Datensicherheit. Konvergenz zwischen Datenschutz und Datensicherheit IT SECURITY ADVISOR. Ausgabe 1/2009 US1

Größe: px
Ab Seite anzeigen:

Download "Datensicherheit. Konvergenz zwischen Datenschutz und Datensicherheit IT SECURITY ADVISOR. Ausgabe 1/2009 US1"

Transkript

1 Ausgabe 1/2009 Datensicherheit IT SECURITY ADVISOR Konvergenz zwischen Datenschutz und Datensicherheit US1 üngste üngste Entwicklungen in PLATZHALTER der Datenschutz- 1 Hier könnte und Sicherheitsgesetzgebung Ihre Überschrift stehen IT-Risiko-Management: Mittel zur Konvergenz THEMATIK von 2 Datenschutz Hier und wäre Datensicherheit? der Platz dafür Datensicherheit AUS - Beyond BEyond DEM INHALT the Hype 3 Noch ein Schwerpunkt Eine Publikation von 1

2 2

3 EINFÜHRUNG Datenschutz und Datensicherheit wachsen zusammen Unter dem Druck der aktuellen Gesetzgebung und aufgrund wachsender Sensibilität wachsen die klassischen Aufgaben des Datenschutzes und der IT-Sicherheit immer stärker zusammen Informationssicherheit bedeutet heute nicht mehr die Abschottung eines Unternehmensnetzes gegenüber dem Internet, sondern den optimalen Schutz aller in einem Unternehmen gespeicherten Informationsressourcen in Form von strukturierten (Datenbanken) und unstrukturierten Daten (Dokumenten). Der Schutz umfasst dabei Informationen, die dem Unternehmen einschränkungslos gehören, und Informationen, die ihm lediglich anvertraut werden darunter Kunden-, Partner- und Mitarbeiterdaten. Speziell vom Umgang mit den zuletzt genannten Daten hängt das Vertrauen ab, dass ein Unternehmen bei seinen Kunden, Geschäftspartnern und Mitarbeitern genießt. Auf die Konvergenz von Datenschutz und IT- Sicherheit sind Unternehmen bisher schlecht vorbereitet bei Managern und Fachleuten beider Richtungen herrscht oft noch die Vorstellung von der Unvereinbarkeit beider Gebiete vor, und die Technik wird dem neuen Konzept nicht gerecht. Aus Management-Sicht war Datenschutz lange Zeit meist den Unternehmenszielen im Weg und vertrug sich schlecht mit der Sicherheit, weil Datenschutz Kontrollmöglichkeiten der Kommunikationsflüsse einengte. Ein typischer Konfliktbereich war in dieser Hinsicht der Mitarbeiter-Datenschutz, der zum Beispiel dem Einsatz von Content- Filtern im Weg war. Diese Ausgangslage beeinflusst die Auffassung des Datenschutzes in den Unternehmen Datenschutz galt außerdem als staatlich geregelter Bereich, Sicherheit als Sache des Unternehmens. Die Existenz von Datenschutzbeauftragten und deren Sonderrolle brachte ein weiteres störendes Element in die Unternehmen. Datenschützer arbeiteten außerdem hauptsächlich mit der Vorgabe von Verfahren und mit Einschränkungen für die Aufbewahrung von Daten. Beides deckte sich nicht mit den Zielen der Sicherheitsfachleute, die vor allem die Infrastruktur eines Unternehmens vor unbefugten Zugriffen schützen wollten und noch nicht die dort gespeicherten Informationen selbst im Blick hatten. Die Aufgaben beider Fachgebiete waren sich also entweder im Weg oder liefen nebeneinander her. Kommunikation zwischen beiden Ebenen fand kaum statt. Große Unternehmen allerdings pflegten weitgehend unbeachtet von der öffentlichen Diskussion einen gänzlich anderen Umgang mit der Datenschutzthematik. In einigen Unternehmen galten alle IT-Sicherheitsmaßnahmen von vornherein dem Schutz von Informationen wie Kundendaten, Firmengeheimnissen und Mitarbeiterdaten, jeweils unter spezifischen Bedingungen, zu unterschiedlichen Zwecken und für die unterschiedlichen Interessengruppen. In solchen Fällen wurden Datenschutz und Sicherheit unter einer Leitung zusammengefasst. Jetzt denken immer mehr Manager um: Compliance-Vorschriften und der Druck der Öffentlichkeit machen nachweislich guten Umgang mit Datenschutz zu einem Qualitätsmerkmal für Unternehmen. Wer den Datenschutz beherrscht, ist vertrauenswürdig. Außerdem denkt man auch beim Datenschutz 3

4 EINFÜHRUNG selbst um: Nicht mehr allein das Vermeiden der Speicherung ist das wichtigste Mittel des Datenschutzes die vor unbefugten Zugriffen geschützte Ablage erhält immer mehr Bedeutung. Sie wiederum lässt sich nur mit den Mitteln der Informationssicherheit bewerkstelligen. Dieser Trend erhält zusätzlichen Schub durch aktuelle Vorschriften, die die Archivierung der gesamten elektronischen Geschäftskorrespondenz von Unternehmen verlangen. Die IT-Sicherheit wandelt sich aus dem Abschotten von Netzen wird angemessener Schutz für jedes Dokument, gestützt auf eine stringente Klassifizierung. Der Datenschutz ist in die IT-Sicherheit integriert. Der juristische Rahmen gewinnt mehr und mehr an Bedeutung Das Einhalten von Datenschutzrichtlinien zu kontrollieren, gestaltet sich schwierig. Es gibt keine Radarfallen für Datensünder, so Prof. Dr. Forgó von der Universität Hannover. Notwendig ist daher eine umfassende Aufklärung über Datenschutzstandards und Datenschutzrecht und das aus dieser Aufklärung resultierende gesellschaftliche Bewusstsein. Persönliche Freiheiten würden durch rechtliche Regulierungen im Internet nicht eingeschränkt, meint Forgó. Im Gegenteil, persönliche Freiheit im Netz sei eine Illusion: Die Privatsphäre kann durch Datenschutzkontrollen nicht gefährdet werden: Privatsphäre ist eine zentrale juristische Kategorie und vor allem im Grundrecht auf Datenschutz verkörpert, erklärt Forgó. Welches Recht im Internet angewendet wird, hängt vom Fall ab. In vielen Fällen, insbesondere im E-Commerce, kommt in der Regel das Recht des Staates zur Anwendung, in dem der Verbraucher seinen Wohnsitz hat, so Forgó. Im Verkehr zwischen Unternehmen kommt es zumeist auf das Recht des Staates an, in dem der Dienstanbieter seinen Sitz hat. Im Strafrecht hingegen sei es in der Regel jenes Recht, in dem sich die Straftat realisiert, bei Internetdelikten daher im Zweifel das Strafrecht jedes Staates, in dem der Inhalt abrufbar ist. An das Recht stellen sich aber im Rahmen von Datenschutz und Datensicherheit noch viele andere interessante Fragen. Fazit: Datenschutz und Datensicherheit gehören zusammen eine isolierte Betrachtung ist schon allein aufgrund der verschärften Regelwerke und Rechtsvorschriften nicht ratsam. Nicht zuletzt die aktuellen Datenschutzverstöße, die in den letzten Monaten bekannt wurden, haben die Relevanz des Datenschutzes auf eine neue gesellschaftspolitische Ebene gehoben. Wir werden gezwungen, uns auf Websites zu registrieren, wenn wir bestimmte Informationen haben wollen, wir werden gezwungen, bestimmte technische Standards einzuhalten, die Anonymität fördern oder behindern können. Wir werden auch dazu gezwungen, bestimmte sicherheitsrelevante Funktionen wie z.b. Cookies zuzulassen. Spezielle rechtliche Regeln, richtig eingesetzt, gefährden die persönliche Freiheit nicht, sondern sichern sie. 4

5 Inhalt EINFÜHRUNG Datenschutz und Datensicherheit wachsen zusammen... 3 Welche Rolle spielt Bewusstsein?... 6 Jüngste Entwicklungen in der Datenschutz- und Sicherheitsgesetzgebung Datenschutz und Sozialethik auf der schiefen Bahn? AUS DER PRAXIS Konvergenz aus Datenschutz und Datensicherheit Interview Wer war Root? Interview mit Jochen Koehler, Deutschland-Chef von Cyber-Ark AUS DER PRAXIS Datensicherheit: Beyond the Hype Phishing, Pharming und Trojaner. Die Netze der Datenmafia À la card: Smartphones sicher im Firmennetzwerk Erst Sicherheit, dann Compliance End-to-End Data Protection zuverlässiger Datenschutz vom Anfang bis zum Ende Sichere Lösung für den Abfallkreislauf Neue Wege für Data Protection dank WAN Acceleration Mit Unified Threat Management vor allen Gefahren sicher SUCCESS STORY Hilfe leisten mit Engagement und Professionalität Erstmals preiswerte IT-Security für Unternehmen mit hohem Sicherheitsanspruch AUS DER PRAXIS Von der Aktenhalde zum sicheren High-Tech-Archiv IT-Risiko-Management: Mittel zur Konvergenz von Datenschutz und Datensicherheit? Impressum

