INFORMATIONSBROSCHÜRE. Informationssicherheit und Datenschutz. Eine Umfrage in der Region Mainfranken

Größe: px
Ab Seite anzeigen:

Download "INFORMATIONSBROSCHÜRE. Informationssicherheit und Datenschutz. Eine Umfrage in der Region Mainfranken"

Transkript

1 INFORMATIONSBROSCHÜRE Informationssicherheit und Datenschutz Eine Umfrage in der Region Mainfranken

2 Impressum Herausgeber: ebusiness-lotse Mainfranken c/o IHK Würzburg-Schweinfurt Mainaustraße Würzburg c/o Universität Würzburg Lehrstuhl für BWL und Wirtschaftsinformatik Josef-Stangl-Platz Würzburg Informationen zur Umfrage Branchen: alle Wirtschaftszweige Größe der Unternehmen: 1-19 Beschäftigte Verschickte Fragebögen: Stück Rückläufer: 106 Stück ebusiness-lotse Mainfranken, Würzburg. Alle Rechte vorbehalten. 1. Auflage 2013 Bildnachweise S. 1: Maksim Kabakou, fotolia.com S. 2: Maksim Kabakou, fotolia.com S. 5:.shock, fotolia.com S. 6: Denis Junker, fotolia.com S. 10: momius, fotolia.com S. 12: pn_photo, fotolia.com S. 13: alphaspirit, fotolia.com S. 14: Maksim Kabakou, fotolia.com S. 15: Maksim Kabakou, fotolia.com S. 23: treenabeena, fotolia.com 2

3 Sehr geehrte Damen und Herren, innovative digitale Lösungen bieten kleineren und mittleren Unternehmen neue Wachstumsimpulse und Entwicklungschancen auf einem sich stetig wandelnden Markt. Der Einsatz von Informationstechnologien gehört dabei zum Geschäftsalltag. Zahlreiche vertrauliche Daten werden dabei über die IT verarbeitet und gespeichert. Der Verlust von Daten und Know-how durch unzureichende organisatorische und technische Regulierungen verursacht bei den Unternehmen zunehmend wirtschaftliche Schäden. Ein Grund hierfür ist häufig ein fehlendes Bewusst sein für die Bedeutung sicherer IT-Systeme. Wir das Team des ebusiness-lotsen Mainfranken sehen uns als Unterstützer insbesondere für kleine und mittelständische Unternehmen in der Region Mainfranken. Spezialisiert haben wir uns auf die Bereiche Informationssicherheit und Datenschutz, betriebswirtschaftliche Software, Cloud Computing sowie Online- Marketing. Um gezielt agieren zu können und den Kenntnisstand der mainfränkischen Unternehmen zu erfassen, gehen wir direkt auf Unternehmen zu. Die hier präsentierte Umfrage zum Thema Informationssicherheit und Datenschutz wurde von uns erstellt und an Unternehmen in Mainfranken verteilt. Ziel war es, herauszufinden, wie präsent das Thema Informations sicherheit bei den mainfränkischen Unternehmen ist. Die Ergebnisse und weitere nützliche Informationen rund um die Informationssicherheit und den Datenschutz haben wir für Sie aufbereitet und möchten sie Ihnen hier gerne an die Hand geben. Das Team des ebusiness-lotsen Mainfranken bedankt sich bei allen Unternehmen, die sich an der Umfrage beteiligt haben. Oliver Freitag, Dipl.-Ing. (FH), Gesamtprojektleiter 3

4 4 Informationssicherheit und Datenschutz

5 Inhalt 1 Informationssicherheit ein unterschätztes Thema im Mittelstand? 5 2 Grundlagen der Informationssicherheit Schutzziele Bedrohungen 6 3 Maßnahmen zur Erhöhung der Informationssicherheit Organisatorische Ansätze Ernennung eines Sicherheitsverantwortlichen Sicherheitsrichtlinien Richtlinien zur Nutzung der IT-Infrastruktur Sensibilisierung der Mitarbeiter Notfallplanung Technologische Ansätze Virenscanner Firewalls Kryptographie Erstellung von Datensicherungen (Backups) Passwortregelungen Maßnahmen zur Vernichtung/Löschung von Daten 13 4 Kontrollmöglichkeiten Penetrationstests Audits/Schwachstellenanalyse 15 5 Informationssicherheit als existenzielle Aufgabe für mittelständische Unternehmen 16 6 Bundesdatenschutzgesetz 17 7 Weiterführende Links 18 8 Die Autoren 18 9 Quellenverzeichnis Fragebogen 20 5

6 1 Informationssicherheit ein unterschätztes Thema im Mittelstand? Eine Studie des Bundesamts für Sicherheit in der Informationstechnik 1) zeigt, dass nicht nur die IT-Leit ung, son dern auch das Management von mehr als 90% der kleinen und mittelständischen Unternehmen das Thema Informationssicherheit heutzutage als wichtig oder sehr wichtig erachtet. Dennoch besteht in vielen mittelständischen Unternehmen großer Nachhol bedarf im Bereich der Informationssicherheit und des Datenschutzes. Eine Umfrage des ebusiness-lotsen Mainfranken hat ergeben, dass sich viele Unternehmen gar nicht oder kaum von unterschiedlichen Lücken der Informationssicherheit bedroht fühlen. Die Berücksichtigung von Trends wie Cloud Computing, Social Media, Virtualisierung, Mobilität und die sich daraus ergebenden möglichen Sicherheitsprobleme machen es notwendig, dass das Thema Informationssicherheit von mittelständischen Unter neh men strategisch, ganzheitlich und kontinuierlich angegangen werden muss. 1) In: https://www.bsi.bund.de/shareddocs/downloads/de/bsi/ Publikationen/Studien/KMU/Studie_IT-Sicherheit_KMU.pdf 2 Grundlagen der Informationssicherheit Während ein Sicherheitsbereich wie der Werkschutz, der ein Firmengebäude bewacht, ein sehr konkreter und greifbarer Bereich ist, wird die Informationssicherheit oft als abstrakt und immateriell empfunden. Der Begriff Informationssicherheit muss von dem Begriff IT-Sicherheit, welcher den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung beschreibt, abgegrenzt werden. Ebenso wenig darf Informationssicherheit mit Datensicherheit oder Datenschutz verwechselt werden. Da tensicherheit beschreibt insbesondere Maßnahmen zur Vorbeugung von Datenverlusten durch das Anlegen von Sicherungskopien. Mit Datenschutz bezeichnet man die Wahrung der Pri vats phäre einer natürlichen Person bei der Datenver arbeitung. Aufgabe der Informationssicherheit ist es, technische und organisatorische Maßnahmen zu ergreifen, die dazu beitragen, dass sensible und vertrauliche Informationen nicht in falsche Hände gelangen, Manipulationen erkannt werden und sichergestellt ist, dass die benötigten Informationen zeitnah und korrekt zur Verfügung stehen 2). Der Gedankengehalt dieser Definition ist in den drei sogenannten Grundwerten oder Schutzzielen der Informationssicherheit zusammengefasst. 2) Schmidt K.: Der Security Manager. Carl Häuser Verlag München 2006, S Schutzziele Bei den klassischen Schutzzielen der Informationssicherheit Vertraulichkeit, Verfügbarkeit und Integrität ist zu beachten, dass ein vollständiges Erreichen 6

