INFORMATIONSBROSCHÜRE. Informationssicherheit und Datenschutz. Eine Umfrage in der Region Mainfranken

Größe: px
Ab Seite anzeigen:

Download "INFORMATIONSBROSCHÜRE. Informationssicherheit und Datenschutz. Eine Umfrage in der Region Mainfranken"

Transkript

1 INFORMATIONSBROSCHÜRE Informationssicherheit und Datenschutz Eine Umfrage in der Region Mainfranken

2 Impressum Herausgeber: ebusiness-lotse Mainfranken c/o IHK Würzburg-Schweinfurt Mainaustraße Würzburg c/o Universität Würzburg Lehrstuhl für BWL und Wirtschaftsinformatik Josef-Stangl-Platz Würzburg Informationen zur Umfrage Branchen: alle Wirtschaftszweige Größe der Unternehmen: 1-19 Beschäftigte Verschickte Fragebögen: Stück Rückläufer: 106 Stück ebusiness-lotse Mainfranken, Würzburg. Alle Rechte vorbehalten. 1. Auflage 2013 Bildnachweise S. 1: Maksim Kabakou, fotolia.com S. 2: Maksim Kabakou, fotolia.com S. 5:.shock, fotolia.com S. 6: Denis Junker, fotolia.com S. 10: momius, fotolia.com S. 12: pn_photo, fotolia.com S. 13: alphaspirit, fotolia.com S. 14: Maksim Kabakou, fotolia.com S. 15: Maksim Kabakou, fotolia.com S. 23: treenabeena, fotolia.com 2

3 Sehr geehrte Damen und Herren, innovative digitale Lösungen bieten kleineren und mittleren Unternehmen neue Wachstumsimpulse und Entwicklungschancen auf einem sich stetig wandelnden Markt. Der Einsatz von Informationstechnologien gehört dabei zum Geschäftsalltag. Zahlreiche vertrauliche Daten werden dabei über die IT verarbeitet und gespeichert. Der Verlust von Daten und Know-how durch unzureichende organisatorische und technische Regulierungen verursacht bei den Unternehmen zunehmend wirtschaftliche Schäden. Ein Grund hierfür ist häufig ein fehlendes Bewusst sein für die Bedeutung sicherer IT-Systeme. Wir das Team des ebusiness-lotsen Mainfranken sehen uns als Unterstützer insbesondere für kleine und mittelständische Unternehmen in der Region Mainfranken. Spezialisiert haben wir uns auf die Bereiche Informationssicherheit und Datenschutz, betriebswirtschaftliche Software, Cloud Computing sowie Online- Marketing. Um gezielt agieren zu können und den Kenntnisstand der mainfränkischen Unternehmen zu erfassen, gehen wir direkt auf Unternehmen zu. Die hier präsentierte Umfrage zum Thema Informationssicherheit und Datenschutz wurde von uns erstellt und an Unternehmen in Mainfranken verteilt. Ziel war es, herauszufinden, wie präsent das Thema Informations sicherheit bei den mainfränkischen Unternehmen ist. Die Ergebnisse und weitere nützliche Informationen rund um die Informationssicherheit und den Datenschutz haben wir für Sie aufbereitet und möchten sie Ihnen hier gerne an die Hand geben. Das Team des ebusiness-lotsen Mainfranken bedankt sich bei allen Unternehmen, die sich an der Umfrage beteiligt haben. Oliver Freitag, Dipl.-Ing. (FH), Gesamtprojektleiter 3

4 4 Informationssicherheit und Datenschutz

5 Inhalt 1 Informationssicherheit ein unterschätztes Thema im Mittelstand? 5 2 Grundlagen der Informationssicherheit Schutzziele Bedrohungen 6 3 Maßnahmen zur Erhöhung der Informationssicherheit Organisatorische Ansätze Ernennung eines Sicherheitsverantwortlichen Sicherheitsrichtlinien Richtlinien zur Nutzung der IT-Infrastruktur Sensibilisierung der Mitarbeiter Notfallplanung Technologische Ansätze Virenscanner Firewalls Kryptographie Erstellung von Datensicherungen (Backups) Passwortregelungen Maßnahmen zur Vernichtung/Löschung von Daten 13 4 Kontrollmöglichkeiten Penetrationstests Audits/Schwachstellenanalyse 15 5 Informationssicherheit als existenzielle Aufgabe für mittelständische Unternehmen 16 6 Bundesdatenschutzgesetz 17 7 Weiterführende Links 18 8 Die Autoren 18 9 Quellenverzeichnis Fragebogen 20 5

6 1 Informationssicherheit ein unterschätztes Thema im Mittelstand? Eine Studie des Bundesamts für Sicherheit in der Informationstechnik 1) zeigt, dass nicht nur die IT-Leit ung, son dern auch das Management von mehr als 90% der kleinen und mittelständischen Unternehmen das Thema Informationssicherheit heutzutage als wichtig oder sehr wichtig erachtet. Dennoch besteht in vielen mittelständischen Unternehmen großer Nachhol bedarf im Bereich der Informationssicherheit und des Datenschutzes. Eine Umfrage des ebusiness-lotsen Mainfranken hat ergeben, dass sich viele Unternehmen gar nicht oder kaum von unterschiedlichen Lücken der Informationssicherheit bedroht fühlen. Die Berücksichtigung von Trends wie Cloud Computing, Social Media, Virtualisierung, Mobilität und die sich daraus ergebenden möglichen Sicherheitsprobleme machen es notwendig, dass das Thema Informationssicherheit von mittelständischen Unter neh men strategisch, ganzheitlich und kontinuierlich angegangen werden muss. 1) In: https://www.bsi.bund.de/shareddocs/downloads/de/bsi/ Publikationen/Studien/KMU/Studie_IT-Sicherheit_KMU.pdf 2 Grundlagen der Informationssicherheit Während ein Sicherheitsbereich wie der Werkschutz, der ein Firmengebäude bewacht, ein sehr konkreter und greifbarer Bereich ist, wird die Informationssicherheit oft als abstrakt und immateriell empfunden. Der Begriff Informationssicherheit muss von dem Begriff IT-Sicherheit, welcher den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung beschreibt, abgegrenzt werden. Ebenso wenig darf Informationssicherheit mit Datensicherheit oder Datenschutz verwechselt werden. Da tensicherheit beschreibt insbesondere Maßnahmen zur Vorbeugung von Datenverlusten durch das Anlegen von Sicherungskopien. Mit Datenschutz bezeichnet man die Wahrung der Pri vats phäre einer natürlichen Person bei der Datenver arbeitung. Aufgabe der Informationssicherheit ist es, technische und organisatorische Maßnahmen zu ergreifen, die dazu beitragen, dass sensible und vertrauliche Informationen nicht in falsche Hände gelangen, Manipulationen erkannt werden und sichergestellt ist, dass die benötigten Informationen zeitnah und korrekt zur Verfügung stehen 2). Der Gedankengehalt dieser Definition ist in den drei sogenannten Grundwerten oder Schutzzielen der Informationssicherheit zusammengefasst. 2) Schmidt K.: Der Security Manager. Carl Häuser Verlag München 2006, S Schutzziele Bei den klassischen Schutzzielen der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität ist zu beachten, dass ein vollständiges Erreichen 6

