Dienstag, 27. September 2022

BLACKOUT - Stromausfall im Rechenzentrum

Samstag 27.09.2022 um 15:32 Uhr ging das Licht aus. Und mit dem Licht das gesamte Rechenzentrum mit Servern, Switchen, Firewall, etc. Die Situation, die (hoffentlich) niemals kommt, war da: STROMAUSFALL!


Blackout-Notfallübung bei yourIT

Für uns handelte es sich zum Glück in diesem Fall nicht um einen spontanen BLACKOUT, sondern um eine geplante Notfallübung.

Dienstag, 20. September 2022

Datenschutz-Audits

Datenschutz-Audits 

Datenschutz-Audits sind zunehmend ein Thema. Sie verlaufen erfolgreich, wenn alle beteiligten Stellen im Unternehmen konstruktiv mitwirken.


Warum Datenschutz-Audits?

Montag, 12. September 2022

Direktwerbung – das müssen Sie beachten

Direktwerbung – das müssen Sie beachten

Für persönlich adressierte Werbekontakte, also für Direktwerbung, gibt es in vielen Unternehmen genaue Richtlinien. 

Direktwerbung - was zu beachten ist

Lesen Sie, warum Sie diese Vorgaben genau beachten müssen und warum Werbung per Telefon besondere Tücken aufweist.

Dienstag, 30. August 2022

ISO-27001-Zertifikat - Nur echt mit DAkkS-Akkreditierung

Immer wieder stoßen wir auf Marktbegleiter, die angeblich nach ISO 27001 zertifiziert sind  - so wie unsere yourIT GmbH. Bei genauerem Hinsehen fällt aber auf, dass dem angeblichen Zertifikat das Wichtigste fehlt: Die Akkreditierung des Zertifikats durch die Deutsche Akkreditierungsstelle (DAkkS).

Bitte überlegen Sie kurz: Sie wollen künftig einen IT-Dienstleister oder einen Softwarehersteller mit ISO-27001-Zertifizierung einsetzen? Sie erwarten bei einem solchen mehr Expertise in Sachen Informationssicherheit und damit z.B. mehr Schutz vor Cyberattacken? Dann sollten Sie darauf achten, dass dieses Vertrauen durch eine DAkkS-Akkreditierung auf dem Zertifikat auch gerechtfertigt wird.

Fehlt die DAkkS-Akkreditierung, sollten Sie sich fragen, weshalb auf dieses wichtige Prädikat verzichtet wurde. Verlassen Sie sich nicht auf die "Normkonformität" der Zertifizierung. Grund: Es geht dabei um Ihre Informationssicherheit! 

Nachweis der DAkkS-Akkreditierung auf dem ISO-27001-Zertifikat der yourIT
Nachweis der DAkkS-Akkreditierung auf dem ISO-27001-Zertifikat der yourIT

Das Problem: Ein "ISO-27001-Zertifikat" kann praktisch jeder ausstellen. Aber nur eine DAkkS-Akkreditierung stellt sicher, dass das Zertifikat auch "echt" ist und Sie auf eine normkonforme Zertifizierung vertrauen können.

Dienstag, 23. August 2022

So verhalten Sie sich bei einer Online-Erpressung richtig

So verhalten Sie sich bei einer Online-Erpressung richtig

Internetkriminelle drohen Unternehmen mit gezielten Angriffen, die wichtige IT-Systeme zum Ausfall bringen könnten. Sicherheitsbehörden warnen davor, den Online-Erpressern nachzugeben und Lösegeld zu bezahlen. 


Richtiges Verhalten bei Online-Erpressung
Richtiges Verhalten bei Online-Erpressung


Doch was tut man stattdessen?

Dienstag, 26. Juli 2022

Corona-Maßnahmen und Risikomanagement

Corona-Maßnahmen und Risikomanagement - Wie passt das zusammen?

Aktuell findet gefühlt alles statt, was während der von Bund und Land vorgeschriebenen Corona-Maßnahmen nicht stattfinden durfte: Jeden Tag erhält man neue Einladungen zu Open Airs, Festivals, Konzerten, Firmenveranstaltungen, Privatgeburtstagen, Hochzeiten, etc. Und fast überall gelten keinerlei Corona-Maßnahmen mehr. Ist das aus Risikosicht vernünftig?

