Die DSGVO in der IT-Praxis: Welche technischen und organisatorischen Maßnahmen sind wichtig für KMU?

Transkript

1 Die DSGVO in der IT-Praxis: Welche technischen und organisatorischen Maßnahmen sind wichtig für KMU? IHK zu Dortmund Peter Hansemann ICN GmbH + Co. KG

2 Zwei Thesen These 1: Personenbezogene Daten Alle Unternehmen und Organisationen verarbeiten personenbezogene Daten! ICN GmbH + Co. KG

3 Zwei Thesen These 2: Sicherer IT-Betrieb Die DSGVO zwingt Unternehmen und Organisationen zu einem sicheren IT-Betrieb! ICN GmbH + Co. KG

4 Grundsätzliches Sicherer IT-Betrieb: Was bedeutet das? Eigentlich ist es ganz einfach: Ihre Daten und Anwendungen sind genau für den, der darauf zugreifen darf, immer genau dann verfügbar, wenn er darauf zugreifen möchte. ICN GmbH + Co. KG

5 Grundsätzliches Sicherer IT-Betrieb: Was bedeutet das? Das bedeutet insbesondere: Sicherstellen der Vertraulichkeit und Integrität von Daten Gewährleistung der Verfügbarkeit von Daten, Systemen und Anwendungen Erfüllung gesetzlicher Vorgaben (Datenschutz, ) ICN GmbH + Co. KG

6 Bedrohungen und Abwehr in der Praxis Die Firma Musterbau GmbH 25 Postfächer 20 Anwender 2 Server 15 PCs 5 Notebooks 3 Tablets ICN GmbH + Co. KG

7 Bedrohungen und Abwehr in der Praxis Verbreitungswege von Schadprogrammen Internetzugriff Anwender Infizierung von Rechnern aus dem Internet durch Schwachstellen (offene Ports, ) Infizierte Datenträger oder Rechner ICN GmbH + Co. KG

8 Bedrohungen und Abwehr in der Praxis Abwehr von externen Bedrohungen Teil 1: Firewall Firewall Paket- und Inhaltsfilter, gutes Regelwerk Antivirenschutz Schutz gegen Eindringlinge (Intrusion Detection und Intrusion Prevention) Proxyfunktion für Anwendungen Kontrolle Internetzugriffe Anwender Einmalkosten: ca. 99,- / Nutzer ICN GmbH + Co. KG

9 Bedrohungen und Abwehr in der Praxis Abwehr von externen Bedrohungen Teil 2: Spamschutz Mailserver Spamfilter Intelligenter Spamfilter ohne Quarantäne Abwehren statt Sortieren Gute Mails finden und zustellen Merken wer gut und böse ist Einmalkosten: ca. 65,- / Postfach ICN GmbH + Co. KG

10 Bedrohungen und Abwehr in der Praxis Abwehr von externen Bedrohungen Teil 3: Virenschutz Mailserver Mailserver Spezieller Virenschutz für Mailserver Schutz wird auf dem Server installiert Nutzung mehrerer Virenengines Andere Engines als normaler Serverschutz Einmalkosten: ca. 37,- / Postfach ICN GmbH + Co. KG

11 Bedrohungen und Abwehr in der Praxis Abwehr von externen Bedrohungen Teil 4: Virenschutz PCs und Server Datenserver PC Virenschutz und Endgeräteschutz Zentrale Verwaltung für alle Rechner Hohe Erkennungsrate Geringer Leistungsverlust für Rechner Einmalkosten: ca. 39,- / Rechner ICN GmbH + Co. KG

12 Bedrohungen und Abwehr in der Praxis Abwehr von externen Bedrohungen Teil 5: Verschlüsselung Datenserver PC Verschlüsselung von Nutzerendgeräten Verschlüsselung von Serverdaten verschlüsselung Verschlüsselung von mobilen Datenträgern Einmalkosten: ca. 81,- / Rechner ICN GmbH + Co. KG

13 Bedrohungen und Abwehr in der Praxis Abwehr von externen Bedrohungen Zusammengefaßt in fünf Stufen: 1. Implementierung einer leistungsfähigen Firewall 2. Intelligenter Spamschutz für Mailserver 3. Eigener Virenschutz für Mailserver 4. Zentral verwalteter Virenschutz für PCs und Server 5. Verschlüsselung von Daten und Geräten ICN GmbH + Co. KG