7 dieser Ziele in der Realität oft nicht möglich ist. Deshalb gilt es in der Informationssicherheit, ein angemessenes Sicherheitsniveau zu erreichen. Ein Informationssystem gewährleistet Vertraulichkeit, wenn kein unautorisierter Informationszugriff stattfinden kann. Diese Eigenschaft bedingt die Festlegung von Berechtigungen und Kontrollen, um unzulässige Informationsflüsse zu verhindern. Die Verfügbarkeit von Dienstleistungen und Funktionen eines Informationssystems ist gegeben, wenn dieses von den Anwendern wie vorgesehen benutzt und nicht durch unautorisierte Handlungen beeinträchtigt werden kann. Um die Integrität eines Informationssystems zu gewährleisten, muss verhindert werden, dass unbemerkt unautorisierte Veränderungen an Daten, Netzen oder Systemen vorgenommen werden können. Deshalb sollten Mechanismen vorhanden sein, mithilfe derer Manipulationen vermieden werden können bzw. erkennbar sind. 2.2 Bedrohungen Sicherheitsbedrohungen haben zwei verschiedene Ursachen. Entweder sind sie menschlichen Ursprungs oder sie entstehen durch höhere Gewalt. Beispiele für Letzteres sind Naturkatastrophen wie Gewitter, Feuer oder Erdbeben. Sie treten meist unerwartet auf und können große Schäden an Computernetzwerken und Systemen anrichten, wodurch es zum Stillstand wichtiger Geschäftsprozesse kommen kann. unabsichtlich herbeigeführte Bedrohungen untergliedern. Beispiele für Letzteres sind Fehler und Ausfälle von Informationssystemen aufgrund von unsachgemäßer Bedienung oder Fahrlässigkeit. Dieser Risikofaktor entsteht durch Unwissenheit oder mangelhafte Ausbildung der Mitarbeiter. Absichtlich herbeigeführte Bedrohungen werden in aktive und passive Angriffe unterteilt. Aktive Angriffe sind beispielsweise das Einbringen von Schadsoftware, Sabotage oder Eingriffe in die Datenübertragung. Ein passiver Angriff ist beispielsweise das Abhören geschäftskritischer, sensibler Daten, jedoch ohne diese zu verändern oder zu manipulieren. Während die Motive für Hacker eher Rebellion, Status, Geld oder die Her ausforderung sind, werden Innentäter von Neugier de, einem verletzten Selbstwertgefühl oder Rache angetrieben. Typische Innentäter sind zum Beispiel un ehrliche, verärgerte oder gerade gekündigte Mitarbeiter. Da diese Menschen besonders motiviert sind, ist es für Unternehmen wichtig, die Bedrohungen durch Innentäter und Hacker sowie die daraus erwachsenden Risiken zu kennen und Gegen maßnahmen zu ergreifen. Der Ausfall von Informationssystemen kann die Exis tenz von Unternehmen gefährden, falls keine ent sprechen den präventiven Maßnahmen durchgeführt werden. In folgedessen müssen Schutz und Vorsorge dieser unternehmenskritischen IT-Infrastrukturen gegen Bedrohungen im wirtschaftlichen Interesse aller informationsverarbeitenden Unternehmen liegen. Die von menschlicher Hand ausgelösten Schäden an Informationssystemen lassen sich in absichtlich und 7

8 Ergebnisse der Umfrage: Von welchen Szenarien fühlen Sie sich aktuell bedroht? Gar nicht Wenig Mittel Stark Sehr stark Menschliches Versagen 11% 32% 26% 11% 2% Technisches Versagen Höhere Gewalt 9% 25% 32% 11% 6% 25% 25% 21% 9% 1% Verlust von Speichermedien 22% 26% 22% 8% 3% Sabotage durch Mitarbeiter 49% 22% 1% 1% Datenverluste in der Cloud Viren, Malware & Phishing- Attacken 44% 17% 12% 9% 7% 14% 26% 27% 11% 1% Wirtschaftsspionage 46% 23% 10% 4% Diebstahl 16% 31% 25% 7% 5% Einbruch 27% 25% 18% 9% 3% Vandalismus 42% 26% 6% 5% 2% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Ergebnisse der Umfrage: Wie oft wurden Sie in den vergangenen 12 Monaten mit den folgenden Vorfällen konfrontriert? Nie Selten Häufig Menschliches Versagen Technisches Versagen 37% 47% 1% 47% 55% 2% Höhere Gewalt 58% 22% 1% Verlust von Speichermedien 63% 23% Sabotage durch Mitarbeiter 78% 7% 1% Datenverluste in der Cloud Viren, Malware & Phishing- Attacken Wirtschaftsspionage Diebstahl Einbruch Vandalismus 75% 9% 18% 78% 14% 78% 5% 2% 54% 27% 3% 70% 13% 2% 76% 13% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 8

9 3 Maßnahmen zur Erhöhung der Informationssicherheit Maßnahmen zur Erhöhung der Informationssicherheit erfordern finanzielle, personelle und zeitliche Ressourcen, die vom Management zur Verfügung gestellt werden müssen. Gerade in kleineren mittelständischen Unternehmen ist das Budget für Informationssicherheit im Durchschnitt jedoch deutlich geringer als in Großunternehmen. Daher ist es äußerst wichtig, die vorhandenen Ressourcen effizient und wirkungsvoll einzusetzen. Organisatorische Regelungen sind häufig effektiver als Investitionen in Sicherheitstechnik. Doch auch die notwendigen technischen Maßnahmen zur Sicherung der Informationen sollten sinnvoll mit den organisatorischen Maßnahmen kombiniert werden. 3.1 Organisatorische Ansätze Bei der Implementierung neuer organisatorischer Prozesse liegt die Verantwortung beim Management. Von Experten entwickelte Richtlinien sollten klar und deutlich kommuniziert und vorgelebt werden. Deshalb ist es erforderlich, bei den Mitarbeitern ein Bewusstsein für Informationssicherheit zu schaffen. Reaktive Planung kann dazu beitragen, den Schaden nach erfolgten Angriffen zu reduzieren Ernennung eines Sicherheitsverantwortlichen Im ersten Schritt wird ein Verantwortlicher für die Realisierung von Sicherheitsmaßnahmen ernannt. Dieser fungiert auch als Hauptansprechpartner und Koordinator, der die Einhaltung von Sicherheitsvorgaben kontrolliert und vorantreibt. Zu seinem Aufgabenbereich zählen weiterhin die Steuerung des Informationssicherheitsprozesses und die Erstellung von Sicherheitskonzepten, Richtlinien und Notfallplänen. Außerdem ist er dafür zuständig, sicherheitsrelevante Zwischenfälle zu untersuchen, Schulungsmaßnahmen zu steuern und der Unternehmensleitung über den Status Quo der Informationssicherheit zu berichten. Um diese Aufgabe erfüllen zu können, bedarf es Erfahrung in den Bereichen IT und Informationssicherheit, Systemanalyse und Projektmanagement Sicherheitsrichtlinien Nachdem ein Verantwortlicher für Informationssicherheit ernannt worden ist, beginnt dieser mit der Definition und anschließenden Dokumentation von Sicherheitsrichtlinien. Dabei ist zu beachten, dass diese Richtlinien mit der Geschäftsstrategie und den Geschäftszielen abgestimmt werden. Die Richtlinien beinhalten prinzipiell Vorgaben zur Prävention, Detektion sowie Meldung und Alarmierung, Reaktion, Restauration und Verifikation 3). Eine Untergliederung kann in Sicherheitsregeln, Prozessvorlagen, eine IT-Benutzerordnung und Vorgaben zur -Nutzung gemacht werden. Richtlinien zur -Nutzung können beispielsweise das Gebot enthalten, dass ein - System und die geschäftliche Adresse nur zu geschäftlichen Zwecken genutzt werden dürfen oder eine bestimmte vordefinierte Standardform eingehalten werden muss. Weil jedes mittelständische Unternehmen andere Anforderungen an die Informationssicherheit hat, gibt es keine allgemeingültigen Sicherheitsrichtlinien. Beim Aufbau eines Projektes zur Erstellung von Sicherheitsrichtlinien ist zu beachten, dass diese von Experten erarbeitet, ihre Anwendbarkeit und Ausführbarkeit geprüft werden und eine klare Form gewählt wird. Verständlichkeit ist ein ausschlaggebender Erfolgsfaktor bei der Einhaltung von Sicherheitsrichtlinien durch die Mitarbeiter. Denn eine Richtlinie kann wohl überlegt ausgearbeitet sein, zeigt aber keine Wirkung, wenn sie im Geschäftsbetrieb nicht richtig angewandt wird. 3) Müller, K.: IT-Sicherheit mit System. 2. Aufl., Vieweg und Sohn Verlag, Wiesbaden 2005, S Richtlinien zur Nutzung der IT-Infrastruktur Der richtige und verantwortungsbewusste Umgang bei der Nutzung von firmeneigener Soft- und Hardware innerhalb und außerhalb des Unternehmens sowie der geschäftlichen Nutzung privater Endgeräte ist essenziell. Sicherheitslücken können dazu führen, dass Daten und Informationen ungewollt an Dritte gelangen. Es muss geregelt werden, was genutzt werden darf (sowohl beruflich als auch privat) und wie Installationen von Software und Apps koordiniert und genehmigt werden. Hierfür sollte ein Genehmigungsverfahren erarbeitet werden, das die Komponenten auf Funktionsfähigkeit und Sicherheit überprüft. Darüber hinaus ist es sinnvoll, den Gebrauch von externen Speichermedien (USB-Sticks, Festplatten etc.) festzulegen. Bei der Nutzung von privaten Endgeräten verschwimmen die Grenzen zwischen Unternehmensdaten und privaten Daten. Dies kann zu etlichen rechtlichen (arbeits-, urheber- sowie lizenzrechtlichen) und technischen Problemen führen, denn es ist schwer zu kontrollieren, welche Programme auf privaten Geräten verwendet werden und wer außer dem Inhaber des Gerätes selbst Zugriff auf das Endgerät hat. Auch der Schutz des Gerätes in Bezug auf Viren und Schadsoftware liegt 9