Fazit zu 20 Jahren yourIT - THE FÄST

Viele von Ihnen haben es mitbekommen: Auch wir hatten vergangenes Wochenende Grund zum Feiern: yourIT feierte mit Kunden, Interessenten, Lieferanten, Partnern, Mitarbeitern und Kind und Kegel 20 Jahre yourIT.

THE FÄST war klasse! Es hat einfach alles gepasst.

20 Jahre yourIT - THE FÄST - Nachlese für Teilnehmer und die es nicht geschafft haben
20 Jahre yourIT - THE FÄST - Nachlese

Während der Vorbereitungen sind wir irgendwann auf das Thema Corona-Maßnahmen gestoßen...

Dienstag, 12. Juli 2022

What THE HÄCK?! Selbstversuch - Phishing-Attacken sicher vermeiden

What THE HÄCK?! Selbstversuch - Phishing-Attacken sicher vermeiden

Über 80% der Unternehmen wurden bereits Opfer von erfolgreich durchgeführten Phishing-Attacken. Mit oftmals dramatischen Folgen für diese Unternehmen. Da sollte es sich doch lohnen, sich mal die Frage zu stellen, wie Phishing-Attacken tatsächlich sicher vermieden werden können.

Was ist Phishing?

Mehr Infos hierzu erhalten Sie auf unserem Glossar: THE GLOSSÄRY



Was ist das Ziel einer Phishing-Attacke?

Dienstag, 28. Juni 2022

Privacy Shield II – noch ist Geduld angesagt!

Privacy Shield II – noch ist Geduld angesagt!

Das „Privacy Shield“ war als Rechtsgrundlage für Datenübermittlungen in die USA sehr beliebt. Der Europäische Gerichtshof hat ihn im Juli 2020 für unwirksam erklärt. Eine verbesserte Neufassung soll möglichst bald kommen. 
 

Privacy Shield II
Privacy Shield II

Vor Ende des Jahres 2022 sollte man darauf aber lieber nicht hoffen. 

Dienstag, 21. Juni 2022

Darum sind Missinformation und Desinformation auch ein Datenrisiko

Darum sind Missinformation und Desinformation auch ein Datenrisiko 

Das Netz ist voll von Falschinformationen. Manches ist schlecht recherchiert, anderes wird mit Absicht falsch dargestellt. Das ist nicht nur ärgerlich, sondern ein echtes Datenrisiko. 


Was ist der Unterschied zwischen Miss- und Desinformation?
Was ist der Unterschied zwischen Miss -und Desinformation?

Für die EU-Agentur für Cybersicherheit ENISA sogar eines der größten. 

Dienstag, 14. Juni 2022

Das sind die Ziele der Cyberkriminellen: Ihre Daten!

Das sind die Ziele der Cyberkriminellen: Ihre Daten! 

Cyberkriminalität nimmt immer bedrohlichere Ausmaße an. Acht von zehn Personen waren in den vergangenen zwölf Monaten von kriminellen Vorfällen im Netz betroffen, so der Digitalverband Bitkom.  
Mehr IT-Sicherheitsvorfälle wie in den vergangenen Jahren
Mehr IT-Sicherheitsvorfälle wie in den vergangenen Jahren

Wer sich besser schützen will, muss die Ziele der Internetkriminellen kennen.   

Dienstag, 24. Mai 2022

Vier Jahre EU-DSGVO - Datenschutz muss Sinn machen

Vier Jahre EU-DSGVO - Datenschutz muss Sinn machen

Datenschutz - Gibt es bereits Licht im Dunkel?

Wie weit sind wir seit 2018 gekommen?

Die Europäische Datenschutz-Grundverordnung (kurz: EU-DSGVO) feiert am 25.05.2022 bereits ihr viertes Jubiläum. Für uns als Datenschutz-Team ging die Zeit vorbei wie im Flug. Wir haben viel geschafft. Unser Team ist auf 8 Mitarbeiter angewachsen. 5 davon kennen sich neben Datenschutz auch mit Informationssicherheit aus. Aber ist weiterhin noch viel zu tun.