6 EINFÜHRUNG - FAKTOR MENSCH Welche Rolle spielt Bewusstsein? Warum Informationssicherheit nach wie vor kein angenehmes Thema ist. Von Manuel Hüttl Vielerorts wird behauptet, dass der Mensch die eigentliche Schwachstelle sei, wenn es um das Thema Informationssicherheit geht. Insbesondere die Administratoren der IT-Systeme raufen sich manchmal die Haare, wenn sie Anwender beim Umgang mit unternehmenskritischen Daten oder persönlichen Zugangsinformationen beobachten. Doch es wäre zu einfach, das essentielle Problem IT-Sicherheit auf den Menschen zu reduzieren. Richtig ist jedoch, dass der Anwender das Bewusstsein im Umgang mit IT schärfen muss. Hier sind unterschiedlichste Anspruchsgruppen in der Bringschuld. Wenn man die zentralen Diskussionen in der Welt der Informationstechnologie verfolgt, wird man feststellen, dass die wirklich großen Herausforderungen der Branche mit Bildung und Bewusstsein zu tun haben und nicht mit Soft- und Hardware Engineering. Es geht also um weiche Faktoren. Der Mensch selbst ist verantwortlich für technische Innovationen er entwickelt neue Lösungen, die das Leben einfacher gestalten, Arbeitsabläufe optimieren oder neue Geschäftsmodelle eröffnen. Wie kann also derjenige zur eigentlichen Schwachstelle werden, der die Systeme entwickelt. Schnell kommt da die Frage auf, ob uns die Technologie einholt, ja sogar schon überholt? Das Problem ist also an anderer Stelle zu suchen und lässt sich nicht einfach auf einen Bereich reduzieren. Bewusstsein für IT-Sicherheit wächst an vielen Stellen und erst ein Zusammenspiel einzelner Faktoren kann dazu beitragen, dass IT-Sicherheit in Zukunft nichts als einen lästiger Beigeschmack der wunderbaren Vorteile des Cyber-Zeitalters bedeutet. 6

7 Unterteilt man High-Tech-Themen in die vier Aspekte Organisation, Technologie, Recht und Psychologie, so scheint es, dass die beiden ersten Bereiche auf balancierte Weise bereits abgehandelt sind. Die Themenbereiche, die sowohl gesetzliche Rahmenbedingungen als auch Regelwerke tangieren werden derzeit intensiv bearbeitet. Die psychologischen Aspekte beim Umgang mit der Informationstechnologie stellen mit Sicherheit die größten Herausforderungen dar. In diesem Zusammenhang tun sich Fragen auf wie: Steht das Bewusstsein der Konsumenten dem technischen Fortschritt im Weg oder bildet es gerade den notwendigen Gegenpol zur Erkennung der Grenzen im Zuge der progressiven Technokratie? Wie gehen wir damit um, dass die von Menschenhand ausgelöste Entwicklungsgeschwindigkeit der Informationstechnologie die genetisch bedingten Grenzen für die Entwicklung unserer geistigen Kapazität bei weitem überschritten hat? Nach welchen Gesichtspunkten reagieren Verbraucher auf neue Technologien? Kann man diese Wahrnehmungen überhaupt beeinflussen? Welche Protagonisten müssen derartige Fragen beantworten? Dem recht breiten Bewusstsein für das Vorhandensein einer neuen Technologie, steht oftmals ein fehlendes Verständnis für deren Einsatz gegenüber. Wir können den Rahmenbedingungen unserer genetischen Voraussetzungen also offensichtlich nicht entkommen. Demnach stellt die gesellschaftliche Akzeptanz eine zwingende Voraussetzung für die erfolgreiche Umsetzung eines technologischen Potenzials dar. Gerade im Bereich der IT-Sicherheit hat man sich viel zu lange schon auf eine technisch-organisatorische Betrachtungsweise fokussiert. Man konzentrierte sich auf einen rein technischen Pragmatismus, der die unzweifelhaften Wechselwirkungen zwischen Technologie, Gesellschaft und Individuum, mithin also die sogenannten weichen Faktoren, weitgehend außer acht gelassen hat. Weiche Faktoren stehen im Blickpunkt Die Psychologie setzt sich unter anderem mit den Wahrnehmungen einer Technologie, eines Unternehmens, eines Produktes oder einer Dienstleistung auseinander. Wird beispielsweise eine Technologie als negativ oder sogar gefährlich wahrgenommen, verunsichert dies Mitarbeiter, Kunden und Geschäftspartner. Die Risiken im Umgang mit Informationsstrukturen sind dafür ein gutes Beispiel: Niemand kann so recht einschätzen, ob die potentiellen Gefahren nun auch wirklich existent sind oder nur für Marketingzwecke benutzt werden. Eines ist jedoch klar: Wenn das Disaster einsetzt und ein Angriff die Unternehmens-IT lahm gelegt hat, kann die mögliche Zerstörung von Geschäftsbeziehungen oder sonstigem Schaden eine für den Fortbestand einer Organisation bedrohende Krise werden. Prof. Peter Bienert, Vorstand der Unternehmensberatung forte advisors weiß: Information allein reicht nicht aus, um Skepsis gegenüber neuen Technologien abzubauen. Unternehmen müssen vor allem eine vertrauensvolle Beziehung zu ihren Stakeholdern aufbauen. Dieser langwierige Prozess gilt insbesondere für das Thema IT-Sicherheit. Erst ein entsprechendes Bewusstsein für die Risiken zieht eine Affinität nach sich. Einsatz von Technologien erfordert Bewusstsein Der Teilnehmer am digitalen Leben ist in hohem Maße gefordert, sich mit dem Schutz und der Verwaltung seiner Identität persönlich auseinander zu setzen. Technologie ist in Zeiten eines weltumspannenden digitalen Netzes eine zwar notwendige, ohne das entsprechende Bewusstsein jedoch keinesfalls hinreichende Voraussetzung für Sicherheit. Nach dem Verständnis der meisten Bürger fällt es in das Aufgabenspektrum des Staates, die für Sicherheit notwendigen Voraussetzungen für die von ihm vertretene Gemeinschaft sicherzustellen. Da unabhängig davon gemäß Grundgesetz die Trägerschaft aller Bildungseinrichtungen der Bundesrepublik in Bund und Ländern abgebildet ist, müsste man ein deutschlandweites Netz 7

8 EINFÜHRUNG - FAKTOR MENSCH an Weiterbildungsmaßnahmen und einen auf die Erfordernisse der digitalen Gesellschaft abgestimmter Lehrplan an Schulen und Universitäten erwarten. Zu unserer Überraschung stellen wir fest, dass ein Staatswesen, in dem der Begriff der Informationsgesellschaft in beständiger Regelmäßigkeit strapaziert wird, erstaunlich geringe Anstrengungen unternimmt, um seine Bürger auf die spezifischen Anforderungen dieses Zeitalters vorzubereiten. Maßgaben für eine kritische Auseinandersetzung mit Informationen, Informationsquellen, Medien und Identitäten bleiben eine so seltene Ausnahmeerscheinung im Rahmen der schulischen und akademischen Ausbildung, dass sich der zynische Verdacht aufdrängt, der moderne Staat sei aus nachvollziehbarem Grund an aufgeklärten Bürgern nur wenige interessiert. So müsste ein bewusstseinsbildender Prozess also bereits im Kindesalter ansetzen. Denn wir bewegen uns nicht erst auf ein Szenario zu, in dem Informationen das höchste Gut darstellen und Informationstechnologien in alle Lebenslagen Einhalt bekommen nein, wir befinden uns mitten in dieser Welt. Und wenn die Informationsstrukturen jetzt schon derart komplex aufgebaut sind, die Transaktionen von kritischen Daten weltweit in sekundenschnelle ausgeführt werden, müsste es relativ logisch erscheinen, wenn diese Strukturen und der Datenaustausch auch entsprechenden Schutzmechanismen unterliegen. Bewusstseinsbildung geht uns alle an! Die einzige Möglichkeit, dass die Unternehmenswelt den wachsenden Gefahren, die sich über das Web verbreiten, standhalten kann, ist, das Bewusstsein der eigenen Mitarbeiter in Sachen IT-Sicherheit zu schärfen. Dieses Bewusstsein für IT-Sicherheit fehlt in den meisten Führungsetagen, dabei sollte die Sicherheit, wie alles andere in einem Untenehmen auch, vom Management gesteuert und vorgelebt werden. Wichtig für das Management sind einerseits wirtschaftliche Aspekte und andererseits Fakten zur Einschätzung eines Gefahrenpotentials bei der Balance zwischen Sicherheit und Produktivität. Es gibt viele Hürden, die im Kontext Bewusstseinsbildung genommen werden müssen. So gilt es grundsätzlich, jedermann von der Wichtigkeit des Themas zu überzeugen. Darüber hinaus reicht es nicht, Policies in einem Unternehmen festzuschreiben. Sie müssen auch gelebt werden. Im Klartext: Wie sieht es aus mit der Exekution von Sanktionen? Was passiert, wenn die Assistentin am Empfang Downloads durchführt, zu denen sie laut Unternehmensrichtlinien gar nicht befugt gewesen wäre? IT-Geräte unterscheiden sich von anderen Geräten, die unsere moderne industrielle Gesellschaft ausmachen, in einem bedeutenden Punkt. Betrachten wir ein Automobil im Vergleich zu einem vernetzten Heimcomputer: Während ein Automobil in die Transportinfrastruktur einer modernen Gesellschaft ein mehr oder weniger geschlossenes System ist, das ohne andere Fahrzeuge tadellos funktioniert und selten von Verbindungen zu anderen Autos abhängt, ist ein Datenverarbeitungsgerät in Zeiten des Internets geradezu nutzlos, wenn es nicht mit anderen Datenverarbeitungsgeräten verbunden ist. Das heißt, wenn mein Auto unsicher ist, hat dies keine ernsten Konsequenzen für die Funktionsfähigkeit des Autos meines Nachbarn oder die globale Transportinfrastruktur. Wenn jedoch mein Heim-PC Teil eines Botnetzes wird oder Viren verstreut, kann dies verheerende Konsequenzen für andere PCs, Computeranwendungen und sogar für die IT-Infrastruktur als Ganzes haben. Bis zu einem gewissen Grad kann man bei Geräten wie Autos grundsätzlich darauf vertrauen, dass sie so funktionieren, wie es in der Gebrauchsanweisung beschrieben ist. Unliebsame Überraschungen tauchen selten auf oder sind durch ein vertrauenswürdiges Ökosystem (Gesetzgebung, Werkstätten, etc.) abgeschwächt. Datenverarbeitenden Systemen kann nicht vertraut werden und sie arbeiten zumindest in einer Heimanwender- oder Microbusinessumgebung nicht in einem vertrauenswürdigen Ökosystem. 8