10 nicht mehr in der Hand des Unternehmens. Die Organisationsrichtlinie zur Festlegung der ordentlichen Nutzung ist auch bekannt unter dem Begriff bring your own device (BYOD) Sensibilisierung der Mitarbeiter Die Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit ist ein elementarer Bestandteil der Informationssicherheitsstrategie eines Unter nehmens. Schulungen und Weiterbildungen müssen differenziert durchgeführt werden und auf dem Wissensstand der Mitarbeiter aufbauen. Nur wenn eine nachhaltige Sensibilisierung erreicht wird, können sowohl organisatorische als auch technologische Maßnahmen effektiv realisiert werden. Um dieses Ziel zu erreichen, müssen mittelstän dische Unternehmen verschiedene Entwicklungsschritte durchlaufen. Zuerst wird, beispielsweise durch internes Mar keting, Aufmerksamkeit für das Thema Informations sicherheit geschaffen. Dadurch soll bei den Mitarbeitern Interesse geweckt werden. Des Weiteren sollten die Mitarbeiter grundlegende Fachkenntnisse der Informationssicherheit erlangen, wodurch sie Sicher heitsprobleme am Arbeitsplatz selbstständig erkennen und beheben können. Regelmäßige Weiterbildungen, Übungen oder Newsletter dienen dazu, das Sicherheitsbewusstsein zu trainieren. Ebenso muss das Management die Sicherheitsvorgaben kon se quent befolgen, sich den Mitarbeitern gegenüber vorbildlich verhalten und ihnen dadurch einen Motivations schub verleihen. Ferner sollen mittelständische Unternehmen darauf achten, dass externe Mitarbeiter Sicherheitsrichtlinien genauso einhalten wie interne Mitarbeiter. Ansonsten könnte dies die Entstehung von vermeidbaren Schwachstellen zur Folge haben Notfallplanung Nach einem erfolgreichen Angriff auf das Informationssystem eines Unternehmens muss dieses möglichst schnell wieder in den Normalzustand zurückversetzt werden, um die Geschäftskontinuität zu wahren und den Schaden zu begrenzen. Ziel eines Notfallplans ist die Wiederherstellung der Verfügbarkeit, Integrität und Vertraulichkeit der Daten. In einem Notfallplan werden potenzielle Katastrophenszenarien und die dazugehörigen Reaktionen beschrieben. Dabei ist es wichtig, dass alle eventuell auftretenden Angriffs- und Schadensarten in der Planung berücksichtigt werden. Zuerst wird eine detaillierte Risikoanalyse durchgeführt und ein Krisenmanagement-Team benannt. Danach werden genaue Prozessschritte definiert, die Kommunikationswege und Entscheidungskompetenzen für Katastrophenfälle zuordnen. Ergebnisse der Umfrage: Haben Sie eine oder mehrere der folgenden Sicherheitsmaßnahmen bereits umgesetzt (organisatorische Ansätze)? Sicherheitsmaßnahme Maßnahme bereits umgesetzt Richtlinie für private Nutzung von firmeneigener Hardware, Software, Internet 28,30 % Richtlinie für geschäftliche Nutzung von privaten Geräten 23,58 % Durchführung von Übungen (Brandschutz, Stromausfall usw.) 22,64 % Durchführung von Mitarbeiterschulungen (Sensibilisierung, Awareness) 21,70 % Erstellung eines Notfallplans 18,87 % Übergabe der Verantwortung (Bestellung eines Informationssicherheitsbeauftragten) 14,15 % Einführung einer Sicherheitsrichtlinie 10,38 % Etablierung einer Liste für Sicherheitsvorfälle 4,72 % Zertifizierung nach ISO ,89 % 10

11 Damit diese geplanten Vorgehensweisen auch im Notfall funktionieren, ist eine regelmäßige Erprobung und Ak tualisierung notwendig. Notfallpläne müssen für alle Mitarbeiter verständlich sein und auf Vollständigkeit überprüft werden. Da Informationssysteme von Unternehmen nicht mehr isoliert zu betrachten sind, sondern als Teil eines Netzwerks, das mit Lieferanten, Kunden und externen Dienst leistern gebildet wird, sind die Folgen von Ausfällen systemisch und ganzheitlich zu sehen. 3.2 Technologische Ansätze Nachdem im vorangegangenen Verlauf organisatorische Maßnahmen zur Erhöhung der Informationssicherheit in mittelständischen Unternehmen erläutert wurden, steht in diesem Kapitel der Einsatz technologischer Maßnahmen im Vordergrund Virenscanner Ein Virus [ ] bezeichnet in der Biologie einen Mikro- Organismus, der auf eine lebende Wirtszelle angewiesen ist, keinen eigenen Stoffwechsel besitzt und fähig ist, sich zu reproduzieren. Diese Eigenschaften sind direkt auf Computerviren übertragbar. 4) Viren sind Programme, die sich selbst replizieren und an verschiedenen Stellen im Informationssystem, z. B. in Programmen oder Dateien, festsetzen. Sie können gesamte Dateisysteme zerstören, Festplatten formatieren und Programme verändern, wodurch es zu Fehlfunktionen von Informationssystemen und Datenverlust kommen kann. Somit stellen Viren eine existenzielle Bedrohung für die Geschäftskontinuität mittelständischer Unternehmen dar. Weil heutzutage ein Großteil der Firmencomputer mit dem Internet ver bunden ist, ist ein Befall sehr wahrscheinlich. Virenscanner-Programme sind deshalb häufig genutzte und effektive technologische Abwehrwerkzeuge. Viren enthalten eine Virenkennung oder bestimmte Code sequenzen. Infolgedessen können sie von Viren scannern, die umfangreiche Datenbanken mit Vi renken nungen und Merkmalen verwalten, erkannt werden. Um einen wirksamen technologischen Schutz gegen Virenbefall aufzubauen, müssen mittelständische Unternehmen Viren-Scan-Software anwenden, die ausund eingehende Dateien und Programme regelmäßig auf Virenbefall überprüft und deren Virendatenbank immer auf dem neuesten Stand gehalten wird. 4) Eckert, C.: IT-Sicherheit. Konzepte Verfahren Protokolle. 7.Aufl., Oldenbourg, München S Firewalls Eine zweite technologische Maßnahme, die mittelständische Unternehmen ergreifen können, um ihre Informationssicherheit und insbesondere ihre Netzwerksicherheit zu erhöhen, ist die Einrichtung und sorgfältige Konfiguration einer Firewall. Diese besteht aus einer oder mehreren Hard- und Softwarekomponenten, die zwei Netzwerke koppeln und sicherstellen sollen, dass jeglicher Verkehr zwischen den beiden Netzen durch die Firewall geleitet wird 5). Sie folgt dabei einer Sicherheitsstrategie, die Zugriffsrestriktionen und Authentifikationsanforderungen enthält. 5) Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Hrsg.): Sicherheit für Systeme und Netze in Unternehmen. In: S

