Sind Sie sicher? IT-Sicherheit: Wie geh ich s an?

Transkript

1 Sind Sie sicher? IT-Sicherheit: Wie geh ich s an? Interaktives Expertengespräch mit Mag. Verena Becker Dnnerstag, 20. Oktber :45 Uhr Die Teilnehmerinnen und Teilnehmer des Interaktiven Expertengesprächs hatten die Möglichkeit über Chat live Fragen zu stellen. Wir haben die Fragen für Sie gesammelt und unsere Expertin hat sie mit Unterstützung vn Harald Wenisch, IT-Security Experts Grup, beantwrtet. Die Expertin Mag. Verena Becker, BSc (WU) hat Rechtswissenschaften und Betriebswirtschaftslehre studiert. Sie ist in der Bundessparte Infrmatin und Cnsulting der WKÖ für das Prjekt it-safe.at verantwrtlich. 1. Ich sichere meine Buchhaltung in der Clud. Ist das eine gute Lösung? Die Datensicherung in der Clud hat Vr- und Nachteile. Bei der Online-Sicherung werden Daten über das Internet zu einem Clud-Speicher-Anbieter übertragen und können drt im Ntfall abgerufen werden. Daten sind außer Haus gespeichert und damit räumlich getrennt vn den Originaldaten Die Daten können nline vn überall her abgerufen werden. Es ist jedch wichtig, sich den Anbiete genau anzuschauen und u.a. flgende Fragen zu stellen: W genau sind die Daten? Aus rechtlicher Sicht ist es sinnvll einen Anbieter mit einem Rechenzentrum in Österreich der innerhalb der EU zu wählen. Welchen Schutz bietet der Cludanbieter (Datenschutz, IT-Sicherheit, Verschlüsselung)? Besndere Vrsicht ist bei persnenbezgenen Daten gebten. Wie erflgt die Datenübermittlung bei schützenswerten Daten? (Verschlüsselung) Vertrag: Ksten, Vertragsdauer, Möglichkeit der Kündigung, wem gehören die Daten Die Verantwrtung für die Daten tragen Sie als Unternehmer! 2. Kann ich mich gegen IT-Sicherheitsvrfälle versichern? Cyberversicherungen sind in den USA weit verbreitet, in Eurpa aber relativ neu. IT-Security-Versicherungen decken eigene Schäden und Drittschäden (Cyberhaftpflicht) und sind als Absicherung bei Datenverlust, Datendiebstahl und Hacking zunehmend interessant. Cyberversicherungen sind aber keinesfalls ein Ersatz für ein Sicherheitsknzept, sndern eine Ergänzung. Die Versicherungen schauen sich im Vrfeld z.b. mittels eines Fragebgens ganz genau an, welche Sicherheitsvrkehrungen im Unternehmen getrffen werden. Falls es schn Sicherheitsvrfälle im Unternehmen gab, sind Ausschlüsse möglich, Selbstbehalte sind durchaus üblich. 3. Wie hch sind die Lösegeldfrderungen bei Erpressertrjanern? 1

2 Die Lösegeldfrderung bei Erpessertrjaner erflgt meist in Bitcin. Die bekanntgewrdenen Frderungen beginnen bei ca. bei 0,5 Bitcin bis zu 3 Bitcin. Teils erhöhen sich die Frderungen, wenn zugewartet wird bzw. je interessanter das Ziel ist. Ein Bitcin entspricht derzeit rund EUR 600, wbei der Bitcin-Kurs stark schwankt. Die Zahlung für die Entschlüsselung erflgt über das annyme Tr-Netzwerk und ist kaum nachverflgbar. 