9 Wie Untersuchungen zu Vertrauen zeigen, kann das Fehlen von notwendigen Bezugselementen des Vertrauens in der Beziehung zur Softwareindustrie ein wichtiger Faktor für das IT-Verhalten sein Neuartiger Simulationsansatz: Internet Risk Behaviour Index (IRBI) Die Methodik des IRBI wurde in Zusammenarbeit mit der Ludwig-Maximilians-Universität München (LMU) entwickelt. IRBI ist eine adaptive Lernumgebung. Der Simulator spielt dem Benutzer Situationen aus dem realen Umgang mit PC und Internet vor. IRBI verbindet auf völlig neue Art und Weise Forschung sowie positive Einflussnahme auf das Sicherheitsverhalten von Computernutzern im Rahmen einer Online-Plattform. Er bietet mit Hilfe einer Serie von innovativen Online-Tests einen fundierten Ansatz, um Informationen über das Verhalten von privaten PC-Anwendern zu gewinnen. Daraus entsteht ein Verfahren, das einen Index des Wissens über die Einstellungs- und Motivationsmerkmale der privaten Anwender im Bereich Sicherheit ermöglicht. Zugleich stellt IRBI eine E-Learning- und Support-Umgebung dar, die das Verhalten der PC-Nutzer positiv und nachhaltig beeinflusst. Der Anwender muss sich entscheiden, wie er in einer bestimmten Situation am besten handelt. Für richtige oder falsche Entscheidungen gibt es dann mehr oder weniger Punkte und unmittelbares Feedback. Die Simulation macht es so möglich, realitätsnah Erfahrungen mit echten Bedrohungen zu sammeln. IRBI trainiert richtiges Verhalten. Hierin liegt auch das wichtigste Unterscheidungsmerkmal zu gängigen Online-Tests: Es wird nicht nur theoretisches Wissen abgefragt, sondern praktisches Handeln eingeübt. Der Anwender kann sein tatsächliches Verhalten in potenziell gefährlichen Situationen überprüfen und verbessern. Dieser Aspekt ist deshalb so wichtig, weil abstrakte Kenntnisse allein keinen ausreichenden Schutz in Situationen bieten, bei denen richtiges Handeln über den Erfolg der Gefahrenabwehr entscheidet. Gefahren, die man sich nicht vorstellen und auch nicht an Personen festmachen kann, werden leicht unterschätzt. Wer unsicher ist, unter Zeitdruck steht oder unbedingt ein bestimmtes Ziel erreichen will etwa den Download eines Films im Internet erliegt außerdem der Versuchung, abstrakte Risiken zu ignorieren. Wer allerdings zumindest in einer Simulation einmal die Indikatoren für ein vergrößertes Risiko erleben und die richtigen Verhaltensweisen durchspielen konnte, wird sich eher für den ungefährlicheren Weg entscheiden. Wie groß der Schritt vom Wissen um eine Gefahr zum angemessenen Verhalten ist, weiß außerdem jeder, der beispielsweise einmal versucht hat, sich das Rauchen abzugewöhnen. Spielerisch lernen Alle Anwendungsfälle des IRBI basieren auf dem wissenschaftlichen Critical-Incidents- Verfahren nach Flanagan, die im Wesentlichen eine Methode der Informationssammlung über kritische das heißt nennenswerte positive und negative Ereignisse bei der Erfüllung einer Aufgabe verfolgt. Das Situationsrepertoire des IRBI erfasst aktuelle Online-Gefahren. Wichtige Risiken, für die das System Simulationen bereit hält, sind beispielsweise die unterschiedlichen Spielarten des Identitätsdiebstahls, wie sie beim Ausspionieren persönlicher Informationen über 9

10 EINFÜHRUNG - FAKTOR MENSCH 10 Internet-Plattformen oder beim Phishing eine zentrale Rolle spielen. Außerdem simuliert das System die unterschiedlichsten Tricks, mit denen Angreifer Viren und Trojaner auf die PCs von Anwendern schleusen. Das richtige Verhalten aller Internet-Nutzer entscheidet darüber, wie sicher das Internet insgesamt ist. Solange beispielsweise Privatanwender ihre Computer nicht gegen die Installation von Trojanern abschotten, können Angreifer mit den gekaperten Rechnern Botnetze aufbauen, die sie für hoch wirksame Angriffe auf wichtige Dienste und Organisationen einsetzen können etwa auf Institutionen, die Finanz- oder Gesundheitsdaten speichern erläutert Dr. Werner Degenhardt von der Fakultät für Psychologie an der LMU. Aber auch die PCs der Privatanwender selbst werden immer lohnendere Ziele, da auf ihnen wichtige private Daten liegen und weil sie bei der persönlichen Kommunikation eine immer zentralere Rolle spielen. Das Verhalten von Privatanwendern durch Zwang oder Regeln beeinflussen zu wollen, widerspricht den Konzepten einer freien Internetkommunikation und der informationellen Selbstbestimmung. Der einzige Weg zu einem adäquaten Anwenderverhalten führt über offene Weiterbildungsangebote. Deshalb will Microsoft mit dem IRBI einen Anreiz bieten, sich über das richtige Verhalten im Internet spielerisch zu orientieren und es im eigenen Interesse zu trainieren. Als Hersteller eines Großteils der weltweit für den Internetzugriff benutzten Technik möchte Microsoft so seiner Verantwortung für seine Kunden und für die Kommunikationsinfrastrukturen nachkommen. IRBI ist ein Beispiel für die gesellschaftlichen Initiativen des Unternehmens für mehr Sicherheit im Internet. Fazit Der Mensch ist also nicht einfach per se die Schwachstelle im System. Vielmehr sollte sein Verhalten und Agieren in den Vordergrund gestellt werden. Hilfestellung und Bewusstseinsbildung sind die Mechanismen, die einzusetzen sind. Die Erkenntnis des IRBI-Ansatzes ist, dass viele Aktionen im IT-Securitybereich generell motiviertes Verhalten in Reaktion auf Anreize sind, mit denen Personen in Berührung kommen. Durch sorgfältiges Strukturieren der Vorteile, die durch das Nutzen einer Technologie oder ein bestimmtes Verhalten gewonnen werden, können wir die Benutzer dazu bringen, die Entscheidungen zu treffen, von denen das Gesamtsystem profitiert. Sicherheitsversagen aufgrund von zu wenig Informationen kann z.b. als ein Fehlschlag angesehen werden, Anreize zu liefern, sich besser zu informieren. Es ist also zuerst notwendig, zu verstehen, wie die Nutzer Sicherheitsentscheidungen treffen und dann Sicherheitsprobleme zu charakterisieren, die aus diesen Entscheidungen resultieren. In diesem Zusammenhang ist es wichtig die bei Nutzern existierenden Modelle der Sicherheitsrisiken und zu verstehen. Manuel Hüttl ist Vorstandsmitglied der European Expert Group for IT Security (EICAR) und General Manager DACH bei der Kommunikationsagentur Waggener Edstrom Die EICAR wurde 1991 als eingetragener Verein in Deutschland gegründet. Zunächst mit dem Ziel, Know-how im Bereich der Antivirenforschung zu bündeln, gilt die EICAR mittlerweile als anerkanntes IT-Security Expertennetzwerk. Das Institut versteht sich als Plattform für den Informationsaustausch für alle Sicherheitsexperten, die in den Bereichen Forschung und Entwicklung, Implementierung sowie Management tätig sind. Hierdurch soll die globale Zusammenarbeit im Bereich der Computersicherheit gefördert werden. Ziel des Instituts ist es, Lösungen und Präventivmaßnahmen gegenüber allen Arten der Computerkriminalität, wie z.b. das Schreiben und Verbreiten von Computer-Viren, Betrug sowie das Ausspähen von personenbezogenen Daten, zu entwickeln. Dabei arbeitet das Institut sowohl sehr eng mit Unternehmen, politischen Organisationen oder universitären Einrichtungen als auch Medien,Technik- und Rechtsexperten zusammen.