12 Somit werden nur Datenpakete durch die Firewall geleitet, die diese Anforderungen erfüllen. Bei der Nutzung einer Firewall wird die Angriffsfläche eines Informationssystems deutlich verkleinert, da der gesamte ein- und ausgehende Netzwerkverkehr kontrolliert und protokolliert wird. Aus den Protokollen können Informationen über System- und Netzwerknutzung sowie deren Missbrauch gewonnen werden. Die Regeln einer sinnvoll konfigurierten Firewall erlauben, dass die benötigten Dienste und Applikationen verfügbar sind, unerwünschte Dienste jedoch geblockt werden. Sich häufig ändernde Anforderungen der Nutzer von Unternehmensnetzwerken führen dazu, dass Firewalls ständig angepasst und überwacht werden müssen. Da die Administration einer Firewall eine komplexe und anspruchsvolle Tätigkeit ist, kann es für kleinere mittelständische Unternehmen sinnvoll sein, die Hilfe eines Experten in Anspruch zu nehmen. Zwar bieten Firewalls einen guten Schutz gegen Angriffe von außen, sind jedoch machtlos gegen interne Angreifer. Sie vermögen nur vor Dingen zu schützen, die von außen in das unternehmensweite Netzwerk eindringen wollen. Vertrauliche Daten können von Internen weiterhin auf USB-Sticks oder andere Datenträger kopiert und weiterverbreitet werden. Zusätzlich besteht das Problem des Vertrauens. Angenommen die Firewall des Unternehmens A lässt Netzwerkdienste des Unternehmens B hindurch, und das Unternehmen B vertraut seinerseits dem Unternehmen C, dann muss auch Unternehmen A dem Unternehmen C vertrauen. Es ist festzuhalten, dass Firewalls zwar eine sehr empfehlenswerte und sinnvolle Sicherheitsmaßnahme sind, jedoch keinen Komplettschutz bieten und eine professionelle Administration erfordern Kryptographie Die Verschlüsselung von Daten wird Kryptographie genannt und angewendet, um vertrauliche Daten vor ungewolltem Zugriff zu schützen. Verschlüsseln oder Chiffrieren bedeutet letztlich, Daten von einer lesbaren Form mit einem mathematischen Algorithmus in eine nicht lesbare Form zu bringen. Ohne den passenden Schlüssel kommt man nicht mehr an die Daten heran 6). Verschlüsselungsverfahren haben für Unternehmen heutzutage eine große Bedeutung, da zum Beispiel bei geschäftlichen Transaktionen im Internet vertrauliche Daten wie Kundendaten oder Zahlungsdaten ausgetauscht werden müssen. Damit das Internet als kommerzielle Plattform genutzt werden kann, müssen die Integrität, Authentizität und Vertraulichkeit der gesendeten Daten sichergestellt werden. Dies kann durch Kryptographie erreicht werden. Es wird zwischen symmetrischen und asymmetrischen Verschlüsselungsverfahren unterschieden. Symmetrische Verfahren verwenden einen einzigen gemeinsamen Schlüssel. Dieser muss von den Kommunikationspartnern vor seiner Nutzung über einen sich eren Kanal ausgetauscht worden sein. Durch ihre Schnellig keit eignen sich diese Verfahren für Onlineanwendungen und bieten bei verhältnismäßig kurzer Schlüssel länge eine gute Sicherheit. 6) Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Hrsg.): Sicherheit für Systeme und Netze in Unternehmen. In: S. 40. Ergebnisse der Umfrage: Haben Sie eine oder mehrere der folgenden Sicherheitsmaßnahmen bereits umgesetzt (technologische Ansätze)? Sicherheitsmaßnahme Maßnahme bereits umgesetzt Virenschutzkonzept 85,85 % Erstellung eines Backup-Konzepts 60,38 % Passwortregelung (Zeichenanzahl, Änderungshäufigkeit usw.) 51,89 % Maßnahmen zur Vernichtung/ Löschung von Informationen 32,08 % Verschlüsselung des -Verkehrs 28,30 % Verschlüsselung von Laptops, Festplatten usw. 38,68 % 12

13 Die Verwaltung der Schlüssel kann jedoch bei mehreren Kommunikationspartnern schnell umständlich werden, da für jede bilaterale Kommunikation ein eigener Schlüssel benötigt wird. Bei asymmetrischen Verfahren werden zwei unterschiedliche, aber zusammen gehörende Schlüssel verwendet. Der öffentliche Schlüssel des Empfängers wird zur Verschlüsselung, der private Schlüssel des Empfängers zur Entschlüsselung benutzt. Dabei wird der öffentliche Schlüssel bekannt gemacht und der private Schlüssel geheim gehalten. Vorteil der asymmetrischen Verfahren ist, dass jeder Kommunikationspartner nur einen Schlüssel geheim halten muss. Dafür ist die Verschlüsselung langsamer, angreifbarer und es sind längere Schlüssel notwendig. Kryptographie kann nicht nur dabei helfen, die Informationssicherheit bei der internen und externen elektronischen Kommunikation mittelständischer Unternehmen zu erhöhen, sondern auch durch Datenträgerverschlüsselung können Betriebsgeheimnisse und sensible Daten vor unbefugtem Zugriff geschützt werden. Da die Nutzung mobiler Geräte wie Notebooks, Smartphones, Tablets, USB-Sticks und portable Festplatten durch Mitarbeiter im Allgemeinen zunimmt, steigt die Gefahr, dass die auf den Geräten befindlichen Daten gestohlen werden können. Aus diesem Grund ist es beispielsweise für Mitarbeiter im Vertrieb oder der Forschung und Entwicklung sinnvoll, sensitive Daten auf mobilen Geräten verschlüsselt zu speichern Erstellung von Datensicherungen (Backups) Um im Falle eines Datenverlustes die Originaldaten wieder herzustellen, empfiehlt es sich, eine Backup-Strategie zu entwickeln, die unterschiedliche Szenarien abdeckt, wie: das unabsichtliche Löschen von Daten den Ausfall von Festplatten die Manipulation (Inhalte/Werte) von Daten die Systemzerstörung durch unerwartete Ereignisse (Feuer, Wasser etc.) Die Strategie variiert von Unternehmen zu Unterneh men. Eine Möglichkeit zur Wiederherstellung der Originaldaten kann die Spiegelung und anderortige Aufbewahrung des kompletten Datenbestandes sein. Weniger zeitintensiv ist das regelmäßige Sichern von Auszügen der Daten (Dateisystem-Snapshots) Passwortregelungen Firmeneigene Systeme und Hardware sollten nur für die Benutzer zugänglich sein, die die jeweilige Berechtigung nachweisen. Um den korrekten Gebrauch von Passwörtern zu gewährleisten, sollten in jedem Unternehmen notwendige technische Maßnahmen umgesetzt werden und Regelungen zur Vergabe von Passwörtern vorhanden sein. Kriterien hierfür können unter anderem die Passwortlänge, der Gebrauch von Groß- und Kleinschreibung, Zahlen sowie Zeichenlängen sein. Zu vermeiden sind leicht zu erratende Passwörter Maßnahmen zur Vernichtung/Löschung von Daten Werden Daten nicht mehr benötigt und gelöscht, muss sichergestellt werden, dass die Vernichtung ordnungsgemäß durchgeführt wird und Daten nicht wieder rekonstruiert werden können. Es wird hierbei zwischen der physikalischen und der logischen Datenlöschung unterschieden. Erstere bezieht sich auf die konkrete Vernichtung von Datenträgern wie USB-Sticks, Bändern, Festplatten etc. Beim logischen Löschen werden die Medien, auf denen Daten gespeichert werden, nicht vernichtet, sondern weiterverwendet. 13