4. Wir sind eine kleine Tischlerei und haben eine eigene Firmenwebsite, auf der eigentlich nur unsere Adresse, Öffnungszeiten und Fts drauf sind. Muss ich mir trtzdem Srgen machen, dass die Seite gehackt werden könnte? Leider ja. Als Betreiber sind Sie für Ihre Website verantwrtlich. Gerade bei kleineren Internetprtalen werden Sicherheitsaspekte ft gar nicht berücksichtigt, wdurch Hacker hier leichtes Spiel haben. Es können z.b. Virenprgramm installiert der Website verunstaltet ( hacked by ) werden. Websites können zum Spamversand der für Angriffe auf andere Websites missbraucht werden, mit der Flge, dass die Website auf einer Backlist landet der Ggle vr der Website warnt. Als Mindestvrkehrungen sllten Sie daher Webapplikatinen auf dem aktuellen Stand halten, Backups der Daten, Datenbanken und Systemdateien Ihrer Webanwendung machen und sichere Passwörter verwenden. Wenn Ihre Website gehackt wird, schließen Sie die Sicherheitslücken umgehend. 5. Brauche ich für mein Andrid-Handy eine Firewall? Grundsätzlich stellen Smartphne-Hersteller regelmäßig Sicherheits-Updates zur Verfügung. Gerade im mbilen Bereich ist aber Malware ein Riesenprblem: Es können z.b. teure SMS versendet, Nutzerdaten ausspiniert, Twitter- der Facebk-Knten gekapert werden. Die Installatin einer zusätzlichen Sicherheits-App ist sicher empfehlenswert, ft bieten die Apps auch diverse Zusatzfunktinen wie Diebstahlschutz an. 6. Ich arbeite allein, habe nur ein Ntebk und ein Smartphne. Was sind die wichtigsten Punkte, die ich beachten muss? Daten sichern Passwrtsicherheit beachten Firewall und Virenschutz installieren und regelmäßig aktualisieren Regelmäßig Sicherheits-Updates durchführen 7. Bin ich gesetzlich verpflichtet etwas für meine IT-Sicherheit zu tun? Derzeit gibt es keine allgemeine gesetzliche Vrschrift zur Einhaltung vn IT- Sicherheitsmaßnahmen. Auszugsweise sind flgende Vrgaben zu beachten: Die bestehende EU-Richtlinie zur Netz- und Infrmatinssicherheit muss in Österreich bis 2018 durch ein Cybersicherheitsgesetz umgesetzt werden. Diese betrifft aber vrwiegend kritische Infrastrukturen wie Energieversrger der Banken und die Betreiber wesentlicher Dienste. Alle Unternehmen müssen aber nach UGB mit der Srgfalt eines rdentlichen Kaufmannes handeln. Infrmatinssicherheit ist eine Managementverantwrtung. Dies kann im 2

3 Kapitalgesellschaftsrecht aus der Verantwrtlichkeit eines rdentlichen Geschäftsleiters abgeleitet werden, die auch die Verantwrtung für Risiken umfasst. Das Datenschutzgesetz regelt den Umgang mit persnenbezgenen Daten (z.b. Name, Geburtsdatum, Adresse, Geschlecht, Einkmmen). Im Sinne der Datensicherheit müssen rganisatrische und technische Maßnahmen getrffen werden, um persnenbezgene Daten zu schützen und sicherzustellen, dass keine Unbefugten an die Daten gelangen. Bei der Archivierung vn Daten sind gesetzliche Aufbewahrungsfristen zu beachten, z.b. müssen gemäß Bundesabgabenrdnung Bücher, Aufzeichnungen und Belege 7 Jahre aufbewahrt werden. Grundsätzlich können bei Sicherheitsvrfällen auch Schadenersatzansprüche entstehen, z.b. wenn Kreditkarten vn Kunden gesthlen werden der Pönalen, wenn Aufträge im B2B- Bereich nicht fristgerecht fertiggestellt werden können. 8. Was passiert, wenn meine elektrnischen Aufzeichnungen für das Finanzamt durch einen Defekt gelöscht wurden? Es handelt sich um einen Verstß gegen die Aufbewahrungspflicht. Dieser kann zur Schätzung der Besteuerungsgrundlagen durch die Finanzbehörde führen. 