11 Jüngste Entwicklungen in der Datenschutz- und Sicherheitsgesetzgebung Von Prof. Dr. Nikolaus Forgo, Chairman Legal Advisory Board EICAR Der derzeitige Status Quo bei der Gesetzgebung zum Thema Datenschutz in Europa und Deutschland stellt sich uneinheitlich dar. Einerseits erfährt das Thema außergewöhnliche Aufmerksamkeit in den Medien, andererseits wird Deutschland nicht nur von einigen handfesten Datenschutz-Skandalen erschüttert, sondern auch von diversen Rechtsstreitigkeiten und Initiativen auf diesem Gebiet. Das deutsche Bundesverfassungsgericht, welches 1983 das Recht auf informationelle Selbstbestimmung ins Leben rief, übernimmt immer mehr eine Schlüsselrolle in punkto Datenschutz. Dabei stellte das Gericht ein neues grundlegendes Recht auf Privatsphäre und Sicherheit in der Informationsverarbeitung fest (Urteil vom 27. Februar 2008, Aktenzeichen 1 BvR 370/07; 1 BvR 595/07, Grundrecht auf Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme ) und erklärte daher Anfang letzten Jahres ein Bundesgesetz zur Onlinedurchsuchung für verfassungswidrig. In diesem Jahr steht das Gericht erneut im Mittelpunkt des internationalen Interesses. Es muss eine Entscheidung zu einer Sammelklage von mehr als Klägern gegen die deutsche Umsetzung der EU-Direktive 2006/24/EC zur Speicherung von Traffic-Daten fällen. In zwei vorläufigen Urteilen brachte das Gericht bereits deutlich seine Besorgnis über das nationale Vorgehen zum Ausdruck (Aktenzeichen 1 BvR 256/08). Die finale Entscheidung des Gerichts zur Verfassungsmäßigkeit der nationalen Richtlinien zur Datenspeicherung wird auch über Deutschland hinaus von Bedeutung sein. Vor kurzem beschränkte das Verfassungsgericht auch die Aktivitäten des Gesetzgebers in einem anderen Bereich der Datenverarbeitung. Im Urteil vom 3. März 2009 (Aktenzeichen 2 BvC 3/07, 2 BvC 4/07) erklärte das Gericht, dass der Einsatz von Computern für politische Wahlzwecke voraussetze, dass der Wahlprozess für jedermann ohne besondere IT-Vorkenntnisse transparent und nachvollziehbar sei. Das Gericht erklärte daher eine Verordnung über elektronische Wahlgeräte für verfassungswidrig. Bundesregierung plant neue Alternativen Trotz dieser Vorbehalte des Gerichts, entfaltete die Deutsche Bundesregierung auf diesem Gebiet erneut eifrige Aktivität. Zwei Gesetzesentwürfe wurden verabschiedet beide mit dem Ziel, das Bundesdatenschutzgesetz zu ändern. In einem Gesetzesentwurf vom 10. Oktober 2008 (BT- DS 16/10529) bezieht sich die Regierung auf das so genannte Scoring, ein Verfahren der Datenauswertung zur Bonitätsprüfung. Die Übermittlung von Daten an Institutionen, welche 11

12 EINFÜHRUNG 12 mit Informationen zur Bonitätsprüfung handeln, solle beschränkt werden. Ein Datensubjekt solle das Recht haben, auf Anfrage umfangreiche Informationen über die Einstufung seiner Bonität und der zu ihrer Berechnung verwendeten Algorithmen zu erhalten. In einer zweiten Initiative begann die Regierung, den Austausch grundlegender Adressdaten der Bundesbürger zu beschränken. Zukünftig soll es deutschen Unternehmen schwerer gemacht werden, Anzeigen zielgerichtet an mögliche Kunden zu richten. Zudem befindet sich noch ein (sehr allgemein gehaltenes) Gesetz zum Thema Prüfung der Datensicherheit in der Vorbereitung. Genau genommen beschränkte die Bundesregierung ihre Bestrebungen zu einer Reform des Datenschutzgesetzes in keiner Weise. Sie reformierte zudem das Bundesgesetz über die Tätigkeit des Bundeskriminalamtes. Im Dezember 2009 wurde der Einsatz jeglicher Art von Malware legalisiert: Artikel 20k des Gesetzes gestattet dem BKA den Einsatz vom Malware zu kriminaltechnischen Zwecken. Die notwendigen technischen Lösungen für ein derartiges Eindringen werden ausgerechnet vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt. Daher ist eine Reform des Gesetzes über die Tätigkeit des BSI ebenfalls auf dem Weg. Das Ergebnis dieses Entwurfs, der vom Innenministerium verfasst wurde, wird sein, dass das BSI die Arbeit der Polizei zu unterstützen hat. Malware, die nicht von Hackern oder Kriminellen, sondern von einer Bundesbehörde geschrieben wird, stellt definitiv eine neue Entwicklung dar IT-Sicherheit, die dazu genutzt wird, um Vertrauen und Sicherheit zu schwächen. Datenschutz muss umfassender diskutiert werden Die deutsche Datenschutz-Strategie stellt sich paradox dar. Oberflächlich gibt man sich gern den Anstrich, über Datenschutz zu diskutieren und auch dafür einzutreten. Jedoch existieren weder eine ausreichende Diskussion noch eine zureichende Definition der Prioritäten. Zudem werden einige der grundlegendsten Prinzipien von Datensicherheit und Datenschutz permanent ignoriert. Um nur einige der Plattitüden zu nennen: a. Der beste Schutz für private Daten ist, sie erst gar nicht zu sammeln statt dessen führt die Gesetzgebung über die Datenspeicherung zu einem riesigen Volumen sensibler persönlicher Daten über jeden deutschen (und europäischen) Bürger. b. Eine Agentur, die für Datensicherheit verantwortlich ist, sollte unabhängig und ausschließlich für Datensicherheit verantwortlich sein stattdessen muss sich das BSI regelmäßig an (legalen) Angriffen gegen Datensicherheitsmaßnahmen beteiligen. c. Datensicherheit und Datenschutz sind eine Sache der bewussten Aufmerksamkeit. Diese bewusste Aufmerksamkeit muss nicht nur durch politische Aussagen bestärkt werden, sondern auch durch politische Rahmenbedingungen zur Stärkung und Unterstützung des Datenschutzes. Jedoch ist genau das Gegenteil der Fall, wenn (relativ) zweitrangige Themen in den Gesetzesentwürfen angesprochen und gleichzeitig (relativ) vorrangige Themen (wie zum Beispiel Datenschutz für Beschäftigte) hinten angestellt werden. d. Datenverarbeitung ist ein globales Phänomen. Das Netz sieht nationale Bestimmungen als Schaden an und bietet Möglichkeiten zu ihrer Umgehung (John Gilmore). Daher müssen die bereits ergriffenen Maßnahmen (zumindest) in Europa angepasst werden. EICAR wird auch weiterhin die gesetzlichen Entwicklungen in Deutschland und Europa sehr aufmerksam verfolgen. Generell bedarf es einer verstärkten und grundlegenden Analyse, welche auch die wirtschaftlichen Implikationen der ergriffenen Maßnahmen betrachtet Aus diesem Grund wird im ersten Halbjahr 2009 ein Positionspapier zum Datenschutz veröffentlicht. Darin wird der Versuch unternommen, die Gesamtsituation eingehend zu beleuchten.

13 Datenschutz und Sozialethik auf der schiefen Bahn? Dunkle Seiten von Datensammlungen und Compliance Von Hadi Stiel, freier Journalist in Bad Camberg Die Geschäfte werden zunehmend digital abgewickelt. Was früher offensichtlich auf Papier stand, tritt heute in elektronischer Form in den Hintergrund. Dort haben sich riesige Datenbestände aufgetürmt. Sie werden, eben weil im Hintergrund, über intelligente Filter- und Analysemechanismen auch zu inlegitimen und nicht sozial verträglichen Ergebnissen genutzt. Digitale Bearbeitungswege, weil uneinsichtig und flüchtig, entziehen sich für die daran Beteiligten und Betroffenen der Überwachung. Compliance und egovernance sollen mehr Licht ins Dunkel digitaler Vorgänge bringen. Doch auch ihre Registrierungs- und Überwachungsmechanismen laden zum Missbrauch ein. Die Folgen: Der Datenschutz und die Privatsphäre von Mitarbeitern und Bürgern drohen immer mehr unter die Räder zu kommen. Mit der Öffnung zum Internet werden Kundendaten im Hintergrund gehandelt wie auf einem Basar. Je differenzierter sie Auskunft über die Vorlieben geben, um so lukrativer fällt für die schwarzen Schafe das Geschäft aus. Die Hemmschwelle beim Umgang mit persönlichen Kundendaten senkt sich, registriert Thomas Gläsner, verantwortlich für den Bereich Geschäftstransformation beim IT-Dienstleister Logica. Er macht einen direkten Zusammenhang zwischen der zunehmenden Hinwendung der Unternehmen zu Internet-Geschäften und dem Verfall der Sitten aus. Das wirtschaftliche Interesse an gläsernen Kunden ist groß, weil so die eigenen Offerten gezielter an den Mann respektive die Frau gebracht werden können, erklärt er. Im Hintergrund werden ausgefeilte Filter- und Analysewerkzeuge genutzt, um keine Verkaufschance außer Acht zu lassen. Bedenklich sind die Folgen: Die Kunden werden über alle Kanäle aggressiv mit Angeboten adressiert. Viele sehen sich in der Konsequenz als Individuum 13

