Dienstag, 24. Januar 2017

Was bedeutet eigentlich „Stand der Technik?“

Der Datenschutz gemäß BDSG und auch gemäß EU-DSGVO verlangt technisch-organisatorische Schutzmaßnahmen nach dem Stand der Technik. Das klingt nicht sehr konkret – mit Absicht!


Am schönsten wäre eine genaue Anleitung...


Fast jeder zweite Internetnutzer (47 Prozent) ist in Deutschland in den vergangenen zwölf Monaten Opfer von Internetkriminalität geworden, so eine repräsentative Umfrage des Digitalverbands Bitkom. Die Vorfälle reichen von gefährlichen Infektionen durch Schadsoftware bis hin zu Online-Betrug und Erpressung.

Im Unternehmensbereich sieht es nicht viel besser aus: Etwa jedes dritte Unternehmen war in 2016 allein Opfer eines Hacker-Attacke mit Cybertrojanern.

Um die eigenen Daten zu schützen, aber auch um die Daten der Kunden, Partner und Mitarbeiter im Unternehmen zu schützen, sind also umfangreiche Maßnahmen für die Datensicherheit erforderlich.

Datenschutz, yourIT, securITy
Datenschutz, yourIT, securITy



Doch welche Maßnahmen sind genau notwendig? Wie schützt man sich am besten? Der Bitkom-Verband schreibt dazu: Gegen digitale Angriffe nutzen vier von fünf Internetnutzern (80 Prozent) ein Virenschutz-Programm und zwei von drei (67 Prozent) eine Firewall auf ihrem Computer.

Dabei weiß doch jedes Kind: Antiviren-Programme und Firewalls sind nicht mehr als der absolute Basisschutz für jeden Computer. Aber reicht das aus? Was fordern zum Beispiel die Datenschutzvorschriften? Gibt es hier eine konkrete Vorgabe zum Schutzumfang?

BDSG und DSGVO nennen kaum genaue Sicherheitsverfahren.


Im Bundesdatenschutzgesetz (BDSG) findet man: Eine Maßnahme für die Zugangskontrolle, Zugriffskontrolle und Weitergabekontrolle ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) nennt zusätzlich die Verschlüsselung sowie die Pseudonymisierung.

Grundsätzlich aber sagen beide Gesetze zu den Maßnahmen der Datensicherheit: Geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, sind zu treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Statt Schutzverfahren aufzulisten, verweisen die Texte jeweils in erster Linie auf den Stand der Technik. Warum eigentlich?


IT und Bedrohungen dynamischer als Gesetzgebung


Die gesetzlichen Regelungen fordern Schutzmaßnahmen nach dem Stand der Technik, weil die IT-Sicherheitslösungen jeweils zur aktuellen Bedrohungslage, zum Schutzbedarf der Daten und zur eingesetzten IT passen müssen. Veraltete IT-Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz.

In diesem Blogartikel finden Sie eine weitere Definition zu "Stand der Technik".

So sind zum Beispiel Verschlüsselungsverfahren, die vor einigen Jahren noch als Standard galten, heute kein wirksamer Schutz mehr. Datendiebe können diese Verschlüsselungsverfahren inzwischen relativ leicht brechen und umgehen.

Damit die Datensicherheit aktuell und damit hoch genug ist, müssen die Maßnahmen also regelmäßig angepasst und verstärkt werden. Würden rechtliche Vorgaben genaue IT-Sicherheitsverfahren benennen, müsste der Gesetzgeber die Texte fortlaufend ändern.

Das geht natürlich nicht. Deshalb verlangen die Regelungen, dass die Datensicherheitsmaßnahmen aktuell sind und damit die Sicherheit den Stand der Technik abbildet.


Privat und beruflich am Puls der IT-Sicherheit bleiben


Für Sie als Anwender bedeutet dies, dass Sie jeweils aktuelle Lösungen für Ihre Datensicherheit benötigen. Am Arbeitsplatz sollten Sie sich an die IT-Sicherheitsrichtlinien der Firma halten und nur die entsprechend freigegebenen IT-Lösungen sowie Sicherheitsanwendungen nutzen.

Privat sind Sie erst einmal auf sich gestellt. Hier ist es aber ebenso wichtig, dass Sie auf eine aktuelle Datensicherheit achten. Nicht nur, wenn Sie Privatgeräte beruflich verwenden, sondern generell.
So könne eine Person etwa an ihrer Körperhaltung zu erkennen sein, aber auch an ihrer Kleidung oder an mitgeführten Gegenständen.

Auch der Zeitpunkt und der Ort einer Aufnahme könnten Rückschlüsse darauf erlauben, welche Person man vor sich habe.

Was konkret tun?


Ihr aktuelles Datensicherheitsprogramm umfasst dabei, dass Sie die Betriebssysteme und Anwendungen auf allen genutzten Endgeräten aktuell halten und die Datenschutz- und Sicherheitsoptionen regelmäßig auf den passenden Stand bringen. Sicherheitslösungen wie den Virenschutz müssen Sie ebenfalls mit Updates versorgen.

Zudem ist wichtig, dass Sie sich neue Versionen der Sicherheitsprogramme beschaffen, in der Regel einmal jährlich. Die täglichen Updates gelten nämlich in aller Regel der aktuellen Viren-Erkennung. Neue Sicherheitsfunktionen bekommen Sie meist erst mit einer neuen Version der Anwendung.

Informationen, ob sich der Umstieg auf andere Sicherheitslösungen lohnt oder nicht, erhalten Sie von erfahrenen IT-Systemhäusern - wie z.B. yourIT.

Sicher werden Sie auch in Schulungen und Unterweisungen zu IT-Sicherheit und Datenschutz jeweils aktuell informiert. Wichtig ist: Bleiben Sie am Ball. Die Datendiebe haben immer neue Ideen, wie sie angreifen können.

Fordern Sie uns! Wir helfen gern.

Ihr yourIT-Team

Dienstag, 10. Januar 2017

3 wichtige Spielregeln - Datenschutz auch bei Pokémon Go!

Die mobile App Pokémon Go hat für viele Menschen einen regelrechten Suchtfaktor. Und das keineswegs nur für Jugendliche – auch viele Erwachsene sind dem Spiel geradezu verfallen. Dabei darf der Datenschutz freilich ebenso wenig aus dem Blick geraten wie der Schutz von Unternehmensgeheimnissen. Im Dezember 2017 kam übrigens ein von den Fans sehnsüchtig erwartetes Mega-Update. Allzu schnell kann es besonderen Leichtsinn auslösen.


Pokéstops, Arenen und Monster


In seiner Freizeit kann natürlich jeder tun, was er will – beispielsweise so viele Spiele-Monster erfolgreich jagen, dass er den nächsten Level von Pokémon erreicht. Aber was ist, wenn gerade auf dem Grundstück des eigenen Arbeitgebers wunderschöne Pokéstops zu finden sind? Wenn man also gerade dort die besten Monster einfangen kann?

Die Spielkundigen verstehen sofort, was mit diesen Dingen gemeint ist. Sie ziehen sich in eine Arena zurück, um ein paar Monster zu besiegen. Ihre Kollegen wiederum wundern sich, wie ganz normale Menschen der Faszination von Dingen erliegen, die für die anderen um sie herum gar nicht sichtbar sind.

Pokémon Go, Datenschutz, yourIT
yourIT zu Pokémon Go und Datenschutz

Arbeitszeit ist keine Spielzeit! 


Klar ist, dass Spielen während der Arbeitszeit schon deshalb Fragen aufwirft, weil dann gerade nicht gearbeitet wird. Das ist zwar kein Thema des Datenschutzes, sondern des Arbeitsrechts. Freilich: Mehr Schaden als eine Zigarettenpause, die zu Unrecht nicht als Arbeitspause registriert wird, richtet das kurze Einfangen eines virtuellen Monsters während der Arbeitszeit auch nicht an, oder?

Bilder von Monstern und anderen Dingen 


Das kommt darauf an. Vielfach ist es üblich, eben eingefangene Monster zu fotografieren und das Foto an Freunde zu schicken. Blöd nur, wenn da noch andere Dinge auf dem Bild sind, etwa Konstruktionen, die nicht fotografiert werden dürfen. Wer weiß, wo ein solches Foto landet, und wer weiß, ob jeden Empfänger des Fotos wirklich nur die Monster interessieren.

Harmlose und andere Apps


Vielfach untersagen Unternehmen aus gutem Grund, Apps für private Zwecke auf dienstlichen Smartphones oder Tablets zu installieren. Ein solches Verbot gilt dann auch für die Pokémon-App. Das Argument, sie sei harmlos und könne keinen Schaden anrichten, kann daran nichts ändern. Erstens kommt es auf diesen Gesichtspunkt nicht an. Zweitens stellt sich die Frage, ob er zutrifft. Schon ein kurzer Blick in die Nutzungsbedingungen der App zeigt, dass sich der App-Anbieter das Recht einräumen lässt, unter bestimmten Bedingungen Daten an Dritte weiterzugeben. Was daraus im Einzelfall entstehen könnte, vermag niemand sicher abzuschätzen.

Diese 3 eigentlich selbstverständlichen Spielregeln sollten Sie beachten


3 Spielregeln sollten Sie unbedingt beachten:
  • Spielregel 1: Ein völliges No-Go ist es vor diesem Hintergrund, berufliche Mail-Adressen bei dem Spiel zu benutzen.
  • Spielregel 2: Wer spielen will, sollte das bitte nur auf seinem privaten Gerät tun und dabei nur eine private Mail-Adresse verwenden.
  • Spielregel 3: Und die rechte Zeit für das Spiel ist die Freizeit, nicht die Arbeitszeit.

Wer diese Punkte beachtet, kann sein Spiel genießen und sich beim Monster-Kampf mit Pokémon Go bestens erholen.