9. Ich betreibe ein kleines Gasthaus und will für meine Gäste ein WLAN einrichten lassen. Was muss ich dabei beachten? Trennen Sie Gäste-Wlan und Firmen-Netzwerk unbedingt strikt vneinander, sdass für Gäste ausschließlich die Verbindung zum Internet möglich ist. Es ist empfehlenswert, den Zugang für das Gäste-WLAN durch ein Passwrt zu schützen. Dadurch haben sie bessere Kntrlle und es wird verhindert, dass es als kstenlser Internetzugang missbraucht wird. Sichern Sie den WLAN-Anschluss hinreichend vr dem Zugriff vn Unbefugten durch eine handelsübliche Verschlüsselung (WPA1, 2). Das Gäste-Wlan sllte erst nach dem Akzeptieren einer Benutzerrdnung (Verbt des widerrechtlichen Dwn- und Upladen vn urheberrechtlich geschützten Dateien, Empfehlung vn Schutzmaßnahmen wie Virenschutz/Firewall etc.) aktiviert werden können. Dies dient ihrer eigenen rechtlichen Absicherung. Ansnsten könnten z.b. Abmahnbriefe wegen Urheberrechtsverletzungen drhen. 10. Wie lange muss ich meine Daten sichern? Eine Datensicherung ersetzt nicht unbedingt eine Archivierung Ihrer Daten und umgekehrt. Wie lange die Daten aufbewahrt werden sllten, ist genaus wie im nrmalen Bür mit Papierunterlagen unterschiedlich. Hier einige Praxisbeispiele dazu: Beispiel EDV-Buchhaltung: Daten über das betriebliche Rechnungswesen müssen sieben Jahre aufbewahrt werden, ebens elektrnische Aufzeichnungen in Zusammenhang mit der Registrierkassenpflicht (z.b. Datenerfassungsprtkll, Startbeleg, Mnatsbeleg usw.) Unterlagen vn anhängigen Abgaben- der Gerichtsverfahren müssen trtz Fristablauf weiter aufbewahrt werden. Beispiel persnenbezgene Daten: 3

4 Wenn der rechtmäßige Zweck für die Datenverarbeitung wegfällt, müssen die Daten gelöscht werden. Wenn z.b. ein Kunde sein Online-Knt bei einem Webshp schließt, sind Benutzername und Passwrt zu löschen, die zugehörigen Daten für das betriebliche Rechnungswesen sind aber 7 Jahre aufzubewahren. Verträge der Unterlagen über Versicherungen sllten lebenslang aufbewahrt werden. 11. Was sind Bitcins genau und w werden diese gehandelt? Bitcin ist eine weltweit verwendbare und durch Verschlüsselungstechniken vn Cmputern errechnete Währung. Dabei wird anders als im nrmalen Bankverkehr keine zentrale Abwicklungsstelle verwendet. Bitcins kann man z.b. an Internet- Börsen, bei Internet- Wechselstuben, bei Trafiken der Autmaten kaufen und verkaufen. Bitcin dienen swhl als Zahlungsmittel, als auch als Spekulatinsbjekt. Bitcin-Kntinhaber haben einen öffentlichen Schlüssel (ähnlich einer Kntnummer) und einen privaten, vm System berechneten Schlüssel (ähnlich einer TAN). Bei einer Transaktin wird die Zusammengehörigkeit dieser Zahlenschlüssel im Netz geprüft. Wenn alles in Ordnung ist, erflgt die Übertragung der Bitcins vn einer elektrnischen Geldbörse in die andere. Da die Internetwährung teils auch aufgrund vn Hackerangriffen sehr vlatil ist, ist beim Handel besndere Vrsicht gebten. 