Vier Jahre EU-DSGVO - Datenschutz muss Sinn machen - Das yourIT-Datenschutz-Team bietet Einblicke
Vier Jahre EU-DSGVO - Datenschutz muss Sinn machen - Das yourIT-Datenschutz-Team bietet Einblicke


Geburtstagslisten – aber bitte datenschutzkonform

Gratuliert man freundlich, schaut so manches „Geburtstagskind“ eher süß-sauer als begeistert. Lässt man es bleiben, kann die Verstimmung genauso groß sein. Eine gute Geburtstagsliste hilft weiter. 


Geburtstagslisten- Datenschutzkonform
Datenschutzkonforme Geburtstagslisten


Natürlich muss sie datenschutzkonform sein. 

Dienstag, 10. Mai 2022

Auskunftsanspruch für Kontoauszüge?

Auskunftsanspruch für Kontoauszüge? 

Das Recht auf Auskunft ist vielleicht das wichtigste Recht in der Datenschutz-Grundverordnung (EU-DSGVO). 

Recht auf Auskunft

Aber auch dieses Recht hat Grenzen. Am Beispiel von Kontoauszügen lässt sich das sehr schön zeigen. 

Dienstag, 26. April 2022

Smartphone-Apps: Die Suche nach dem Datenschutz

Smartphone-Apps: Die Suche nach dem Datenschutz 

In Zeiten der Pandemie hat die Bedeutung mobiler Geräte und Anwendungen noch weiter zugenommen. Die Zahl der installierten Apps auf Smartphones und Tablets wächst und wächst. Doch wie steht es um den Datenschutz bei den mobilen Anwendungen? 

THE BORD - Elon Musk kauft Twitter


Die Antwort fällt nicht immer leicht. 

Dienstag, 19. April 2022

Schadensersatz bei Verletzungen des Datenschutzes

Schadensersatz bei Verletzungen des Datenschutzes

Verstöße gegen den Datenschutz führen schnell zu Schadensersatzansprüchen. 

Schadensersatz und Schmerzensgeld

 

Grund genug, es mit den Regeln des Datenschutzes sehr genau zu nehmen.  

Dienstag, 5. April 2022

THE TÖRTLE - So wird Datenschutz vom Papiertiger zur Prozess-Schildkröte (2/2)

THE TÖRTLE - So wird Datenschutz vom Papiertiger zur Prozess-Schildkröte (2/2)

Wie sich moderner Datenschutz erfolgreich bei der QM bedient. Einladung zu unseren Webinaren.


THE TÖRTLE - Datenschutz - Vom Papiertiger zur Prozess-Schildkröte
THE TÖRTLE - So wird Datenschutz vom Papiertiger zur Prozess-Schildkröte

Wir haben die Methode Ende 2021 unseren Kunden vorgestellt. Diejenigen die sich bereits im QM-Bereich erfolgreich mit der Turtle-Methode beschäftigt hatten, waren gleich begeistert. Meist hatten diese Unternehmen nach langem Hin und Her endlich größere Fortschritte im QM-Bereich gemacht. Diese positive Erfahrung wollen wir nun im Datenschutz-Bereich nutzen.

Dienstag, 29. März 2022

Das Verzeichnis von Verarbeitungstätigkeiten

„Verzeichnis“ – das hört sich nach Bürokratie und Arbeit an. Und was bitte bedeutet der seltsame Begriff „Verarbeitungstätigkeiten“? 

Verzeichnis von Verarbeitungstätigkeiten -VvV


In jedem Fall sollten Sie wissen: Einem Unternehmen droht Ärger, wenn sie kein solches Verzeichnis haben. Also helfen Sie mit, es zu erstellen, wenn man Sie darum bittet.

