - Ausgezeichnete Beratungspakete von yourIT

Ihr Kontakt zu yourIT: 

yourIT GmbH
Neustraße 12
D-72379 Hechingen
Fon: +49 7471 93010-0
Fax: +49 7471 93010-15
E-Mail: Datenschutz@yourIT.de
Internet: Datenschutz.yourIT.de


Quelle: Rechtsanwaltskanzlei WOLFF, GÖBEL, WAGNER in Hagen

Dienstag, 21. April 2015

Datenverlust in der Cloud: Was jetzt?

Dateien in der Cloud lassen sich von jedem Endgerät mit Internetzugang aus bequem erreichen, vorausgesetzt, die Dateien verschwinden nicht. Denken Sie bei Backups daran: Wolken können Löcher haben.


Der Speicherplatz in der Wolke


Jeder fünfte Bundesbürger speichert oder teilt Dateien wie Dokumente, Fotos oder Videos im Netz, wie eine Umfrage des Digitalverbands BITKOM ergeben hat. 36 Prozent der deutschen Internetnutzer ab 14 Jahren können sich vorstellen, Daten künftig ausschließlich in der Cloud zu speichern.

Wenn Sie nun denken, Sie gehören nicht zu denjenigen, die einen Speicherplatz in der Cloud nutzen, könnten Sie falsch liegen. Verwenden Sie einen Webmail-Dienst, dann liegen Ihre gespeicherten E-Mails in der Cloud. Und wenn Sie ein Smartphone verwenden, landen ebenfalls viele Dateien in der Cloud, da sowohl das iPhone als auch die Android-Smartphones beharrlich anbieten, Kontaktdaten, Dokumente, Fotos und Videos mit der jeweiligen Cloud zu synchronisieren.

Die Cloud als Speicherplatz in der Wolke

Flexibilität, Komfort und Gefahr in einem


Der Wunsch, von überall auf die eigenen Daten zugreifen zu können, lässt sich mit der Cloud verwirklichen. Einzige Voraussetzung für diese flexible und komfortable IT-Nutzung scheint eine gute Internetverbindung zu sein. In Wirklichkeit aber müssen die Dateien auch in der Cloud verfügbar sein, um auf sie zugreifen zu können.

Obwohl viele Nutzer die Cloud als ihr Backup nutzen, ist ein Datenverlust in der Cloud nicht ausgeschlossen, im Gegenteil. Die Verfügbarkeit in einer Cloud ist keineswegs selbstverständlich, wie viele Ausfälle und Datenverluste in Clouds in den letzten Monaten und Jahren gezeigt haben.

Unerlaubte Zugriffe sind nicht das einzige Cloud-Risiko


21 Prozent der Bundesbürger sind laut Umfrage besorgt um den Datenschutz, wenn es um die Datenspeicherung in der Cloud geht. Die meisten aber fürchten den Kontrollverlust und einen möglichen Datenmissbrauch durch unbefugte Zugriffe auf ihre Daten. Zweifellos muss man diese Risiken ernst nehmen.

Das Problem Verfügbarkeit


Doch die Verfügbarkeit der Daten in der Cloud ist ebenfalls in Gefahr:


  • Einerseits kann der Cloud-Dienst ausfallen oder gestört sein. Die Daten sind dann zwar nicht automatisch weg, aber zumindest nicht erreichbar, selbst nicht mit der besten Internetverbindung.
  • Zudem können die Daten auch tatsächlich verloren gehen. Es gab selbst bei führenden Cloud-Anbietern bereits Ausfälle und Störungen, bei denen Daten zerstört wurden, die sich nicht mehr wiederherstellen ließen.


Die Cloud braucht selbst ein Backup


Gerade bei der Nutzung mobiler Endgeräte scheint die Cloud das ideale Medium für die Datensicherung zu sein, und die meisten mobilen Backup-Lösungen nutzen Cloud-Speicher.

Allerdings kann man sich nicht einfach darauf verlassen, dass die Cloud ein Speicher ohne Löcher wäre. Ein Datenverlust ist auch in der Cloud möglich, und die Wiederherstellung und Datenrettung sind nicht einfach. Denn dazu muss man ja den ursprünglichen Speicherort kennen und die Bedingungen für eine Datenrettung herstellen, was gerade in einer Cloud, die man sich mit vielen anderen Nutzern teilt (Public Cloud), nicht ohne Weiteres möglich ist.

Wenn Sie also einen Cloud-Speicherdienst nutzen, um die Daten auf Ihrem Smartphone zu sichern oder um wichtige Dateien von jedem Standort mit Internetzugang im Zugriff zu haben, sollten Sie an das Verlustrisiko denken. Die Cloud braucht selbst ein Backup, auch wenn sie oftmals als Backup-Medium genutzt wird. Dass der Cloud-Anbieter für regelmäßige Backups sorgt, können Sie leider nicht einfach voraussetzen.