14 EINFÜHRUNG buchstäblich ausgezogen. Gläsner wähnt deshalb das Web der zweiten und dritten Generation als gefährdet. Die Anbieter werden künftig verhaltener, sorgsamer und verantwortungsbewusster mit den mitgeschnittenen Profildaten ihrer Kunden umgehen müssen. Andernfalls könnten sich die Kunden schnell enttäuscht von Internet-Käufen abwenden. Bei einigen großen DAX-Unternehmen finde immerhin in punkto Kundenakquise und Datenschutz ein Umdenkprozess statt. Anders bei den Internetlastigen Anbietern; Sie reizen alles aus, was geht, so Gläsner. Peter Schaar, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, moniert Adressverkäufe, Kontenweitergaben und die Überwachung von Kunden. An die Adresse des Staates fordert er auf, Datenvorratshaltungen und Online- Recherchen zurückzuführen. Datenaffairen wie Deutsche Telekom, Deutsche Bahn, Airbus, Lidl und Müller führen drastisch vor Augen, welche Dimension der Missbrauch von Kunden-, Partnerund Mitarbeiterdaten auch bei klassisch aufgestellten Unternehmen angenommen hat. Im ersten Fall wurden gleich mehrfach Kundenverbindungsdaten, so unter anderem an das Bundeskriminalamt (BKA) weitergereicht. Alle vier Anbieter haben sich mehrfach der Daten eigener Mitarbeiter bedient, ohne den Betriebsrat zu unterrichten. Nach Einschätzung von Mathias Hein, freier IT-Berater in Neuburg an der Donau, sind die bisher aufgedeckten Datenaffairen nur die Spitze des Eisbergs. Die professionellen Filter- und Analysemechanismen und die reichlich gefüllten Datentöpfe verführen zahlreiche Top-Manager dazu, illegale Wege zu gehen. Dazu käme ihnen die im Hintergrund verdeckt ablaufende Prozesse entgegen. Bestenfalls die Top-Manager sind noch in der Lage, die digitalen Abläufe und Datenbewegungen im Unternehmen zu überblicken. Hein: Datenaffairen werden nur publik, wenn auf oberster Etage politische Lecks entstehen, der Systemadministrator aus Gewissensgründen nicht still hält oder schlicht und einfach Pannen passieren. So wenn die erfassten Krankheitsdaten zu den Lidl-Mitarbeitern versehentlich ausgedruckt werden und in einem Müllcontainer landen. Was Hein besonders wundert: Hinter mehr als der Hälfte der bisher bekannt gewordener Datenaffairen stecken Ex-Staatsunternehmen, obwohl es davon nur eine handvoll gab. Ob Maßnahmen wie egovernance und Compliance solchen Fehlentwicklungen einen Riegel vorschieben können, ist fraglich. Solange sich das Management bei Finanzdienstleistern und anderen Unternehmen von Audits und Reports ausnimmt, wird beides, egovernance und Compliance, ins Leere laufen, schätzt Dr. Karsten Füser, Verantwortlicher für Qualitäts- und Risikomanagement im Finanzbereich bei der Unternehmensberatung Ernst & Young, ein. Ihre grundsätzliche Einstellung müsse sich ändern, was sich, bedingt durch die Finanzmarktkrise, zumindest andeute. Füser gibt sich optimistisch: Einmal etabliert, werden die neu entwickelten egovernance- und Compliance-Richtlinien den gewünschten Effekt entfalten sofern das Top-Management die Einführung vorbehaltlos mit trägt, wie er einschränkt. Wohin eine mangelnde Überwachung und Kontrolle führe, so Füser, habe der Finanzsektor gezeigt. Viele Akteure haben im Dschungel der Digitalisierung ihrer Finanzgeschäfte und falsch gesetzter Prüfungen buchstäblich den Überblick über die Risiken verloren. Systemische Probleme sind aber nicht auf den Finanzsektor begrenzt. Das beispielsweise egovernance nicht jedes Top-Managers Liebling ist, hat Ernst & Young schon vor drei Jahren durch eine Fraud-Studie im deutschsprachigen Bereich herausgefunden. Zwei Drittel aller Finanzbetrüger sind Manager, die von ganz oben zugreifen, so das Ergebnis. Sie fügen ihrem Unternehmen aufgrund ihrer Verfügungsgewalt einen überproportional hohen Schaden zu. Füser spricht deshalb von einem ethischen Bewusstseinsruck, der durch die Gesamtwirtschaft gehen müsse. Dazu gehöre auch, endlich mehr für den Datenschutz und das Recht auf Privatsphäre der Mitarbeiter und Bürger einzustehen. Bisher ist von diesem Wandel wenig zu verspüren. Zahlreiche Top-Manager unterstreichen mit ihrer Bonus-Mitnahmementalität, dass sie ihre eigenen Geschäftsinteressen weit höher bewerten als soziale Belange und die Datenschutzinteressen ihrer Mitarbeiter. Die Krise könnte die Neigung vieler Unternehmenslenker noch verstärken, sich, solan- 14

15 ge es geht, zu bedienen oder, unter Kostendruck und vorbei an gesellschaftlichen und politischen Regeln, das Mögliche aus ihrem Unternehmen herauszuholen. Erwin Schöndlinger, Geschäftsführer des Sicherheitsspezialisten Evidian Deutschland, verfolgt: Die Unternehmen aller Branchen müssen verantwortungsbewusster mit persönlichen Daten umgehen. Das beginne damit, vor der Erfassung, Speicherung und Archivierung im Rahmen des eigenen Geschäftsmodells deren Inhalt, Bedeutung für das Unternehmen, aber auch die langfristigen Konsequenzen für das Unternehmen und die Gesellschaft abzuwägen. So würden viel zu viele Daten aufgenommen, gehortet und verarbeitet werden, die in keinem direkten Bezug zum Geschäft oder zu notwendigen egovernance- oder Compliance-Auflagen stünden. Schon heute rauben förmlich explodierende Datenbestände und die Befolgung oft unnötiger, meist selbst auferlegter Regelungen den Mitarbeitern viel an Motivation und Produktivität, sagt Schöndlinger. Ein weiteres Problem eines ungezügelten Daten- und Bearbeitungswachstums sei, dass auf dieser unübersichtlichen Basis kaum etwas kontrolliert und geregelt werden könne, weil keine Transparenz herrsche. Eigentlich müssten Datenbestände und Vorgänge zuerst dereguliert, also vereinfacht und entflochten werden, bevor nachhaltig etwas geregelt werden kann, erteilt er einer unreflektierten und unvorbereiteten Regulierung eine Absage. Vielleicht hat das unreflektierte Sammeln und Horten digitaler Informationen für viele Unternehmen - und nicht nur für sie - System. Intelligente Filter- und BI-Werkzeuge durchstöbern mittlerweile gigantische Datenbestände in Sekunden und liefern komplexe Auswertungen in Minuten. Heute scheinbar belanglose Daten könnten morgen, je nach Ausrichtung der Recherche, entscheidend zu Ergebnissen beitragen. Auditing und Reporting, die einerseits dazu angetreten sind, im Sinne von Compliance und egovernance legitimes Licht ins Dunkel zu bringen, liefern andererseits detaillierte Mitschnitte, um Mitarbeiter und Bürger besser zu überwachen und zu beeinflussen. Solange Sozialverantwortung und Sozialethik das Handeln bestimmen, bewegen sich beide Maßnahmen im grünen Bereich. Was passiert aber, wenn andere Beweggründe wie Gier, Macht und Beherrschungswahn überhand nehmen? Dann gehen solche Maßnahmen und Techniken auf Kosten des Datenschutzes, der sozialen Ethik und Ausgewogenheit, schließlich der Demokratie. Rein betriebswirtschaftlich gesehen spricht alles dafür, weder mit den Datensammlungen noch mit den Compliance- und egovernance-vorkehrungen zu übertreiben. Mit einer wachsenden Komplexität schwindet, trotz Einsatz technischer Hilfsmittel, die Beherrschbarkeit. Zu viele, unnötige Regeln gehen auf Kosten der Transparenz. Sie führen zu überbordenden Unternehmensstrukturen, mehr Bürokratie und zusätzlichen Schlupflöchern, die es eigentlich auszumerzen gilt, sagt Wolfgang Kemna, CEO der zetvisions AG. Auch Kemna wendet sich als Compliance- und egovernance-spezialist gegen den aufkommenden Regelwildwuchs. Zumal zuviel des Guten eine effiziente und effektive Unternehmenssteuerung und Risikoabwehr erschwere. Er plädiert für eine Balance zwischen produktiven Freiräumen und zwingenden, generell aber produktivitätshemmenden Regeln. Das Quartett aus Compliance, egovernance, Unternehmenssteuerung und Risikomanagement muss außerdem organisationsweit mit der technischen und Prozessinfrastruktur zusammenspielen, wenn es Früchte tragen sollen, sagt er. Auch das mache es dringend ratsam, soweit wie möglich zu vereinfachen anstatt weiter zu verkomplizieren. Die Datenschützer und Sozialethiker, die die bisherige Entwicklung mit wachsender Sorge betrachten, würden diese Begrenzung auf das Notwendigste begrüßen. Der Elan bei Datensammlungen und bei der Etablierung von Vorschriften und Regeln werden wichtige Indikatoren dafür sein, welcher Geist und welche Absichten tatsächlich hinter diesen Maßnahmen stecken, konstatiert Padeluun vom Foebud (Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e. V.). Das gelte sowohl für die Unternehmen in der Rolle als Anbieter als auch den Staat mit seinen Behörden. Beide, so Padeluun, werden maßgeblich mitverantwortlich dafür sein, ob die Krise ein Umdenken fördert oder Datenschutz und Sozialethik noch weiter unter die Räder kommen werden. 15