7 dieser Ziele in der Realität oft nicht möglich ist. Deshalb gilt es in der Informationssicherheit, ein angemessenes Sicherheitsniveau zu erreichen. Ein Informationssystem gewährleistet Vertraulichkeit, wenn kein unautorisierter Informationszugriff stattfinden kann. Diese Eigenschaft bedingt die Festlegung von Berechtigungen und Kontrollen, um unzulässige Informationsflüsse zu verhindern. Die Verfügbarkeit von Dienstleistungen und Funktionen eines Informationssystems ist gegeben, wenn dieses von den Anwendern wie vorgesehen benutzt und nicht durch unautorisierte Handlungen beeinträchtigt werden kann. Um die Integrität eines Informationssystems zu gewährleisten, muss verhindert werden, dass unbemerkt unautorisierte Veränderungen an Daten, Netzen oder Systemen vorgenommen werden können. Deshalb sollten Mechanismen vorhanden sein, mithilfe derer Manipulationen vermieden werden können bzw. erkennbar sind. 2.2 Bedrohungen Sicherheitsbedrohungen haben zwei verschiedene Ursachen. Entweder sind sie menschlichen Ursprungs oder sie entstehen durch höhere Gewalt. Beispiele für Letzteres sind Naturkatastrophen wie Gewitter, Feuer oder Erdbeben. Sie treten meist unerwartet auf und können große Schäden an Computernetzwerken und Systemen anrichten, wodurch es zum Stillstand wichtiger Geschäftsprozesse kommen kann. unabsichtlich herbeigeführte Bedrohungen untergliedern. Beispiele für Letzteres sind Fehler und Ausfälle von Informationssystemen aufgrund von unsachgemäßer Bedienung oder Fahrlässigkeit. Dieser Risikofaktor entsteht durch Unwissenheit oder mangelhafte Ausbildung der Mitarbeiter. Absichtlich herbeigeführte Bedrohungen werden in aktive und passive Angriffe unterteilt. Aktive Angriffe sind beispielsweise das Einbringen von Schadsoftware, Sabotage oder Eingriffe in die Datenübertragung. Ein passiver Angriff ist beispielsweise das Abhören geschäftskritischer, sensibler Daten, jedoch ohne diese zu verändern oder zu manipulieren. Während die Motive für Hacker eher Rebellion, Status, Geld oder die Her ausforderung sind, werden Innentäter von Neugier de, einem verletzten Selbstwertgefühl oder Rache angetrieben. Typische Innentäter sind zum Beispiel un ehrliche, verärgerte oder gerade gekündigte Mitarbeiter. Da diese Menschen besonders motiviert sind, ist es für Unternehmen wichtig, die Bedrohungen durch Innentäter und Hacker sowie die daraus erwachsenden Risiken zu kennen und Gegen maßnahmen zu ergreifen. Der Ausfall von Informationssystemen kann die Exis tenz von Unternehmen gefährden, falls keine ent sprechen den präventiven Maßnahmen durchgeführt werden. In folgedessen müssen Schutz und Vorsorge dieser unternehmenskritischen IT-Infrastrukturen gegen Bedrohungen im wirtschaftlichen Interesse aller informationsverarbeitenden Unternehmen liegen. Die von menschlicher Hand ausgelösten Schäden an Informationssystemen lassen sich in absichtlich und 7

8 Ergebnisse der Umfrage: Von welchen Szenarien fühlen Sie sich aktuell bedroht? Gar nicht Wenig Mittel Stark Sehr stark Menschliches Versagen 11% 32% 26% 11% 2% Technisches Versagen Höhere Gewalt 9% 25% 32% 11% 6% 25% 25% 21% 9% 1% Verlust von Speichermedien 22% 26% 22% 8% 3% Sabotage durch Mitarbeiter 49% 22% 1% 1% Datenverluste in der Cloud Viren, Malware & Phishing- Attacken 44% 17% 12% 9% 7% 14% 26% 27% 11% 1% Wirtschaftsspionage 46% 23% 10% 4% Diebstahl 16% 31% 25% 7% 5% Einbruch 27% 25% 18% 9% 3% Vandalismus 42% 26% 6% 5% 2% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Ergebnisse der Umfrage: Wie oft wurden Sie in den vergangenen 12 Monaten mit den folgenden Vorfällen konfrontriert? Nie Selten Häufig Menschliches Versagen Technisches Versagen 37% 47% 1% 47% 55% 2% Höhere Gewalt 58% 22% 1% Verlust von Speichermedien 63% 23% Sabotage durch Mitarbeiter 78% 7% 1% Datenverluste in der Cloud Viren, Malware & Phishing- Attacken Wirtschaftsspionage Diebstahl Einbruch Vandalismus 75% 9% 18% 78% 14% 78% 5% 2% 54% 27% 3% 70% 13% 2% 76% 13% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 8

9 3 Maßnahmen zur Erhöhung der Informationssicherheit Maßnahmen zur Erhöhung der Informationssicherheit erfordern finanzielle, personelle und zeitliche Ressourcen, die vom Management zur Verfügung gestellt werden müssen. Gerade in kleineren mittelständischen Unternehmen ist das Budget für Informationssicherheit im Durchschnitt jedoch deutlich geringer als in Großunternehmen. Daher ist es äußerst wichtig, die vorhandenen Ressourcen effizient und wirkungsvoll einzusetzen. Organisatorische Regelungen sind häufig effektiver als Investitionen in Sicherheitstechnik. Doch auch die notwendigen technischen Maßnahmen zur Sicherung der Informationen sollten sinnvoll mit den organisatorischen Maßnahmen kombiniert werden. 3.1 Organisatorische Ansätze Bei der Implementierung neuer organisatorischer Prozesse liegt die Verantwortung beim Management. Von Experten entwickelte Richtlinien sollten klar und deutlich kommuniziert und vorgelebt werden. Deshalb ist es erforderlich, bei den Mitarbeitern ein Bewusstsein für Informationssicherheit zu schaffen. Reaktive Planung kann dazu beitragen, den Schaden nach erfolgten Angriffen zu reduzieren Ernennung eines Sicherheitsverantwortlichen Im ersten Schritt wird ein Verantwortlicher für die Realisierung von Sicherheitsmaßnahmen ernannt. Dieser fungiert auch als Hauptansprechpartner und Koordinator, der die Einhaltung von Sicherheitsvorgaben kontrolliert und vorantreibt. Zu seinem Aufgabenbereich zählen weiterhin die Steuerung des Informationssicherheitsprozesses und die Erstellung von Sicherheitskonzepten, Richtlinien und Notfallplänen. Außerdem ist er dafür zuständig, sicherheitsrelevante Zwischenfälle zu untersuchen, Schulungsmaßnahmen zu steuern und der Unternehmensleitung über den Status Quo der Informationssicherheit zu berichten. Um diese Aufgabe erfüllen zu können, bedarf es Erfahrung in den Bereichen IT und Informationssicherheit, Systemanalyse und Projektmanagement Sicherheitsrichtlinien Nachdem ein Verantwortlicher für Informationssicherheit ernannt worden ist, beginnt dieser mit der Definition und anschließenden Dokumentation von Sicherheitsrichtlinien. Dabei ist zu beachten, dass diese Richtlinien mit der Geschäftsstrategie und den Geschäftszielen abgestimmt werden. Die Richtlinien beinhalten prinzipiell Vorgaben zur Prävention, Detektion sowie Meldung und Alarmierung, Reaktion, Restauration und Verifikation 3). Eine Untergliederung kann in Sicherheitsregeln, Prozessvorlagen, eine IT-Benutzerordnung und Vorgaben zur -Nutzung gemacht werden. Richtlinien zur -Nutzung können beispielsweise das Gebot enthalten, dass ein - System und die geschäftliche Adresse nur zu geschäftlichen Zwecken genutzt werden dürfen oder eine bestimmte vordefinierte Standardform eingehalten werden muss. Weil jedes mittelständische Unternehmen andere Anforderungen an die Informationssicherheit hat, gibt es keine allgemeingültigen Sicherheitsrichtlinien. Beim Aufbau eines Projektes zur Erstellung von Sicherheitsrichtlinien ist zu beachten, dass diese von Experten erarbeitet, ihre Anwendbarkeit und Ausführbarkeit geprüft werden und eine klare Form gewählt wird. Verständlichkeit ist ein ausschlaggebender Erfolgsfaktor bei der Einhaltung von Sicherheitsrichtlinien durch die Mitarbeiter. Denn eine Richtlinie kann wohl überlegt ausgearbeitet sein, zeigt aber keine Wirkung, wenn sie im Geschäftsbetrieb nicht richtig angewandt wird. 3) Müller, K.: IT-Sicherheit mit System. 2. Aufl., Vieweg und Sohn Verlag, Wiesbaden 2005, S Richtlinien zur Nutzung der IT-Infrastruktur Der richtige und verantwortungsbewusste Umgang bei der Nutzung von firmeneigener Soft- und Hardware innerhalb und außerhalb des Unternehmens sowie der geschäftlichen Nutzung privater Endgeräte ist essenziell. Sicherheitslücken können dazu führen, dass Daten und Informationen ungewollt an Dritte gelangen. Es muss geregelt werden, was genutzt werden darf (sowohl beruflich als auch privat) und wie Installationen von Software und Apps koordiniert und genehmigt werden. Hierfür sollte ein Genehmigungsverfahren erarbeitet werden, das die Komponenten auf Funktionsfähigkeit und Sicherheit überprüft. Darüber hinaus ist es sinnvoll, den Gebrauch von externen Speichermedien (USB-Sticks, Festplatten etc.) festzulegen. Bei der Nutzung von privaten Endgeräten verschwimmen die Grenzen zwischen Unternehmensdaten und privaten Daten. Dies kann zu etlichen rechtlichen (arbeits-, urheber- sowie lizenzrechtlichen) und technischen Problemen führen, denn es ist schwer zu kontrollieren, welche Programme auf privaten Geräten verwendet werden und wer außer dem Inhaber des Gerätes selbst Zugriff auf das Endgerät hat. Auch der Schutz des Gerätes in Bezug auf Viren und Schadsoftware liegt 9