Was bedeutet das für Ihre Arbeit?


Clouds spielen nicht nur im Privatleben eine zunehmend wichtige Rolle. Im vergangenen Jahr haben in Deutschland 44 Prozent aller Unternehmen Cloud Computing eingesetzt. Das ist ein Anstieg um 4 Prozentpunkte im Vergleich zum Vorjahr, wie eine Studie der Wirtschaftsprüfungsgesellschaft KPMG gezeigt hat.

Umfrage zum Einsatz von Cloud Computing in deutschen Unternehmen bis 2014

Bei der Nutzung von Public Clouds sind Lösungen wie E-Mail und Kalender mit 46 Prozent die am weitesten verbreitete Anwendung. 36 Prozent der befragten Unternehmen nutzen Cloud-Lösungen für das Kundenmanagement.

Allein die Verwendung einer Cloud-Lösung sorgt nicht dafür, dass die E-Mails, Termine und Kundenadressen vor Verlust geschützt sind. Denken Sie deshalb daran, die internen Vorgaben zur Datensicherung genau einzuhalten.

Wenn Sie selbst Backups Ihrer Arbeitsdateien machen wollen, nutzen Sie bitte nur die intern freigegebenen Möglichkeiten. Verwenden Sie nicht einfach Ihren privaten Cloud-Speicherplatz, um Ihre beruflichen Dateien zu sichern. Das kann den Datenschutz gleich mehrfach gefährden, unter anderem durch das Risiko, Daten in der Cloud zu verlieren. Wolken können Löcher haben, durch die am Himmel die Sonne durchkommt, in der IT aber gehen auf diese Weise Daten verloren.

Schriftliche Regelung für Cloud-Nutzung ist notwendig


Eine Regelung der Nutzung von Cloud-Diensten sollte in jedem Unternehmen schriftlich erfolgen. In der Regel wird diese Teil der Datenschutz- bzw. der IT-Sicherheitsrichtlinie sein, ggfs. aber auch als separater Anhang.

Sie tun sich schwer damit, für Ihr Unternehmen schriftliche Richtlinien für Datenschutz & IT-Sicherheit zu formulieren? Wir übernehmen das gerne für Sie. Mit unserem Beratungspaket "Datenschutzkonzept Phase A+B" legen wir die Grundlage für die Erstellung von zu Ihrem Unternehmen passenden Datenschutzrichtlinien und IT-Sicherheitsrichtlinien.

Aktuell werden unsere Erstberatungen im Bereich Datenschutz von der BAFA mit Mitteln aus dem Europäischen Sozialfonds gefördert.

Unser gefördertes Datenschutz-Beratungskonzept Phase A+B

Weitere Infos hierzu finden Sie auf unserer Fördermittelseite http://www.mitgroup.eu/unsere-beratungspakete/3-datenschutzkonzept

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Auszug aus Datenschutz Now! April 2015 
Datenschutz Now! ist unsere kostenlose Mitarbeiterzeitung für mehr Datenschutz & IT-Sicherheit in Ihrem Unternehmen. Eine Übersicht über die bisherigen Themen finden Sie unter http://mydatenschutz.blogspot.de/p/datenschutz-now.html. Dort können Sie unsere Mitarbeiterzeitungen auch kostenlos herunterladen.

Freitag, 27. März 2015

Brauchen wir überhaupt einen Datenschutzbeauftragten (DSB)?

Immer wieder werde ich von mittelständischen Unternehmen gefragt, ob sie überhaupt dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Dafür habe ich hier eine kurze Checkliste erstellt.


Checkliste zur Prüfung der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten


Wenn Sie eine der folgenden Fragen mit JA beantworten, muss Ihr Unternehmen nach den Vorschriften des Bundesdatenschutzgesetzes (BDSG) einen Datenschutzbeauftragten (DSB) bestellen:
  1. Werden in Ihrem Betrieb personenbezogene Daten von mehr als neun (9) Beschäftigten erhoben, verarbeitet oder genutzt?
  2. Lassen Sie in Ihrem Betrieb personenbezogene Daten von mehr als zwanzig (20) Beschäftigten auf andere Weise (= nicht automatisiert)  verarbeiten?
  3. Werden in Ihrem Unternehmen besondere personenbezogene Daten nach § 3 (9) BDSG automatisiert verarbeitet?
  4. Lassen Sie in Ihrer Firma personenbezogene Daten geschäftsmäßig zwecks (anonymisierter) Übermittlung verarbeiten und Nutzen?
Wie gesagt: 1x JA reicht aus!

