EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Transkript

1 EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8

2 BUNDESDATENSCHUTZGESETZ Organisatorische Datenschutzbeauftragter Rechtliches Gesetzeskonforme Datenschutzerklärungen Mitarbeiter schulen Gesetzeskonforme Geheimhaltungserklärungen Diverse Dokumente (öffentliche Verfahrensverzeichnis, Datenschutz Konzept etc. etc.) Datenschutzkonforme Verträge mit Lieferanten und Dienstleistern.. Technisches Organisatorisches Technische gemäß 9 Satz 1 Punkte 1-8 ORGANISATORISCHES Organisatorische Datenschutzbeauftragter Gesetzeskonforme Datenschutzerklärungen Mitarbeiter schulen Gesetzeskonforme Geheimhaltungserklärungen Diverse Dokumente (öffentliche Verfahrensverzeichnis, Datenschutz Konzept etc. etc.) Datenschutzkonforme Verträge mit Lieferanten und Dienstleistern.. Datenschutzbeauftragte Organisatorisches Technische gemäß 9 Satz 1 Punkte 1-8

3 RECHTLICHES Organisatorische Datenschutzbeauftragter Rechtliches Gesetzeskonforme Datenschutzerklärungen Mitarbeiter schulen Gesetzeskonforme Geheimhaltungserklärungen Diverse Dokumente (öffentliche Verfahrensverzeichnis, Datenschutz Konzept etc. etc.) Datenschutzkonforme Verträge mit Lieferanten und Dienstleistern.. Juristen Technische gemäß 9 Satz 1 Punkte 1-8 TECHNISCHES IT - Verantwortliche Organisatorische Datenschutzbeauftragter Gesetzeskonforme Datenschutzerklärungen Mitarbeiter schulen Gesetzeskonforme Geheimhaltungserklärungen Diverse Dokumente (öffentliche Verfahrensverzeichnis, Datenschutz Konzept etc. etc.) Datenschutzkonforme Verträge mit Lieferanten und Dienstleistern.. Technisches Technische gemäß 9 Satz 1 Punkte 1-8

4 ... gemäß 9 Satz 1 Punkte 1-8 Satz 1 - Zutrittskontrolle Satz 2 - Zugangskontrolle In angemessenem Verhältnis Satz 3 - Zugriffskontrolle Satz 4 - Weitergabekontrolle Satz 5 - Eingabekontrolle Satz 6 - Auftragskontrolle Satz 7 - Verfügbarkeitskontrolle Satz 8 - Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden

5 Technische Infrastrukturmaßnahmen Satz 1 Zutrittskontrolle Satz 7 Verfügbarkeitskontrolle Ca. 350 Millionen Viren sind im Umlauf, täglich kommen 100 Tausend neue dazu

6 Satz 1 - Zutrittskontrolle Satz 2 - Zugangskontrolle Satz 3 - Zugriffskontrolle Satz 4 - Weitergabekontrolle Satz 5 - Eingabekontrolle Satz 6 - Auftragskontrolle Satz 7 - Verfügbarkeitskontrolle Satz 8 - Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden Organisatorische Satz 2 Zugangskontrolle Satz 6 Auftragskontrolle Satz 8 - Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden

7 Satz 1 - Zutrittskontrolle Satz 2 - Zugangskontrolle Satz 3 - Zugriffskontrolle Satz 4 - Weitergabekontrolle Satz 5 - Eingabekontrolle Satz 6 - Auftragskontrolle Satz 7 - Verfügbarkeitskontrolle Satz 8 - Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden Technische an den Endgeräten (Endpoints)

8 Technische an den Endgeräten (Endpoints) Technische an den Endgeräten (Endpoints)

9 PROBLEME AM ENDPOINT? PROBLEME AM ENDPOINT?

10 PROBLEME AM ENDPOINT? PROBLEME AM ENDPOINT MAN KANN ES SICH NICHT LEISTEN SICH NICHT ZU SCHÜTZEN

11 PROBLEME DURCH INNENTÄTER Bestätigt auch durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) C.A.F.E. FÜR DEN DATENSCHUTZ