10 nicht mehr in der Hand des Unternehmens. Die Organisationsrichtlinie zur Festlegung der ordentlichen Nutzung ist auch bekannt unter dem Begriff bring your own device (BYOD) Sensibilisierung der Mitarbeiter Die Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit ist ein elementarer Bestandteil der Informationssicherheitsstrategie eines Unter nehmens. Schulungen und Weiterbildungen müssen differenziert durchgeführt werden und auf dem Wissensstand der Mitarbeiter aufbauen. Nur wenn eine nachhaltige Sensibilisierung erreicht wird, können sowohl organisatorische als auch technologische Maßnahmen effektiv realisiert werden. Um dieses Ziel zu erreichen, müssen mittelstän dische Unternehmen verschiedene Entwicklungsschritte durchlaufen. Zuerst wird, beispielsweise durch internes Mar keting, Aufmerksamkeit für das Thema Informations sicherheit geschaffen. Dadurch soll bei den Mitarbeitern Interesse geweckt werden. Des Weiteren sollten die Mitarbeiter grundlegende Fachkenntnisse der Informationssicherheit erlangen, wodurch sie Sicher heitsprobleme am Arbeitsplatz selbstständig erkennen und beheben können. Regelmäßige Weiterbildungen, Übungen oder Newsletter dienen dazu, das Sicherheitsbewusstsein zu trainieren. Ebenso muss das Management die Sicherheitsvorgaben kon se quent befolgen, sich den Mitarbeitern gegenüber vorbildlich verhalten und ihnen dadurch einen Motivations schub verleihen. Ferner sollen mittelständische Unternehmen darauf achten, dass externe Mitarbeiter Sicherheitsrichtlinien genauso einhalten wie interne Mitarbeiter. Ansonsten könnte dies die Entstehung von vermeidbaren Schwachstellen zur Folge haben Notfallplanung Nach einem erfolgreichen Angriff auf das Informationssystem eines Unternehmens muss dieses möglichst schnell wieder in den Normalzustand zurückversetzt werden, um die Geschäftskontinuität zu wahren und den Schaden zu begrenzen. Ziel eines Notfallplans ist die Wiederherstellung der Verfügbarkeit, Integrität und Vertraulichkeit der Daten. In einem Notfallplan werden potenzielle Katastrophenszenarien und die dazugehörigen Reaktionen beschrieben. Dabei ist es wichtig, dass alle eventuell auftretenden Angriffs- und Schadensarten in der Planung berücksichtigt werden. Zuerst wird eine detaillierte Risikoanalyse durchgeführt und ein Krisenmanagement-Team benannt. Danach werden genaue Prozessschritte definiert, die Kommunikationswege und Entscheidungskompetenzen für Katastrophenfälle zuordnen. Ergebnisse der Umfrage: Haben Sie eine oder mehrere der folgenden Sicherheitsmaßnahmen bereits umgesetzt (organisatorische Ansätze)? Sicherheitsmaßnahme Maßnahme bereits umgesetzt Richtlinie für private Nutzung von firmeneigener Hardware, Software, Internet 28,30 % Richtlinie für geschäftliche Nutzung von privaten Geräten 23,58 % Durchführung von Übungen (Brandschutz, Stromausfall usw.) 22,64 % Durchführung von Mitarbeiterschulungen (Sensibilisierung, Awareness) 21,70 % Erstellung eines Notfallplans 18,87 % Übergabe der Verantwortung (Bestellung eines Informationssicherheitsbeauftragten) 14,15 % Einführung einer Sicherheitsrichtlinie 10,38 % Etablierung einer Liste für Sicherheitsvorfälle 4,72 % Zertifizierung nach ISO ,89 % 10