14 Bedrohungen und Abwehr in der Praxis Fünf Beispiele für interne Risiken 1. Alle haben auf dem Server immer schon auf alles Zugriff 2. Das Paßwort meines Kollegen ist geheim 3. Mein Kollege bringt auf seinem USB-Stick immer lustige Filme von zu Hause mit 4. Große Dateien lade ich mir immer im Büro auf meinen USB-Stick - wegen der besseren Internetleitung 5. Um unsere Datensicherung kümmert sich meine Kollegin, die gerade im Urlaub ist ICN GmbH + Co. KG

15 Bedrohungen und Abwehr in der Praxis Abwehr von internen Risiken Teil 1: Zugriffsrechte festlegen und einhalten Voraussetzung: Domain-Verwaltungsserver (z.b. ADS) Festlegen von sinnvollen Benutzergruppen Festlegung von Zugriffsrechten auf Anwendungen und Daten für Benutzergruppen und einzelne Nutzer Formalisierung und Dokumentation von Veränderungen Einmalkosten: ca. 56,- / Nutzer ICN GmbH + Co. KG

16 Bedrohungen und Abwehr in der Praxis Abwehr von internen Risiken Teil 2: Festlegung einer IT-Richtlinie für Mitarbeiter Regeln für Nutzung von IT-Einrichtungen festschreiben Paßwortrichtlinien festlegen (Komplexität, Wechsel, Geheimhaltung) Regeln für Datenzugriff und bewegung festlegen Sorgfalt und Diskretion schriftlich einfordern Gesetzliche Datenschutzrichtlinien einbinden Einmalkosten: ca. 25,- / Nutzer ICN GmbH + Co. KG

17 Bedrohungen und Abwehr in der Praxis Abwehr von internen Risiken Teil 3: Regelmäßige Wartung der eingesetzten Systeme Betriebssysteme und Anwendungssoftware regelmäßig aktualisieren Insbesondere sicherheitsrelevante Updates überwachen und durchführen (Windows, Virenschutz, etc.) Zustand aller Systeme überwachen Monatskosten: ca. 13,- / Rechner ICN GmbH + Co. KG

18 Bedrohungen und Abwehr in der Praxis Abwehr von internen Risiken Teil 4: Endgeräteschutzsoftware PC Aktive Verwaltung des Anwenderzugriffs auf Endgeräte Protokollierung gerätespezifischer Benutzeraktivitäten Überwachung der Anschlüsse von Geräten (USB, etc.) Umfassender Schutz gegen Benutzermanipulationen Einmalkosten: ca. 39,- / Rechner ICN GmbH + Co. KG

19 Bedrohungen und Abwehr in der Praxis Abwehr von internen Risiken Teil 5: Mehrstufige Datensicherung mit Recovery-Option Datenserver Datensicherung auf Netzwerkspeicher als erste Stufe Festplattenbasiertes Bandlaufwerk als zweite Stufe Backupsoftware mit Recovery-Option, um komplette Systeme wiederherstellen zu können Aufbewahrung aktuelle Sicherung außer Haus Verfügbarkeit von Ersatzsystemen Einmalkosten: ca. 127,- / Nutzer ICN GmbH + Co. KG

20 Bedrohungen und Abwehr in der Praxis Abwehr von internen Risiken Zusammengefaßt in fünf Stufen: 1. Festlegung von Zugriffsrechten auf Anwendungen und Daten 2. Erstellung von IT-Richtlinien für Mitarbeiter 3. Regelmäßige Wartung der eingesetzten Systeme 4. Implementierung von Endgeräteschutzsoftware 5. Vorsorge für den Desasterfall (Datensicherung, Ersatzsysteme, etc.) ICN GmbH + Co. KG

21 Game changer DSGVO Fünf sinnvolle Maßnahmen Womit fange ich an? ICN GmbH + Co. KG

22 Fünf sinnvolle Maßnahmen Maßnahme 1: Datenschutzbeauftragter Nach 38 Abs. 1 BDSG-neu (alt: 4f BDSG, Bundesdatenschutzgesetz) müssen Unternehmen bei denen mehr als 9 Mitarbeiter personenbezogene Daten verarbeiten einen Datenschutzbeauftragten bestellen Regelung bleibt unter DSGVO bestehen (Art. 35 ff. DSGVO) -> Bestellen Sie einen (externen) Datenschutzbeauftragten Einmalkosten: ca. 50,- / Nutzer ICN GmbH + Co. KG

23 Fünf sinnvolle Maßnahmen Maßnahme 2: Mitarbeiter und IT Organisatorischer Rahmen für IT-Nutzung Nutzungsrichtlinie für IT-Systeme Paßwortvorgaben -> später: Zwei-Faktor-Authentifizierung Verpflichtung auf Datenschutzgesetzgebung Sensibilisierungstrainings für Mitarbeiter ICN GmbH + Co. KG

24 Fünf sinnvolle Maßnahmen Maßnahme 3: Firewall Implementierung einer Firewall wie beschrieben Festlegung des Regelwerkes (Technik!) Zusätzlichen Virenschutz nutzen Überwachung der Internetzugriffe ICN GmbH + Co. KG

25 Fünf sinnvolle Maßnahmen Maßnahme 4: Verschlüsselung Implementierung einer Verschlüsselungslösung Verschlüsselung mobiler Endgeräte Verschlüsselung mobiler Datenträger (USB-Sticks, etc.) Einfache Verschlüsselung von s (Client) ICN GmbH + Co. KG

26 Fünf sinnvolle Maßnahmen Maßnahme 5: Datensicherung Implementierung einer Datensicherung wie beschrieben Datensicherung muß Daten und Systeme sichern Datensicherung muß Daten und Systeme wiederherstellen Datensicherung außer Haus lagern Regelmäßige (jährlich) Datenwiederherstellung testen -> Notfallplanung erstellen! ICN GmbH + Co. KG

27 Fünf sinnvolle Maßnahmen Übersicht und Kosten Schutzmaßnahme Kosten/Einheit Firewall 99,52 Nutzer Spamfilter 65,20 Postfach Virenschutz Mailserver 37,40 Postfach Virenschutz Server + Endgeräte 39,55 Rechner Verschlüsselung 81,21 Rechner Zugriffssteuerung 56,25 Nutzer IT-Richtlinie 25,00 Nutzer Endgeräteschutz 39,55 Rechner Datensicherung 127,08 Nutzer Extener Datenschutzbeauftragter 50,00 Nutzer Monitoring + Patchmanagment 13,48 Rechner ICN GmbH + Co. KG

28 Game changer DSGVO Mittelfristig: Formale Anforderungen Schaffung eines formalen Rahmens für die DSGVO Auftragsverarbeitungsvereinbarung(en) mit Dienstleistern (Art. 28 DSGVO) Erstellung eines Verfahrensverzeichnisses Risikobewertung Folgeabschätzung -> Hier unterstützt Ihr neuer Datenschutzbeauftragter! ICN GmbH + Co. KG

29 Fazit (1) Die DSGVO fordert einen sicheren IT-Betrieb! Umkehrschluß: Mit einem sicheren IT-Betrieb erfüllt ein KMU viele Anforderungen der DSGVO! ICN GmbH + Co. KG

30 Fazit (2) Ein sicherer IT-Betrieb erfordert ein durchdachtes, ganzheitliches Konzept, das folgende Aspekte berücksichtigt: IT-Organisation: Zugriffsrechte, Verantwortlichkeiten, Regeln IT-Betrieb: Monitoring, Wartung und angemessener Support und natürlich auch eine abgestimmte technische Lösung ICN GmbH + Co. KG

31 Unterlagen + Infos Unterlagen: Taschen mit Infomaterial -> Leitfäden und Broschüren Sicherheitstools -> Kryptonizer und RFID-Hüllen -> Im Foyer am Stand Vorträge + Linksammlung: Download unter folgender Website: -> Bitte Visitenkarte für Zusendung per abgeben ICN GmbH + Co. KG

32 Vielen Dank für Ihre Aufmerksamkeit! Ihr Ansprechpartner: Peter Hansemann ICN GmbH + Co. KG Dortmund Tel peter.hansemann@icn.de ICN GmbH + Co. KG