16 AUS DER PRAXIS - CONSULTING Konvergenz zwischen Datenschutz und Datensicherheit Konvergenz bezeichnet im Allgemein das Sich- Aufeinander-zu-Entwickeln unterschiedlicher Ausgangszustände. Im Hinblick auf Datenschutz und Datensicherheit lassen sich diese Ausgangszustände wie folgt beschreiben: Datensicherheit soll den Schutz sämtlicher Unternehmensdaten hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Der Datenschutz betrifft dagegen ausschließlich personenbezogene Daten und soll das informationelle Selbstbestimmungsrecht der Betroffenen schützen, d.h. selbst darüber bestimmen zu können, ob und wie ihre Daten erhoben, verarbeitet oder genutzt werden. Insofern bestehen unterschiedliche Ausgangssituationen bezüglich des Schutzgegenstandes und des Schutzzieles. Bei einem Sich-Aufeinander-zu-Entwickeln von Datenschutz und Datensicherheit beschränkt sich die Betrachtung meist auf den technischen Datenschutz nach der Anlage zu 9 BDSG. Dort beschrieben sind acht Kontrollmaßnahmen zur Gewährleistung der Datensicherheit personenbezogener Daten, wie Zutritts-, Zugriffs-, Eingabe- oder Weitergabekontrollen. Diese stellen jedoch nur die direkte Schnittmenge zwischen den beiden Ausgangszuständen dar. Der Grenzbereich zwischen Datenschutz und Datensicherheit ist größer und birgt eine Reihe von Schwierigkeiten, die sich vor allem aus den unterschiedlichen Herangehensweise ergeben Datenschutz eher rechtlich, Datensicherheit eher technisch orientiert. In der Praxis finden sich mehrere Beispiele für einen gemeinsamen Grenzbereich beider Gebiete. Eine Aufgabe der IT-Sicherheit ist es, Richtlinien für verschiedene Bereiche zu erstellen, so auch Benutzerrichtlinien für den Bereich Notebooks/mobile Endgeräte. Festzulegen sind Regelungen für den Umgang mit den Geräten, Bestimmungen zu Verschlüsselungen und Notfallmaßnahmen. Es müssen aber auch Belange des Datenschutzes berücksichtigt werden, da in den meisten Fällen auf solchen Geräten personenbezogene Daten gespeichert sind sei es auch nur im persönlichen Adressbuch. Ein weiteres Beispiel, welches in der Beratungspraxis besonders häufig vorkommt, betrifft die private Internet- und nutzung in der Firma. Durch ungeregeltes Erlauben oder Dulden der Privatnutzung setzen sich Unternehmen rechtlichen Risiken aus, welche die Anforderungen aus Datenschutz und Telekommunikationsgesetzen betreffen. Die Protokollierung und Durchführung der erforderlichen Kontrollen von geregelter Nutzung wäre dann wiederum Aufgaben der Datensicherheit. Die hierbei zu erstel- 16

17 lenden Richtlinien liegen also im Grenzbereich beider Gebiete. Auch in anderen Bereichen der IT-Sicherheit ergeben sich Berührungspunkte mit dem Datenschutz. So sind z.b. bei den Schutzbedarfsfeststellungen die besonderen Arten personenbezogener Daten ( 3 Abs. 9 BDSG) wie z.b. Gesundheitsdaten mit einzubeziehen, da sie einen höheren Schutzbedarf haben als unsensible Daten. Der Grenzbereich kann teilweise auch von der Seite des Datenschutzes her erreicht werden. Dies tritt vor allem bei Vertragsgestaltungen, z.b. beim Outsourcing (ggf. Auftragsdatenverarbeitung nach 11 BDSG) auf. Die datenschutzrechtliche Begleitung der Einführung neuer Verfahren bedarf daher regelmäßig der Kommunikation zwischen den Disziplinen. Hier zeigt sich in der Praxis, dass die unterschiedlichen Herangehensweisen und die entgegensetzten Ausgangszustände zu Störungen im Ablauf führen können, da nicht dieselbe (Fach-) Sprache gesprochen wird. Parallel zu den Richtlinien im IT-Sicherheitsbereich ist im Datenschutzbereich ein Konzept zu erstellen (i.s.v. 9a BDSG). Bei der Arbeit an Richtlinien und Konzepten ergeben sich Überschneidungen, die kommuniziert werden müssen. Im Grenzbereich liegen weiterhin Aufgaben, die von beiden Bereichen zu erledigen sind, wie z.b. erforderliche Schulungen. Ein Schulungskonzept, welches Gemeinsamkeiten berücksichtigt und Raum für Unterschiede lässt, kann zu der erwünschten Annäherung und damit zu Synergieeffekten führen. Somit besteht zweifellos ein großer Abstimmungsbedarf sowohl organisatorisch als auch inhaltlich, um eine Konvergenz zwischen Datenschutz und Datensicherheit zu erreichen. Eine mögliche Umsetzung dieser Anforderung könnte in der Vereinigung des Datenschutz- und IT-Sicherheitsbeauftragten in einer Person gesehen werden. Leider wird sich diese Lösung in den seltensten Fällen realisieren lassen, da nur wenige Personen die benötigte Fachkunde in sich vereinen. Zudem könnte es auch aufgrund der eingangs erwähnten unterschiedlichen Ausgangszustände zu einem Zielkonflikt kommen, z.b. wenn Aspekte der Datensicherheit für Protokolle sprechen, diesen jedoch Anforderungen des Datenschutz entgegenstehen - oder wenn eine gegenseitige Kontrolle angebracht ist. Daher wird ein sich ergänzendes Team, das gut aufeinander eingespielt ist und sich aufgrund langjähriger interdisziplinärer Fachkompetenz auf der gleichen Kommunikationsebene befindet, die bessere Wahl für solche Positionen sein, auch, um eine funktionierende Konvergenz zwischen Datenschutz und Datensicherheit herzustellen. Katrin Clüver, Rechtsanwältin und Informatikerin, Consultant Datenschutz und IT-Sicherheit, Matthias Lindner, Rechtsanwalt und Wirtschaftsinformatiker, Consultant Datenschutz und IT-Compliance, intersoft consulting services GmbH intersoft consulting services Die intersoft consulting services GmbH ist ein branchenneutrales Hamburger Beratungsunternehmen, spezialisiert auf Unterstützungsleistungen in den Bereichen IT-Sicherheit, Datenschutz, IT-Compliance und IT-Governance. Unsere Leitidee ist, nachhaltige Lösungen für ihr Unternehmen zu schaffen. Wir orientieren uns an neuesten Standards, wie COBIT, ISO und an den BSI Standards. Wir beraten nach Datenschutzgesetzen des Bundes und der Länder sowie nach den für Ihr Unternehmen zutreffenden weiteren gesetzlichen Anforderungen. Unsere Kunden profitieren sowohl von der langjährigen Tätigkeit unserer Consultants in unterschiedlichen Fachgebieten, als auch von den sich überschneidenden Fachkompetenzen im Datenschutz-, IT-, und Rechtsbereich. Unser Know-how stellen wir in den Dienst Ihres Unternehmens. 17

18 INTERVIEW Wer war Root? Interview mit Jochen Koehler, Deutschland-Chef von Cyber-Ark Welche Lösungen bieten Sie im Segment Privileged Identity Management (PIM) an? Jochen Koehler: Den Bereich Privileged Identity Management decken wir mit drei komplementären Lösungsmodulen ab. Im Mittelpunkt steht dabei der Enterprise Password Vault für die automatische Verwaltung und Änderung von privilegierten Administratoren-Accounts. Mit dem Application Identity Manager bieten wir eine Lösung an, die die automatische Verwaltung und Änderung von Passwörtern in Skripten oder Config-Files den sogenannten Hardcoded Software Accounts ermöglicht. Abgerundet wird unser Lösungs-Portfolio vom Privileged Session Manager zur Aufzeichnung von Admin-Sessions. Durch die Kombination dieser drei Produkte in der Privileged Identity Management Suite sind wir der einzige Anbieter einer kompletten und durchgängigen Lösung für die Sicherung, Verwaltung und Überwachung privilegierter Accounts. Wo sehen Sie heute auf Unternehmensseite den größten Handlungsbedarf? Jochen Koehler: Eindeutig im Bereich der privilegierten Accounts. Passwörter sind schließlich der Schlüssel zu allen unternehmenskritischen Daten. Und Status quo ist leider immer noch: Auf den IT-Systemen finden sich teilweise identische und meistens leicht zu entschlüsselnde Passwörter. Warum ist dies so? Jochen Koehler: Ganz einfach: Wenn keine entsprechende Lösung implementiert ist, kann auch die Änderung und Verwaltung von Passwörtern nur manuell erfolgen und das ist natürlich mit einem immensen Zeitaufwand verbunden. Was bietet hier Ihr Enterprise Password Vault konkret? Jochen Koehler: Der Enterprise Password Vault ermöglicht eine geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern. Darüber hinaus kann mit ihm durch eine vollständige Zugriffskontrolle und Protokollierung die Nutzung von privilegierten Accounts zu jeder Zeit überprüft werden. Neueste Lösung im Portfolio ist der Privileged Session Manager. Warum sehen Sie hier ein hohes Vermarktungspotenzial? Jochen Koehler: Wenn Unternehmen heute über eine Outsourcing-Lösung nachdenken und sich gegen eine solche entscheiden, sind oftmals Sicherheitsbedenken hinsichtlich der Auslagerung unternehmenskritischer Daten der 18

