Secuda Solutions Datenschutz & Informationssicherheit. Das KMU-Projekt

Größe: px

Ab Seite anzeigen:

Download "Secuda Solutions Datenschutz & Informationssicherheit. Das KMU-Projekt"

Barbara Hochberg
vor 5 Jahren
Abrufe

1 Das KMU-Projekt Datenschutz- und Informationssicherheitsmanagement für kleine und mittelständische Unternehmen

2 Inhalt 1. Einleitung Was steckt hinter dem KMU-Projekt? Wie funktioniert das? Was umfasst das Sicherheitsmanagement für KMU? Was kostet das Sicherheitsmanagement für KMU? Welche Vorteile gibt es?... 6 Abbildungsverzeichnis Abbildung 1 - Zusammenhang zwischen Informationssicherheit und Datenschutz... 3 Abbildung 2 - Phasen der Implementierung Einleitung Es ist unstrittig, dass Datenschutz und IT-Sicherheit in einer digitalisierten Welt immer wichtiger werden. Gerade kleine und mittelständische Unternehmen leiden unter dem Druck gesetzliche Vorgaben erfüllen zu müssen und dabei ihr eigentliche Geschäftstätigkeit möglichst störungsfrei aufrecht zu erhalten. Oftmals wird die Meinung vertreten, dass für ein angemessenes Sicherheitsniveau weder Zeit noch Geld vorhanden sind und einem mittelständischen Unternehmen schon nichts passieren wird. Die Realität sieht oft anders aus. Mehr als 77 Prozent aller Cyberangriffe gelten kleinen oder mittleren Unternehmen (KMU), doch wie eine aktuelle Studie zeigt, sind gerade einmal vier von zehn Unternehmen auf Cyberangriffe vorbereitet. Zudem erhöht das Fehlen konkreter interner Vorgaben und Regelungen zum Datenschutz und zur IT-Sicherheit die Gefahr, dass Mitarbeitern ein Versehen in Bezug auf Datensicherheit passiert. Daher hat die Secuda Solutions das KMU-Projekt ins Leben gerufen. Speziell KMU sind hohen IT-Sicherheitsrisiken ausgesetzt. Zum einen, da sie ein leichteres Ziel für Angreifer bieten, zum anderen, da sie gegenüber Großunternehmen geringe finanzielle Spielräume zur Umsetzung einer Sicherheitsstrategie zur Verfügung haben. Das Ziel des KMU-Projektes ist es, ein einheitliches Sicherheitsmanagement in Ihrem Unternehmen zu implementieren, welches sowohl gesetzliche als auch technische und organisatorische Anforderungen im Hinblick auf Datenschutz und IT-Sicherheit einfach, kostengünstig und schnell umsetzt. Sicherheit soll dabei keine lästige Verpflichtung sein, sondern für Ihr Unternehmen einen echten Mehrwert darstellen. 2

Dabei werden zwei Aspekte betrachtet: zum einen der Datenschutz nach EU- Datenschutzgrundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG), zum anderen technische und organisatorische Maßnahmen

3 2. Was steckt hinter dem KMU-Projekt? Das KMU-Projekt besteht darin, durch ein hohes Maß an Standardisierung eine einfache und praxistaugliche Lösung zur Umsetzung eines IT-Sicherheitsmanagements in KMU zu ermöglichen. Dabei werden zwei Aspekte betrachtet: zum einen der Datenschutz nach EU- Datenschutzgrundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG), zum anderen technische und organisatorische Maßnahmen des Informationssicherheitsmanagements (ISMS) nach ISO 27001/ Abbildung 1 - Zusammenhang zwischen Informationssicherheit und Datenschutz Die Ausrichtung des IT-Sicherheitsmanagements an diesen Vorgaben schafft ein einheitliches Sicherheitsniveau im KMU, da sich Datenschutz nicht umsetzen lässt ohne Aspekte der Inforationssicherheit zu betrachten und umgekehrt. KMU haben in der Regel einen geringeren Organisationsgrad als Großunternehmen. Der Aufwand bei der Implementierung eines Sicherheitsmanagements soll daher nicht überbetont oder überbewertet werden, sondern ist in seinem Umfang genau auf kleine und mittelständische Unternehmen zugeschnitten. Sicherheitsrelevante Dokumentationen und Prozesse sollen verständlich und einfach umsetzbar sein und dabei gesetzliche Standards erfüllen. 3

Dabei werden Ihre Geschäftsprozesse so wenig wie möglich beeinflusst. Ihr Unternehmen soll funktionieren nur auf einem höheren Sicherheitsniveau. 3. Wie funktioniert das?

4 Dabei werden Ihre Geschäftsprozesse so wenig wie möglich beeinflusst. Ihr Unternehmen soll funktionieren nur auf einem höheren Sicherheitsniveau. 3. Wie funktioniert das? Die Implementierung des Sicherheitsmanagements in KMU besteht aus fünf Phasen: Abbildung 2 - Phasen der Implementierung Ausgangspunkt ist stets Audit Ihres Unternehmens, um eine Bewertung der aktuellen Ist- Situation vorzunehmen. Dies tun wir mit Hilfe standardisierter Checklisten. Innerhalb eines Interviews bzw. Workshops werden die Informationen erfasst, ausgewertet und in Form eines Berichts inkl. Abweichungen und eines Maßnahmenkatalogs zur Verbesserung dokumentiert. Die vorgeschlagenen Maßnahmen werden durch uns vorpriorisiert, so dass Sie einen Überblick über das jeweilige Risiko der Maßnahmen haben und diese schrittweise nach Kritikalität abarbeiten können. Dies ist erforderlich, weil Erfahrungswerte zeigen, dass ein gleichzeitiges Umsetzen verschiedener Maßnahmen u. a. aus Effizienz-, Akzeptanz- und Effektivitätsgründen nicht sinnvoll ist. Zentrales Instrument für die Umsetzung ist unsere Dokumentation. Diese enthält alle wesentlichen Anweisungen, Vorgaben, Formblätter etc. und umfasst alle aufbau- und 4

5 ablauforganisatorischen Fragestellungen, welche allgemein verbindlich sind. Diese Dokumentation ist ein standardisiertes, auf langjähriger Erfahrung, den Datenschutzgesetzen und den Informationssicherheitsstandards basierendes Regelwerk. Es ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist. 4. Was umfasst das Sicherheitsmanagement für KMU? Initiales Audit inkl. Audit-Bericht und Maßnahmenkatalog Datenschutzmanagementsystem nach den Vorgaben der DSGVO und des BDSG Übergreifende Datenschutz-Strategie Verzeichnis der Verarbeitungstätigkeiten Vorgehen zur Datenschutzfolgeabschätzung Vorgehen zum Umgang mit Betroffenenrechten Vorgaben zur Auftragsverarbeitung Informationssicherheitsmanagement nach ISO Umsetzung der technischen und organisatorischen Maßnahmen auf Basis der Controls der ISO 27001/27002 Erstellung von internen Richtlinien und Vorgaben zu Vorfallsbehandlung Datensicherung Datenlöschung Administration und Konfiguration von IT-Systemen - und Internetnutzung Bring-Your-Own-Device Heimarbeitsplätzen Physische Sicherheit Mitarbeitersensibilisierung Präsenzschulungen Bereitstellung von elearning (Präsentationen, Videos) Jährliche Revision Wenn gewünscht, stellen wir Ihnen auch einen externen Datenschutzbeauftragten bzw. Informationssicherheitsbeauftragten zur Verfügung. Unser Ziel ist es, ein zertifizierungsfähiges IT-Sicherheitsmanagement zu implementieren. Ein zertifizierungsfähiges IT-Sicherheitsmanagement stellt sich, dass technische und organisatorische Mindeststandards umgesetzt wurden. 5

6 5. Was kostet das Sicherheitsmanagement für KMU? Das Sicherheitsmanagement für KMU gliedert sich kostenseitig in zwei Bestandteile: Projektaufwand und Aufwand für laufende Kosten. Im Projektaufwand enthalten sind die Kosten für das initiale Audit, alle Kosten für die Implementierung des Sicherheitsmanagements an sich sowie die Kosten für die erste Präsenzschulung der Mitarbeiter. Für den Projektaufwand können 40 % der Kosten als Zuschüsse aus dem Programm Verbesserung des Informationssicherheitsniveaus in KMU der Sächsischen Aufbaubank (SAB) abgedeckt werden. Der Aufwand für laufende Kosten setzt sich aus den Kosten für die jährlichen Revisionen sowie gegebenenfalls aus den Kosten für die Bestellung des externen Datenschutzbeauftragten bzw. des externen Informationssicherheitsbeauftragten zusammen. Die Leistungen werden mehrheitlich über vorher festgelegte Pauschalen berechnet und bei Vertragsabschluss festgelegt. 6. Welche Vorteile gibt es? Die Umsetzung eines einheitlichen Sicherheitsmanagements und damit eines einheitlichen Sicherheitsniveaus im Unternehmen bietet Ihnen folgende Vorteile: Im Falle eines Vorfalls ist ein Sicherheitsmanagement strafmildernd gem. Art. 83 Abs. 2 DSGVO zu berücksichtigen. Ein Sicherheitsmanagementsystem ist immer ein Indiz gegen Vorsatz und Fahrlässigkeit Ein funktionierendes Sicherheitsmanagement wirkt sich positiv auf Risikoübernahme durch Versicherungen aus (sinkende Beiträge) zuverlässigere Prozesse und damit zuverlässigere Arbeitsweise der Mitarbeiter / Dienstleister Erhöhung von Risiko- und Sicherheitsbewusstsein im gesamten Unternehmen Gewährleistung von Systemsicherheit und Verfügbarkeit der Systeme Wettbewerbsvorteile und eine positive Außenwirkung 6

7 Wollen Sie mehr erfahren? Gerne stehen wir für ein unverbindliches Gespräch zur Verfügung. Schulstraße Scheibenberg Mobil: Tel.: Fax: info@secuda-solutions.de 7

Ähnliche Dokumente

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen? 1 1 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Betroffen sind Unternehmen der sog. Kritischen Infrastrukturen