12 DAS C.A.F.E. -MANAGEMENT PRINZIP DAS C.A.F.E. -MANAGEMENT PRINZIP Definieren Sie, welcher Benutzer welche Datenwege benutzen darf. Somit darf jeder Mitarbeiter nur die Datenwege benutzen, die er für seine Arbeit auch tatsächlich benötigt. Diese Maßnahme reduziert die Anzahl der Mitarbeiter, die auf sensible Daten zugreifen dürften und diese aus dem Unternehmen transportieren dürfen.

13 DAS C.A.F.E. -MANAGEMENT PRINZIP Protokollierung macht Verstöße gegen Gesetze und Bestimmungen nachweisbar und sorgt für einen bewussten Umgang mit Daten. Das ist eine wichtige Voraussetzung im Rahmen der IT-Compliance. Protokollierung muss natürlich unter Berücksichtigung des Datenschutzes für die Mitarbeiter geschehen. Daher sollte eine Lösung über ein 4 oder 6 Augen Prinzip verfügen. DAS C.A.F.E. -MANAGEMENT PRINZIP Separiert kritische von unkritischen Datentypen. Datentypen, die im Unternehmen nichts verloren haben, werden zuverlässig blockiert.

14 DAS C.A.F.E. -MANAGEMENT PRINZIP Mit C.A. und F. wird sichergestellt, dass ausschließlich berechtigte Mitarbeiter auf Daten und Applikationen zugreifen können, die für ihre Arbeit wirklich relevant sind. Werden berechtigterweise genutzte Daten dann noch verschlüsselt, besteht Rundum-Schutz auch bei vorsätzlichem Datendiebstahl oder fahrlässigem Datenverlust. DAS C.A.F.E. -MANAGEMENT PRINZIP

15 Satz 1 - Zutrittskontrolle Satz 2 - Zugangskontrolle Satz 3 - Zugriffskontrolle Satz 4 - Weitergabekontrolle Satz 5 - Eingabekontrolle Satz 6 - Auftragskontrolle Satz 7 - Verfügbarkeitskontrolle Satz 8 - Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden WEITERE SICHERHEITSFAKTOREN Benutzerakzeptanz Dateibasierte Verschlüsselung Integration in die normalen Arbeitsabläufe Wirtschaftlichkeit Einfache Installation Intuitive Administration Geringer Schulungsaufwand

16 SAFE&SAVE - MANAGEMENT SAFE&SAVE - MANAGEMENT

17 SAFE&SAVE - MANAGEMENT EGOSECURE DATA PROTECTION

18 AUF ALLEN DATENWEGEN EGOSECURE DATA PROTECTION

19 EGOSECURE DATA PROTECTION FRAGEN DIE MAN SICH STELLEN SOLLTE BEISPIEL USB SPEICHERMEDIEN Haben wir ein Problem mit USB Geräten Aber wir wissen wie viele benutzt werden? Und bringen die Leute etwas mit was wir nicht kennen Und machen auch private Dinge damit Na ja Na ja einige Naja, wahrscheinlich Wahrscheinlich ja, sonst würde sie diese ja nicht mitbringen

20 FRAGEN DIE MAN SICH STELLEN SOLLTE BEISPIEL USB SPEICHERMEDIEN Und wer und wie oft und wie viel? Werden die Daten mitgebracht die gefährlich sein können Werden die Daten aus der Firma mitgenommen, die geheim sind oder der Firma schaden können Haben wir unsere Daten in Griff EGOSECURE INSIGHT Na ja, einige, mal öfters mal nicht und einiges Kann sein Na ja, ist nicht auszuschließen Naja, was meinen Sie denn?

21 EGOSECURE ENJOY DATA PROTECTION VIELEN DANK FÜR DIE AUFMERKSAMKEIT EGOSECURE GmbH Pforzheimer Str. 128a Ettlingen/Germany Phone +49(0) Mail