19 ausschlaggebende Faktor: nicht zuletzt auch im Hinblick auf privilegierte Accounts, wie sie Administratoren auf Seiten des externen Dienstleisters beziehungsweise Insourcers besitzen. Mit unserer neuen Lösung Privileged Session Manager zur Aufzeichnung von Admin-Sessions kann nun nicht nur überprüft werden, wer Zugang zu sensiblen Informationen hat, sondern auch, was er mit diesen Informationen macht. Das erhöht die Sicherheit für den Outsourcer an einem kritischen Punkt natürlich nachhaltig. Welchen Zielmarkt adressieren Sie? Wie groß muss das Unternehmen sein? Jochen Koehler: Generell adressieren wir mit unseren Lösungen alle Branchen. Weltweit zählen wir heute über 500 Unternehmen zu unseren Kunden. Mit unserer zentralen Lösung Enterprise Password Vault richten wir uns natürlich vornehmlich an große Unternehmen, da mit der Anzahl an Administratoren natürlich auch das Gefährdungspotenzial und der Verwaltungsaufwand zunehmen. Konkreter: Wir richten uns in diesem Bereich an Unternehmen mit mehr als zehn Administratoren. Welche Lösungen hat Cyber-Ark abgesehen von PIM im Lösungs-Portfolio? Jochen Koehler: Zu nennen sind hier der Sensitive Document Vault, mit dem vertrauliche Dokumente sicher gespeichert und verwaltet werden können, und der Inter-Business Vault, eine Managed-File-Transfer-Lösung für den Datenaustausch über das Internet. Sehen Sie aktuell einen steigenden Bedarf an Ihren Lösungen? Jochen Koehler: Definitiv ja. Ein Ergebnis einer kürzlich von uns durchgeführten Studie war, dass rund 55 Prozent aller Mitarbeiter beim Verlassen ihres Arbeitgebers Daten mitnehmen würden. In einer Zeit steigender Mitarbeiterentlassungen erhöht das natürlich für die Unternehmen auch die Gefahr des Datenabflusses, der gerade mit unseren Lösungen zuverlässig verhindert werden kann. Welche Rolle spielt das gegenwärtig vielfach diskutierte Thema PCI-DSS? Jochen Koehler: Für uns eine sehr große. Aktuell sind wir in mehreren Projekten tätig, die im Zuge einer erforderlichen PCI-DSS-Zertifizierung aufgesetzt wurden. Zentrale Anforderungen, die sich aus dem PCI-Regelwerk ergeben, erfüllen wir mit unseren Lösungen Enterprise Password Vault und Inter-Business Vault exakt: zum Beispiel hinsichtlich der Regelungen zum Schutz gespeicherter Daten oder zur Änderung von Kennwörtern. Abschließende Frage: Wie vertreiben Sie Ihre Lösungen in Deutschland, direkt oder indirekt? Jochen Koehler: Wir setzen in Deutschland eindeutig auf ein indirektes Vertriebsmodell. Zu unseren Partnern gehören unter anderem Computacenter, Controlware, Crocodial und Integralis. Über Cyber-Ark Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich Privileged Identity Management. Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Das Unternehmen hat mit weltweit rund 100 Mitarbeitern im Geschäftsjahr 2008 einen Umsatz von rund 18 Millionen US-Dollar erzielt. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten. 19

20 AUS DER PRAXIS - DATENSICHERHEIT Datensicherheit: Beyond the Hype von Eberhard von Faber, T-Systems und FH Brandenburg Wir leben in einer Wissensgesellschaft, in der geistiges Eigentum zum entscheidenden Kapital eines Unternehmens gehört und dessen Schutz mit über die Wettbewerbsfähigkeit entscheidet. Die elektronische Speicherung und Verarbeitung der Informationen steigert die Produktivität der Unternehmen, macht sie aber gleichzeitig verwundbar für den Verlust vertraulicher Informationen oder die Manipulation von Daten und Systemen. So wundert es nicht, dass Datensicherheit zu den Top-Prioritäten der Verantwortlichen gehört. Der nachfolgende Artikel wirft einen Blick hinter die Kulissen und zeigt verbundene Aufgaben und offene Fragen. 1. Sicherheit ist eine Frage der Organisation. Ob man zentrale Einheiten schafft, mit virtuellen oder projektorientierten Organisationen arbeitet oder Mischformen bevorzugt und unabhängig davon, wie man Aufgaben verteilt und Prozesse gestaltet, am Ende steht immer die Frage, welcher Aufwand adäquat ist. Oder kurz und griffig: Wie viele Sicherheitsverantwortliche braucht ein Unternehmen wirklich? Die entsprechend direkte, ungezierte Antwort auf diese schlichte Frage könnte lauten:...eigentlich nur einen. Denn Sicherheit ist oft lautlos und abseits des geschäftigen Kampfgetümmels am größten. Auf ein Unternehmen übertragen, braucht man nur einen Verantwortlichen, aber natürlich nur bei einem perfekt arbeitenden Ganzen. Jeder muss seinen Beitrag leisten! Dazu muss zunächst das notwendige Sicherheitsbewusstsein die Awareness geschaffen, entwickelt und erhalten werden. Mitunter sind Maßnahmen, die Mitarbeiter stärken, wirkungsvoller und effektiver als vieles, was ihnen technisch auferlegt wird. Die Erfahrung zeigt weiterhin, dass Secu- 20

Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes

Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes 2. April 2014 Veranstaltung der EAB und der EAID Digitale Agenda Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes Peter Schaar Europäische Akademie für Informationsfreiheit und Datenschutz

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Datenschutz im Web viel mehr als nur lästige Pflicht

Datenschutz im Web viel mehr als nur lästige Pflicht Datenschutz im Web viel mehr als nur lästige Pflicht 7 Tipps zum korrekten Umgang mit Online-Kundendaten Vielen Unternehmen, die online Kundendaten zu Marketing- und CRM-Zwecken erfassen und verarbeiten,

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

ET CHUTZ-PAK RS CYBE

ET CHUTZ-PAK RS CYBE Wertvolles schützen Ist Ihre Firewall so sicher wie Fort Knox oder ähnelt sie doch eher der Verteidigung von Troja? Mit anderen Worten: Kann man bei Ihnen ein vermeintlich harmlos aussehendes Objekt platzieren,

Mehr

Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive

Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive 12. Konferenz Biometrics Institute, Australien Sydney, 26. Mai 2011 Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive Peter Hustinx Europäischer

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

ISO 5500x-Normenfamilie

ISO 5500x-Normenfamilie ISO 5500x-Normenfamilie 5 Fakten zur ISO 5500x-Normenfamilie ISO 55000 - Overview, principles and terminology ISO 55001 - Requirements ISO 55002 - Guidelines on the application of ISO 55001 Generelles

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser Surfen am Arbeitsplatz Ein Datenschutz-Wegweiser Inhalt Allgemeine Fragen zur Wahrung der Privatsphäre 4 Grundsätzliche Anforderungen 6 Allgemeines 6 Dienstliche Nutzung 7 Private Nutzung 8 Protokollierung

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Guter Datenschutz schafft Vertrauen

Guter Datenschutz schafft Vertrauen Oktober 2009 Guter Datenschutz schafft Vertrauen 27.10.2009 ruhr networker e.v. in Mettmann K.H. Erkens Inhalt Handlungsbedarf, Aktualität Grundlagen oder was bedeutet Datenschutz Pflichten des Unternehmens

Mehr

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen? Was ist Datenschutz, und weshalb betrifft er unser Unternehmen? 1 Herzlich willkommen! Die Themen heute: Datenschutz ein aktuelles Thema Gründe für einen guten Datenschutz Welche Grundregeln sind zu beachten?

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v.