Dienstag, 22. März 2022

THE TÖRTLE - So wird Datenschutz vom Papiertiger zur Prozess-Schildkröte (1/2)

THE TÖRTLE - So wird Datenschutz vom Papiertiger zur Prozess-Schildkröte

Wie sich moderner Datenschutz erfolgreich bei der QM bedient



THE TÖRTLE - Datenschutz - Vom Papiertiger zur Prozess-Schildkröte
THE TÖRTLE - So wird Datenschutz vom Papiertiger zur Prozess-Schildkröte

Die Mitglieder unseres Datenschutz-Teams  sind schon relativ lange im Bereich Datenschutz tätig. Unsere Wurzeln reichen zurück bis ins Jahr 2006. Und schon damals war das Verfahrensverzeichnis, wie das heutige Verzeichnis von Verarbeitungstätigkeiten (VvV) damals hieß, nicht gerade beliebt bei den Unternehmen und auch bei den Datenschutzbeauftragten...

Donnerstag, 17. März 2022

Das BSI warnt vor dem Einsatz von Software des russischen IT-Sicherheitsunternehmens "Kaspersky" - was nun?

Das BSI warnt vor dem Einsatz von Software des russischen IT-Sicherheitsunternehmens "Kaspersky" - was nun? 

Drei Wochen nach Beginne des Krieges in der Ukraine warnt das BSI als deutsche "Cybersicherheitsbehörde" vor Kaspersky Produkten. 

Was tun, wenn Kaspersky eingesetzt wird?




Diese Warnung und die Implikationen für Verantwortliche sind allerdings grundlegend andere im Vergleich zu bisherigen Alarmrufen der Behörde. 

Dienstag, 1. März 2022

Missbrauch von Daten für private Zwecke

Missbrauch von Daten für private Zwecke 

Wer in einem Unternehmen arbeitet, hat normalerweise Zugang zu Daten von Kunden. Jedem ist klar, dass er diese Daten nicht für private Zwecke nutzen darf. Aber was sind die Folgen, wenn das trotzdem einmal geschieht? 


Daten dürfen nicht für private Zwecke verwendet werden
Daten dürfen nicht für private Zwecke verwendet werden

Mit einer Geldbuße dürften die wenigsten rechnen.

Dienstag, 22. Februar 2022

Was genau versteht man im Datenschutz unter Vertraulichkeit?

Was genau versteht man im Datenschutz unter Vertraulichkeit?  


Sicher ist Ihnen der Begriff „Vertraulichkeit“ mehr als bekannt, vielleicht sogar aus dem Bereich IT und IT-Sicherheit. Doch bedeutet Vertraulichkeit im Datenschutz auch das, was Sie sich darunter vorstellen? 

Vertraulichkeit = Schutz vor personenbezogenen Daten?


Gerade Alltagsbegriffe können schnell zu Unschärfen oder Missverständnissen führen.  

Dienstag, 15. Februar 2022

Versionierung und die (Un)ordnung der Welt oder: Wann sind die Regelung eines Dokuments anwendbar?

Versionierung und die (Un)ordnung der Welt oder: Wann sind die Regelung eines Dokuments anwendbar? 

Die wichtigste Teildisziplin des Variantenmanagement von Regelungsdokumenten: Versionierung 

Versionierung von Dokumenten
Versionierung von Dokumneten


Im letzten Blogbeitrag haben wir uns mit unterschiedlichen Arten von Dokumenten beschäftigt und dargelegt, wie diese in einer hierarchischen Struktur ineinandergreifen. Ziel war es, die einzelne Regelungsbereiche und Regelungstiefen zu bestimmen und voneinander abzugrenzen. 

Dienstag, 8. Februar 2022

Was gilt? Über die Notwendigkeit einer Dokumenten-Hierarchie im Risikomanagement

Was gilt? Über die Notwendigkeit einer Dokumenten-Hierarchie im Risikomanagement.

Jedes Managementsystem besteht aus einer Vielzahl von Dokumenten - Leitlinien, Richtlinien, Arbeitsanweisungen, usw.. Ohne klare Hierarchie ist es für die Mitarbeiter unmöglich, hier den Überblick zu behalten.  