14 14 Informationssicherheit und Datenschutz

15 4 Kontrollmöglichkeiten Die Informationstechnologie und auch die Anforderungen ihrer Nutzer unterliegen heute einem ständigen Wandel, der großen Einfluss auf die Wirksamkeit von Sicherheitskonzepten hat. Die in mittelständischen Unternehmen umgesetzten Maßnahmen zur Erhöhung der Informationssicherheit können nur effektiv sein, wenn sie auch angemessen sind und lückenlos angewandt werden. Um zu verhindern, dass etablierte Sicherheitsmaßnahmen durch den stetigen Wandel ausgehebelt werden, gibt es verschiedene Kontrollver fahren. Durch diese können Informationssysteme dahin gehend überprüft werden, ob sie Schwachstel len besitzen und Änderungsbedarf besteht. 4.1 Penetrationstests Eine gute Möglichkeit, um herauszufinden, ob die in einem mittelständischen Unternehmen getroffenen Sicherheitsmaßnahmen noch wirksam und angemessen sind, bieten Penetrationstests. Durch diese werden Angriffsziele für Hacker und Schwachstellen identifiziert sowie das Gefährdungspotenzial analysiert. Ziel von Penetrationstests ist es, detaillierte Empfehlungen und Verbesserungsvorschläge zu erhalten, wie die gefundenen Schwachstellen beseitigt werden können. Bei White-Box-Penetrationstests wird der Angriff durch einen Innentäter simuliert. Der Tester besitzt tiefgehende Kenntnisse über die im Unternehmen genutzten Informationssysteme und kann gezielte Maßnahmen durchführen. Dadurch sind sehr umfassende Tests möglich. Bei Grey- Box-Penetrationstests erhält der Tester nur Teilinformationen über das Zielunternehmen. Er kann teilweise gezielt vorgehen und bekannte Schwachstellen berücksichtigen. Bei Black-Box Penetrationstests erhält der Tester zu Beginn nur den Namen des zu testenden Unternehmens. Deshalb ist das Unternehmen für den Tester eine Black-Box, dessen Inhalt er nicht kennt, wodurch er sich in der gleichen Situation wie ein potenzieller externer Angreifer befindet. Penetrationstests umfassen typischerweise Angriffe durch das Erraten von Passwörtern oder Brute- Force-Attacken, Netzwerkmanipulationen, Ausnutzen bekannter Software-Schwachstellen oder das Einspielen gefälschter Datenpakete. Dabei wird systematisch versucht, unberechtigten Zugriff auf das Zielsystem zu erlangen. Um den Produktivbetrieb nicht nachhaltig zu stören und den rechtlichen Rahmen einzuhalten, ist es deshalb erforderlich, vorher ein detailliertes Durchführungskonzept zu entwickeln. Unternehmen versuchen in der Praxis häufig, ihre Informationssicherheit durch eine Erhöhung der Budgets zu verbessern. Dabei wird häufig übersehen, dass nicht die Leistungsfähigkeit einer Hardware, sondern unerkannte oder übersehene Schwachstellen die Ursachen von Sicherheitsproblemen sein können. Penetrationstests tragen dazu bei, diese Schwachstellen zu identifizieren und ermöglichen es somit, dass ein knappes Budget in mittelständischen Unternehmen gezielter und effizienter eingesetzt werden kann. Des Weiteren wird durch Penetrationstests ein hohes Sicher heitsniveau dokumentiert, was die Investitionsbereitschaft von Investoren und das Vertrauen der Kunden erhöht. Eine einmalige Durchführung eines Penetrationstests ist nicht sinnvoll. Daher müssen sie in einen fortlaufenden Prozess der Qualitätssicherung eingebunden werden. Es ist zweckmäßig, einen Testplan für die folgenden zwei Jahre anzulegen, der turnusmäßig mit neuen Anforderungen abgeglichen wird. Aus der Befragung hat sich ergeben, dass bereits 16% der Unternehmen Penetrationstests durchgeführt haben. 15

16 Informationssicherheit und Datenschutz 4.2 Audits/Schwachstellenanalyse Während Penetrationstests technische Sicherheitslücken aufdecken, stellen Sicherheitsaudits eine strukturelle Kontrollmaßnahme dar. Durch Audits bekommen Unternehmen einen genauen Überblick über die aktuelle Risikolage ihres Informationssystems, wobei eventuelle Schwachstellen entdeckt und präventiv behoben werden können. Neben den technischen Vorkehrungen werden vor allem die Prozesse, Dokumentationen und die Handlungen der Mitarbeiter eines Unternehmens analysiert. Die Ergebnisse der Sicherheitsaudits werden zusammen mit Handlungsempfehlungen und Verbesserungsvorschlägen präsentiert. Professionell durch geführte Audits werden mit Zertifizierungen oder entsprechenden Nachweisen belegt. Sie sind prozessbezogen und initiieren einen dynamischen Lernprozess, nicht nur beim Management sondern auch bei den Mitarbeitern des geprüften Unternehmens. Im vorangegangenen Verlauf wurde ersichtlich, dass sich mittelständische Unternehmen nicht auf getroffenen Maßnahmen zur Erhöhung der Informationssicherheit ausruhen dürfen. Es ist vielmehr wichtig, dass eine permanente Schwachstellenüberprüfung der Informationssysteme stattfindet, um dauerhaft das Vertrauen von Kunden und Investoren sowie das Sicherheitsbewusstsein von Management und Mitarbeitern aufrecht zu erhalten. Sicherheitsaudits können das Gesamtsystem oder Teilbereiche umfassen. Beispielsweise kann ein KundendatenVerarbeitungssystem daraufhin überprüft werden, ob die gesetzlichen Datenschutzbestimmungen eingehalten und dadurch die Schutzziele der Informationssicherheit bei elektronischen Geschäftsabschlüssen gewahrt werden. Mittelständische Unternehmen müssen bei der Durchführung eines Sicherheitsaudits darauf achten, dass den Prüfern alle notwendigen Dokumente zeitnah zur Verfügung gestellt werden und nichts vertuscht wird. Andernfalls kann keine vollständige und sinnvolle Überprüfung erfolgen. Ein Audit ist besonders bei kritischen, also betriebswirtschaftlich wertvollen Systemen wichtig. Dadurch kann die Vertrauenswürdigkeit gegenüber Kunden erhöht werden, zum Beispiel im Bereich ebusiness. Ergebnisse der Umfrage: Haben Sie eine oder mehrere der folgenden Sicherheitsmaßnahmen bereits umgesetzt (Kontrollmöglichkeiten)? Sicherheitsmaßnahme Maßnahme bereits umgesetzt Schwachstellenanalyse 16,04 % Durchführung von internen Audits 11,32 % Überprüfung durch Penetrationstests (Hacking) 16,04 % Externes Audit zur Kontrolle 6,60 % 16

