Mittwoch, 4. Mai 2016

Kostenlose Broschüre des BfDI zur EU-DSGVO

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) Andrea Voßhoff hat eine kostenlose Broschüre zur EU-Datenschutzgrundverordnung (EU-DSGVO) herausgegeben mit dem deutschsprachigen Gesetzestext und einigen ersten Erläuterungen.


Mit dieser Informationsbroschüre zeigt die BfDI in groben Zügen die Neuerungen der EU-DSGVO gegenüber dem bisherigen Bundesdatenschutzgesetz (BDSG) und den übrigen betroffenen Gesetzen auf.

BfDI-Informationsbroschüre zur EU-DSGVO
BfDI-Informationsbroschüre zur EU-DSGVO

Grundprinzipien und wesentliche Neuerungen der EU-DSGVO


Die rund 190 Seiten starke Informationsbroschüre soll dazu beitragen, einen ersten Überblick über die EU-Datenschutz-Grundverordnung, insbesondere über deren Grundprinzipien und die wesentlichen Neuerungen, zu vermitteln. Sie enthält eine Einführung in die komplexe Materie sowie den Verordnungstext.

Dem Verordnungstext vorangestellt sind folgende interessante Themen:

  • Grundprinzipien des Datenschutzrechts
  • Was ist neu in der EU-DSGVO
  • Technischer und organisatorischer Datenschutz


Hier geht's zum kostenlosen Download


Die Informationsbroschüre der BfDI steht hier zum kostenlosen Download bereit.

Montag, 2. Mai 2016

Zwei Jahre "Recht auf Vergessen" - Anspruch auf Löschung von Suchmaschinenergebnissen

Der Europäische Gerichtshof (EuGH) hatte in einem Urteil am 13. Mai 2014 entschieden, dass Suchmaschinen-Betreiber wie Google bestimmte Links aus ihren Suchergebnissen aus datenschutzrechtlichen Gründen löschen müssen. Wie kam dieses Urteil zustande? Wie lautete die Urteilsbegründung? Und welche Bedeutung hat es für den Alltag?


Hintergrund des EuGH-Urteils


Hintergrund des Urteils war ein Streit zwischen einem Spanier und Google. Der Schriftexperte und Professor hatte nach seinem eigenen Namen gesucht und erhielt als Ergebnis von Google unter anderem den Link auf zwei Artikel einer spanischen Tageszeitung. In diesen war zu lesen, dass das Grundstück des Mannes 1998 wegen vorhandener Schulden bei der Sozialversicherung versteigert und dann gepfändet werden sollte. Er wandte sich an die spanische Datenschutzaufsichtsbehörde (AEPD).

Diese forderte Google auf, die Verlinkung zu den Artikeln bei der Suche nach dem Namen des Mannes aufzuheben. Sie begründete dies damit, dass die Pfändung, die im Zusammenhang mit seinem Namen über Google gefunden wird, längst abgeschlossen sei und keine Relevanz mehr besitze. Eine Erwähnung in den Suchergebnissen sei demnach nicht mehr gerechtfertigt. Google kam dieser Aufforderung nicht nach und so landete der Fall vor dem Europäischen Gerichtshof (EuGH).

EuGH zwingt seit 2 Jahren Suchmaschinen-Betreiber wie Google zum Löschen

Urteilsbegründung der Richter


Die Richter des EuGH prüften den Fall sorgfältig und kamen zu dem Ergebnis, dass es grundsätzlich datenschutzrechtliche Löschansprüche gibt und dass Suchmaschinenbetreiber wie Google betroffene Links entfernen müssen. Als Begründung des Urteils wiesen die Richter darauf hin, dass die Anzeige von Ergebnissen einer Suchmaschine bereits eine datenschutzrechtliche Verarbeitung enthalte. Für diese Verarbeitung seien die Suchmaschinenbetreiber wie Google verantwortlich, da sie entscheiden, welche Seiten in der Ergebnisliste auftauchen. Außerdem unterliege auch die digitale Verarbeitung von Daten dem Marktort- und Sitzlandprinzip, so der EuGH. Das bedeutet, dass das europäische Datenschutzgesetz immer dann angewendet werden darf, wenn diese Datenverarbeitung einen regionalen Bezug zu dem Ort der Niederlassung hat. Wo die Datenverarbeitung selbst stattfindet (im Fall von Google in den USA), spielt hierbei keine Rolle.

Das bedeutet das EuGH-Urteil für den Alltag


Das Urteil des EuGH wurde von den meisten europäischen Politikern und Datenschützern begrüßt. Hervorzuheben sind hierbei vor allem zwei Aspekte: Erstens bestätigte das Gericht die Gültigkeit des europäischen Datenschutzrechts für Nicht-EU-Unternehmen, die in der EU Niederlassungen haben. Zweitens räumten die Richter dem Datenschutz eine größere Bedeutung ein als wirtschaftlichen Interessen.

Für den einzelnen EU-Bürger bedeutet das Urteil, dass Suchmaschinenbetreiber wie Google Suchergebnisse löschen müssen, wenn diese kein allgemeines Interesse mehr bedienen, aber Rückschlüsse auf eine bestimmte Person erlauben. Dann muss die Verlinkung zu der jeweiligen Information gelöscht werden. Die Information selbst, die beispielsweise wie oben beschrieben in einem Zeitungsartikel steht, muss nicht zwangsläufig gelöscht werden. Sie kann weiterhin über interne oder externe Links aufgerufen werden. Bei Personen des öffentlichen Lebens gibt es
allerdings noch weitere Einschränkungen.

Das bedeutet das EuGH-Urteil für Sie


Wenn Sie von längst überholten Suchergebnissen ohne öffentliches Interesse betroffen sind oder sich rufschädigender Kritik ausgesetzt sehen, können Sie Google & Co. auffordern, entsprechende Links zu löschen. Beim Stellen eines Löschantrags ist jedoch eine genaue Prüfung und schlüssige Erklärung unverzichtbar. Ansonsten besteht die Gefahr, dass der Antrag abgelehnt wird. Um Formfehler zu vermeiden, können Sie sich vertrauensvoll an uns wenden. Wir beraten Sie professionell zur Löschung von Suchergebnissen und stehen Ihnen mit Rat und Tat zur Seite.


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


Auch interessant: Blogbeitrag "Immer Ärger mit Kununu"


Lesen Sie hierzu auch unseren Blogbeitrag "Immer Ärger mit Kununu". Dort haben Sie die Möglichkeit, sich eine kostenlose Anleitung herunterzuladen. Viel Erfolg. Und berichten Sie mir über Ihre Ergebnisse.

Hier geht's zum Blogbeitrag mit Anleitung zur Meldung von Rechtsverletzungen auf Kununu wie z.B. Datenschutz-Verstößen

Mittwoch, 20. April 2016

Spam-Angriff auf XING legt Gruppen lahm

Auch Social Media Netzwerke wie Xing sind vor Spam-Attacken nicht gefeit. Gestern Abend meldet die Xing-Community, dass die Beitrittsoption für die Xing-Gruppen aufgrund eines massiven Spam-Angriffs zeitweilig abgeschaltet wird.


Beitrittsoption zu Xing-Gruppen aufgrund Spam-Attacke vorübergehend abgeschaltet
In einem Moderatorenbeitrag der Gruppe Xing Community erklärt Xing, das Abschalten der Beitrittsoption für die Xing-Gruppen bedeutet, dass derzeit keine neuen Mitglieder in vorhandene Gruppen eintreten können. Bei offenen Gruppen bleiben die Beiträge aber weiterhin  öffentlich sichtbar.

Xing entschuldigt sich bei den Mitgliedern für die Unannehmlichkeiten und sucht schnellstmögliche nach Lösungen, um das akute Problem zu beheben.

Spam ist ein Übel unserer Zeit. Erst im Februar 2016 meldete Web.de, dass das Spam-Aufkommen bei Web.de und GMX im Jahr 2015 mehr als verdoppelt habe. Die Anzahl schädlicher Links habe sogar noch deutlicher zugenommen.

Auch der derzeit bekannteste Erpressungs-Trojaner Locky verbreitet sich am Liebsten über Spam.

Sechs Tipps zum Umgang mit Spam in Ihrem Unternehmen

Die Security-Experten von yourIT raten zum sorgsamen Umgang mit Spam in Unternehmen. Der anfängliche Aufwand amortisiert sich schnell. Die Gefahr erfolgreicher Angriffe sinkt. Hier unsere Top-6-Tipps:


  1. Schalten Sie unbedingt einen "richtigen" Spamfilter ein. Es macht einen großen Unterschied, ob Ihre Mitarbeiter jeden Tag 5 oder 15 Spam-E-Mails manuell ausfiltern müssen. Gehen Sie davon aus, dass jede unnötig zu bearbeitende E-Mail etwa 5 Minuten Arbeitszeit kostet - auch wenn diese vom Mitarbeiter nur gelöscht wird. Aufgrund der aktuellen Attacken durch Erpressungs-Trojaner wie Locky haben die Security-Experten von yourIT den Spamfilter-Markt neu inspiziert. Wir empfehlen Ihnen gerne die zu Ihrem Unternehmen passende Anti-Spam-Lösung.
  2. E-Mail-Adressen sollten nicht öffentlich verwendet werden. Stellen Sie keine E-Mail-Adressen unbekümmert ins Netz - z.B. auf Websites, Blogs oder in Soziale Netzwerke. Spammer suchen dort gezielt nach E-Mail-Adressen, denen sie Spam zusenden können.
  3. Verwenden Sie verschiedene E-Mail-Adressen für verschiedene Anwendungen. Dadurch werden potentiell lohnenswerte Angriffsziele für Spammer weniger durchschaubar.
  4. Reagieren Sie niemals und in keinster Weise auf Spam. Antworten Sie nicht. Klicken Sie auch auf keinen der Links. Auch von experimentellen Selbstversuchen raten wir dringend ab - das haben andere schon versucht, z.B. hier ein Beitrag bei Channelpartner.
  5. yourIT rät dringend zur besonderen Vorsicht bei Rechnungen per E-Mail. Gerade Erpressungs-Trojaner wie z.B. Locky verstecken sich gerne hinter angeblichen Rechnungs-Anhängen. Die Security-Experten von yourIT haben eine Checkliste für Ihre Mitarbeiter erstellt, die wir Ihnen gerne zum kostenlosen Download bereitstellen.
  6. Sensibilisieren Sie Ihre Mitarbeiter. Machen Sie klar, wie gefährlich die aktuellen Spam-Angriffswellen, dass die bisher getroffenen Abwehrmaßnahmen der IT-Abteilung nicht 100-prozentig schützen und dass 1 falscher Klick genügt, um das gesamte Unternehmen zu gefährden. Investieren Sie etwas Zeit in die Erhöhung der Verantwortlichkeit Ihrer Mitarbeiter. Solche Schulungen führen wir gerne für Sie durch.

Wie können wir von yourIT Sie unterstützen?


Wir haben z.B. einen Leitfaden entwickelt. Gefahr erkannt - Gefahr gebannt: So schütze ich mich vor Viren und Erpressungs-Trojanern. Diesen können Sie hier kostenlos downloaden, ausdrucken und in Sichtweite der Bildschirmarbeitsplätze Ihrer Mitarbeiter aushängen.

Leitfaden: So schütze ich mich vor Viren und Erpressungs-Trojanern

Sie benötigen professionelle Unterstützung? Als IT-Systemhaus bieten wir Ihnen beispielsweise folgende Leistungen:
  • Beratung und Implementierung von Datenschutz- und IT-Sicherheits-Konzepten
  • Durchführung von Sicherheitsaudits für "IT-Infrastruktur" und "Webapplikationen"
  • Durchführung Basis-Check ISO27001 und Einführung eines ISMS
  • Stellung des externen Datenschutzbeauftragten / IT-Sicherheitsbeauftragten
  • Technische Maßnahmen wie Firewall, Anti-Viren-Software, Spam-Schutz, Offline- und Online-Backup, Clientmanagement, IT-Monitoring, Managed Services, etc.
  • Konzeption und Durchführung von Schulungs- / Sensibilisierungsmaßnahmen für Ihre Mitarbeiter
  • ...

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 und 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet.


Donnerstag, 7. April 2016

Auftragsdatenverarbeitung vs. Funktionsübertragung - Diese Punkte sollten Sie beachten

Häufig kommt es vor, dass Unternehmen sich nicht sicher sind, ob es sich bei einer Outsourcing-Dienstleistung datenschutzrechtlich um eine Auftragsdatenverarbeitung oder eine Funktionsübertragung handelt. Dies ist insofern wichtig, da im Falle einer Auftragsdatenverarbeitung natürlich ein ADV-Vertrag nach § 11 BDSG zwischen Auftraggeber und Auftragnehmer geschlossen werden muss.


Auftragsdatenverarbeitung


Eine Auftragsdatenverarbeitung zeichnet sich regelmäßig durch folgende Eigenschaften aus:

  • Der Outsourcing-Dienstleister/Auftragnehmer hat selber keinen Vertrag mit dem Betroffenen.
  • Er tritt gegenüber dem Betroffenen nicht mit eigenem Namen auf.
  • In der Regel hat er nur Umgang mit den Daten, die ihm der Auftraggeber zur Verfügung stellt.
  • Er hat keinerlei Befugnis, über die Daten zu entscheiden.
  • Er ist weisungsgebunden bezüglich der Daten.
  • Fiktiv tritt er als Teil des Auftraggeber-Unternehmens auf.
  • Die Nutzung der Daten zu eigenen Zwecken ist ausgeschlossen!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die ADV nach § 11 BDSG

Beispiele für Auftragsdatenverarbeiter


Auftragsdatenverarbeitung findet man nahezu immer im Bereich Outsourcing. Rechenzentren, Callcenter, Entsorgungsunternehmen oder Druckereien sind typische Auftragsdatenverarbeiter. Aber auch Systemhäuser sowie Hard- und Softwareunternehmen, die bei der (Fern-)Wartung beiläufig auf personenbezogene Daten treffen könnten, fallen hierunter.

Funktionsübertragung


Die Funktionsübertragung unterscheidet sich von der Auftragsdatenverarbeitung insbesondere dadurch, dass der Outsourcing-Dienstleister:
  • die Verantwortung was die Zulässigkeit der Datenverarbeitung betrifft, übernimmt. Er wird zur verantwortlichen Stelle.
  • gegenüber dem Auftraggeber weisungsfrei ist, was die Datenerhebung, -verarbeitung und -nutzung anbelangt. Der Auftraggeber hat keinen Einfluss.
  • eigenverantwortlich die Rechte der Betroffenen sicherstellen muss.
  • gegenüber dem Betroffenen unter eigenem Namen auftritt.
  • in der Regel über ein bestimmtes Fachwissen oder über Erfahrungen und Möglichkeiten verfügt, die der Auftraggeber nicht besitzt.
  • Nutzungsrechte an den Daten hat.
  • die Daten zu eigenen Zwecken verwenden kann, falls dies nicht anders geregelt ist!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die Funktionsübertragung

Beispiele für Funktionsübertragung


Beispiele für Funktionsübertragung finden sich insbesondere im Falle von Ärzten, Rechtsanwälten, Steuerkanzleien, Inkassounternehmen oder Privatdetektiven. Es ist ganz klar zu erkennen, dass der Auftraggeber hier ja gar nicht in der Lage wäre, dem Dienstleister Anweisungen oder Vorgaben für die Durchführung des Auftrags zu geben. Somit fallen auch viele Datenweitergaben innerhalb eines Konzerns unter die Funktionsübertragung, z.B. die Bildung einer zentralen Konzern-Personalverwaltung.

Tipp: Auch Funktionsübertragung vertraglich regeln!


Auch wenn bei der Funktionsübertragung keine gesetzliche Pflicht zum Abschluss eines Vertrages besteht, ist es insofern aufgrund haftungsrechtlicher Überlegungen und zum Schutz von Betroffenen im Einzelfall sinnvoll, die in § 11 BDSG aufgeführten Kriterien auch bei der Funktionsübertragung als Maßstab für die Auswahl des Outsourcingnehmers und die Vertragsgestaltung anzuwenden. Hier kann der Auftraggeber für ihn wichtige Dinge konkret ausformulieren, z.B.

  • Verantwortlichkeiten
  • Zweckbindung
  • Hinweispflichten
  • Geheimhaltungspflichten
  • Pflicht zur Bestellung eines Datenschutzbeauftragten
  • Festlegung der technischen und organisatorischen Maßnahmen
  • Prüfungs- und Kontrollrechte
  • Unterauftragsverhältnisse
Ich empfehle in der Regel, speziell auch das Thema Haftungsübernahme durch den Outsourcingnehmer explizit schriftlich zu regeln. Nicht dass hier Missverständnisse bleiben.

BEST OF CONSULTING 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2016 ausgezeichnet.


Gerne unterstützen wir auch Ihr Unternehmen. Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

Freitag, 1. April 2016

Erpressungs-Trojaner: So reagieren Sie richtig

Aktuell überstürzen sich die Meldungen über Erpressungs-Trojander, die sich auf Rechnern einschleichen. Diese "Ransomware" verschlüsselt wichtige Daten der Opfer und verlangt Lösegeld für die Entschlüsselung. Sowohl Unternehmen als auch Privatnutzer sind in Gefahr. Was tun, um dem zu begegnen?


Erpresser kommen per E-Mail sowie über Internet und Apps


2016 wird das Jahr der Online-Erpressung, da sind sich IT-Sicherheits-Experten einig. Bereits seit über zehn Jahren versuchen Internet-Kriminelle, ihren Opfern Angst einzujagen und Geld zu erpressen. Früher behaupteten die Erpresser, sie hätten die Nutzer bei einer illegalen Tat erwischt, zum Beispiel bei der Nutzung einer Raubkopie. Nur gegen Zahlung eines Geldbetrags würden sie der Polizei gegenüber schweigen. Die Erpressermasche hat sich inzwischen geändert und bedroht nun das Herzstück jeder IT, die Daten.

yourIT warnt vor gefährlichen Erpresser-Trojanern

Die Erpressung beginnt mit einer Schadsoftware, die über E-Mail, Browser oder mobile Apps auf das Gerät des Opfers kommt. Dort verschlüsselt das Schadprogramm alle Daten des Nutzers. Nur gegen Zahlung des Lösegelds werden die Daten wieder freigegeben, also entschlüsselt, so die Drohung.  Diese Art von Attacken werden auch als Ransomware bezeichnet ("Ransome" ist der englische Begriff für "Lösegeld").

Neue Maschen der Ransomware


Täglich erreichen unsere Security-Experten erschreckende  Meldungen über neue Arten von Erpressungs-Trojanern. Einer schlimmer als der letzte. Die neuesten Maschen sind:

  • 30.03.2016: Der Erpressungs-Trojaner SAMSA (auch Samsam, Samas oder Mokoponi genannt) wird über Hacker aktiv eingeschleust. Mittels aktive durchgeführter Penetrationstests finden die Cyber-Verbrecher bekannte und nicht geschlossene Schwachstellen in Ihrem IT-Netzwerk und nutzen diese daraufhin aus. Im nächsten Schritt versuchen die Erpresser soviele Systeme im Netz zu übernehmen wie möglich. Erst zum Schluß wird der eigentliche Erpressungs-Trojaner SAMSA eingeschleust und hat dann natürlich leichtes Spiel, einen großen Teil des Unternehmensnetzwerks zu verschlüsseln. 
  • 29.03.2016: Gelangt der Erpressungs-Trojaner PETYA auf ihren Rechner (häufig per Dropbox!), tut er erstmal so, als ob Windows abgestürzt wäre. Erst in einer zweiten Phase - beim Neustart des Systems - werden die Daten verschlüsselt. Startet man das System nicht neu, kann man die daten noch retten. Also: Aktuell sollte man Vorsicht walten lassen, wenn der Rechner plötzlich abstürzt.


Opfer sind größtenteils völlig hilf- und schutzlos


Leider sind viele Opfer so hilflos, dass sie tatsächlich bezahlen, oft aber ohne dass die versprochene Entschlüsselung stattfindet. Bezahlt man mit Kreditkarte, missbrauchen die Täter womöglich auch diese Daten, zusätzlich zu den unbrauchbaren eigenen Daten.

Der Schaden ist enorm 


Wie erfolgreich die Online-Erpresser sind, zeigen aktuelle Beispiele: Die Schadsoftware CryptoWall konnten IT-Sicherheitsforscher in über 406.000 Fällen nachweisen. Die Erpresser erbeuteten dabei 325 Millionen US-Dollar als Lösegeld. Leider ist das kein Einzelfall. Der Schaden für die betroffenen Unternehmen und Nutzer geht aber noch weiter, als es die Höhe des Lösegelds vermuten lässt. Da die Angreifer die Daten häufig gar nicht mehr entschlüsseln, fehlen sie dauerhaft.

Verschlüsselte Daten als Super-Gau


Häufig gibt es keine Datensicherung bei den Betroffenen, oder die Datensicherung war ebenso schlecht geschützt wie die Daten selbst, und beides wurde verschlüsselt. Je nach Daten und Art des Unternehmens kann ein solcher Datenverlust die Existenz bedrohen oder aber den Ruf so stark schädigen, dass Kundenzahl und Umsatz drastisch zurückgehen.

Bei Privatnutzern ist der Schaden finanziell gesehen zwar meist geringer. Aber wenn sich wichtige Daten wie die einzigen Fotos, die von einem geliebten Menschen noch vorhanden sind, nicht mehr öffnen lassen, ist der Verlust ebenfalls groß.

Nicht erpressen lassen, sondern Daten besser schützen


Auch Deutsche Sicherheitsbehörden wie das Bundeskriminalamt oder die Landeskriminalämter warnen derzeit vor Erpressungs-Trojanern. Sie raten dazu, den Online-Erpressern kein Lösegeld zu zahlen. Gegen diese Online-Erpresser können Sie sich nur durch eine gute Absicherung der IT wappnen: Ein professionelles Firewall-Konzept, aktuelle Antiviren-Software und eine Begrenzung der Berechtigungen auf den Computern, die mit dem Internet verbunden sind.

Entscheidend ist vor allem die regelmäßige, vollständige und geschützte Sicherung der Daten, um Erpressungs-Trojanern den Schrecken zu nehmen. Hat man ein Backup, braucht man keine Entschlüsselung – die oft sowieso nie kommen würde.

So schützen Sie sich vor den aktuellen Erpressungs-Trojanern



Liebe Unternehmer, den effektivsten Schutz für Ihre Daten bringt derzeit eine umfassende Sensibilisierung der Mitarbeiter! Schulen Sie diese jetzt und weisen Sie dabei auf folgende Punkte hin:

  • Prüfen Sie eingehende E-Mails sorgfältig, insbesondere dann, wenn Sie über einen Link zum Download von Unterlagen unbekannter Quellen aufgefordert werden.
  • Öffnen Sie niemals Links oder Dateianhänge in Nachrichten von Ihnen unbekanntem Absendern.
  • Überprüfen Sie Links hinsichtlich der tatsächlichen Zieladresse, indem Sie mit dem Zeiger der Maus über den Link streifen („Mouse-Over“). Bitte nicht klicken!
  • Öffnen Sie niemals Dateianhänge mit unüblichen Dateitypen (.exe, .vbs, .pdf.exe, .js, etc.). Achten Sie darauf, dass Ihr System Dateianhänge vollständig anzeigt. Sonst wird z.B. die Endung *.pdf.exe als *.pdf angezeigt.
  • Prüfen Sie ein- und ausgehende E-Mails und Dateien mit Anti Malware Tools (Spamfilter, etc.)
  • Sichern Sie Ihre Systeme mit Schutzsoftware (Firewall, Anti-Viren-Programm) und halten Sie diese aktuell
  • Installieren Sie regelmäßig Updates für Adobe Flash, Java, Adobe Reader etc.
  • Führen Sie regelmäßige Datensicherungen auf externe Medien bzw. Online-Backups durch.
  • Denken Sie zweimal nach, bevor Sie in Portalen wie Facebook auf sensationshaschende oder neugierigmachende Meldungen klicken.


Sollten Sie doch einmal Opfer eines solchen Angriffs werden: Ruhe bewahren!

Bleiben Sie ruhig und gehen Sie wie folgt vor:

  • Trennen Sie das befallene Gerät umgehend vom Netzwerk (durch Abziehen des LAN-Kabels).
  • Gehen Sie auf keinen Fall auf die Forderung der Kriminellen ein. Bezahlen Sie nicht!
  • Melden Sie das Problem Ihrem Vorgesetzten, dem IT-Verantwortlichen oder Ihrem IT-Dienstleister.
  • Erstatten Sie eine Anzeige bei der nächsten Polizeidienststelle.
  • Stellen Sie Ihre Daten aus einem Backup wieder her, gegebenenfalls mit der Unterstützung externer IT-Sicherheits-Spezialisten wie yourIT.

Wie können wir von yourIT Sie unterstützen?


Wir haben einen Leitfaden entwickelt. Gefahr erkannt - Gefahr gebannt: So schütze ich mich vor Viren und Erpressungs-Trojanern. Fragen Sie uns jetzt an.

Erpressungs-Trojaner Wir von yourIT helfen Ihnen gern!
Leitfaden: So schütze ich mich vor Viren und Erpressungs-Trojanern

Sie benötigen professionelle Unterstützung? Als IT-Systemhaus bieten wir Ihnen beispielsweise folgende Leistungen:

  • Beratung und Implementierung von Datenschutz- und IT-Sicherheits-Konzepten
  • Durchführung von Sicherheitsaudits für "IT-Infrastruktur" und "Webapplikationen"
  • Durchführung Basis-Check ISO27001 und Einführung eines ISMS
  • Stellung des externen Datenschutzbeauftragten / IT-Sicherheitsbeauftragten
  • Technische Maßnahmen wie Firewall, Anti-Viren-Software, Spam-Schutz, Offline- und Online-Backup, Clientmanagement, IT-Monitoring, Managed Services, etc.
  • Konzeption und Durchführung von Schulungs- / Sensibilisierungsmaßnahmen für Ihre Mitarbeiter
  • ...

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


Donnerstag, 25. Februar 2016

UKlaG - Abmahnwelle durch die Verbraucherverbände befürchtet

Hechingen, 24.02.2016: Das Unterlassungsklagengesetz UKlaG und das daraus resultierende Verbandsklagerecht bedeuten eine neue Zeitrechnung im Datenschutz. Lesen Sie hier, ob Ihr Unternehmen abmahngefährdet ist und was Sie dann tun sollten.

Zusammenfassung der Pressemeldung:

Worum geht‘s?

Die Verbraucherverbände haben ein Verbandsklagerecht erhalten, um Datenschutz-Verstöße gegen Verbraucher direkt abmahnen zu können. http://www.gesetze-im-internet.de/uklag

Wer ist betroffen?

Alle Unternehmen in allen Branchen im B2C-Bereich. Überall, wo der Endkunde ein Verbraucher ist.

Achtung: Nicht nur Online-Händler sind betroffen!

Know-How der Verbände?

Die Verbraucherschutzverbände verfügen über erhebliches Know-How und sind mit der für eine Abmahnung und Klage erforderlichen Manpower ausgestattet.

Zeitrahmen

Wann das Gesetz kommt, steht noch nicht fest. Betroffene Unternehmen sollten keine Zeit verlieren!

Was Sie jetzt tun sollten

Lassen Sie jetzt Ihre Rechtstexte auf der Website / im Webshop sowie sämtliche Datenschutz-Verfahren überprüfeen.

Fazit


Für Unternehmen ist es jetzt noch wichtiger, sich kompetent durch einen Datenschutzbeauftragten beraten zu lassen. Datenschutzbeauftragte können Rechtsstreits und damit hohe Rechtskosten verhindern.

UKlaG - Abmahnwelle durch die Verbraucherverbände befürchtet

Sehr geehrte Kunden,


der Bundestag diskutiert schon seit längerer Zeit eine Gesetzesänderung, nach der die 77 Verbraucherverbände in Deutschland künftig berechtigt sein sollen, Datenschutzverstöße kostenpflichtig abzumahnen, von Unternehmen die Abgabe strafbewehrter Unterlassungs- und Verpflichtungserklärungen und die Beseitigung von datenschutzwidrigen Zuständen fordern zu können. Jetzt hat der Bundestag dieses Unterlassungsklagegesetz UKlaG verabschiedet. Dem Datenschutzrecht steht damit eine neue Zeitrechnung bevor. Bislang konnten Datenschutzverstöße lediglich von den Datenschutzaufsichtsbehörden verfolgt werden. Das wird sich ändern. Der Gesetzesentwurf mit dem sperrigen Titel „Entwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ soll das Unterlassungsklagengesetz UKlaG ändern, sodass Verstöße gegen Vorschriften,

„welche die Zulässigkeit regeln hinsichtlich
a) der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden“

durch die Verbraucherverbände – ausgestattet mit einem eigenen Klagerecht – verfolgt werden können.

In welchen Fällen droht eine Abmahnung?


Damit können beispielsweise rechtsfehlerhafte Formulierungen und nicht rechtskonforme

  • Datenverarbeitungen im Zusammenhang mit Datenschutzbelehrungen auf einer Homepage, in einem E-Shop, auf einer Verkaufsplattform
  • Newslettern (offline und online)
  • Kundendateien jeder Art (auch im stationären Handel)
  • Gewinnspielen, sowohl online als auch offline
  • Bewertungsmöglichkeiten
  • Testberichten durch Verbraucher
  • Rückrufbitten in elektronischen Formularen

abgemahnt werden und Unternehmen gerichtlich in Anspruch genommen werden.

Nicht nur der Online-Handel ist betroffen


Das Klagerecht der Verbraucherverbände bezieht sich nicht nur auf den Online-Handel und das Online-Marketing, sondern auch auf den stationären Handel und das Offline-Marketing sowie insgesamt auf sämtliche Datenverarbeitungen eines Unternehmens im Zusammenhang mit Verbrauchern.

Die Durchsetzung des Datenschutzrechtes wird sich grundlegend ändern


Konnten Unternehmen bei wirtschaftlich vernünftiger Betrachtung das Datenschutzrecht im Verhältnis zu den drohenden Konsequenzen „auf kleiner Flamme“ behandeln, so wird sich dies zukünftig ändern. Die Landesdatenschutzbeauftragten sind mit knappen Personalressourcen ausgestattet. Die Verfolgungsdichte bei Verstößen war daher gering. Die Aufsichtsbehörden geben sich in der Regel damit zufrieden, wenn eine rechtliche Stellungnahme im Falle eines Rechtsverstoßes abgegeben wird und in absehbarer Zeit der Mangel behoben wird.

Know-How und Manpower der Verbraucherschutzverbände


Die Verbraucherschutzverbände verfügen dagegen über erhebliches Know-How und sind mit der für eine Abmahnung und Klage erforderlichen Manpower ausgestattet. Nicht jedem Verbraucherverband ist vorzuwerfen, dass er seine rechtlichen Befugnisse zweckentfremdet. In der Vergangenheit war aber festzustellen, dass die Hartnäckigkeit der Verbraucherschutzverbände bei der Verfolgung von Verstößen erheblich ist. Bei einigen Verbänden drängt sich der Verdacht auf, dass ein „erwerbswirtschaftliches Interesse“ nicht von der Hand zu weisen ist, denn jede Abmahnung verursacht Kosten, die der Abgemahnte zu erstatten hat.

 Abmahnung, Vertragsstrafe und Klage


Anders als die Datenschutzaufsichtsbehörden können die Verbraucherschutzverbände nach dem Willen des Gesetzesvorschlages nicht nur zum Unterlassen auffordern, sondern können von den betreffenden Unternehmen die Abgabe einer strafbewehrten Unterlassungs- und Verpflichtungserklärung fordern und dies auch klageweise durchsetzen. Diese Unterlassungs- und Verpflichtungserklärungen sehen vor, dass im Falle einer Zuwiderhandlung der Unternehmer eine Vertragsstrafe an den Verbraucherschutzverband zu zahlen hat. Die Vertragsstrafen liegen in der Regel bei 5.001,00 € und motivieren die Verbraucherverbände gerade die Beseitigung und rechtsfehlerfreie Umsetzung erneut zu überprüfen. Sollten bei dieser „Nachschau“ noch immer rechtliche Probleme bestehen, droht die Verwirkung der Vertragsstrafe.

Kurze Reaktionszeit nach Abmahnung: Systeme kommen zum Erliegen


Unternehmen stellt dies vor das Problem, dass bei Verstößen häufig nicht nur eine textliche Passage zu ändern ist, sondern Systemeinstellungen und ganze Datenverarbeitungsvorgänge (software- und hardwareseitig) modifiziert werden müssen. Ein jahrelanger Umgang mit Daten muss auf den Prüfstand gestellt werden. Erschwert wird dies, wenn anlässlich der Abmahnung sich das Unternehmen erstmalig mit den Datenverarbeitungsvorgängen beschäftigt. Das wird allerdings bei den kurzen wettbewerbsrechtlichen Fristen, die in der Regel nicht länger als eine Woche betragen, kaum ein Unternehmen umsetzen können. In letzter Konsequenz führt das dazu, dass bis zur rechtssicheren Fehlerbehebung und Änderung der Systemeinstellungen (z. B. im CMS oder ERP) der Onlineshop, das Kundenverzeichnis, etc. offline zu stellen sind und nicht genutzt werden können. Es ist zu befürchten, dass Verbraucherverbände zusätzlich den Verstoß bei den Landesdatenschutzbehörden melden. Das aber kann bedeuten, dass zu Unrecht erhobene Daten gelöscht werden müssen. Kundendateien, Adressdateien, etc. müssten unwiederbringlich gelöscht werden.

Der Verbraucher meidet die Konfrontation mit dem Unternehmen, da er in der Regel das Prozessrisiko scheut. Das wird sich nun grundlegend ändern. Der Verbraucher kann einen Verbraucherschutzverband informieren, der seinerseits - mit einem eigenen Klagerecht ausgestattet - den Verstoß verfolgt.

Verbraucherschutzzentralen wollen das Klagerecht nutzen


Die Verbraucherschutzzentralen haben bereits 2015 in einer Pressemitteilung angekündigt, dass sie von ihrem Klagerecht im Datenschutzrecht Gebrauch machen wollen, so http://www.vzbv.de/pressemeldung/erweiterte-verbandsklagebefugnis-sorgt-fuer-besseren-schutz-persoenlicher-daten. Verbraucherschutzverbände sind auf gute PR angewiesen. Datenschutzverstöße erwecken schnell die Aufmerksamkeit der Öffentlichkeit, sodass eine flächendeckende Überprüfung aller Unternehmen für die Verbraucherverbände attraktiv ist.

Was ist zu unternehmen?


Unternehmen sollten jetzt ihren datenschutzrechtlichen Umgang und insbesondere Rechtstexte auf ihrer Homepage, im E-Shop sowie sämtliche Datenverarbeitungsvorgänge, auf den rechtlichen Prüfstand stellen. Eine Überprüfung und erforderlichenfalls eine Anpassung sind dringend angeraten.

In Zusammenarbeit mit unseren Rechtsanwälten bietet yourIT eine Aufnahme der Ist-Situation, die Analyse der gefundenen Schwachstellen, eine ausführliche Beratung und ggfs. die Anpassung der rechtlichen Datenschutzpraxis und Rechtstexte.

Im ersten Schritt wird ermittelt, ob überhaupt in Ihrem Unternehmen rechtlicher Handlungsbedarf besteht. Diese erste Überprüfung bieten wir unentgeltlich an. Fordern Sie uns!

Download-Möglichkeit


Eine Übersicht zu den datenschutzrechtlichen Auswirkungen des Unterlassungsklagengesetz UKlaG können Sie hier als PDF-Ausgabe unserer Datenschutz Now! downloaden:

Download_yourIT_DatenschutzNow_052015_zum_Unterlassungsklagengesetz_UKlaG

Über das IT- und Beratungshaus yourIT


yourIT - securITy in everything we do


securITy in everything we do...


… so lautet der Leitgedanke von yourIT. Unser Ziel ist es, Ihre IT-Prozesse zu optimieren und damit langfristig Ihre Wettbewerbsfähigkeit im globalen Markt zu steigern. Als innovatives Systemhaus in der Region Neckar-Alb prüfen wir den Sicherheits-Status Ihrer IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT- Sicherheit & Datenschutz und implementieren die für Sie besten Lösungen.

Wir unterstützen Sie ebenso bei der Richtlinien-Definition, Einhaltung der Policies und sichern den laufenden Betrieb. Lernen Sie unsere bedarfsgerechte und praxiserprobte Arbeitsweise jetzt in einem kostenlosen Vor-Ort-Termin kennen und überzeugen Sie sich selbst!

Informationen:

- Gründung 2002
- Geschäftsführer Ralf und Thomas Ströbele
- 20 Mitarbeiter
- Consulting, Solutions, IT-Dienstleistungen

Auszeichnungen/Zertifikate:

- BEST OF CONSULTING 2015
- DIN EN ISO 9001:2008

BEST OF CONSULTING 2015 - Ausgezeichnete Beratungspakete von yourIT

Ihr Kontakt zu yourIT: 

yourIT GmbH
Häselstr. 10
D-72336 Balingen
Fon: +49 7433 30098-0

Fax:  +49 7433 30098-15
E-Mail: Datenschutz-Team@yourIT.de
Internet: Datenschutz.yourIT.de

Mittwoch, 2. Dezember 2015

Win-win durch Datenschutz

5 typische Schwachstellen und wie Sie diese beheben können


„Datenschutz in Deutschland bedeutet „mit Gürtel + Hosenträger“ weiß Thomas Ströbele von yourIT aus seiner Erfahrung als externer Datenschutzbeauftragter. Das BDSG ist bekannt für seine Strenge. Für Unternehmen, die sich an die gesetzlichen Vorgaben halten, bringt Datenschutz aber auch einige Vorteile.


Vor allem mittelständische Unternehmen konzentrieren sich immer noch auf Schwachstellen in der Informationssicherheit. Wertvolle Unternehmensdaten sollen nicht durch technische Defekte oder menschliche Fehler verloren gehen oder von Unbefugten unberechtigt kopiert oder ausgeschnüffelt werden. Das ist zweifelsohne wichtig.

Dabei wird aber oft der Datenschutz vernachlässigt, also die sichere Handhabung personenbezogener Daten. Dabei hängen Informationssicherheit und Datenschutz eng zusammen, denn was personenbezogene Daten schützt, schützt auch Betriebs- und Geschäftsgeheimnisse.


yourIT - Datenschutz im Informationssicherheits-Kontext

Das Bundesdatenschutzgesetz (BDSG) kümmert sich um personenbezogene Daten und verpflichtet Unternehmen dazu, Mitarbeiter-, Kunden und Lieferantendaten zu schützen und nur zweckgebunden zu verwenden.

Verbot mit Erlaubnisvorbehalt


„Das BDSG verbietet jegliche Nutzung von personenbezogenen Daten, es sei denn, diese ist erlaubt.“ Für Thomas Ströbele, Geschäftsführer der yourIT aus Hechingen ist damit der Auftrag klar. Als externer Datenschutzbeauftragter und Lead Auditor ISO27001 hilft er mittelständischen und großen Unternehmen, personenbezogene Daten genau so zu schützen wie andere für das Unternehmen wertvolle Daten – und bringt damit den Unternehmen Vorteile.

Win-win durch Datenschutz


Zu den Vorteilen für Unternehmen gehört eine geringere Geschäftsführer-Haftung durch die Einhaltung gesetzlicher Vorgaben. Daneben macht sich die Vorbeugung gegen Schäden wie Umsatzeinbußen bei Datenverlust sowie Bußgelder bezahlt. Kunden bevorzugen immer häufiger sichere Unternehmen und die Maßnahmen führen zudem zu einer besseren Organisation und zu effektiveren Prozessen. „Investitionen in Datenschutz und Informationssicherheit machen bereits aus gesundem Menschenverstand Sinn.“


Datenschutz - mit yourIT



Datenschutzkonzept in 4 Phasen


Um Unternehmen ohne große Reibungsverluste in das Thea Datenschutz einzuführen, hat yourIT ein Datenschutzkonzept in 4 Phasen entwickelt. „In der ersten Phase analysieren wir den aktuellen Zustand des Unternehmens sowie was  in welcher Form geschützt werden muss, um den Umfang – und die Kosten - klein zu halten.“ erklärt Ströbele den Start in den Datenschutz.
In der nächsten Phase wird das Datenschutz-Pflichtenheft erstellt. Welche Maßnahmen sind zu ergreifen, um die gefundenen Schwachstellen zu eliminieren? „Als Schwabe liebe ich es, nach dem Minimax-Prinzip zu arbeiten: Wie kann ein Unternehmen mit minimalem Ressourcenaufwand die maximalen Fortschritte machen!“ Dieser Plan gefällt den Verantwortlichen in den Unternehmen verständlicherweise.

Erst jetzt in Phase 3 macht sich der Datenschutz-Experte an die Umsetzung der notwendigen Maßnahmen im Unternehmen. Dabei unterscheidet er technische, organisatorische und qualifizierende Maßnahmen. Letztere bedeuten die Sensibilisierung der Mitarbeiter. „Die meisten Datenschutzpannen entstehen wegen Fehlern von Mitarbeitern!“ warnt Ströbele. Eine sinnvolle Einweisung der Mitarbeiter ist unverzichtbar. yourIT setzt hier auf kurze Präsenz- und Onlineschulungen gemäß dem Prinzip „Man kann über alles reden, aber nicht über 45 Minuten! Bewährt hat sich auch die Mandantenzeitung „Datenschutz Now!“, welche yourIT ihren Kunden 6x im Jahr kostenfrei zur Verfügung stellt.

Datenschutz Now!
Unsere Mandantenzeitung Datenschutz Now!


In der vierten und letzten Phase übt Ströbele mit den Unternehmen das Dranbleiben. Dazu gehören die Aufnahme neuer Verfahren genauso wie die Durchführung von Kontrollen zur Einhaltung der getroffenen Schritte.

5 typische Schwachstellen


Zum Schluss nennt Ströbele noch 5 typische Schwachstellen, die Sie selbst eliminieren können.

1. Rechner nicht gesperrt

Damit führen Mitarbeiter jedes Berechtigungskonzept ad absurdum. Schulen Sie Ihre Mitarbeiter, beim Verlassen des Arbeitsplatzes den Rechner zu sperren. Unglaublich, aber oft scheitert dies am mangelnden Wissen der Mitarbeiter um die Tastenkombination Windows-Taste + L.

2. Verwendung unsicherer Passwörter

Der Name des Ehepartners oder Hundes ist genauso ungeeignet wie ein Geburtsdatum. Schulen Sie ihren Mitarbeitern, wie sie ein sicheres Passwort mit 8-12 Klein-/Großbuchstaben, Zahlen und Sonderzeichen generieren und es sich merken, ohne es aufzuschreiben. Unterschiedliche Passwörter je Anwendung und ein regelmäßiger Wechsel der Passwörter machen Angreifern das Leben schwer.

3. Sorgloses Klicken auf Links und Öffnen von Dateianhängen

Ein falscher Klick und ein Trojaner verschlüsselt alle Unternehmensdaten. Meist folgt auf diesen Angriff eine erpresserische Zahlungsaufforderung. Aber egal ob Sie bezahlen oder nicht – die Daten bleiben meist verloren. Hier helfen nur vorbeugende Schulung der Mitarbeiter und funktionierende Viren-, Spam und Backup-Konzepte.

4. Steuernummer auf der Website

In vielen Finanzämtern ist Datenschutz noch immer ein Fremdwort. Wenn ein Unbefugter geschickt anfragt, funktioniert die Steuernummer wie eine Art „PIN“ zur Steuerakte und damit zu vertraulichen Finanzdaten. Verwenden Sie stattdessen ausschließlich die Umsatzsteuer-ID.

5. Newsletter-Versand an offenen E-Mail-Verteiler

Sicher haben auch Sie schon einmal eine Serienmail erhalten, bei der sie sehen können, wer außer Ihnen diese noch erhalten hat. E-Mail-Adressen sind personenbezogene Daten. Manche Empfänger finden diese unerlaubte Veröffentlichung unpassend. So wurde unlängst in einem solchen Fall ein Bußgeld festgesetzt. Hier hilft nur Schulung.

„IT’s not your business!“


So lautet die Empfehlung von yourIT an mittelständische Geschäftsführer. „Holen Sie sich externe Experten für Datenschutz und IT-Sicherheit ins Haus und nutzen Sie deren Erfahrung aus anderen Projekten. Dann bleibt mehr Zeit für Ihre eigentlichen Wertschöpfungsprozesse.“


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.


Freitag, 23. Oktober 2015

yourIT empfiehlt - 8 Punkte, auf die Mittelständler bei der Auswahl einer passenden Cyber-Versicherungs-Police achten sollten

So segensreich die Möglichkeiten der digitalen Vernetzung für die meisten Menschen auch sind - ehrlicherweise sollten auch die daraus resultierenden Gefahren nicht verschwiegen werden. Sogenannte Cyber-Kriminalität gewinnt leider immer mehr an Bedeutung, weil sich mit sensiblen Daten unter Umständen viel Geld verdienen lässt. Außerdem werden die meisten Unternehmen durch Angriffe auf ihre IT-Infrastruktur an einem empfindlichen Nerv getroffen. Neben entsprechenden Maßnahmen in den Bereichen Datenschutz & IT-Sicherheit sowie der Einführung eines Risikomanagements sollte deshalb auch der Transfer des Restrisikos auf eine Cyber-Versicherungs-Police in Betracht gezogen werden.


Vor welchen (Rest-) Risiken schützt eine Cyber-Versicherungs-Police?


yourIT-Übersicht Cyber-Risiken, Maßnahmen und Risiko-Transfer auf eine Cyber-Versicherungs-Police

Die Schäden sich schon jetzt erheblich: Auch wenn viele Firmen ungern über erfolgreiche IT-Angriffe sprechen, um das Vertrauen ihrer Kunden nicht zu verlieren, verursachen Kriminelle im Internet hohe Kosten. Laut Einschätzungen des Branchenverbandes Bitkom gehen derzeit jährlich rund 50 Milliarden Euro durch digitale Straftaten verloren. Betroffen sind vor allem mittelständische Unternehmen. Warum nicht die Großunternehmen und Konzerne in das Visier der Hacker geraten, erschließt sich schnell: Im Vergleich zu den Großen fehlen Mittelständlern häufig sowohl das Verständnis für die Risiken als auch die Fähigkeiten und die Mittel, dieser Gefahr zu begegnen. Eine Cyber-Versicherungs-Police sichert genau den Eigenschaden bei Eintreten des Schadenfalls ab. Unverzichtbar für Unternehmen ist es aber auch weiterhin, gemeinsam mit Ihrem IT-Systemhaus die erforderlichen Maßnahmen in den Bereichen Datenschutz, IT-Sicherheit und Risikomanagement zu ergreifen.

Lernen Sie die zwei Typen von Cyber-Versicherungs-Policen kennen


Grundsätzlich muss zwischen zwei Typen Deckungselementen unterschieden werden: Der eine Typ deckt die Eigenschäden ab, die direkt durch den Datenverlust nach einem Angriff entstehen. Das könnte vor allem wichtiges Knowhow sein, welches dem Unternehmen verloren geht. Weiterhin entstehen durch den Ausfall der digitalen Infrastruktur natürlich weitere Kosten (insbesondere Betriebsausfall bis hin zum Bandstillstand) - die meisten Unternehmen können heute ohne Rechner nicht mehr arbeiten. Als zweiter Typ werden die Fremdschaden-Versicherungen bezeichnet, die für Schäden gegenüber Dritten einstehen. Dieser Typ entspricht einer Haftpflicht-Versicherung. Kommt es zu einem Cyber-Schaden bei Dritten, durch den vertrauliche Geschäftsdaten an die Öffentlichkeit kommen, sollten auch Vermögensschäden mitversichert sein.

Es gibt viele Anbieter von Cyber-Policen - Sie haben die Qual der Wahl


Wenn Sie sich nun an die Auswahl der passenden Cyber-Versicherungs-Police machen, sollten Sie vor allem an Haftungseinschränkungen und Haftungsausschlüssen orientieren. Nur so vermeiden Sie kritische Fehler und Sie erhalten am Ende auch den zu Ihrem Unternehmen passenden Cyber-Schutz.

Achten Sie bei der Auswahl insbesondere auf folgende Punkte:

  1. Ist eine Rückdatierung der Versicherung und damit eine rückwirkende Absicherung möglich?
  2. Leistet die Versicherung auch bei einem Verlust von unverschlüsselten Daten?
  3. Leistet die Versicherung auch bei einem Verlust bei Fahrlässigkeit?
  4. Wie steht es um den Versicherungsschutz, wenn Ihre Daten beim Cloud-Dienstleister oder anderen Dritten verloren gehen?
  5. Was ist mit Daten in der Cloud, auf mobilen Geräten und auf Papier?
  6. Wer trägt die Kosten der Benachrichtigung der Betroffenen?
  7. Manchmal sind nach einem Schadensfall längerfristige Überwachungs-Dienstleistungen notwendig - evtl. über Jahre. Werden die Kosten übernommen?
  8. Zahlt die Versicherung auch die oft hohen Kosten der Datenwiederherstellung?
Falls Sie überfordert sind oder keine Zeit haben: Zur Abrundung Ihrer bestehenden Versicherungen empfehlen wir Ihnen gerne einen Versicherungsmakler, der sich als Experte im Bereich der Cyber-Versicherung hervortut. Fragen Sie uns an.

Fazit: Nehmen Sie Eigenverantwortung wahr


Eine Cyber-Versicherungs-Police erscheint unserer Meinung nach sinnvoll und kann ein ganz existenzielles Unternehmensrisiko abdecken. Für uns als IT-System- und Beratungshaus ist sie ein wichtiger Partner, um Ihr Risiko als Unternehmen so gering wie möglich zu halten. Als Unternehmer sollten Sie dem Thema daher mehr Aufmerksamkeit widmen.

Aber Vorsicht: Wie bei vielen anderen Versicherungen auch, führt fahrlässiges und grob fahrlässiges Verhalten zu einem Leistungsausschluss. Mit Passwörtern sollte also verantwortungsvoll umgegangen werden, ebenso muss die Sicherheitsinfrastruktur des Unternehmens auf dem aktuellen Stand sein.

Vergessen Sie nicht, dass Sie sich nicht gegen Geschäftsverlust aufgrund von Imageschäden nach einem Sicherheitsvorfall versichern können. Und diese Kosten können erheblich sein. Laut des Berichts von Ponemon kostet ein Sicherheitsvorfall ein Unternehmen im Durchschnitt etwa 4 Prozent der Kunden. Nehmen Sie daher lieber Sicherheitsmaßnahmen in Kauf, als sich auf die Versicherung im Falle eines Falls zu verlassen.

Wir als Ihr Systemhaus kümmern uns um die technischen und organisatoreischen Maßnahmen in den Bereichen IT-Sicherheit und Datenschutz. Außerdem unterstützen wir Sie gerne bei einer gründlichen Risikobewertung sowie beim Aufbau eines Risiko-Managementsystems. Wurden diese Maßnahmen ergriffen, sorgt die Cyber-Versicherungs-Police aber für ein Stück mehr Sicherheit - von dem im Ernstfall auch Ihre Kunden profitieren werden.

Update vom 23.10.2015: Unternehmen mit viel Nachholbedarf


Der Digitalverband Bitkom geht davon aus, dass mehr als die Hälfte aller Unternehmen in Deutschland in den letzten 2 Jahren Opfer von Sabotage, Datendiebstahl oder digitaler Wirtschaftsspionage geworden sind! Konservativen Berechnungen der Bitkom zu Folge kann man von einem entstandenen Schaden in Höhe von 51 (!!!) Milliarden Euro ausgehen - pro Jahr versteht sich.

Durch den Einsatz von Cyber-Policen schützen sich Firmen vor Produktionsausfällen Auch Lösegelder können erstattet werden, die Unternehmen Kriminellen für die Rückgabe Ihrer Daten bezahlen müssen.

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.