Beispiel für eine Dokumentenhierarchie
Beispiel für eine Dokumentenhierarchie
Großen Konzernen wird oft "Regelungswahn" unterstellt - für jede Kleinigkeit gibt es angeblich ein eigenes Formular. Doch auch im Mittelstand werden die Anforderungen - qualitativ, organisatorisch und regulatorisch - immer höher. Um diese Anforderungen erfüllen zu können, muss das Unternehmen Regelungen zu einer Vielzahl unterschiedlicher Themen treffen. Dies führt zu einer Vielzahl von Dokumenten - Leitlinien, Anweisungen, Beschreibungen. Und für den Mitarbeiter zu der Frage: "Was gilt?" 

 

Dienstag, 1. Februar 2022

Und jetzt? Datenschutz fertig? Oder auch: Aufbauen alleine reicht nicht - ein erfolgreiches Managementsystem muss gelebt werden. Langfristig.

Und jetzt? Datenschutz fertig? Oder auch: Aufbauen alleine reicht nicht - ein erfolgreiches Managementsystem muss gelebt werden. Langfristig. 

Viele Unternehmer denken, nach dem erfolgreichen Aufbau eines Risikomanagementsystems - sei es zum Datenschutz, zur Informationssicherheit oder zum Qualitätsmanagement - sei das Thema erledigt. In diesem Blogbeitrag zeigen wir auf, warum ein Risikomanagementsystem nie "fertig" wird.

Der PDCA-Zyklus ist nur eines von vielen Modellen zur Darstellung kontinuierlicher Managementprozesse. Eines ist allen gemein - man wird nie "fertig".
Der PDCA-Zyklus ist nur eines von vielen Modellen zur Darstellung kontinuierlicher Managementprozesse. Eines ist allen gemein - man wird nie "fertig".

Der Aufbau eines Risikomanagementsystems ist teuer. Vor allem, weil man heutzutage ja gleich mehrere davon braucht. Diese Aussage würde wohl fast jeder mittelständischer Unternehmer unterschreiben. Umso größer ist daher in der Regel die Erleichterung, wenn man endlich "fertig" ist. Aber ist "fertig" wirklich fertig? Was kommt nach dem initialen Aufbau? Muss da überhaupt noch etwas kommen? Mit diesen Fragen befasst sich unser heutiger Blogbeitrag.  

Dienstag, 25. Januar 2022

Uns passiert schon nichts! Oder: warum Risikomanagement im Mittelstand nicht nur QM ist.

Uns passiert schon nichts! Oder: warum Risikomanagement im Mittelstand unverzichtbar ist.

Ein mittelständisches Unternehmen ist einer Vielzahl von Risiken ausgesetzt - Produktrisiken, Datenpannen, Hackerangriffen und zunehmend auch Naturkatastrophen. Das Ergebnis sind in der Regel mehrere teure, aufwändige und umständliche Managementsysteme mit denen die Unternehmensleitung versucht, diese Risiken beherrschbar zu machen. Aber das muss nicht sein - die Integration aller relevanten Risiken in einem einzigen Managementsystem bietet eine Vielzahl von Vorteilen. 

Risikomanagement im Mittelstand
Größte Gefahr: IT

Nach dem aktuellen Risikobarometer des zur Allianz Gruppe gehörenden Industrieversicherers AGCS sehen Experten in der IT die größte Gefahr für ihre Unternehmen. Erpressung oder Schäden wie ein Produktionsstopp durch Hackerangriffe rangieren inzwischen vor den "klassischen" Risiken wie Schäden durch Naturkatastrophen oder Betriebsunterbrechungen. Quelle: Risikobarometer 2021 der AGCS 

Dienstag, 11. Januar 2022

Das TTDSG - Nur ein mittelmäßiger "Best-of-TOM"-Mix?

Das TTDSG - Nur ein mittelmäßiger "Best-of-TOM"-Mix? 

Ist ein Gesetzgeber, der viele Gesetze verabschiedet, ein guter Gesetzgeber? Zumindest in THE LÄND ist Fleiß ja bekanntermaßen die Kardinalstugend. 

Das TTDSG - Nur ein Mittelmäßiger Best-of-TOM Mix?
Telekommunikations- Telemedien-Datenschutzgesetz

 

Und woher kommen die ganzen Regelungstexte des TTDSGs?