11 Damit diese geplanten Vorgehensweisen auch im Notfall funktionieren, ist eine regelmäßige Erprobung und Ak tualisierung notwendig. Notfallpläne müssen für alle Mitarbeiter verständlich sein und auf Vollständigkeit überprüft werden. Da Informationssysteme von Unternehmen nicht mehr isoliert zu betrachten sind, sondern als Teil eines Netzwerks, das mit Lieferanten, Kunden und externen Dienst leistern gebildet wird, sind die Folgen von Ausfällen systemisch und ganzheitlich zu sehen. 3.2 Technologische Ansätze Nachdem im vorangegangenen Verlauf organisatorische Maßnahmen zur Erhöhung der Informationssicherheit in mittelständischen Unternehmen erläutert wurden, steht in diesem Kapitel der Einsatz technologischer Maßnahmen im Vordergrund Virenscanner Ein Virus [ ] bezeichnet in der Biologie einen Mikro- Organismus, der auf eine lebende Wirtszelle angewiesen ist, keinen eigenen Stoffwechsel besitzt und fähig ist, sich zu reproduzieren. Diese Eigenschaften sind direkt auf Computerviren übertragbar. 4) Viren sind Programme, die sich selbst replizieren und an verschiedenen Stellen im Informationssystem, z. B. in Programmen oder Dateien, festsetzen. Sie können gesamte Dateisysteme zerstören, Festplatten formatieren und Programme verändern, wodurch es zu Fehlfunktionen von Informationssystemen und Datenverlust kommen kann. Somit stellen Viren eine existenzielle Bedrohung für die Geschäftskontinuität mittelständischer Unternehmen dar. Weil heutzutage ein Großteil der Firmencomputer mit dem Internet ver bunden ist, ist ein Befall sehr wahrscheinlich. Virenscanner-Programme sind deshalb häufig genutzte und effektive technologische Abwehrwerkzeuge. Viren enthalten eine Virenkennung oder bestimmte Code sequenzen. Infolgedessen können sie von Viren scannern, die umfangreiche Datenbanken mit Vi renken nungen und Merkmalen verwalten, erkannt werden. Um einen wirksamen technologischen Schutz gegen Virenbefall aufzubauen, müssen mittelständische Unternehmen Viren-Scan-Software anwenden, die ausund eingehende Dateien und Programme regelmäßig auf Virenbefall überprüft und deren Virendatenbank immer auf dem neuesten Stand gehalten wird. 4) Eckert, C.: IT-Sicherheit. Konzepte Verfahren Protokolle. 7.Aufl., Oldenbourg, München S Firewalls Eine zweite technologische Maßnahme, die mittelständische Unternehmen ergreifen können, um ihre Informationssicherheit und insbesondere ihre Netzwerksicherheit zu erhöhen, ist die Einrichtung und sorgfältige Konfiguration einer Firewall. Diese besteht aus einer oder mehreren Hard- und Softwarekomponenten, die zwei Netzwerke koppeln und sicherstellen sollen, dass jeglicher Verkehr zwischen den beiden Netzen durch die Firewall geleitet wird 5). Sie folgt dabei einer Sicherheitsstrategie, die Zugriffsrestriktionen und Authentifikationsanforderungen enthält. 5) Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Hrsg.): Sicherheit für Systeme und Netze in Unternehmen. In: S

12 Somit werden nur Datenpakete durch die Firewall geleitet, die diese Anforderungen erfüllen. Bei der Nutzung einer Firewall wird die Angriffsfläche eines Informationssystems deutlich verkleinert, da der gesamte ein- und ausgehende Netzwerkverkehr kontrolliert und protokolliert wird. Aus den Protokollen können Informationen über System- und Netzwerknutzung sowie deren Missbrauch gewonnen werden. Die Regeln einer sinnvoll konfigurierten Firewall erlauben, dass die benötigten Dienste und Applikationen verfügbar sind, unerwünschte Dienste jedoch geblockt werden. Sich häufig ändernde Anforderungen der Nutzer von Unternehmensnetzwerken führen dazu, dass Firewalls ständig angepasst und überwacht werden müssen. Da die Administration einer Firewall eine komplexe und anspruchsvolle Tätigkeit ist, kann es für kleinere mittelständische Unternehmen sinnvoll sein, die Hilfe eines Experten in Anspruch zu nehmen. Zwar bieten Firewalls einen guten Schutz gegen Angriffe von außen, sind jedoch machtlos gegen interne Angreifer. Sie vermögen nur vor Dingen zu schützen, die von außen in das unternehmensweite Netzwerk eindringen wollen. Vertrauliche Daten können von Internen weiterhin auf USB-Sticks oder andere Datenträger kopiert und weiterverbreitet werden. Zusätzlich besteht das Problem des Vertrauens. Angenommen die Firewall des Unternehmens A lässt Netzwerkdienste des Unternehmens B hindurch, und das Unternehmen B vertraut seinerseits dem Unternehmen C, dann muss auch Unternehmen A dem Unternehmen C vertrauen. Es ist festzuhalten, dass Firewalls zwar eine sehr empfehlenswerte und sinnvolle Sicherheitsmaßnahme sind, jedoch keinen Komplettschutz bieten und eine professionelle Administration erfordern Kryptographie Die Verschlüsselung von Daten wird Kryptographie genannt und angewendet, um vertrauliche Daten vor ungewolltem Zugriff zu schützen. Verschlüsseln oder Chiffrieren bedeutet letztlich, Daten von einer lesbaren Form mit einem mathematischen Algorithmus in eine nicht lesbare Form zu bringen. Ohne den passenden Schlüssel kommt man nicht mehr an die Daten heran 6). Verschlüsselungsverfahren haben für Unternehmen heutzutage eine große Bedeutung, da zum Beispiel bei geschäftlichen Transaktionen im Internet vertrauliche Daten wie Kundendaten oder Zahlungsdaten ausgetauscht werden müssen. Damit das Internet als kommerzielle Plattform genutzt werden kann, müssen die Integrität, Authentizität und Vertraulichkeit der gesendeten Daten sichergestellt werden. Dies kann durch Kryptographie erreicht werden. Es wird zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren unterschieden. Symmetrische Verfahren verwenden einen einzigen gemeinsamen Schlüssel. Dieser muss von den Kommunikationspartnern vor seiner Nutzung über einen sich eren Kanal ausgetauscht worden sein. Durch ihre Schnellig keit eignen sich diese Verfahren für Onlineanwendungen und bieten bei verhältnismäßig kurzer Schlüssel länge eine gute Sicherheit. 6) Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Hrsg.): Sicherheit für Systeme und Netze in Unternehmen. In: S. 40. Ergebnisse der Umfrage: Haben Sie eine oder mehrere der folgenden Sicherheitsmaßnahmen bereits umgesetzt (technologische Ansätze)? Sicherheitsmaßnahme Maßnahme bereits umgesetzt Virenschutzkonzept 85,85 % Erstellung eines Backup-Konzepts 60,38 % Passwortregelung (Zeichenanzahl, Änderungshäufigkeit usw.) 51,89 % Maßnahmen zur Vernichtung/ Löschung von Informationen 32,08 % Verschlüsselung des -Verkehrs 28,30 % Verschlüsselung von Laptops, Festplatten usw. 38,68 % 12