12. Welche wesentlichen Neuerungen kmmen durch die EU-Datenschutz-Grundverrdnung auf Unternehmen zu? Auszug: KC-Merkblatt EU-Datenschutz-Grundverrdnung, WKO Es wird keine Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) mehr geben. Statt dessen stärkere Verantwrtung für Verantwrtliche (derzeit Auftraggeber ) und Auftragsverarbeiter (derzeit Dienstleister ) und weitreichende Neuregelung der Pflichten bei der Datenverarbeitung: Datenschutz durch Technikgestaltung und datenschutzfreundliche Vreinstellungen ( privacy by design/privacy by default ): Es sind geeignete technische und rganisatrische Maßnahmen und Verfahren (z.b. Pseudnymisierung) zu treffen, damit die Verarbeitung den Anfrderungen der Verrdnung genügt und die Rechte der betrffenen Persnen geschützt werden. Datenschutzrechtliche Vreinstellungen sllen sicherstellen, dass grundsätzlich nur persnenbezgene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erfrderlich ist, verarbeitet werden. Verantwrtliche und Auftragsverarbeiter müssen ein Verzeichnis vn Verarbeitungstätigkeiten führen: Der Inhalt ist ähnlich den derzeitigen DVR-Meldungen und hat insbesndere die eigenen Kntaktdaten, die Zwecke der Verarbeitung, eine Beschreibung der Datenkategrien und der Kategrien vn betrffenen Persnen, die Empfängerkategrien, gegebenenfalls Übermittlungen vn Daten in Drittländer, wenn möglich die vrgesehenen Löschungsfristen und eine allgemeine Beschreibung der technischen und rganisatrischen Datensicherheitsmaßnahmen zu enthalten. 4

5 Diese Dkumentatinspflicht trifft Unternehmen mit weniger als 250 Mitarbeitern dann nicht, sfern die vn ihnen vrgenmmene Verarbeitung nicht ein Risik für die Rechte und Freiheiten der betrffenen Persnen birgt, die Verarbeitung nicht nur gelegentlich erflgt der nicht die Verarbeitung besnderer Datenkategrien bzw. die Verarbeitung vn Daten über strafrechtliche Verurteilungen und Straftaten einschließt. Meldungen vn Verletzungen des Schutzes persnenbezgener Daten sind swhl den natinalen Aufsichtsbehörden (hne unangemessene Verzögerung möglichst binnen höchstens 72 Stunden nach dem Entdecken; außer die Verletzung führt vraussichtlich nicht zu einem Risik für die persönlichen Rechte und Freiheiten) als auch der betrffenen Persn (hne unangemessene Verzögerung, wenn die Wahrscheinlichkeit besteht, dass die Verletzung des Schutzes persnenbezgener Daten ein hhes Risik für die persönlichen Rechte und Freiheiten bewirkt) mitzuteilen. Pflicht zur Datenschutz-Flgenabschätzung bei Verarbeitungsvrgängen, die (insbesndere bei Verwendung neuer Technlgien) aufgrund der Art, des Umfangs, der Umstände und der Zwecke vraussichtlich ein hhes Risik für die Rechte und Freiheiten natürlicher Persnen zur Flge haben. Vrherige Knsultatin der Aufsichtsbehörde, wenn aus einer Datenschutz- Flgenabschätzung hervrgeht, dass die Verarbeitung ein hhes Risik zur Flge hätte, sfern der für die Verarbeitung Verantwrtliche keine Maßnahmen zur Eindämmung des Risiks trifft. (Verpflichtender) Datenschutzbeauftragter: Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen (Verantwrtliche und Auftragsverarbeiter), wenn die Kerntätigkeit in der Durchführung vn Verarbeitungsvrgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/der ihrer Zwecke eine umfangreiche regelmäßige und systematische Bebachtung vn betrffenen Persnen erfrderlich machen, der die Kerntätigkeit in der umfangreichen Verarbeitung besnderer Kategrien vn Daten der vn Daten über strafrechtliche Verurteilungen der Straftaten besteht. (Neue) Infrmatinspflichten und