17 Informationssicherheit und Datenschutz 5 Informationssicherheit als existenzielle Aufgabe für mittelständische Unternehmen Angesichts der globalisierten und digitalisierten Welt ist der Einsatz sicherer Informationssysteme für die meisten mittelständischen Unternehmen heutzutage unabdingbar, um wettbewerbsfähig und erfolgreich zu sein. Folglich können der Ausfall unternehmenskritischer Prozesse, der Diebstahl von vertraulichen Geschäftsdaten oder der Verlust wichtiger Daten zu schwerwiegenden finanziellen Schäden und Imageverlusten führen. Obgleich bei den IT-Verantwortlichen vieler mittelständischer Unternehmen bereits ein Bewusstsein für das The ma Informationssicherheit vorhanden ist, besteht dennoch vielerorts großer Nachholbedarf darin, Sicherheits lücken und Schwachstellen in IT-Systemen zu beheben. Diese entstehen in der Praxis oft dadurch, dass organisatorische und technische Maßnahmen ungenau oder unvollständig umgesetzt werden. Deshalb gilt es für mittelständische Unternehmen, klare Ver antwortlichkeiten zu schaffen und von Experten entwickelte Sicherheitsrichtlinien umzusetzen. Die Er haltung der Informationssicherheit muss in die Planung und Durchführung aller Unternehmens prozesse integriert werden. Um die erfolgreiche Implementierung einer nachhaltigen und ganzheitlichen Sicherheitsstrategie zu gewähr leisten, muss die Unternehmensleitung die Verantwortung übernehmen. Ein weiterer Erfolgsfaktor hierfür ist aktive Aufklärungsarbeit, die bei den Mitarbeitern ein Sicherheitsbewusstsein und einen Überblick über die Bedrohungslage schafft. Vor notwendigen Investitionen in Si cher heitstechnik, zum Beispiel in Firewalls, Virenscanner oder kryptographische Verfahren, darf nicht zurückgeschreckt werden, denn diese sichern die Existenz und Geschäftskontinuität der Unternehmen. Weiterhin dürfen sich mittelständische Unternehmen nicht der Versuchung hingeben, sich auf den getroffenen Sicherheitsmaßnahmen auszuruhen. Beispielsweise erwachsen durch die steigende Nutzung mobiler Endgeräte und Anwendungen, auf denen kritische Unter nehmensdaten gespeichert sind, Risiken, die in zukünftigen Sicherheitskonzepten berücksichtigt werden müssen. Ergebnisse der Umfrage: Was sind die Gründe für mangelnde Bemühungen zur Absicherung Ihrer Daten und Informationen im Unternehmen? Mitarbeiterkapazitäten sind zeitlich beschränkt Keine aktuelle Notwendigkeit der Informationssicherheit Zu wenig Know-how im Unternehmen 28% 27% 27% Keine Angabe 24% Kostet zu viel Geld Mangel an pragmatischer Sicherheitsberatung 17% 19% Kein entsprechendes Sicherheitskonzept vorhanden 11% Keine unterstützenden Tools und Werkzeuge vorhanden 9% Maßnahmen werden nicht kontrolliert Fehlende Unterstützung von Mitarbeitern Sonstige Fehlende Unterstützung vom Top-Unternehmen 7% 6% 5% 4% 0% 5% 10% 15% 20% 25% 30% 17

18 6 Bundesdatenschutzgesetz Datenschutz bezweckt, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Recht auf informationelle Selbstbestimmung verletzt wird. Daher gibt es eine Fülle von Rechtsvorschriften, die Unternehmen bei der Speicherung, Verarbeitung und Nutzung solcher Daten beachten müssen. Das Bundesdatenschutzgesetz (BDSG) regelt die Persönlich keitsrechte beim Umgang mit personenbezogenen Daten. Das BDSG beschreibt die technischen und organisatorischen Maßnahmen, die zu treffen sind, damit dem Bundesdatenschutzgesetz genüge getan wird. 44,34% der befragten Unternehmen haben bereits Regelungen für den Umgang mit Daten fixiert. Weitere 29,25% wenden technisch-organisatorische Maßnahmen an, die laut BDSG notwendig sind. Die Bestellung eines betrieblichen Datenschutzbeauftragten ist in 4 f des Bundesdatenschutzgesetzes geregelt. Danach ist ein Datenschutzbeauftragter zu bestellen, wenn personenbezogene Daten automatisiert verarbeitet werden und damit in der Regel mindestens zehn Personen ständig beschäftigt sind oder personenbezogene Daten auf andere Weise verarbeitet werden und damit in der Regel mindestens 20 Arbeitnehmer beschäftigt sind. Zu der Zahl der Personen zählen dabei auch die Mitarbeiter in der IT, Teilzeitkräfte, Auszubildende und Leihpersonal sowie der Geschäftsführer. Unabhängig von der Anzahl der Personen ist ein Datenschutzbeauftragter zu bestellen, wenn automatisierte Verarbeitungen vorgenommen werden, die einer Vorabkontrolle gemäß 4 d Abs. 5 BDSG (Anlage 1) unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung automatisiert verarbeitet oder genutzt werden. Ein Datenschutzbeauftragter kann, auch wenn er von Rechts wegen nicht bestellt werden muss, freiwillig bestellt werden. Sollte dies nicht gemacht wer den, muss der Datenschutz allerdings von der Unte r nehmensleitung sichergestellt werden. Alle Umfrageergebnisse finden Sie unter: umfrage-informationssicherheit-und-datenschutz Ergebnisse der Umfrage: Benötigen Sie nach 4 des BDSG einen betrieblichen Datenschutzbeauftragten? Ergebnisse der Umfrage: Haben Sie bereits die Anforderungen des BDSG erfüllt? 1% 11% 3% 30% 33% 58% 58% 7% 14% 1% Ergebnisse der Umfrage: Falls Sie dazu verpflichtet sind, einen betrieblichen Datenschutzbeautragten zu bestellen, haben Sie diese Pflicht erfüllt? 53% 32% Ja Nein Weiß nicht Keine Angabe 18

19 7 Weiterführende Links Thema Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik https://www.bsi.bund.de/shareddocs/downloads/ DE/BSI/Publikationen/ITGrundschutzstandards/ standard_1002_pdf.pdf? blob=publicationfile https://www.bsi.bund.de/shareddocs/downloads/ DE/BSI/Grundschutz/Download/Ueberblickspapier_BYOD_pdf.pdf? blob=publicationfile https://www.bsi.bund.de/shareddocs/downloads/ DE/BSI/Grundschutz/Download/Ueberblickspapier_ Netzzugangskontrolle.pdf? blob=publicationfile Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. ACF897.pdf Thema Datenschutz Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: oder Landesamt für Datenschutzaufsicht: aufg_abt/abt1/abt1dsa10.htm Der Bayerische Landesbeauftragte für den Datenschutz: Gesellschaft für Datenschutz und Datensicherung: Berufsverband der Datenschutzbeauftragten: Virtuelles Datenschutzbüro: 8 Die Autoren Maximilian Köbler Maximilian Köbler ist seit 2010 studentische Hilfskraft und studiert an der Julius- Maximilians Universität Würzburg im Bachelorstudiengang Wirtschaftsinformatik. Nach seinem Auslandssemester an der University of Groningen schrieb er seine Thesis zum Thema Enterprise Mobility. Aktuell macht er ein Praktikum im Bereich Financials Consulting bei der SAP und wird ab dem Wintersemester 2013/14 mit seinem Studium zum Master Wirtschaftsinformatik beginnen. M. A. Julia Grosser Julia Grosser studierte an der Hochschule für angewandte Wissenschaften Würzburg Betriebswirtschaft und Innovationsmanagement. Nach der Arbeit in Unternehmen der Region Mainfranken ist Frau Grosser seit März 2013 in der IHK Würzburg-Schweinfurt als ebusiness-lotse Mainfranken tätig. Als Projektmanagerin informiert sie Unternehmen in den Bereichen Cloud Computing, ERP-Systeme, Informationssicherheit und Online-Marketing. Dipl.-Kfr. Christine Scheid Christine Scheid studierte an der Julius-Maximilians-Universität Betriebwirtschaftslehre und ist seit 2008 wissenschaftliche Mitarbeiterin am Lehrstuhl für BWL und Wirtschaftsinformatik. Als Projektmanagerin des ebusiness-lotsen Mainfranken informiert sie kleine und mittelständische Unternehmen zu Themenbereichen des ebusiness. Ihre Schwerpunkte liegen im Bereich Cloud Computing, ERP- Systeme, Informationssicherheit und Online-Marketing. 19

20 9 Quellenverzeichnis Bundesamt für Sicherheit in der Informationstech nik (Hrsg.): BSI-Standard IT-Grundschutz Vorgehensweise. In: https://www.bsi.bund.de/ SharedDocs/ Downloads/DE/BSI/Publikationen /ITGrundschutzstandards/standard_1002_pdf.pdf? blob=publicationfile, Informationsabfrage am Bundesamt für Sicherheit in der Informations technik (Hrsg.): M Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit. In: https://www.bsi.bund.de/contentbsi/ grundschutz/kataloge/m/m02/m02193.html, Informationsabfrage am Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Glossar und Begriffsdefinitionen. In: https://www.bsi.bund.de/de/themen/weitere Themen/ITGrundschutzKataloge/Inhalt/ Glossar/glossar_node.html, Informationsabfrage am Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): Studie zur IT-Sicherheit in kleinen und mittleren Unternehmen. In: https://www.bsi.bund.de/shareddocs/ Downloads/DE/BSI/Publikationen/Studien/ KMU/Studie_IT-Sicherheit_KMU.pdf, Informationsabfrage am Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Hrsg.): Sicherheit für Systeme und Netze in Unternehmen. In: pdf, Informationsabfrage am CERT Software Engineering Institute (Edit.): CERT Statistics. In: Informationsabfrage am Cheswick, W. et. al.: Firewalls und Sicherheit im Internet. 2. Aufl., Pearson, München Computer Security Institute (Edit.): Computer Crime and Security Survey. In: FBI.2002.pdf, Informationsabfrage am Dinger, J.; Hartenstein, H.: Netzwerk- und IT- Sicherheitsmanagement. Eine Einführung. KIT Scientific Publishing, Karlsruhe Deutschland sicher im Netz e.v. (Hrsg.): IT-Sicherheitslage im Mittelstand In: https://www.sicher-im-netz.de/files/documents/ unternehmen/studie_itsicherheitslage_ mittelstand_2011_korr pdf, Informationsabfrage am Eckert, C.: IT-Sicherheit. Konzepte Verfahren Protokolle. 7.Aufl., Oldenbourg, München Ernst &Young Limited (Edit.): Fighting to close the gap. Ernst & Young s 2012 Global Information Security Survey. In: Publication/vwLUAssets/Fighting_to_close_ the_gap:_2012_global_information_security_survey/$file/2012_global_information_ Security_ Survey Fighting_to_close_the_gap. pdf, Informationsabfrage am Europäische Kommission (Hrsg.): Definition von KMU. In: sme/facts-figures-analysis/sme-definition/index_ de. htm, Informationsabfrage am Von Graevenitz, G.: Erfolgskriterien und Absatzchancen biometrischer Identifikationsverfahren. Lit Verlag, Berlin Gründer, T.; Schrey, J.: Managementhandbuch IT-Sicherheit. Risiken, Basel II, Recht. Schmidt, Berlin Kardel, D.: IT-Sicherheitsmanagement in KMU. In: Fröschle, H. (Hrsg.): IT-Sicherheit und Datenschutz. dpunkt.verlag, Heidelberg 2011, S Klipper, S.: Information Security Risk Management. Vieweg und Teubner, Wiesbaden Laudon, K. et. al.: Wirtschaftsinformatik. Eine Einführung. 2. Aufl., Pearson, München

Maksim Kabakou / fotolia.com INFORMATIONSBROSCHÜRE. Informationssicherheit und Datenschutz. Eine Umfrage in der Region Mainfranken

Maksim Kabakou / fotolia.com INFORMATIONSBROSCHÜRE. Informationssicherheit und Datenschutz. Eine Umfrage in der Region Mainfranken Maksim Kabakou / fotolia.com INFORMATIONSBROSCHÜRE Informationssicherheit und Datenschutz Eine Umfrage in der Region Mainfranken Impressum: Verleger: ebusiness-lotse Mainfranken Projektträger Industrie-

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

IT-SICHERHEIT UND MOBILE SECURITY

IT-SICHERHEIT UND MOBILE SECURITY IT-SICHERHEIT UND MOBILE SECURITY Grundlagen und Erfahrungen Dr.-Ing. Rainer Ulrich, Gruppenleiter IT SECURITY Schäubles Handy bei Einbruch gestohlen Bei Wolfgang Schäuble ist eingebrochen worden. Die

Mehr

Datensicherheit und Co. IHK Potsdam, 22.05.2013

Datensicherheit und Co. IHK Potsdam, 22.05.2013 Datensicherheit und Co. IHK Potsdam, 22.05.2013 Aktuelles 25.04.2013/ 17:18 Gefälschte Bank-Mails verteilen Trojaner für Android Hacker-Angriff Bonn (dpa/tmn) - Android-Smartphones stehen gerade im Visier

Mehr

6. Bayerisches Anwenderforum egovernment Wie bringt man IT-Sicherheit in die Fläche?

6. Bayerisches Anwenderforum egovernment Wie bringt man IT-Sicherheit in die Fläche? 6. Bayerisches Anwenderforum egovernment Wie bringt man IT-Sicherheit in die Fläche? Donnerstag, 22. Mai 2014 Referentin Informationssicherheit IHK für München und Oberbayern Bildnachweis: Fotolia Maksim

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Datensicherheit und Backup

Datensicherheit und Backup Beratung Entwicklung Administration Hosting Datensicherheit und Backup Dipl.-Inform. Dominik Vallendor & Dipl.-Inform. Carl Thomas Witzenrath 25.05.2010 Tralios IT Dipl.-Inform. Dominik Vallendor und Dipl.-Inform.

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Gute Beratung wird verstanden

Gute Beratung wird verstanden Gute Beratung wird verstanden Sehr geehrte Damen und Herrn! Wüssten Sie gern, ob die in Ihrem Unternehmen angewandten Maßnahmen zur Sicherheit der Informationstechnik noch ausreichen? Wenn Sie sicher sein

Mehr

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht

FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION. Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht FREIHEIT GESTALTEN VERSCHLÜSSELUNG ALS FREIHEIT IN DER KOMMUNIKATION Christian R. Kast, Rechtsanwalt und Fachanwalt für IT Recht INHALTSÜBERSICHT Risiken für die Sicherheit von Kommunikation und die Freiheit

Mehr

IT Security / Mobile Security

IT Security / Mobile Security lcs ] Security computersyteme Lösungen für Unternehmen IT Security / Mobile Security Im Zuge der globalisierten Vernetzung und der steigenden Zahl mobiler Nutzer wird der Schutz der eigenen IT-Infrastruktur,

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

UNSICHER AGGRESSIV UNSICHTBAR & IT-SICHERHEITSRISIKEN 2013 IN GLOBALEN UNTERNEHMEN. Die Herausforderungen der digitalen Welt für Ihr Unternehmen

UNSICHER AGGRESSIV UNSICHTBAR & IT-SICHERHEITSRISIKEN 2013 IN GLOBALEN UNTERNEHMEN. Die Herausforderungen der digitalen Welt für Ihr Unternehmen UNSICHER UNSICHTBAR & AGGRESSIV Die Herausforderungen der digitalen Welt für Ihr Unternehmen und wie Sie sicher arbeiten. Die Kosten für IT-Sicherheitsverletzungen betragen 649.000 $ je Vorfall Kosten

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Kundenzentrierte Geschäftsprozesse sicher gestalten

Kundenzentrierte Geschäftsprozesse sicher gestalten Platzhalter für Logo Agenda 1.Vorstellung des MECK Kundenzentrierte Geschäftsprozesse sicher gestalten 2.Aufbau und Konzeption einer IT- Sicherheits-Strategie 3.Wie erkenne ich die relevanten Geschäftsprozesse?

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen

Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Informationssicherheit: Praxisnahe Schutzmaßnahmen für kleine und mittlere Unternehmen Claudiu Bugariu Industrie- und Handelskammer Nürnberg für 17. April 2015 Aktuelle Lage Digitale Angriffe auf jedes

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT-Security Herausforderung für KMU s

IT-Security Herausforderung für KMU s unser weitblick. Ihr Vorteil! IT-Security Herausforderung für KMU s Christian Lahl Agenda o IT-Sicherheit was ist das? o Aktuelle Herausforderungen o IT-Sicherheit im Spannungsfeld o Beispiel: Application-Control/

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

Whitepaper: Mobile IT-Sicherheit

Whitepaper: Mobile IT-Sicherheit Whitepaper: Mobile IT-Sicherheit Wie sicher sind Ihre Daten unterwegs? Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-risikomanagement@intargia.com Webseite: http://www.intargia.com

Mehr

Tablets im Business: Gadget oder sicheres Werkzeug?

Tablets im Business: Gadget oder sicheres Werkzeug? Tablets im Business: Gadget oder sicheres Werkzeug? Daten- und Policy-Management Renato Zanetti CSI Consulting AG, Partner 12.09.2012 Agenda Einleitung, Trends Einsatzkonzepte Anforderungen Lösungsvorschläge

Mehr

- Datenschutz im Unternehmen -

- Datenschutz im Unternehmen - - Datenschutz im Unternehmen - Wie schütze ich mein Unternehmen vor teuren Abmahnungen 1 Referenten Philipp Herold TÜV zertifizierter Datenschutzbeauftragter & Auditor Bachelor of Science (FH) 2 Inhaltsverzeichnis

Mehr

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version

OCG IT-Security. OCG IT-Security 2.0. Lernzielkatalog. Syllabus Version OCG IT-Security OCG IT-Security Lernzielkatalog 2.0 Syllabus Version Österreichische Computer Gesellschaft Wollzeile 1-3, 1010 Wien Tel: + 43 1 512 02 35-0 Fax: + 43 1 512 02 35-9 E-Mail: ocg@ocg.at Web:

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Personal- und Kundendaten Datenschutz bei Energieversorgern

Personal- und Kundendaten Datenschutz bei Energieversorgern Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen

Mehr

2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb

2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb 2.1 Bestellung des betrieblichen Datenschutzbeauftragten 31 2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb Auch wenn nicht alle Handwerksbetriebe einen betrieblichen Datenschutzbeauftragten

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Management der IT-Ressourcen

Management der IT-Ressourcen Management der IT-Ressourcen Aktuelle Entscheiderbefragung im Mittelstand und in großen Unternehmen EINE STUDIE DER REIHE BEST OF IT-SOLUTIONS Management der IT-Ressourcen Aktuelle Entscheiderbefragung

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Datenschutz in der betrieblichen Praxis

Datenschutz in der betrieblichen Praxis Datenschutz in der betrieblichen Praxis Datenschutz und Datensicherheit unter besonderer Berücksichtigung der beruflichen Aus- und Weiterbildung von Alfred W. Jäger, Datenschutzbeauftragter Überblick zur

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS

INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS INFORMATIONSSICHERHEIT GEFÄHRDUNGEN IN DER ARZTPRAXIS WAS SIND INFORMATIONEN? Informationen sind essentiellen Werte einer Arztpraxis. müssen angemessen geschützt werden. 2 WAS IST INFORMATIONSSICHERHEIT?

Mehr

Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg

Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg Definition - Informationssicherheit Informationssicherheit ist der Präventivschutz für Persönlichkeits- und Unternehmens-Informationen

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens

Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Lifecycle der IT-Sicherheit Sichern Sie die Existenz Ihres Unternehmens Thomas D. Schmidt Consulting IT-Security Enterprise Computing Networking & Security ADA Das SystemHaus GmbH Region West Dohrweg 59

Mehr

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen Networker NRW, 5. Juni 2012, Kreisverwaltung Mettmann Zur Person Frank Broekman IT-Security Auditor (TÜV) Geschäftsführer der dvs.net IT-Service

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

IT-Sicherheit vs. juristische Realität

IT-Sicherheit vs. juristische Realität IT-Sicherheit vs. juristische Realität - Praxisrelevante Herausforderungen für Unternehmen - anlässlich der Roadshow NTT Com Security "Information Security World (ISW) on Tour" am 16.10.2014 in Wien IT-Sicherheit

Mehr

Global sicher kommunizieren

Global sicher kommunizieren Global sicher kommunizieren IHK Nürnberg 14. April 2015 Seite Welche Risiken betreffen Sie tatsächlich? Eine Risikoanalyse steht am Anfang Angriffe von außen Handhabungsfehler Technische Gefahren/ höhere

Mehr

Tobias Rademann, M.A.

Tobias Rademann, M.A. Roadshow: "Cybercrime Eine Bedrohung auch für KMUs" EDV im Mittelstand: praxisnahe Strategien für effektive it-sicherheit Tobias Rademann, M.A. Roadshow: "Cybercrime" 2015 Transport Layer Security Hacker

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Die Welt vernetzt sich per Smartphone: Sichere Integration ins Unternehmen

Die Welt vernetzt sich per Smartphone: Sichere Integration ins Unternehmen Die Welt vernetzt sich per Smartphone: Sichere Integration ins Unternehmen Christian Bruns, Informationssicherheit BTC Business Technology Consulting AG Vorstellung Vorstellung Christian Bruns Wirtschaftsinformatik

Mehr

Personal- und Patientendaten Datenschutz in Krankenhäusern

Personal- und Patientendaten Datenschutz in Krankenhäusern Personal- und Patientendaten Datenschutz in Krankenhäusern Datenschutz in Krankenhäusern In Krankenhäusern stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

Erfolgsfaktor Proaktives IT-Sicherheitsmanagement

Erfolgsfaktor Proaktives IT-Sicherheitsmanagement 1. Dezember 2004 Seite: 1 / 5 Erfolgsfaktor Proaktives IT-Sicherheitsmanagement Christian Peter Global Services Executive, IBM Österreich 1. Dezember 2004 1 Abstract IT-Sicherheitsmanagement: unverzichtbares

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security

Zertifikatsprogramm der Österreichischen Computer Gesellschaft. OCG IT-Security Zertifikatsprogramm der Österreichischen Computer Gesellschaft OCG IT-Security Syllabus Version 1.0 OCG Österreichische Computer Gesellschaft Wollzeile 1-3 A 1010 Wien Tel: +43 (0)1 512 02 35-50 Fax: +43

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Datensicherheit. Dortmund, Oktober 2004

Datensicherheit. Dortmund, Oktober 2004 Datensicherheit Dortmund, Oktober 2004 Prof. Dr. Heinz-Michael Winkels, Fachbereich Wirtschaft FH Dortmund Emil-Figge-Str. 44, D44227-Dortmund, TEL.: (0231)755-4966, FAX: (0231)755-4902 1 Inhalt Seite

Mehr

Bundesministerium für Gesundheit und Soziale Sicherung. Gefördert vom. Datenschutz und Datensicherheit. Aufgaben

Bundesministerium für Gesundheit und Soziale Sicherung. Gefördert vom. Datenschutz und Datensicherheit. Aufgaben Gefördert vom Bundesministerium für Gesundheit und Soziale Sicherung Datenschutz und Datensicherheit Inhaltsverzeichnis Vorwort... 4 1 zu Kapitel 1... 5 1.1 Aufgabe 1 Gefährdung von Daten...5 1.2 Aufgabe

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015

Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015 Risiken und Schutz im Cyber-Raum Marc Schober Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheit im Mittelstand Gunzenhausen, 28. April 2015 Stahlwerk in Deutschland durch APT-Angriff beschädigt

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund

T.I.S.P. Community Meeting 2013. ISMS: Arbeitsplatz der Zukunft. Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund T.I.S.P. Community Meeting 2013 ISMS: Arbeitsplatz der Zukunft Chancen, Potentiale, Risiken, Strategien Alfons Marx Teamleiter Security, DQS-Auditor Materna GmbH, Dortmund so könnte der Arbeitsplatz der

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

Informationssicherheit in Deutschland, Österreich und der Schweiz 2015

Informationssicherheit in Deutschland, Österreich und der Schweiz 2015 Informationssicherheit in Deutschland, Österreich und der Schweiz 2015 Eine Studie zur Informationssicherheit in deutschen, österreichischen und Schweizer Unternehmen und Organisationen. Im Rahmen der

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr