Deutschland sicher im Netz e.v. Gemeinsam für mehr IT-Sicherheit

Transkript

1 Workshop für Rechtsanwältinnen und Rechtsanwälte Schirmherrschaft Sichere Kommunikation in der Kanzlei Mathias Gärtner und Dr. Thomas Lapp

2 Workshop Agenda Task Force IT-Sicherheit in der Wirtschaft Überblick IT-Sicherheit IT-Sicherheit und Datenschutz - selbstverständlich! Schutz eigener Daten, des Mandatsgeheimnisses Mehrwert in der Beratung IT-Sicherheitscheck (Unternehmen / Kanzlei) Inhalte und Ziele des IT-Sicherheitscheck Erste Schritte - noch heute anfangen! 2

3 Anlass dieser Veranstaltung Die Initiative des Bundesministeriums für Wirtschaft und Technologie (BMWi) TASK FORCE IT- Sicherheit in der Wirtschaft will die Unternehmen beim sicheren Einsatz von Informations- und Kommunikationstechnologien (IKT) unterstützen. Die IKT schaffen enorme Möglichkeiten für neues Wachstum und Beschäftigung. Gleichzeitig wachsen die Gefahren durch elektronische Angriffe und werden zu einer massiven Bedrohung für den Mittelstand. Schäden in Millionenhöhe drohen durch den Diebstahl von Daten und andere IT- Attacken. Deshalb möchte das BMWi mit der TASK FORCE die Grundlage für mehr IT-Sicherheit insbesondere für KMU schaffen. In der TASK FORCE arbeitet das BMWi eng mit Verbänden, privater Wirtschaft und Wissenschaft zusammen. 3

4 Rechtsanwälte/Rechtsanwältinnen Multiplikatoren für den Mittelstand ca Berufsträger über die örtlichen Anwaltsvereine organisiert Anwaltschaft ist kompetenter Ansprechpartner für den Mittelstand Gute Flächendeckung Hohe Qualifikation Erwartungshaltung der Mandanten Doppelnutzen Verantwortung für die eigene Kanzlei und das Mandatsgeheimnis Einfluss auf Maßnahmen / Sensibilisierung der KMU über das Mandat Planmäßige Auseinandersetzung mit IT-Sicherheit 4

5 Anwaltliche Beratung Schlüssel zur mehr IT-Sicherheit? Beschäftigung mit IT-Sicherheit fördert die Sicherheit in der eigenen Kanzlei Berufsträger benötigen verlässliche und sichere Mandantendaten für ihre tägliche Arbeit Kenntnisse zur IT-Sicherheit runden das Profil der Anwaltskanzlei als vertrauenswürdiger Berater in Grundsatzfragen ab Sichert das Mandatsverhältnis 5

6 IT-Sicherheit und Datenschutz selbstverständlich! Daten sind Kern der anwaltlichen Arbeit Verlust bedeutet: Ausfall von Einnahmen Wiederbeschaffungs- / Wiederherstellungskosten Haftung gegenüber Mandanten ggf. berufsrechtliche Inanspruchnahme Imageverlust und Ende von Mandatsverhältnissen Aufgabe Datenschutz schaffen und personell besetzen IT-Beschaffung, IT-Betreuung, Einsatz vor Ort in der Kanzlei und mobil sowie Entsorgung Berufsträger als Vorbilder in der Kanzlei 6

7 Beschäftigtendaten Daten in der Kanzlei Mandantendaten und Informationen (personenbezogene Daten, besondere personenbezogene Daten, Know How, IP) personenbezogene Daten sonstiger Beteiligter KnowHow, Vorlagen, Muster etc. Zugangsdaten zu Recherchetools Kontaktdaten außerhalb des Mandats Eigene wirtschaftliche Kennzahlen Altakten und Archivdaten (Originale / Titel) angemessen technisch und organisatorisch sichern 7

8 Datenschutzprinzipien Datenerhebung/ -verarbeitung/ -nutzung Technische und organisatorische Maßnahmen (TOS) Auftragsdatenverarbeitung 8

9 Datenschutz Grundsätze Verbotsprinzip ( 4 BDSG) Prinzip der Direkterhebung ( 4 Absatz 2 BDSG) Prinzip der Zweckbindung ( 14 und 28 ff., 39 BDSG) Einwilligung ( 4 und 4 a BDSG) Datenvermeidung ( 3 a BDSG) Datensparsamkeit ( 3 a BDSG) Datensicherheit ( 9 BDSG nebst Anlage) 9

10 Datenerhebung Datenabfrage im Rahmen des 28 I Nr. 1 BDSG: für eigene Zwecke und im Rahmen der Anbahnung eines Vertragsverhältnisses unter eingeschränkter Beachtung des Grundsatzes der Direkterhebung 4 II, 1 BDSG, da Daten des Gegners, von Zeugen und anderen Beteiligten typischerweise im Rahmen des Mandats beim Mandanten und nicht beim Betroffene (= Inhaber der personenbezogenen Daten) erhoben werden. 10

11 Datenkategorien Personenbezogene Daten 3 Abs. 1 BDSG Personenbeziehbare Daten 3 Abs. 1 BDSG Besondere Arten personenbezogener Daten 3 Abs. 9 BDSG Anonymisierte Daten 3 Abs. 6 BDSG Pseudonymisierte Daten 3 Abs. 6 a BDSG Broken Promises of Privacy 11

12 Maßnahmenkatalog 1. 9 BDSG mit Anlage: 2 Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 2. Datenschutzbeauftragter / Meldepflicht 3. Verfahrensverzeichnis 4. Schulungen / Datenschutzverpflichtung 5. Vertragsmanagement - 11 BDSG 6. Dokumentation 7. Audit / Zertifizierung 8. Krisenmanagement 12

13 Maßnahmen nach 9 BDSG und Anlage Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 13

14 Maßnahmen nach 9 BDSG und Anlage 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 14

15 Maßnahmen nach 9 BDSG und Anlage 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. (Trennungsgebot). 15

16 Datenschutzkontrolle 4 f BDSG: Datenschutzbeauftragter 4 d BDSG: Meldepflicht 4 d Abs. 5 BDSG: Vorabkontrolle 4 e BDSG: Verfahrensverzeichnis 4 g Abs. 3 BDSG: Verfahrensverzeichnis für Jedermann 9 a BDSG: Datenschutzaudit Zertifizierung / Gütesiegel zukünftig: Stiftung Datenschutz* Rechte der Betroffenen 19 21, BDSG Informationspflicht bei Datenpanne 42 a BDSG 16

17 Datenschutzbeauftragte 4 f BDSG: Datenschutzbeauftragter Verpflichtung: Grundsatz Monatsfrist Ausnahme Vorabkontrolle Person des Datenschutzbeauftragten Fachkunde Anforderungsprofil des Düsseldorfer Kreises Zuverlässigkeit intern / extern Inkompatibilität 17

18 Datenschutzbeauftragte 4 f BDSG: Datenschutzbeauftragter Ausübung: Weisungsfreiheit Unmittelbar der Leitung unterstellt Kündigungsschutz Fort- und Weiterbildung Räume, Einrichtungen, Geräte, Mittel, Hilfspersonen Verschwiegenheit als Datenschutzbeauftragter Zeugnisverweigerungsrecht, Beschlagnahmefreiheit, Berufsgeheimnis 18

19 Aufgaben des Datenschutzbeauftragten Datenverarbeitende Personen vertraut machen 4 g Abs. 1, 4 Nr. 2 BDSG Datenschutzkenntnis sicher stellen 4 g Abs. 2 a BDSG 5 Datenschutzverpflichtung 19

20 Auftragsdatenverarbeitung Auftragsdatenverarbeitung 11 BDSG Anforderungen [Abgrenzung: Funktionsübertragung] Datenschutzverpflichtung sonstiger Dienstleister, Reinigungskräfte Wartungsverträge, Geräteentsorgung, Papierentsorgung Herausforderung Cloud 20

21 Auftragsdatenverarbeitungsvertrag Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 21

22 Auftragsdatenverarbeitungsvertrag 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 11. Informationspflichten nach 42 a BDSG 22