13 Die Verwaltung der Schlüssel kann jedoch bei mehreren Kommunikationspartnern schnell umständlich werden, da für jede bilaterale Kommunikation ein eigener Schlüssel benötigt wird. Bei asymmetrischen Verfahren werden zwei unterschiedliche, aber zusammen gehörende Schlüssel verwendet. Der öffentliche Schlüssel des Empfängers wird zur Verschlüsselung, der private Schlüssel des Empfängers zur Entschlüsselung benutzt. Dabei wird der öffentliche Schlüssel bekannt gemacht und der private Schlüssel geheim gehalten. Vorteil der asymmetrischen Verfahren ist, dass jeder Kommunikationspartner nur einen Schlüssel geheim halten muss. Dafür ist die Verschlüsselung langsamer, angreifbarer und es sind längere Schlüssel notwendig. Kryptographie kann nicht nur dabei helfen, die Informationssicherheit bei der internen und externen elektronischen Kommunikation mittelständischer Unternehmen zu erhöhen, sondern auch durch Datenträgerverschlüsselung können Betriebsgeheimnisse und sensible Daten vor unbefugtem Zugriff geschützt werden. Da die Nutzung mobiler Geräte wie Notebooks, Smartphones, Tablets, USB-Sticks und portable Festplatten durch Mitarbeiter im Allgemeinen zunimmt, steigt die Gefahr, dass die auf den Geräten befindlichen Daten gestohlen werden können. Aus diesem Grund ist es beispielsweise für Mitarbeiter im Vertrieb oder der Forschung und Entwicklung sinnvoll, sensitive Daten auf mobilen Geräten verschlüsselt zu speichern Erstellung von Datensicherungen (Backups) Um im Falle eines Datenverlustes die Originaldaten wieder herzustellen, empfiehlt es sich, eine Backup-Strategie zu entwickeln, die unterschiedliche Szenarien abdeckt, wie: das unabsichtliche Löschen von Daten den Ausfall von Festplatten die Manipulation (Inhalte/Werte) von Daten die Systemzerstörung durch unerwartete Ereignisse (Feuer, Wasser etc.) Die Strategie variiert von Unternehmen zu Unterneh men. Eine Möglichkeit zur Wiederherstellung der Originaldaten kann die Spiegelung und anderortige Aufbewahrung des kompletten Datenbestandes sein. Weniger zeitintensiv ist das regelmäßige Sichern von Auszügen der Daten (Dateisystem-Snapshots) Passwortregelungen Firmeneigene Systeme und Hardware sollten nur für die Benutzer zugänglich sein, die die jeweilige Berechtigung nachweisen. Um den korrekten Gebrauch von Passwörtern zu gewährleisten, sollten in jedem Unternehmen notwendige technische Maßnahmen umgesetzt werden und Regelungen zur Vergabe von Passwörtern vorhanden sein. Kriterien hierfür können unter anderem die Passwortlänge, der Gebrauch von Groß- und Kleinschreibung, Zahlen sowie Zeichenlängen sein. Zu vermeiden sind leicht zu erratende Passwörter Maßnahmen zur Vernichtung/Löschung von Daten Werden Daten nicht mehr benötigt und gelöscht, muss sichergestellt werden, dass die Vernichtung ordnungsgemäß durchgeführt wird und Daten nicht wieder rekonstruiert werden können. Es wird hierbei zwischen der physikalischen und der logischen Datenlöschung unterschieden. Erstere bezieht sich auf die konkrete Vernichtung von Datenträgern wie USB-Sticks, Bändern, Festplatten etc. Beim logischen Löschen werden die Medien, auf denen Daten gespeichert werden, nicht vernichtet, sondern weiterverwendet. 13

14 14 Informationssicherheit und Datenschutz

15 4 Kontrollmöglichkeiten Die Informationstechnologie und auch die Anforderungen ihrer Nutzer unterliegen heute einem ständigen Wandel, der großen Einfluss auf die Wirksamkeit von Sicherheitskonzepten hat. Die in mittelständischen Unternehmen umgesetzten Maßnahmen zur Erhöhung der Informationssicherheit können nur effektiv sein, wenn sie auch angemessen sind und lückenlos angewandt werden. Um zu verhindern, dass etablierte Sicherheitsmaßnahmen durch den stetigen Wandel ausgehebelt werden, gibt es verschiedene Kontrollver fahren. Durch diese können Informationssysteme dahin gehend überprüft werden, ob sie Schwachstel len besitzen und Änderungsbedarf besteht. 4.1 Penetrationstests Eine gute Möglichkeit, um herauszufinden, ob die in einem mittelständischen Unternehmen getroffenen Sicherheitsmaßnahmen noch wirksam und angemessen sind, bieten Penetrationstests. Durch diese werden Angriffsziele für Hacker und Schwachstellen identifiziert sowie das Gefährdungspotenzial analysiert. Ziel von Penetrationstests ist es, detaillierte Empfehlungen und Verbesserungsvorschläge zu erhalten, wie die gefundenen Schwachstellen beseitigt werden können. Bei White-Box-Penetrationstests wird der Angriff durch einen Innentäter simuliert. Der Tester besitzt tiefgehende Kenntnisse über die im Unternehmen genutzten Informationssysteme und kann gezielte Maßnahmen durchführen. Dadurch sind sehr umfassende Tests möglich. Bei Grey- Box-Penetrationstests erhält der Tester nur Teilinformationen über das Zielunternehmen. Er kann teilweise gezielt vorgehen und bekannte Schwachstellen berücksichtigen. Bei Black-Box Penetrationstests erhält der Tester zu Beginn nur den Namen des zu testenden Unternehmens. Deshalb ist das Unternehmen für den Tester eine Black-Box, dessen Inhalt er nicht kennt, wodurch er sich in der gleichen Situation wie ein potenzieller externer Angreifer befindet. Penetrationstests umfassen typischerweise Angriffe durch das Erraten von Passwörtern oder Brute- Force-Attacken, Netzwerkmanipulationen, Ausnutzen bekannter Software-Schwachstellen oder das Einspielen gefälschter Datenpakete. Dabei wird systematisch versucht, unberechtigten Zugriff auf das Zielsystem zu erlangen. Um den Produktivbetrieb nicht nachhaltig zu stören und den rechtlichen Rahmen einzuhalten, ist es deshalb erforderlich, vorher ein detailliertes Durchführungskonzept zu entwickeln. Unternehmen versuchen in der Praxis häufig, ihre Informationssicherheit durch eine Erhöhung der Budgets zu verbessern. Dabei wird häufig übersehen, dass nicht die Leistungsfähigkeit einer Hardware, sondern unerkannte oder übersehene Schwachstellen die Ursachen von Sicherheitsproblemen sein können. Penetrationstests tragen dazu bei, diese Schwachstellen zu identifizieren und ermöglichen es somit, dass ein knappes Budget in mittelständischen Unternehmen gezielter und effizienter eingesetzt werden kann. Des Weiteren wird durch Penetrationstests ein hohes Sicher heitsniveau dokumentiert, was die Investitionsbereitschaft von Investoren und das Vertrauen der Kunden erhöht. Eine einmalige Durchführung eines Penetrationstests ist nicht sinnvoll. Daher müssen sie in einen fortlaufenden Prozess der Qualitätssicherung eingebunden werden. Es ist zweckmäßig, einen Testplan für die folgenden zwei Jahre anzulegen, der turnusmäßig mit neuen Anforderungen abgeglichen wird. Aus der Befragung hat sich ergeben, dass bereits 16% der Unternehmen Penetrationstests durchgeführt haben. 15