Die Rechtsgrundlage hierzu finden Sie in § 4f  BDSG Beauftragter für den Datenschutz.

Sie fragen sich jetzt sicher, welche Möglichkeiten / Alternativen Sie jetzt für die Bestellung eines DSB in Ihrem Unternehmen haben?!


Externer DSB und interner DSK - ein unschlagbares Team


Seit der letzten großen Novellierung des Bundesdatenschutzgesetzes (BDSG) im Jahr 2009 bietet sich eine Kombination aus externem Datenschutzbeauftragten (DSB) und internem Datenschutzkoordinator (DSK) an. Was dieses unschlagbare Team ausmacht, lesen Sie hier ...weiterlesen

Jetzt Fördermittel nutzen für die Umsetzung von Datenschutz im Unternehmen


Aktuell werden unsere Erstberatungen im Bereich Datenschutz von der BAFA mit Mitteln aus dem Europäischen Sozialfonds gefördert.

Unser gefördertes Datenschutz-Beratungskonzept Phase A+B

Weitere Infos hierzu finden Sie auf unserer Fördermittelseite http://www.mitgroup.eu/unsere-beratungspakete/3-datenschutzkonzept

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

Donnerstag, 15. Januar 2015

Mark Zuckerbergs nächster Coup: Unternehmensdienst "Facebook at Work" gestartet

Gestern hat Facebook offiziell mit der Testphase des geplanten kostenpflichtigen Unternehmensdienstes Facebook at Work begonnen. Erst einmal sind nur wenige handverlesene Firmen an den Tests beteiligt. Damit will Facebook seine Beliebtheit bei den Mitarbeitern nutzen und künftig unternehmensinterne E-Mails und Chats überflüssig machen (vgl. hierzu Zero Mail Policy).


Facebook at Work - aus Datenschutz-Sicht eher nicht!

Das ganze soll wohl aussehen wie Facebook, allerdings soll der Dienst nicht öffentlich sondern ausschließlich auf die Mitarbeiter eines Unternehmens begrenzt sein. Über die Kosten des Dienstes schweigt sich Facebook noch aus.

Stellen Sie sich das so vor: Alles was Ihre Mitarbeiter bisher mit vielen E-Mails hin- und herschicken, schreiben diese sich künftig im Unternehmens-Facebook. Das können belanglose Dinge sein wie "Wer geht mit zum Mittagessen?" oder "Soll ich Dir einen Kaffee mitbringen?". Allerdings werden über kurz oder lang auch Projekte und Produktneuerungen aus der Forschungs- und Entwicklungsabteilung auf diesem Facebook diskutiert werden. Wer soll das verhindern, nachdem die Lawine erst einmal losgetreten wurde?

Wie schaut's bei "Facebook at Work" mit dem Datenschutz aus?


Die Unternehmensdaten mit "Facebook at Work" sollen vermutlich wieder nicht auf Servern des Unternehmens sondern auf Facebook-Servern gespeichert werden (Cloud-Prinzip). Wohl sollen die Daten verschlüsselt versendet und abgelegt werden. Aber Facebook ist auch weiterhin ein amerikanisches Unternehmen, das sich dem amerikanischen Recht unterwerfen muss. Somit droht hier jederzeit z.B. die gerichtliche Durchsetzung von Durchsuchungsbeschlüssen von US-Ermittlern, wie dies erst im August 2014 Microsoft erdulden musste. (Wir berichteten auf diesem Blog.)

Solange die rechtliche Situation sich so darstellt, ist Deutschen Unternehmen, die Wert auf Datenschutz und die Vertraulichkeit von Betriebs- und Geschäftsgeheimnissen legen, somit erst einmal von der Nutzung von "Facebook at Work" abzuraten. Ich würde mich hier nicht auf eine "Social Media Policy" verlassen.

Die Idee ist gut - aber muss es ausgerechnet Facebook sein?


Übrigens: Die Idee hinter "Facebook at Work" ist nicht neu. Bereits seit längerer Zeit gibt es vergleichbare Unternehmensdienste am Markt. Und einige davon kann man sogar bereits so einstellen, dass Datenschutz und Betriebs- und Geschäftsgeheimnisse tatsächlich eingehalten werden können.

Falls Sie das interessiert: Wir von yourIT haben mit solchen Lösungen bereits in mehreren Projekten Erfahrungen gesammelt. Wir unterstützen Sie daher gerne bei der Auswahl des richtigen und sicheren Systems, helfen Ihnen bei der Einrichtung und schulen Ihre Mitarbeiter.

Ich freue mich auf Ihre Anfragen.
 
Ihr Thomas Ströbele
Berater für Datenschutz & IT-Sicherheit
ISO 27001:2013 Lead Auditor

Thomas Ströbele