23 Schutz eigener Daten und des Mandatsgeheimnisses Alles in der Cloud - auch die Kanzlei? 23

24 Alles in der Cloud - auch die Kanzlei? Aktenverwaltung Terminverwaltung Video- / Telefon-/ Webkonferenzen Dokumenten-Sharing Recherchetools Diktat- / Schreibservice Archivlösungen Server- und Datensicherungslösungen 24

25 Cloud Datentransfer ins Ausland Cloudlösungen Standort der Daten Mobile Devices und Cloud, Synchronisierung (Doculife/DocWallet) Datensicherung (verschlüsselt, auch Dateinamen/-pfade) EU-Standardvertragsklauseln 1

26 Schutz eigener Daten und des Mandatsgeheimnisses 203 Absatz 1 StGB: Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als 3. Rechtsanwalt, anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. 25

27 Schutz eigener Daten und des Mandatsgeheimnisses 203 Absatz 3 StGB:... Den in Absatz 1 und Satz 1 Genannten stehen ihre berufsmäßig tätigen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind. CCBE Ziffer Berufsgeheimnis: Der Rechtsanwalt achtet auf die Wahrung der Vertraulichkeit durch seine Mitarbeiter und alle Personen, die bei seiner beruflichen Tätigkeit mitwirken. 26

28 43a BRAO Grundpflichten des Rechtsanwalts (2) Der Rechtsanwalt ist zur Verschwiegenheit verpflichtet. Diese Pflicht bezieht sich auf alles, was ihm in Ausübung seines Berufes bekanntgeworden ist. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. 1

29 2 BORA Verschwiegenheit (1) Der Rechtsanwalt ist zur Verschwiegenheit berechtigt und verpflichtet. (2) Das Recht und die Pflicht zur Verschwiegenheit beziehen sich auf alles, was ihm in Ausübung seines Berufes bekannt geworden ist, und bestehen nach Beendigung des Mandats fort. 1

30 Prozesse im Wandel Ihre Ausgangslage gestern Gerichte & Behörden Lieferant Kanzlei Unternehmensmandant Mandant Sonstiger Beteiligter 27

31 Prozesse im Wandel Ihre Ausgangslage heute Gerichte & Behörden Lieferanten / Online- Recherche Kanzlei Versicherungen Kommunikation Home-Office/ Filiale Unternehmensmandant Mandat mobiles Büro 28

32 Elektronische Kommunikation in der Kanzlei 32 30

33 Elektronische Kommunikation in der Kanzlei -Kommunikation D , E-Postbrief, Alternativen EGVP Elektronische Signatur und Verschlüsselung Mandantenportale Social Media 29

34 Authentizität -Absender 31

35 Authentizität -Absender 32

36 Authentizität -Absender 33

37 Authentizität -Absender 34

38 EGVP-Domäne für Rechtsanwälte lokale Rechtsanwaltskammern bürgen für die Eigenschaft und Identität der Anwälte/Anwältinnen, welche über diese Domäne Teilnehmer im EGVP werden Anwälte könnten untereinander über EGVP kommunizieren Beglaubigte Abschriften direkt über EGVP an den Gegenanwalt Beachte: Zur Aufteilung der Infrastruktur sind alle Identitätsdatenbanken, Dienste und Identity- Provider explizit einer Vertrauensdomäne zugeordnet. Alle Elemente einer Vertrauensdomäne unterhalten untereinander eine Trust-Beziehung. 35

39 Symmetrische Verschlüsselung 36

40 Symmetrische Verschlüsselung 37

41 Asymmetrische Verschlüsselung & Signatur 38

42 Asymmetrische Verschlüsselung 39

43 Qualifiziertes Signieren beim Sender 40

44 Verifikation beim Empfänger 41

45 Verschlüsseln + Qualifizierte Signatur 42

46 D -Dienste De-Ident: Dienst zur Online-Altersverifikation De-Safe: Datenarchiv Kombinierbar mit Signatur / Verschlüsselung der Dateien Sichere Anmeldung / Anmeldung ohne Sicherheit D -Einschreiben D -Adresse: Identifizierung über npa* / elektronische Signatur / PostIdent *npa - Bis 2020 soll jeder Deutsche einen npa erhalten, aktuell sind nach BMI-Angaben 13,5 Millionen neue Ausweise im Umlauf. Allerdings ist nur bei 3,8 Millionen davon die eid aktiviert. 43

47 Weitere Möglichkeiten zu sicherem Austausch Webakte E-Postbrief Regify Etc. 1

48 IT-Sicherheit und Datenschutz selbstverständlich! Vorsorge unverzichtbar, da nachholen unmöglich Datenverlust ist ggf. nicht revidierbar Haftungsrisiken Gewinn an Professionalität Mehrwert für die Mandanten 44

49 IT-Sicherheit und Datenschutz selbstverständlich! lokal & auf den mobilen Geräten verschlüsseln Löschfunktion bei Endgeräteverlust Verschlüsselte Cloud Beachte: Mit jeder Verschlüsselung ist ein Risiko des Datenverlustes verbunden, sofern es kein Duplikat des Schlüssels und/oder einen zweiten Zugriffsberechtigten gibt. und sogar verschlüsselt Telefonieren 45

50 IT-Sicherheit Smartphone BRegierung 50 46

51 Wer sind die Täter? Von wo drohen die Gefahren? 47

52 48

53 Sie werden meistens erwähnt: Angriffe von außen 50

54 Sie werden meist unterschätzt: Gefahren von innen 51

55 Sie werden am meisten gefürchtet: Schäden durch höhere Gewalt 52

56 Sie werden am wenigsten erwähnt: Organisatorische Mängel 53

57 Übersehen von technischen Informationen 1

58 Beispiel fehlender Anweisungen Arbeiten in öffentlichen Bereichen (Zug, Flugzeug) ist praktisch und nutzt die Reisezeit Aber: Jeder kann mitlesen Fall eines Automobilzulieferers 1

59 Sie werden am meisten überschätzt: technische Mängel 54

60 Sie werden am wenigsten beachtet: Hand- habungs- fehler 55

61 Wer sind die Angreifer? Der Mitarbeiter Der Unzufriedene Der Gierige Der Sorglose Der Externe Interesse an Ihren Mandantendaten / Know-how Interesse an Ihrem Geld Interesse an Zerstörung Interesse an Ihren Ressourcen 56

62 Wie kommt es zum Schaden? Schäden an Software, Hardware und Daten Fehler von Software oder Hardware unzureichende Organisation Fahrlässigkeit DV-gestützte Angriffe Informationsabfluss durch EDV (PC/LAN/Internet) Schäden durch Vorsatz und Angriff Schadsoftware (Malware, Fakeware, Crimeware) Klassisches Ausspionieren Information aus Entsorgung von Notizen und Akten Information aus Entsorgung von Speichermedien (intern/extern) Information aus personellen Schwachstellen (Wer geht ein und aus?) 57

63 Auswirkungen von Angriffen Offenlegung vertraulicher Daten Finanzieller Schaden (Konto und Kreditkarten) Kompromittierte PCs (Fakeware, Malware, Crimeware) Identitätsdiebstahl, Vorspiegelung falscher Daten Drohungen an Geschäftspartner, Einflussnahme, Spionage (Unternehmen, staatliche Stellen, Persönlichkeiten) Bsp.: Einsichtnahmen in Unterlagen zu Ausschreibungen/Entwicklungen, Offenlegung Einkommenssituation Mandant) Offenlegung des Vorfalls / Informationspflicht ( 42a BDSG) 58

64 Digitale Identitäten Zugangsdaten zu Online- Diensten Identifikation der Person im digitalen Geschäftsbetrieb -Verkehr/Korrespondenz Online-Konto An- und Verkauf: Börsen, Online-Shops etc. (z. B. ebay, Amazon) Ausspionieren der Zugangsdaten durch Schadprogramme Infektion via , Download, Website (interaktive Elemente) Neuartige Angriffe überfordern viele Surfer Scheinbar unkritische Programme: Flash, PDF, Quicktime etc. Web 2.0: Soziale Netzwerke, Foren- und Blog-Seiten Konsequenzen bei Diebstahl Missbrauch durch Auftreten in fremdem Namen Reputationsschaden! 59