16 Informationssicherheit und Datenschutz 4.2 Audits/Schwachstellenanalyse Während Penetrationstests technische Sicherheitslücken aufdecken, stellen Sicherheitsaudits eine strukturelle Kontrollmaßnahme dar. Durch Audits bekommen Unternehmen einen genauen Überblick über die aktuelle Risikolage ihres Informationssystems, wobei eventuelle Schwachstellen entdeckt und präventiv behoben werden können. Neben den technischen Vorkehrungen werden vor allem die Prozesse, Dokumentationen und die Handlungen der Mitarbeiter eines Unternehmens analysiert. Die Ergebnisse der Sicherheitsaudits werden zusammen mit Handlungsempfehlungen und Verbesserungsvorschlägen präsentiert. Professionell durch geführte Audits werden mit Zertifizierungen oder entsprechenden Nachweisen belegt. Sie sind prozessbezogen und initiieren einen dynamischen Lernprozess, nicht nur beim Management sondern auch bei den Mitarbeitern des geprüften Unternehmens. Im vorangegangenen Verlauf wurde ersichtlich, dass sich mittelständische Unternehmen nicht auf getroffenen Maßnahmen zur Erhöhung der Informationssicherheit ausruhen dürfen. Es ist vielmehr wichtig, dass eine permanente Schwachstellenüberprüfung der Informationssysteme stattfindet, um dauerhaft das Vertrauen von Kunden und Investoren sowie das Sicherheitsbewusstsein von Management und Mitarbeitern aufrecht zu erhalten. Sicherheitsaudits können das Gesamtsystem oder Teilbereiche umfassen. Beispielsweise kann ein KundendatenVerarbeitungssystem daraufhin überprüft werden, ob die gesetzlichen Datenschutzbestimmungen eingehalten und dadurch die Schutzziele der Informationssicherheit bei elektronischen Geschäftsabschlüssen gewahrt werden. Mittelständische Unternehmen müssen bei der Durchführung eines Sicherheitsaudits darauf achten, dass den Prüfern alle notwendigen Dokumente zeitnah zur Verfügung gestellt werden und nichts vertuscht wird. Andernfalls kann keine vollständige und sinnvolle Überprüfung erfolgen. Ein Audit ist besonders bei kritischen, also betriebswirtschaftlich wertvollen Systemen wichtig. Dadurch kann die Vertrauenswürdigkeit gegenüber Kunden erhöht werden, zum Beispiel im Bereich ebusiness. Ergebnisse der Umfrage: Haben Sie eine oder mehrere der folgenden Sicherheitsmaßnahmen bereits umgesetzt (Kontrollmöglichkeiten)? Sicherheitsmaßnahme Maßnahme bereits umgesetzt Schwachstellenanalyse 16,04 % Durchführung von internen Audits 11,32 % Überprüfung durch Penetrationstests (Hacking) 16,04 % Externes Audit zur Kontrolle 6,60 % 16

17 Informationssicherheit und Datenschutz 5 Informationssicherheit als existenzielle Aufgabe für mittelständische Unternehmen Angesichts der globalisierten und digitalisierten Welt ist der Einsatz sicherer Informationssysteme für die meisten mittelständischen Unternehmen heutzutage unabdingbar, um wettbewerbsfähig und erfolgreich zu sein. Folglich können der Ausfall unternehmenskritischer Prozesse, der Diebstahl von vertraulichen Geschäftsdaten oder der Verlust wichtiger Daten zu schwerwiegenden finanziellen Schäden und Imageverlusten führen. Obgleich bei den IT-Verantwortlichen vieler mittelständischer Unternehmen bereits ein Bewusstsein für das The ma Informationssicherheit vorhanden ist, besteht dennoch vielerorts großer Nachholbedarf darin, Sicherheits lücken und Schwachstellen in IT-Systemen zu beheben. Diese entstehen in der Praxis oft dadurch, dass organisatorische und technische Maßnahmen ungenau oder unvollständig umgesetzt werden. Deshalb gilt es für mittelständische Unternehmen, klare Ver antwortlichkeiten zu schaffen und von Experten entwickelte Sicherheitsrichtlinien umzusetzen. Die Er haltung der Informationssicherheit muss in die Planung und Durchführung aller Unternehmens prozesse integriert werden. Um die erfolgreiche Implementierung einer nachhaltigen und ganzheitlichen Sicherheitsstrategie zu gewähr leisten, muss die Unternehmensleitung die Verantwortung übernehmen. Ein weiterer Erfolgsfaktor hierfür ist aktive Aufklärungsarbeit, die bei den Mitarbeitern ein Sicherheitsbewusstsein und einen Überblick über die Bedrohungslage schafft. Vor notwendigen Investitionen in Si cher heitstechnik, zum Beispiel in Firewalls, Virenscanner oder kryptographische Verfahren, darf nicht zurückgeschreckt werden, denn diese sichern die Existenz und Geschäftskontinuität der Unternehmen. Weiterhin dürfen sich mittelständische Unternehmen nicht der Versuchung hingeben, sich auf den getroffenen Sicherheitsmaßnahmen auszuruhen. Beispielsweise erwachsen durch die steigende Nutzung mobiler Endgeräte und Anwendungen, auf denen kritische Unter nehmensdaten gespeichert sind, Risiken, die in zukünftigen Sicherheitskonzepten berücksichtigt werden müssen. Ergebnisse der Umfrage: Was sind die Gründe für mangelnde Bemühungen zur Absicherung Ihrer Daten und Informationen im Unternehmen? Mitarbeiterkapazitäten sind zeitlich beschränkt Keine aktuelle Notwendigkeit der Informationssicherheit Zu wenig Know-how im Unternehmen 28% 27% 27% Keine Angabe 24% Kostet zu viel Geld Mangel an pragmatischer Sicherheitsberatung 17% 19% Kein entsprechendes Sicherheitskonzept vorhanden 11% Keine unterstützenden Tools und Werkzeuge vorhanden 9% Maßnahmen werden nicht kontrolliert Fehlende Unterstützung von Mitarbeitern Sonstige Fehlende Unterstützung vom Top-Unternehmen 7% 6% 5% 4% 0% 5% 10% 15% 20% 25% 30% 17

18 6 Bundesdatenschutzgesetz Datenschutz bezweckt, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung verletzt wird. Daher gibt es eine Fülle von Rechtsvorschriften, die Unternehmen bei der Speicherung, Verarbeitung und Nutzung solcher Daten beachten müssen. Das Bundesdatenschutzgesetz (BDSG) regelt die Persönlich keitsrechte beim Umgang mit personenbezogenen Daten. Das BDSG beschreibt die technischen und organisatorischen Maßnahmen, die zu treffen sind, damit dem Bundesdatenschutzgesetz genüge getan wird. 44,34% der befragten Unternehmen haben bereits Regelungen für den Umgang mit Daten fixiert. Weitere 29,25% wenden technisch-organisatorische Maßnahmen an, die laut BDSG notwendig sind. Die Bestellung eines betrieblichen Datenschutzbeauftragten ist in 4 f des Bundesdatenschutzgesetzes geregelt. Danach ist ein Datenschutzbeauftragter zu bestellen, wenn personenbezogene Daten automatisiert verarbeitet werden und damit in der Regel mindestens zehn Personen ständig beschäftigt sind oder personenbezogene Daten auf andere Weise verarbeitet werden und damit in der Regel mindestens 20 Arbeitnehmer beschäftigt sind. Zu der Zahl der Personen zählen dabei auch die Mitarbeiter in der IT, Teilzeitkräfte, Auszubildende und Leihpersonal sowie der Geschäftsführer. Unabhängig von der Anzahl der Personen ist ein Datenschutzbeauftragter zu bestellen, wenn automatisierte Verarbeitungen vorgenommen werden, die einer Vorabkontrolle gemäß 4 d Abs. 5 BDSG (Anlage 1) unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung automatisiert verarbeitet oder genutzt werden. Ein Datenschutzbeauftragter kann, auch wenn er von Rechts wegen nicht bestellt werden muss, freiwillig bestellt werden. Sollte dies nicht gemacht wer den, muss der Datenschutz allerdings von der Unte r nehmensleitung sichergestellt werden. Alle Umfrageergebnisse finden Sie unter: umfrage-informationssicherheit-und-datenschutz Ergebnisse der Umfrage: Benötigen Sie nach 4 des BDSG einen betrieblichen Datenschutzbeauftragten? Ergebnisse der Umfrage: Haben Sie bereits die Anforderungen des BDSG erfüllt? 1% 11% 3% 30% 33% 58% 58% 7% 14% 1% Ergebnisse der Umfrage: Falls Sie dazu verpflichtet sind, einen betrieblichen Datenschutzbeautragten zu bestellen, haben Sie diese Pflicht erfüllt? 53% 32% Ja Nein Weiß nicht Keine Angabe 18