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. binsec - binary security UG 13. Juni 2015 Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

über die complimant ag Die Beraterprofis it Compliance

über die complimant ag Die Beraterprofis it Compliance lso/lec 27001 über die complimant ag Die Beraterprofis it Compliance Spielregeln ISMS-Gestaltung IT-Risikoanalyse IT-Notfallkonzept Datenschutz IT-Systemprüfung durch den Wirtschaftsprüfer Digitale Betriebsprüfung

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG

PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG Inhalt Privilegierte Benutzerkonten im Überblick...3 Arten von privilegierten Konten...3 Schutz von privilegierten Accounts...4

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz Kurzgutachten zum Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz für die T-Systems International GmbH Hahnstraße 43d 60528 Frankfurt am Main Sachverständige Prüfstelle

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche

Mehr

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld

IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter. 19. Mai 2014 Handwerkskammer OWL zu Bielefeld IT-Sicherheit im Betrieb Das Angebot der IT-Sicherheitsbotschafter 19. Mai 2014 Handwerkskammer OWL zu Bielefeld Begriffsklärungen zur IT-Sicherheit Informationssicherheit -> Schutzziele für Daten hinsichtlich

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Datenschutzunterweisung kompakt

Datenschutzunterweisung kompakt Datenschutzunterweisung kompakt Mitarbeiter gekonnt und dauerhaft sensibilisieren Bearbeitet von Oliver Schonschek, Jochen Brandt, Harald Eul 1. Auflage 2015. CD. ISBN 978 3 8245 8092 7 Format (B x L):

Mehr

ikb Data Experten für sensible Daten

ikb Data Experten für sensible Daten ikb Data Experten für sensible Daten Die ikb Data GmbH gehört zu den führenden deutschen Dienstleistungsunternehmen im Bereich IT-Infrastruktur und Datensicherheit. Im Jahr 2004 als Shared-Service-Center

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

IT Security ist Chefsache

IT Security ist Chefsache IT Security ist Chefsache Rechtliche Aspekte im Umfeld von IT Security RA Wilfried Reiners, MBA Agenda Einführung in das Thema Anspruchsgrundlagen Haftungsrisiken Fallbeispiele für Viren, Würmer, Lücken

Mehr

Online IT Check Frech Michael 15.09.2011

Online IT Check Frech Michael 15.09.2011 Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Datenschutz - Ein Grundrecht

Datenschutz - Ein Grundrecht Datenschutz - Ein Grundrecht? Der Sächsische Datenschutzbeauftragte Datenschutz als Grundrecht Argumente für den Datenschutz Der Sächsische Datenschutzbeauftragte Andreas Schurig GRuSSwort 2 Liebe Leserin,

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

SharePoint - Security

SharePoint - Security SharePoint - Security SharePoint Control Manager Technologien Lösungen Trends Erfahrung Inhalt 1 GRUNDSATZ...3 2 VORGEHENSMODELL UND LÖSUNGSANSATZ...4 3 TECHNISCHES KONZEPT...4 4 COMPLIANCE / REPORTS...4

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

DIE GRUNDLAGEN DES DATENSCHUTZES

DIE GRUNDLAGEN DES DATENSCHUTZES DIE GRUNDLAGEN DES DATENSCHUTZES Herausforderungen der Zukunft Wie kann der Schutz der Privatsphäre organisiert werden, um zukünftigen Herausforderungen zu begegnen? Wie können die Innovationspotentiale

Mehr

Forderungen für eine jugendgerechte Netzpolitik

Forderungen für eine jugendgerechte Netzpolitik aej-mitgliederversammlung 2013 Beschluss Nr.05/2013 Forderungen für eine jugendgerechte Netzpolitik Unsere Gesellschaft wird derzeit durch die Möglichkeiten vernetzter Datenverarbeitung vielfältig und

Mehr

Dr.-Ing. Martin H. Ludwig INGENIEURBÜRO für Systemanalyse und -planung

Dr.-Ing. Martin H. Ludwig INGENIEURBÜRO für Systemanalyse und -planung INGENIEURBÜRO für Systemanalyse und -planung Dr. Martin H. Ludwig Ihr externer, betrieblicher Datenschutzbeauftragter Liebe Leserin, lieber Leser, Sie benötigen einen betrieblichen Datenschutzbeauftragten

Mehr

Datenschutz und IT-Sicherheit

Datenschutz und IT-Sicherheit 15 Jahre IT-Grundschutz Bonn, 23. Juni 2009 Peter Schaar Datenschutz und IT-Sicherheit Jubiläum 15 Jahre IT-Grundschutz Seite 1 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Übersicht

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

American Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni 2012. Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter

American Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni 2012. Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter Rechtsvorschriften im Bereich Datenschutz und Privatsphäre Auswirkungen auf Unternehmen und Verbraucher Podiumsdiskussion 1 Wie sich der Ansatz in Bezug auf die Privatsphäre entwickelt: die Visionen der

Mehr

Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar?

Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar? Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar? Apps für Smartphones werden immer populärer und erleichtern uns den schnellen Zugriff auf bestimmte Informationen. Seit ein paar Jahren

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

Datenschutz und Kinderschutz - Einheit oder Gegensatz?

Datenschutz und Kinderschutz - Einheit oder Gegensatz? Datenschutz und Kinderschutz - Einheit oder Gegensatz? Dr. Claudia Federrath Berlin, den 11. März 2009 Aufgaben Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kontrolliert die Einhaltung

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Privacy Respecting Incident Management - die Datenschutzsicht

Privacy Respecting Incident Management - die Datenschutzsicht Privacy Respecting Incident Management - die Datenschutzsicht Dr. Alexander Dix, LL.M. Landesbeauftragter für den Datenschutz und für das Recht Übersicht Datenschutz und Datensicherheit The Security-Privacy

Mehr

Wahlprüfstein DIE LINKE

Wahlprüfstein DIE LINKE Wahlprüfstein DIE LINKE Aktion Freiheit statt Angst e.v. Rochstr. 3 10178 Berlin 1. Anonyme Kommunikation Derzeit ist es in Deutschland erlaubt aber technisch nur schwer möglich, das Internet anonym zu

Mehr

IT-Sicherheit in Werbung und. von Bartosz Komander

IT-Sicherheit in Werbung und. von Bartosz Komander IT-Sicherheit in Werbung und Informatik von Bartosz Komander Gliederung Einführung Anti-viren-software Verschlüsselungssoftware Firewalls Mein Fazit Quellen 2 Einführung Was ist eigentlich IT-Sicherheit?

Mehr

Datenschutzbeauftragte

Datenschutzbeauftragte MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit

Mehr

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Baden-Württemberg INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Datenschutzrechtliche Hinweise zum Einsatz von Webanalysediensten wie z. B. Google Analytics 1 -

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime www.s-con.de 1 Referent Michael J. Schöpf michael.schoepf@s-con.de +49 171 3241977 +49 511 27074450

Mehr

der Fraktionen CDU/CSU, SPD, FDP und Bündnis 90/Die Grünen Einsetzung einer Enquete-Kommission Internet und digitale Gesellschaft

der Fraktionen CDU/CSU, SPD, FDP und Bündnis 90/Die Grünen Einsetzung einer Enquete-Kommission Internet und digitale Gesellschaft Deutscher Bundestag Drucksache 17/... 17. Wahlperiode 02.03.2010 Stand: 24. Februar 2010 Antrag der Fraktionen CDU/CSU, SPD, FDP und Bündnis 90/Die Grünen Einsetzung einer Enquete-Kommission Internet und

Mehr

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks IT-Sicherheit und Compliance Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks Agenda 1. Auftragsdatenverarbeitung 2. Änderung Bedrohungsverhalten

Mehr

Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren

Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren Steuerberater haben einen Datenschutzbeauftragten zu bestellen! - Verbände informieren Grundsätzlich ist jeder Steuerberater zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, er beschäftigt

Mehr

Verhaltenskodex. Verhaltenskodex. SIGNUM Consulting GmbH

Verhaltenskodex. Verhaltenskodex. SIGNUM Consulting GmbH Verhaltenskodex Einleitung Die hat einen Verhaltenskodex erarbeitet, dessen Akzeptanz und Einhaltung für alle Mitarbeiter als Voraussetzung zur Zusammenarbeit gültig und bindend ist. Dieser Verhaltenskodex

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys

Mehr

Digitale Agenda verspricht Modernisierungsschub für die Deutsche Verwaltung

Digitale Agenda verspricht Modernisierungsschub für die Deutsche Verwaltung Pressekontakt: Sascha Walther Presse- und Öffentlichkeitsarbeit Mail: sascha.walther@init.de Phone: + 49 30 97006 759 Mobil: +49 176 63154653 Fax: + 49 30 97006 135 Pressemitteilung Berlin, 17. Oktober

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Datenschutz für Vereine

Datenschutz für Vereine Datenschutz für Vereine Leitfaden für die Vereinspraxis Von Achim Behn und Dr. Frank Weller ERICH SCHMIDT VER L AG 1. Vorwort Wieso brauchen wir denn jetzt auch noch Datenschutz bei uns im Verein? Interessiert

Mehr

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de

POLIZEI Hamburg. Wir informieren. www.polizei.hamburg.de POLIZEI Hamburg Wir informieren www.polizei.hamburg.de Online-Sicherheit Die Nutzung des Internet ist für die meisten von uns heute selbstverständlich. Leider fehlt es vielen Nutzerinnen und Nutzern allerdings

Mehr

plain it Sie wirken mit

plain it Sie wirken mit Sie wirken mit Was heisst "strategiewirksame IT"? Während früher die Erhöhung der Verarbeitungseffizienz im Vordergrund stand, müssen IT-Investitionen heute einen messbaren Beitrag an den Unternehmenserfolg

Mehr

Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Datenschutz Schleswig-Holstein Übersicht Wer oder Was ist das Unabhängige Landeszentrum für? Was bedeutet Datenschutz Compliance grundsätzlich?

Mehr