65 Stellenwert von Datenschutz und IT-Sicherheit in der Kanzlei Anwälte und Anwältinnen arbeiten täglich mit personenbezogenen und anderen vertraulichen Daten, die der beruflichen Verschwiegenheit unterliegen. Um den vielfältigen Anforderungen des Datenschutzes und der IT-Sicherheit gerecht zu werden, ist eine systematische Vorgehensweise im Sinne eines umfassenden Sicherheitsmanagements erforderlich. Dies beinhaltet u. a. eine ganzheitliche Sicherheitsstrategie inkl. eines dokumentierten Sicherheitskonzepts. Es beginnt mit einer Risikoanalyse des IT- Systems und der Geschäftsdaten sowie den daraus abgeleiteten Sicherheitszielen. 60

66 Sicherheit ist Chefsache Sicherheit ist Chefsache - schließlich können Chefs im Schadensfall auch persönlich haften. Ergänzen Sie Ihr Wissen über die rechtlichen Grundlagen zur Einhaltung der Datenschutz- und Sicherheitsanforderungen in Ihrer Kanzlei und schließen Sie mögliche Lücken durch geeignete Maßnahmen. Technische Schutzmaßnahmen alleine reichen nicht aus. Die Umsetzung und Einhaltung wird z. B. gewährleistet durch Festlegung klarer Verantwortlichkeiten und Sicherstellung der geeigneten Qualifikation Verbindliche Organisationsanweisungen für Mitarbeiter Laufende Sensibilisierung und Schulung der Mitarbeiter 61

67 Fünf wichtige Fakten für Berufsträger KMU denken, sie sind aufgrund ihrer Größe nicht gefährdet. Aber Sensitivität von Daten hat nichts mit der Menge zu tun, sondern mit der potentiellen Bedeutung. KMU haben in der Regel nicht die Ressourcen/Kenntnisse für umfangreiche IT- Sicherheitsmaßnahmen sind also eher gefährdet! Neue Technologien ermöglichen es KMU die gleichen Systeme zu nutzen, wie große Unternehmen mit den gleichen Risiken. KMU neigen dazu: Das passiert mir nicht. Alle Studien zeigen, es ist keine Frage des Ob, sondern nur Wann. Die Auswirkungen eines Vorfalls sind üblicherweise größer als erwartet. 62

68 Inhalte und Ziele des IT-Sicherheitschecks Inhalt des IT-Sicherheitschecks Aufnahme wesentlicher Strukturdaten des Unternehmens zur Bestimmung des erforderlichen IT- Sicherheitsniveaus Feststellen des genutzten IT-Umfelds und ableiten möglicher IT-Sicherheitsrisiken Ziele des IT-Sicherheitschecks Liefert einen erster Überblick über den Stand der IT-Sicherheit in Ihrem Unternehmen Offenlegen möglicher IT-Sicherheitslücken und Handlungsbedarf Darlegen von Handlungsempfehlungen und Lösungsalternativen Wo finde ich den IT-Sicherheitscheck? NIFIS, BSI 63

69 Systematische Vorgehensweise Um den vielfältigen Anforderungen des Datenschutzes und der IT-Sicherheit gerecht zu werden, ist eine systematische Vorgehensweise erforderlich. Die Dokumentation der umgesetzten Maßnahmen schafft die notwendige Transparenz und dient als Nachweis für externe Kontrollzwecke. Datenschutz und Informationssicherheit sind Themen, die zunehmend auch in der Presse Beachtung finden. Nicht zuletzt wegen der bekannt gewordenen Verstöße gegen den Datenschutz oder der zahlreichen Fälle von Datenklau, die eine breite Öffentlichkeit für das Thema Sicherheit sensibilisiert haben. Für diejenigen, die sich neu mit dem Thema beschäftigen, erscheinen die Gefährdungen schwer greifbar und die Auswahl an Vorbeugemaßnahmen unübersichtlich und teuer. 64

70 Sicherheitsniveau Investitionen und IT-Sicherheit 100%ige Sicherheit ist nicht erzielbar Schon mit relativ wenig Aufwand lässt sich viel erreichen Sicherheitsinvestitionen 65

71 Überblick Implementierungskonzept Systematischer Ansatz für IT-Sicherheit in vier Phasen, anschließend Optimierung Phasenkonzept Phase 1: Einschätzung des Risikoprofils Phase 2: Identifikation von Risikobereichen Phase 3: Kontrollen und Maßnahmen Phase 4: Umsetzung und Regelbetrieb Optimierung Änderungen und Veränderungen Permanenter Verbesserungsprozess 66

72 Phasenkonzept Einschät-zung des Risikoprofils Phase 1 Welche Risiken? Identifikation von Risikobereichen Phase 2 Wo sind die Risiken? Kontrollen und Maßnahmen Phase 3 Maßnahmen? Umsetzung und Regelbetrieb Phase 4 Betrieb Revision 67

73 Phase 1: Einschätzung des Risikoprofils Risikoprofil - Festlegung nach Kriterien: Compliance Reputation und Vertraue n Risikokriterien Betrieb Art, Umfang, Komplexität Finanzen 68

74 Phase 1: Einschätzung des Risikoprofils Auswirkungen für die eigene Praxis Art, Umfang, Komplexität Betrieb Finanzen Compliance Reputation und Vertrauen Geschäft und Geschäftsumfeld Wirtschaftlichkeit des Geschäftsbetriebs Verlässlichkeit von Finanz-zahlen und -berichten Einhaltung von Vorschriften Qualität Prozesssicherheit Image Bedeutung für betreute KMU 69

75 Phase 2: Identifikation von Risikobereichen Welche Risikobereiche gibt es? Hardware, Software, Menschen. Welchen Anforderungen unterliegen sie? Sicherheit, Effizienz, Ordnungsmäßigkeit (Verfügbarkeit) Auf wen hat eine Nichterfüllung Auswirkungen? Die Kanzlei, den Mandanten, Sonstige. 70

76 Phase 2: Identifikation von Risikobereichen 2 Anforderungen Hardware Software Netzwerke Prozesse und Mitarbeiter Auswirkungen Risikobereiche 71

77 Phase 2: Identifikation von Risikobereichen 3 Hardware Server, PC, mobile Geräte, Peripherie Software Netzwerke Betriebssysteme, eigene und fremde Anwendungen, etc. Intranet, Extranet, LAN, WLAN, VoIP etc. Prozesse und Mitarbeiter Organisation, Regelungen, Ressourcen, etc. 72

78 Phase 3: Kontrollen und Maßnahmen Organisation Technik Welche Sicherheitsmaßnahmen müssen in den identifizierten Bereichen ergriffen werden? Management Verantwortung und Sorgfalt Grundsätze Regelungen Richtlinien Problembewusstsein 73

79 Phase 4: Umsetzung und Regelbetrieb Phase 4: Umsetzung und Regelbetrieb Reaktion auf festgestellten Handlungsbedarf Vertrauensposition und Vorbildfunktion des Anwalts / der Anwältin Implementierung Abstimmte Maßnahmen und Aktionen im Gesamtkontext betrachten Grundlage bilden die durchgeführten Analysen und Einschätzungen 74

80 Phase 4: Umsetzung und Regelbetrieb 2 Übliche Handlungsfelder Gängige Technologien Umsetzungsszenarien Umgang mit Veränderungen Datensicherheit und Datenschutz Interne IT-Infrastruktur Eigene Kanzlei Geordneter Regelbetrieb Zugriffsschutz und Berechtigungskonzepte Internet- Nutzung Betreute KMU Geeignete Notfallmaßnahmen Betriebssicherheit und Notfallvorsorge Kommunikationswege Outsourcing- Dienstleister Änderungsmanagement 80 75

81 Überblick Implementierungskonzept Systematischer Ansatz für IT-Sicherheit in vier Phasen anschließend Optimierung Phasenkonzept Phase 1: Einschätzung des Risikoprofils Phase 2: Identifikation von Risikobereichen Phase 3: Kontrollen und Maßnahmen Phase 4: Umsetzung und Regelbetrieb Optimierung Änderungen und Veränderungen Permanenter Verbesserungsprozess Sie befinden sich hier! 76

82 Optimierung 1 Status der IT-Sicherheit ermitteln z. B. DsiN-Sicherheitscheck 2 Geeignete Maßnahmen ergreifen z. B. für die 3 wesentlichen Feststellungen 3 Vorher-Nachher vergleichen z. B. DsiN-Sicherheitscheck Ableitung von Verbesserungs- und Optimierungsmaßnahmen 77

83 Wie geht es weiter? Sprechen Sie mit Ihren Mandanten über IT-Sicherheit! Analysieren und Optimieren Sie die für Ihre Kanzlei bestehenden / getroffenen IT-Sicherheitsvorkehrungen z. B. regelmäßige Durchführung des DsiN-Sicherheitscheck Setzen Sie einen stetigen Verbesserungsprozess in Gang z. B. nach dem vorgestellten Implementierungs- / Phasenkonzept Helfen Sie Ihren Geschäftspartnern/Mandaten Mängel zu erkennen und zu beseitigen 78

84 Wie geht es weiter? Interne Regeln (QM-Maßnahmen) Zuständigkeiten & Zusammenarbeit regeln (Administrator, Sicherheitsbeauftragter, Datenschutzbeauftragter, Public Relations Management, Kanzleileitung) IT-Sicherheitsvorgaben / Datenschutzvorgaben / Prioritäten Schulungen (Digital Natives) Nutzung von Social Networks Regeln für die private Nutzung der IT Krisenmanagement / Notfallpläne 79

85 To Do-Liste IT-Sicherheit Einsatz bedarfsgerechter und professioneller IT-Lösungen mit regelmäßiger Statuskontrolle (Einhaltung des Stands der Technik) Datensicherungskonzept und Backup einführen Spam- und Virenfiltern regelmäßig aktualisieren verschlüsselter Einsatz von WLAN Einführung eines Passwortmanagements Datenschutzregelungen einführen Datenschutzbeauftragten bestellen Verfahrensverzeichnisse/Datenschutzerklärungen 80

86 To Do-Liste IT-Sicherheit Betriebsinterne Regelungen für die - und Internet- sowie Social Networknutzung einführen Einsatz ausreichend lizenzierter Software oder Freier Software und Nutzungsbedingungen einhalten Zulässigkeit des IT-Outsourcing / Cloud Computing prüfen Vertraulichkeits- und Geheimhaltungsvereinbarungen mit Dienstleistern, Subunternehmern treffen Einsatz der elektronischen Signatur und Verschlüsselung prüfen / sichere Kommunikation ermöglichen 81

87 Wie geht es weiter? Kleine Helfer auf dem Weg zu mehr IT-Sicherheit DsiN-Sicherheitscheck DsiN-Leitfäden, Checklisten zur IT-Sicherheit, Info-Material, etc. BMWi-Sicherheitsnavigator BITKOM, Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. BSI, Bundesamt für Sicherheit in der Informationstechnik 82

88 Wie geht es weiter? Kleine Helfer auf dem Weg zu mehr IT-Sicherheit Deutscher Anwaltverein davit ICT Regeln, Checkliste Datenschutz Nationale Initiative für Informations- und Internetsicherheit NIFIS e.v. Virtuelles Datenschutzbüro ECO InitiativeS Website-Check 82

89 Der IT-Sicherheitsnavigator Ist ein kostenloses Informationsangebot des BMWi für Sie und Ihre Mandanten. Er bietet einen Überblick zu den Angeboten bestehender IT-Sicherheitsinitiativen. Über eine Suchfunktion können passende Angebote schnell und einfach gefunden werden. Der Navigator verlinkt beispielsweise auf Beratungsstellen in Ihrer Region, Basis-Sicherheitschecks, Veranstaltungsübersichten, Broschüren und Leitfäden zu Themen wie CloudComputing, Mobiles Arbeiten, Datenschutz uvm. Erreichbar unter Weitere Infomaterialien (z.b. Flyer, Broschüren) zum Verteilen an Ihre Mandanten können Sie per kostenlos bestellen unter : taskforce.it-sicherheit@bmwi.bund.de 83

90 Fragen / offene Diskussion 84

91 Nachhaltiger wirtschaftlicher Erfolg braucht IT-Sicherheit! 85