Betrffenenrechte Infrmatinen können in Kmbinatin mit standardisierten Bildsymblen bereitgestellt werden Infrmatinen und Betrffenenrechte sind hne unangemessene Verzögerung, spätestens aber innerhalb eines Mnats zu erledigen (diese Frist kann um höchstens weitere 2 Mnate verlängert werden) Auskunftsrecht (u.a. auch über geplante Speicherdauer) Recht auf Berichtigung Recht auf Löschung und auf Vergessen werden Recht auf Einschränkung der Verarbeitung Mitteilungspflicht bei Berichtigung, Löschung der Einschränkung an alle Empfänger Recht auf Datenübertragbarkeit Widerspruchsrecht Regelungen betreffend autmatisierte Generierung vn Einzelentscheidungen einschließlich prfiling 5

6 Befugnisse und Aufgaben der Aufsichtsbehörden werden erweitert, insbesndere auch Verhängung vn Geldbußen Hhe Strafen Geldbußen vn bis zu 20 Mi. Eur der im Fall eines Unternehmens vn bis zu 4 % seines weltweiten Jahresumsatzes des vrangegangenen Geschäftsjahres. 13. Wie ft sll man eine Datenrücksicherung testen Eine auf das Unternehmen abgestimmte Datensicherungsstrategie ist einer der wichtigsten Punkte in Bezug auf IT-Sicherheit. Dabei muss auch regelmäßig getestet werden, b die Datensicherung auch wie gewünscht funktiniert, dh insbesndere, b gesicherte Daten prblemls zurückgespielt werden können. Abhängig davn, wie kritisch die Daten für das Unternehmen sind, empfehlen wir, diese Tests mindestens einmal jährlich durchzuführen. 14. Ist die Firewall im Mdem vm Prvider bereits integriert? Es kmmt auf das jeweilige Mdem an. Eine lkale Firewall ist jedenfalls vrzuziehen und sllte aktuell gehalten werden. 15. Welche einfach zu administrierenden Verschlüsselungsmechanismen für Endgeräte sind empfehlenswert? Man kann sferne Windws eingesetzt wird gleich vm Betriebssystem den Bitlcker verwenden der auf VeraCrypt zurückgreifen bzw. unter Mac den FileVault 2, dieser ist unter OS X Lin und neuer verfügbar. Bei Linux Betriebssystem kann auch direkt LUKS eingesetzt werden. 16. Wie wirken sich Scial Media wie WhatsApp auf die Sicherheit aus? In Sicherheitsprgnsen zählen Scial Media regelmäßig zu den Tp-Risken im Sicherheitsbereich. Die Gefahren sind Scial-Engineering-Attacken, manipulierte Links, ungewllter Datenabfluss und Datenabschöpfung durch Internetkriminelle. Das sll nicht heißen, dass Scial Media generell nicht genutzt werden sllen, aber es sind hier besndere Vrsicht und verantwrtungsbewusster Umgang ntwendig. Stand: Nvember 2016 Alle Angaben erflgen trtz srgfältigster Bearbeitung hne Gewähr. Eine Haftung der Wirtschaftskammern Österreichs ist ausgeschlssen. Persönliche Beratung in Ihrer WKO-Landeskammer Burgenland, Tel. Nr.: , Kärnten, Tel. Nr.: , Niederösterreich Tel. Nr.: , Oberösterreich, Tel. Nr.: , Salzburg, Tel. Nr.: (0662) , Steiermark, Tel. Nr.: , Tirl, Tel. Nr.: , Vrarlberg, Tel. Nr.: , Wien, Tel. Nr.: WIFI Unternehmerservice Das WIFI Unternehmerservice der Wirtschaftskammer Österreich hat die Unternehmerin und den Unternehmer im Fkus. Mit Interaktiven Expertengesprächen (Webinare) geht das WIFI Unternehmerservice einen neuen Weg, mit dem Ziel die Unternehmerkmpetenzen zu erweitern. Für weitere Fragen wenden Sie sich bitte an unternehmerservice@wk.at 6