19 7 Weiterführende Links Thema Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik https://www.bsi.bund.de/shareddocs/downloads/ DE/BSI/Publikationen/ITGrundschutzstandards/ standard_1002_pdf.pdf? blob=publicationfile https://www.bsi.bund.de/shareddocs/downloads/ DE/BSI/Grundschutz/Download/Ueberblickspapier_BYOD_pdf.pdf? blob=publicationfile https://www.bsi.bund.de/shareddocs/downloads/ DE/BSI/Grundschutz/Download/Ueberblickspapier_ Netzzugangskontrolle.pdf? blob=publicationfile Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. ACF897.pdf Thema Datenschutz Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: oder Landesamt für Datenschutzaufsicht: aufg_abt/abt1/abt1dsa10.htm Der Bayerische Landesbeauftragte für den Datenschutz: Gesellschaft für Datenschutz und Datensicherung: Berufsverband der Datenschutzbeauftragten: Virtuelles Datenschutzbüro: 8 Die Autoren Maximilian Köbler Maximilian Köbler ist seit 2010 studentische Hilfskraft und studiert an der Julius- Maximilians Universität Würzburg im Bachelorstudiengang Wirtschaftsinformatik. Nach seinem Auslandssemester an der University of Groningen schrieb er seine Thesis zum Thema Enterprise Mobility. Aktuell macht er ein Praktikum im Bereich Financials Consulting bei der SAP und wird ab dem Wintersemester 2013/14 mit seinem Studium zum Master Wirtschaftsinformatik beginnen. M. A. Julia Grosser Julia Grosser studierte an der Hochschule für angewandte Wissenschaften Würzburg Betriebswirtschaft und Innovationsmanagement. Nach der Arbeit in Unternehmen der Region Mainfranken ist Frau Grosser seit März 2013 in der IHK Würzburg-Schweinfurt als ebusiness-lotse Mainfranken tätig. Als Projektmanagerin informiert sie Unternehmen in den Bereichen Cloud Computing, ERP-Systeme, Informationssicherheit und Online-Marketing. Dipl.-Kfr. Christine Scheid Christine Scheid studierte an der Julius-Maximilians-Universität Betriebwirtschaftslehre und ist seit 2008 wissenschaftliche Mitarbeiterin am Lehrstuhl für BWL und Wirtschaftsinformatik. Als Projektmanagerin des ebusiness-lotsen Mainfranken informiert sie kleine und mittelständische Unternehmen zu Themenbereichen des ebusiness. Ihre Schwerpunkte liegen im Bereich Cloud Computing, ERP- Systeme, Informationssicherheit und Online-Marketing. 19

20 9 Quellenverzeichnis Bundesamt für Sicherheit in der Informationstech nik (Hrsg.): BSI-Standard IT-Grundschutz Vorgehensweise. In: https://www.bsi.bund.de/ SharedDocs/ Downloads/DE/BSI/Publikationen /ITGrundschutzstandards/standard_1002_pdf.pdf? blob=publicationfile, Informationsabfrage am Bundesamt für Sicherheit in der Informations technik (Hrsg.): M Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit. In: https://www.bsi.bund.de/contentbsi/ grundschutz/kataloge/m/m02/m02193.html, Informationsabfrage am Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Glossar und Begriffsdefinitionen. In: https://www.bsi.bund.de/de/themen/weitere Themen/ITGrundschutzKataloge/Inhalt/ Glossar/glossar_node.html, Informationsabfrage am Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen. In: https://www.bsi.bund.de/shareddocs/ Downloads/DE/BSI/Publikationen/Studien/ KMU/Studie_IT-Sicherheit_KMU.pdf, Informationsabfrage am Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Hrsg.): Sicherheit für Systeme und Netze in Unternehmen. In: pdf, Informationsabfrage am CERT Software Engineering Institute (Edit.): CERT Statistics. In: Informationsabfrage am Cheswick, W. et. al.: Firewalls und Sicherheit im Internet. 2. Aufl., Pearson, München Computer Security Institute (Edit.): Computer Crime and Security Survey. In: FBI.2002.pdf, Informationsabfrage am Dinger, J.; Hartenstein, H.: Netzwerk- und IT- Sicherheitsmanagement. Eine Einführung. KIT Scientific Publishing, Karlsruhe Deutschland sicher im Netz e.v. (Hrsg.): IT-Sicherheitslage im Mittelstand In: https://www.sicher-im-netz.de/files/documents/ unternehmen/studie_itsicherheitslage_ mittelstand_2011_korr pdf, Informationsabfrage am Eckert, C.: IT-Sicherheit. Konzepte Verfahren Protokolle. 7.Aufl., Oldenbourg, München Ernst &Young Limited (Edit.): Fighting to close the gap. Ernst & Young s 2012 Global Information Security Survey. In: Publication/vwLUAssets/Fighting_to_close_ the_gap:_2012_global_information_security_survey/$file/2012_global_information_ Security_ Survey Fighting_to_close_the_gap. pdf, Informationsabfrage am Europäische Kommission (Hrsg.): Definition von KMU. In: sme/facts-figures-analysis/sme-definition/index_ de. htm, Informationsabfrage am Von Graevenitz, G.: Erfolgskriterien und Absatzchancen biometrischer Identifikationsverfahren. Lit Verlag, Berlin Gründer, T.; Schrey, J.: Managementhandbuch IT-Sicherheit. Risiken, Basel II, Recht. Schmidt, Berlin Kardel, D.: IT-Sicherheitsmanagement in KMU. In: Fröschle, H. (Hrsg.): IT-Sicherheit und Datenschutz. dpunkt.verlag, Heidelberg 2011, S Klipper, S.: Information Security Risk Management. Vieweg und Teubner, Wiesbaden Laudon, K. et. al.: Wirtschaftsinformatik. Eine Einführung. 2. Aufl., Pearson, München

Maksim Kabakou / fotolia.com. Umfrage. Informationssicherheit und Datenschutz. Eine Umfrage in der Region Mainfranken

Maksim Kabakou / fotolia.com. Umfrage. Informationssicherheit und Datenschutz. Eine Umfrage in der Region Mainfranken Maksim Kabakou / fotolia.com Umfrage Informationssicherheit und Datenschutz Eine Umfrage in der Region Mainfranken 1 Impressum Verleger: ebusiness-lotse Mainfranken Projektträger Industrie- und Handelskammer

Mehr

Maksim Kabakou / fotolia.com INFORMATIONSBROSCHÜRE. Informationssicherheit und Datenschutz. Eine Umfrage in der Region Mainfranken

Maksim Kabakou / fotolia.com INFORMATIONSBROSCHÜRE. Informationssicherheit und Datenschutz. Eine Umfrage in der Region Mainfranken Maksim Kabakou / fotolia.com INFORMATIONSBROSCHÜRE Informationssicherheit und Datenschutz Eine Umfrage in der Region Mainfranken Impressum: Verleger: ebusiness-lotse Mainfranken Projektträger Industrie-

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Cyberkriminalität und Datendiebstahl: Wie schütze ich mein Unternehmen?

Cyberkriminalität und Datendiebstahl: Wie schütze ich mein Unternehmen? Cyberkriminalität und Datendiebstahl: Wie schütze ich mein Unternehmen? Dienstag, 18. März 2014 Referentin Informationssicherheit IHK für München und Oberbayern Bildnachweis: Fotolia Maksim Kabakou Ihr

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Grundlagen der IT-Sicherheit für KMU: Organisatorische IT-Sicherheit

Grundlagen der IT-Sicherheit für KMU: Organisatorische IT-Sicherheit Grundlagen der IT-Sicherheit für KMU: Organisatorische IT-Sicherheit Ein Merkblatt der Industrie- und Handelskammer Hannover Technische Sicherheitsmaßnahmen allein reichen nicht aus. Obschon hier in den

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

4Brain IT-Netzwerke IT-Sicherheit

4Brain IT-Netzwerke IT-Sicherheit 4Brain IT-Netzwerke IT-Sicherheit Markus Hannemann Geschäftsführer IT-Counsultant 4Brain IT-Netzwerke IT-Sicherheit Essener Straße 59 46047 Oberhausen 0208 307791-81 info@4brain.de 1 Firmenportrait März

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet

Moderne EDV im kleinen und mittelständischen Unternehmen. EDV Sicherheit im Zeitalter des Internet Moderne EDV im kleinen und mittelständischen Unternehmen EDV Sicherheit im Zeitalter des Internet Vortrag von Alexander Kluge-Wolf Themen AKWnetz, IT Consulting & Services Mir kann ja nichts passieren

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Gedanken zur Informationssicherheit und zum Datenschutz

Gedanken zur Informationssicherheit und zum Datenschutz Gedanken zur Informationssicherheit und zum Datenschutz Lesen Sie die fünf folgenden Szenarien und spielen Sie diese im Geiste einmal für Ihr Unternehmen durch: Fragen Sie einen beliebigen Mitarbeiter,

Mehr

IT-Sicherheit am KIT Leitlinie des Karlsruher Instituts für Technologie

IT-Sicherheit am KIT Leitlinie des Karlsruher Instituts für Technologie IT-Sicherheit am KIT Leitlinie des Karlsruher Instituts für Technologie PRÄSIDIUM Präambel Die Leistungsfähigkeit des Karlsruher Instituts für Technologie (KIT) hängt maßgeblich von der Verfügbarkeit und

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Datenschutz und Informationssicherheit 03.09.2015

Datenschutz und Informationssicherheit 03.09.2015 Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking

Mehr

statuscheck im Unternehmen

statuscheck im Unternehmen Studentische Beratungsgesellschaft für Sicherheitsangelegenheiten an der HWR Berlin statuscheck im Unternehmen Mit unserem statuscheck analysieren wir für Sie Schwachstellen, Risiken sowie Kosten und Nutzen

Mehr

IT-Sicherheit im Datenschutz

IT-Sicherheit im Datenschutz IT-Sicherheit im Datenschutz Systematischer Schutz von Unternehmenswerten und Sicherstellung der Wirksamkeit technischer Datenschutzmaßnahmen Hamburg, 11. September 2012 Dr. Ralf Kollmann Agenda Begriffliche

Mehr

Datensicherheit und Co. IHK Potsdam, 22.05.2013

Datensicherheit und Co. IHK Potsdam, 22.05.2013 Datensicherheit und Co. IHK Potsdam, 22.05.2013 Aktuelles 25.04.2013/ 17:18 Gefälschte Bank-Mails verteilen Trojaner für Android Hacker-Angriff Bonn (dpa/tmn) - Android-Smartphones stehen gerade im Visier

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Einleitung. Jahrgang 1970 1966. Studium Physikalische Technik Physikalische Technik. Ausbildung Research Ingenieur Technischer Zeichner

Einleitung. Jahrgang 1970 1966. Studium Physikalische Technik Physikalische Technik. Ausbildung Research Ingenieur Technischer Zeichner Einleitung Die itbl GbR bietet Ihnen Beratung und Service rund um Ihre EDV. Dabei gehen wir flexibel, individuell und persönlich auf jedes Unternehmen und jeden Mitarbeiter ein. Wir unterstützen Sie von

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Datenschutz Schnellcheck. Referent Jürgen Vischer

Datenschutz Schnellcheck. Referent Jürgen Vischer Datenschutz Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

IT-SICHERHEIT UND MOBILE SECURITY

IT-SICHERHEIT UND MOBILE SECURITY IT-SICHERHEIT UND MOBILE SECURITY Grundlagen und Erfahrungen Dr.-Ing. Rainer Ulrich, Gruppenleiter IT SECURITY Schäubles Handy bei Einbruch gestohlen Bei Wolfgang Schäuble ist eingebrochen worden. Die

Mehr

IT-Sicherheitslage im Mittelstand 2011

IT-Sicherheitslage im Mittelstand 2011 IT-Sicherheitslage im Mittelstand 2011 Deutschland sicher im Netz e.v. Katrin Böhme Referentin für IT-Sicherheit 22. Februar 2012 Über DsiN Zentraler Ansprechpartner DsiN informiert umfassend herstellerübergreifend

Mehr

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter 19. Mai 2014 Handwerkskammer OWL zu Bielefeld Begriffsklärungen zur IT-Sicherheit Informationssicherheit -> Schutzziele für Daten hinsichtlich

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Online IT Check Frech Michael 15.09.2011

Online IT Check Frech Michael 15.09.2011 Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder

Mehr

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert Taxifahrende Notebooks und andere Normalitäten Frederik Humpert Ein paar Zahlen Von September 2004 bis Februar 2005 wurden weltweit 11.300 Laptops 31.400 Handhelds 200.000 Mobiltelefone in Taxis vergessen

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

Kundenzentrierte Geschäftsprozesse sicher gestalten

Kundenzentrierte Geschäftsprozesse sicher gestalten Platzhalter für Logo Agenda 1.Vorstellung des MECK Kundenzentrierte Geschäftsprozesse sicher gestalten 2.Aufbau und Konzeption einer IT- Sicherheits-Strategie 3.Wie erkenne ich die relevanten Geschäftsprozesse?

Mehr

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Claudiu Bugariu Industrie- und Handelskammer Nürnberg für 17. April 2015 Aktuelle Lage Digitale Angriffe auf jedes

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Die aktuellen Top 10 IT Herausforderungen im Mittelstand

Die aktuellen Top 10 IT Herausforderungen im Mittelstand Die aktuellen Top 10 IT Herausforderungen im Mittelstand Ronald Boldt, SPI GmbH Über mich Ronald Boldt Leiter Business Solutions SPI GmbH Lehrbeauftragter für Geschäftsprozess orientiertes IT Management

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime www.s-con.de 1 Referent Michael J. Schöpf michael.schoepf@s-con.de +49 171 3241977 +49 511 27074450

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund T.I.S.P. Community Meeting 2013 ISMS: Arbeitsplatz der Zukunft Chancen, Potentiale, Risiken, Strategien Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund so könnte der Arbeitsplatz der

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

Personal- und Patientendaten Datenschutz in Krankenhäusern

Personal- und Patientendaten Datenschutz in Krankenhäusern Personal- und Patientendaten Datenschutz in Krankenhäusern Datenschutz in Krankenhäusern In Krankenhäusern stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr