Datensicherheit. Konvergenz zwischen Datenschutz und Datensicherheit IT SECURITY ADVISOR. Ausgabe 1/2009 US1

Größe: px
Ab Seite anzeigen:

Download "Datensicherheit. Konvergenz zwischen Datenschutz und Datensicherheit IT SECURITY ADVISOR. Ausgabe 1/2009 US1"

Transkript

1 Ausgabe 1/2009 Datensicherheit IT SECURITY ADVISOR Konvergenz zwischen Datenschutz und Datensicherheit US1 üngste üngste Entwicklungen in PLATZHALTER der Datenschutz- 1 Hier könnte und Sicherheitsgesetzgebung Ihre Überschrift stehen IT-Risiko-Management: Mittel zur Konvergenz THEMATIK von 2 Datenschutz Hier und wäre Datensicherheit? der Platz dafür Datensicherheit AUS - Beyond BEyond DEM INHALT the Hype 3 Noch ein Schwerpunkt Eine Publikation von 1

2 2

3 EINFÜHRUNG Datenschutz und Datensicherheit wachsen zusammen Unter dem Druck der aktuellen Gesetzgebung und aufgrund wachsender Sensibilität wachsen die klassischen Aufgaben des Datenschutzes und der IT-Sicherheit immer stärker zusammen Informationssicherheit bedeutet heute nicht mehr die Abschottung eines Unternehmensnetzes gegenüber dem Internet, sondern den optimalen Schutz aller in einem Unternehmen gespeicherten Informationsressourcen in Form von strukturierten (Datenbanken) und unstrukturierten Daten (Dokumenten). Der Schutz umfasst dabei Informationen, die dem Unternehmen einschränkungslos gehören, und Informationen, die ihm lediglich anvertraut werden darunter Kunden-, Partner- und Mitarbeiterdaten. Speziell vom Umgang mit den zuletzt genannten Daten hängt das Vertrauen ab, dass ein Unternehmen bei seinen Kunden, Geschäftspartnern und Mitarbeitern genießt. Auf die Konvergenz von Datenschutz und IT- Sicherheit sind Unternehmen bisher schlecht vorbereitet bei Managern und Fachleuten beider Richtungen herrscht oft noch die Vorstellung von der Unvereinbarkeit beider Gebiete vor, und die Technik wird dem neuen Konzept nicht gerecht. Aus Management-Sicht war Datenschutz lange Zeit meist den Unternehmenszielen im Weg und vertrug sich schlecht mit der Sicherheit, weil Datenschutz Kontrollmöglichkeiten der Kommunikationsflüsse einengte. Ein typischer Konfliktbereich war in dieser Hinsicht der Mitarbeiter-Datenschutz, der zum Beispiel dem Einsatz von Content- Filtern im Weg war. Diese Ausgangslage beeinflusst die Auffassung des Datenschutzes in den Unternehmen Datenschutz galt außerdem als staatlich geregelter Bereich, Sicherheit als Sache des Unternehmens. Die Existenz von Datenschutzbeauftragten und deren Sonderrolle brachte ein weiteres störendes Element in die Unternehmen. Datenschützer arbeiteten außerdem hauptsächlich mit der Vorgabe von Verfahren und mit Einschränkungen für die Aufbewahrung von Daten. Beides deckte sich nicht mit den Zielen der Sicherheitsfachleute, die vor allem die Infrastruktur eines Unternehmens vor unbefugten Zugriffen schützen wollten und noch nicht die dort gespeicherten Informationen selbst im Blick hatten. Die Aufgaben beider Fachgebiete waren sich also entweder im Weg oder liefen nebeneinander her. Kommunikation zwischen beiden Ebenen fand kaum statt. Große Unternehmen allerdings pflegten weitgehend unbeachtet von der öffentlichen Diskussion einen gänzlich anderen Umgang mit der Datenschutzthematik. In einigen Unternehmen galten alle IT-Sicherheitsmaßnahmen von vornherein dem Schutz von Informationen wie Kundendaten, Firmengeheimnissen und Mitarbeiterdaten, jeweils unter spezifischen Bedingungen, zu unterschiedlichen Zwecken und für die unterschiedlichen Interessengruppen. In solchen Fällen wurden Datenschutz und Sicherheit unter einer Leitung zusammengefasst. Jetzt denken immer mehr Manager um: Compliance-Vorschriften und der Druck der Öffentlichkeit machen nachweislich guten Umgang mit Datenschutz zu einem Qualitätsmerkmal für Unternehmen. Wer den Datenschutz beherrscht, ist vertrauenswürdig. Außerdem denkt man auch beim Datenschutz 3

4 EINFÜHRUNG selbst um: Nicht mehr allein das Vermeiden der Speicherung ist das wichtigste Mittel des Datenschutzes die vor unbefugten Zugriffen geschützte Ablage erhält immer mehr Bedeutung. Sie wiederum lässt sich nur mit den Mitteln der Informationssicherheit bewerkstelligen. Dieser Trend erhält zusätzlichen Schub durch aktuelle Vorschriften, die die Archivierung der gesamten elektronischen Geschäftskorrespondenz von Unternehmen verlangen. Die IT-Sicherheit wandelt sich aus dem Abschotten von Netzen wird angemessener Schutz für jedes Dokument, gestützt auf eine stringente Klassifizierung. Der Datenschutz ist in die IT-Sicherheit integriert. Der juristische Rahmen gewinnt mehr und mehr an Bedeutung Das Einhalten von Datenschutzrichtlinien zu kontrollieren, gestaltet sich schwierig. Es gibt keine Radarfallen für Datensünder, so Prof. Dr. Forgó von der Universität Hannover. Notwendig ist daher eine umfassende Aufklärung über Datenschutzstandards und Datenschutzrecht und das aus dieser Aufklärung resultierende gesellschaftliche Bewusstsein. Persönliche Freiheiten würden durch rechtliche Regulierungen im Internet nicht eingeschränkt, meint Forgó. Im Gegenteil, persönliche Freiheit im Netz sei eine Illusion: Die Privatsphäre kann durch Datenschutzkontrollen nicht gefährdet werden: Privatsphäre ist eine zentrale juristische Kategorie und vor allem im Grundrecht auf Datenschutz verkörpert, erklärt Forgó. Welches Recht im Internet angewendet wird, hängt vom Fall ab. In vielen Fällen, insbesondere im E-Commerce, kommt in der Regel das Recht des Staates zur Anwendung, in dem der Verbraucher seinen Wohnsitz hat, so Forgó. Im Verkehr zwischen Unternehmen kommt es zumeist auf das Recht des Staates an, in dem der Dienstanbieter seinen Sitz hat. Im Strafrecht hingegen sei es in der Regel jenes Recht, in dem sich die Straftat realisiert, bei Internetdelikten daher im Zweifel das Strafrecht jedes Staates, in dem der Inhalt abrufbar ist. An das Recht stellen sich aber im Rahmen von Datenschutz und Datensicherheit noch viele andere interessante Fragen. Fazit: Datenschutz und Datensicherheit gehören zusammen eine isolierte Betrachtung ist schon allein aufgrund der verschärften Regelwerke und Rechtsvorschriften nicht ratsam. Nicht zuletzt die aktuellen Datenschutzverstöße, die in den letzten Monaten bekannt wurden, haben die Relevanz des Datenschutzes auf eine neue gesellschaftspolitische Ebene gehoben. Wir werden gezwungen, uns auf Websites zu registrieren, wenn wir bestimmte Informationen haben wollen, wir werden gezwungen, bestimmte technische Standards einzuhalten, die Anonymität fördern oder behindern können. Wir werden auch dazu gezwungen, bestimmte sicherheitsrelevante Funktionen wie z.b. Cookies zuzulassen. Spezielle rechtliche Regeln, richtig eingesetzt, gefährden die persönliche Freiheit nicht, sondern sichern sie. 4

5 Inhalt EINFÜHRUNG Datenschutz und Datensicherheit wachsen zusammen... 3 Welche Rolle spielt Bewusstsein?... 6 Jüngste Entwicklungen in der Datenschutz- und Sicherheitsgesetzgebung Datenschutz und Sozialethik auf der schiefen Bahn? AUS DER PRAXIS Konvergenz aus Datenschutz und Datensicherheit Interview Wer war Root? Interview mit Jochen Koehler, Deutschland-Chef von Cyber-Ark AUS DER PRAXIS Datensicherheit: Beyond the Hype Phishing, Pharming und Trojaner. Die Netze der Datenmafia À la card: Smartphones sicher im Firmennetzwerk Erst Sicherheit, dann Compliance End-to-End Data Protection zuverlässiger Datenschutz vom Anfang bis zum Ende Sichere Lösung für den Abfallkreislauf Neue Wege für Data Protection dank WAN Acceleration Mit Unified Threat Management vor allen Gefahren sicher SUCCESS STORY Hilfe leisten mit Engagement und Professionalität Erstmals preiswerte IT-Security für Unternehmen mit hohem Sicherheitsanspruch AUS DER PRAXIS Von der Aktenhalde zum sicheren High-Tech-Archiv IT-Risiko-Management: Mittel zur Konvergenz von Datenschutz und Datensicherheit? Impressum

6 EINFÜHRUNG - FAKTOR MENSCH Welche Rolle spielt Bewusstsein? Warum Informationssicherheit nach wie vor kein angenehmes Thema ist. Von Manuel Hüttl Vielerorts wird behauptet, dass der Mensch die eigentliche Schwachstelle sei, wenn es um das Thema Informationssicherheit geht. Insbesondere die Administratoren der IT-Systeme raufen sich manchmal die Haare, wenn sie Anwender beim Umgang mit unternehmenskritischen Daten oder persönlichen Zugangsinformationen beobachten. Doch es wäre zu einfach, das essentielle Problem IT-Sicherheit auf den Menschen zu reduzieren. Richtig ist jedoch, dass der Anwender das Bewusstsein im Umgang mit IT schärfen muss. Hier sind unterschiedlichste Anspruchsgruppen in der Bringschuld. Wenn man die zentralen Diskussionen in der Welt der Informationstechnologie verfolgt, wird man feststellen, dass die wirklich großen Herausforderungen der Branche mit Bildung und Bewusstsein zu tun haben und nicht mit Soft- und Hardware Engineering. Es geht also um weiche Faktoren. Der Mensch selbst ist verantwortlich für technische Innovationen er entwickelt neue Lösungen, die das Leben einfacher gestalten, Arbeitsabläufe optimieren oder neue Geschäftsmodelle eröffnen. Wie kann also derjenige zur eigentlichen Schwachstelle werden, der die Systeme entwickelt. Schnell kommt da die Frage auf, ob uns die Technologie einholt, ja sogar schon überholt? Das Problem ist also an anderer Stelle zu suchen und lässt sich nicht einfach auf einen Bereich reduzieren. Bewusstsein für IT-Sicherheit wächst an vielen Stellen und erst ein Zusammenspiel einzelner Faktoren kann dazu beitragen, dass IT-Sicherheit in Zukunft nichts als einen lästiger Beigeschmack der wunderbaren Vorteile des Cyber-Zeitalters bedeutet. 6

7 Unterteilt man High-Tech-Themen in die vier Aspekte Organisation, Technologie, Recht und Psychologie, so scheint es, dass die beiden ersten Bereiche auf balancierte Weise bereits abgehandelt sind. Die Themenbereiche, die sowohl gesetzliche Rahmenbedingungen als auch Regelwerke tangieren werden derzeit intensiv bearbeitet. Die psychologischen Aspekte beim Umgang mit der Informationstechnologie stellen mit Sicherheit die größten Herausforderungen dar. In diesem Zusammenhang tun sich Fragen auf wie: Steht das Bewusstsein der Konsumenten dem technischen Fortschritt im Weg oder bildet es gerade den notwendigen Gegenpol zur Erkennung der Grenzen im Zuge der progressiven Technokratie? Wie gehen wir damit um, dass die von Menschenhand ausgelöste Entwicklungsgeschwindigkeit der Informationstechnologie die genetisch bedingten Grenzen für die Entwicklung unserer geistigen Kapazität bei weitem überschritten hat? Nach welchen Gesichtspunkten reagieren Verbraucher auf neue Technologien? Kann man diese Wahrnehmungen überhaupt beeinflussen? Welche Protagonisten müssen derartige Fragen beantworten? Dem recht breiten Bewusstsein für das Vorhandensein einer neuen Technologie, steht oftmals ein fehlendes Verständnis für deren Einsatz gegenüber. Wir können den Rahmenbedingungen unserer genetischen Voraussetzungen also offensichtlich nicht entkommen. Demnach stellt die gesellschaftliche Akzeptanz eine zwingende Voraussetzung für die erfolgreiche Umsetzung eines technologischen Potenzials dar. Gerade im Bereich der IT-Sicherheit hat man sich viel zu lange schon auf eine technisch-organisatorische Betrachtungsweise fokussiert. Man konzentrierte sich auf einen rein technischen Pragmatismus, der die unzweifelhaften Wechselwirkungen zwischen Technologie, Gesellschaft und Individuum, mithin also die sogenannten weichen Faktoren, weitgehend außer acht gelassen hat. Weiche Faktoren stehen im Blickpunkt Die Psychologie setzt sich unter anderem mit den Wahrnehmungen einer Technologie, eines Unternehmens, eines Produktes oder einer Dienstleistung auseinander. Wird beispielsweise eine Technologie als negativ oder sogar gefährlich wahrgenommen, verunsichert dies Mitarbeiter, Kunden und Geschäftspartner. Die Risiken im Umgang mit Informationsstrukturen sind dafür ein gutes Beispiel: Niemand kann so recht einschätzen, ob die potentiellen Gefahren nun auch wirklich existent sind oder nur für Marketingzwecke benutzt werden. Eines ist jedoch klar: Wenn das Disaster einsetzt und ein Angriff die Unternehmens-IT lahm gelegt hat, kann die mögliche Zerstörung von Geschäftsbeziehungen oder sonstigem Schaden eine für den Fortbestand einer Organisation bedrohende Krise werden. Prof. Peter Bienert, Vorstand der Unternehmensberatung forte advisors weiß: Information allein reicht nicht aus, um Skepsis gegenüber neuen Technologien abzubauen. Unternehmen müssen vor allem eine vertrauensvolle Beziehung zu ihren Stakeholdern aufbauen. Dieser langwierige Prozess gilt insbesondere für das Thema IT-Sicherheit. Erst ein entsprechendes Bewusstsein für die Risiken zieht eine Affinität nach sich. Einsatz von Technologien erfordert Bewusstsein Der Teilnehmer am digitalen Leben ist in hohem Maße gefordert, sich mit dem Schutz und der Verwaltung seiner Identität persönlich auseinander zu setzen. Technologie ist in Zeiten eines weltumspannenden digitalen Netzes eine zwar notwendige, ohne das entsprechende Bewusstsein jedoch keinesfalls hinreichende Voraussetzung für Sicherheit. Nach dem Verständnis der meisten Bürger fällt es in das Aufgabenspektrum des Staates, die für Sicherheit notwendigen Voraussetzungen für die von ihm vertretene Gemeinschaft sicherzustellen. Da unabhängig davon gemäß Grundgesetz die Trägerschaft aller Bildungseinrichtungen der Bundesrepublik in Bund und Ländern abgebildet ist, müsste man ein deutschlandweites Netz 7

8 EINFÜHRUNG - FAKTOR MENSCH an Weiterbildungsmaßnahmen und einen auf die Erfordernisse der digitalen Gesellschaft abgestimmter Lehrplan an Schulen und Universitäten erwarten. Zu unserer Überraschung stellen wir fest, dass ein Staatswesen, in dem der Begriff der Informationsgesellschaft in beständiger Regelmäßigkeit strapaziert wird, erstaunlich geringe Anstrengungen unternimmt, um seine Bürger auf die spezifischen Anforderungen dieses Zeitalters vorzubereiten. Maßgaben für eine kritische Auseinandersetzung mit Informationen, Informationsquellen, Medien und Identitäten bleiben eine so seltene Ausnahmeerscheinung im Rahmen der schulischen und akademischen Ausbildung, dass sich der zynische Verdacht aufdrängt, der moderne Staat sei aus nachvollziehbarem Grund an aufgeklärten Bürgern nur wenige interessiert. So müsste ein bewusstseinsbildender Prozess also bereits im Kindesalter ansetzen. Denn wir bewegen uns nicht erst auf ein Szenario zu, in dem Informationen das höchste Gut darstellen und Informationstechnologien in alle Lebenslagen Einhalt bekommen nein, wir befinden uns mitten in dieser Welt. Und wenn die Informationsstrukturen jetzt schon derart komplex aufgebaut sind, die Transaktionen von kritischen Daten weltweit in sekundenschnelle ausgeführt werden, müsste es relativ logisch erscheinen, wenn diese Strukturen und der Datenaustausch auch entsprechenden Schutzmechanismen unterliegen. Bewusstseinsbildung geht uns alle an! Die einzige Möglichkeit, dass die Unternehmenswelt den wachsenden Gefahren, die sich über das Web verbreiten, standhalten kann, ist, das Bewusstsein der eigenen Mitarbeiter in Sachen IT-Sicherheit zu schärfen. Dieses Bewusstsein für IT-Sicherheit fehlt in den meisten Führungsetagen, dabei sollte die Sicherheit, wie alles andere in einem Untenehmen auch, vom Management gesteuert und vorgelebt werden. Wichtig für das Management sind einerseits wirtschaftliche Aspekte und andererseits Fakten zur Einschätzung eines Gefahrenpotentials bei der Balance zwischen Sicherheit und Produktivität. Es gibt viele Hürden, die im Kontext Bewusstseinsbildung genommen werden müssen. So gilt es grundsätzlich, jedermann von der Wichtigkeit des Themas zu überzeugen. Darüber hinaus reicht es nicht, Policies in einem Unternehmen festzuschreiben. Sie müssen auch gelebt werden. Im Klartext: Wie sieht es aus mit der Exekution von Sanktionen? Was passiert, wenn die Assistentin am Empfang Downloads durchführt, zu denen sie laut Unternehmensrichtlinien gar nicht befugt gewesen wäre? IT-Geräte unterscheiden sich von anderen Geräten, die unsere moderne industrielle Gesellschaft ausmachen, in einem bedeutenden Punkt. Betrachten wir ein Automobil im Vergleich zu einem vernetzten Heimcomputer: Während ein Automobil in die Transportinfrastruktur einer modernen Gesellschaft ein mehr oder weniger geschlossenes System ist, das ohne andere Fahrzeuge tadellos funktioniert und selten von Verbindungen zu anderen Autos abhängt, ist ein Datenverarbeitungsgerät in Zeiten des Internets geradezu nutzlos, wenn es nicht mit anderen Datenverarbeitungsgeräten verbunden ist. Das heißt, wenn mein Auto unsicher ist, hat dies keine ernsten Konsequenzen für die Funktionsfähigkeit des Autos meines Nachbarn oder die globale Transportinfrastruktur. Wenn jedoch mein Heim-PC Teil eines Botnetzes wird oder Viren verstreut, kann dies verheerende Konsequenzen für andere PCs, Computeranwendungen und sogar für die IT-Infrastruktur als Ganzes haben. Bis zu einem gewissen Grad kann man bei Geräten wie Autos grundsätzlich darauf vertrauen, dass sie so funktionieren, wie es in der Gebrauchsanweisung beschrieben ist. Unliebsame Überraschungen tauchen selten auf oder sind durch ein vertrauenswürdiges Ökosystem (Gesetzgebung, Werkstätten, etc.) abgeschwächt. Datenverarbeitenden Systemen kann nicht vertraut werden und sie arbeiten zumindest in einer Heimanwender- oder Microbusinessumgebung nicht in einem vertrauenswürdigen Ökosystem. 8

9 Wie Untersuchungen zu Vertrauen zeigen, kann das Fehlen von notwendigen Bezugselementen des Vertrauens in der Beziehung zur Softwareindustrie ein wichtiger Faktor für das IT-Verhalten sein Neuartiger Simulationsansatz: Internet Risk Behaviour Index (IRBI) Die Methodik des IRBI wurde in Zusammenarbeit mit der Ludwig-Maximilians-Universität München (LMU) entwickelt. IRBI ist eine adaptive Lernumgebung. Der Simulator spielt dem Benutzer Situationen aus dem realen Umgang mit PC und Internet vor. IRBI verbindet auf völlig neue Art und Weise Forschung sowie positive Einflussnahme auf das Sicherheitsverhalten von Computernutzern im Rahmen einer Online-Plattform. Er bietet mit Hilfe einer Serie von innovativen Online-Tests einen fundierten Ansatz, um Informationen über das Verhalten von privaten PC-Anwendern zu gewinnen. Daraus entsteht ein Verfahren, das einen Index des Wissens über die Einstellungs- und Motivationsmerkmale der privaten Anwender im Bereich Sicherheit ermöglicht. Zugleich stellt IRBI eine E-Learning- und Support-Umgebung dar, die das Verhalten der PC-Nutzer positiv und nachhaltig beeinflusst. Der Anwender muss sich entscheiden, wie er in einer bestimmten Situation am besten handelt. Für richtige oder falsche Entscheidungen gibt es dann mehr oder weniger Punkte und unmittelbares Feedback. Die Simulation macht es so möglich, realitätsnah Erfahrungen mit echten Bedrohungen zu sammeln. IRBI trainiert richtiges Verhalten. Hierin liegt auch das wichtigste Unterscheidungsmerkmal zu gängigen Online-Tests: Es wird nicht nur theoretisches Wissen abgefragt, sondern praktisches Handeln eingeübt. Der Anwender kann sein tatsächliches Verhalten in potenziell gefährlichen Situationen überprüfen und verbessern. Dieser Aspekt ist deshalb so wichtig, weil abstrakte Kenntnisse allein keinen ausreichenden Schutz in Situationen bieten, bei denen richtiges Handeln über den Erfolg der Gefahrenabwehr entscheidet. Gefahren, die man sich nicht vorstellen und auch nicht an Personen festmachen kann, werden leicht unterschätzt. Wer unsicher ist, unter Zeitdruck steht oder unbedingt ein bestimmtes Ziel erreichen will etwa den Download eines Films im Internet erliegt außerdem der Versuchung, abstrakte Risiken zu ignorieren. Wer allerdings zumindest in einer Simulation einmal die Indikatoren für ein vergrößertes Risiko erleben und die richtigen Verhaltensweisen durchspielen konnte, wird sich eher für den ungefährlicheren Weg entscheiden. Wie groß der Schritt vom Wissen um eine Gefahr zum angemessenen Verhalten ist, weiß außerdem jeder, der beispielsweise einmal versucht hat, sich das Rauchen abzugewöhnen. Spielerisch lernen Alle Anwendungsfälle des IRBI basieren auf dem wissenschaftlichen Critical-Incidents- Verfahren nach Flanagan, die im Wesentlichen eine Methode der Informationssammlung über kritische das heißt nennenswerte positive und negative Ereignisse bei der Erfüllung einer Aufgabe verfolgt. Das Situationsrepertoire des IRBI erfasst aktuelle Online-Gefahren. Wichtige Risiken, für die das System Simulationen bereit hält, sind beispielsweise die unterschiedlichen Spielarten des Identitätsdiebstahls, wie sie beim Ausspionieren persönlicher Informationen über 9

10 EINFÜHRUNG - FAKTOR MENSCH 10 Internet-Plattformen oder beim Phishing eine zentrale Rolle spielen. Außerdem simuliert das System die unterschiedlichsten Tricks, mit denen Angreifer Viren und Trojaner auf die PCs von Anwendern schleusen. Das richtige Verhalten aller Internet-Nutzer entscheidet darüber, wie sicher das Internet insgesamt ist. Solange beispielsweise Privatanwender ihre Computer nicht gegen die Installation von Trojanern abschotten, können Angreifer mit den gekaperten Rechnern Botnetze aufbauen, die sie für hoch wirksame Angriffe auf wichtige Dienste und Organisationen einsetzen können etwa auf Institutionen, die Finanz- oder Gesundheitsdaten speichern erläutert Dr. Werner Degenhardt von der Fakultät für Psychologie an der LMU. Aber auch die PCs der Privatanwender selbst werden immer lohnendere Ziele, da auf ihnen wichtige private Daten liegen und weil sie bei der persönlichen Kommunikation eine immer zentralere Rolle spielen. Das Verhalten von Privatanwendern durch Zwang oder Regeln beeinflussen zu wollen, widerspricht den Konzepten einer freien Internetkommunikation und der informationellen Selbstbestimmung. Der einzige Weg zu einem adäquaten Anwenderverhalten führt über offene Weiterbildungsangebote. Deshalb will Microsoft mit dem IRBI einen Anreiz bieten, sich über das richtige Verhalten im Internet spielerisch zu orientieren und es im eigenen Interesse zu trainieren. Als Hersteller eines Großteils der weltweit für den Internetzugriff benutzten Technik möchte Microsoft so seiner Verantwortung für seine Kunden und für die Kommunikationsinfrastrukturen nachkommen. IRBI ist ein Beispiel für die gesellschaftlichen Initiativen des Unternehmens für mehr Sicherheit im Internet. Fazit Der Mensch ist also nicht einfach per se die Schwachstelle im System. Vielmehr sollte sein Verhalten und Agieren in den Vordergrund gestellt werden. Hilfestellung und Bewusstseinsbildung sind die Mechanismen, die einzusetzen sind. Die Erkenntnis des IRBI-Ansatzes ist, dass viele Aktionen im IT-Securitybereich generell motiviertes Verhalten in Reaktion auf Anreize sind, mit denen Personen in Berührung kommen. Durch sorgfältiges Strukturieren der Vorteile, die durch das Nutzen einer Technologie oder ein bestimmtes Verhalten gewonnen werden, können wir die Benutzer dazu bringen, die Entscheidungen zu treffen, von denen das Gesamtsystem profitiert. Sicherheitsversagen aufgrund von zu wenig Informationen kann z.b. als ein Fehlschlag angesehen werden, Anreize zu liefern, sich besser zu informieren. Es ist also zuerst notwendig, zu verstehen, wie die Nutzer Sicherheitsentscheidungen treffen und dann Sicherheitsprobleme zu charakterisieren, die aus diesen Entscheidungen resultieren. In diesem Zusammenhang ist es wichtig die bei Nutzern existierenden Modelle der Sicherheitsrisiken und zu verstehen. Manuel Hüttl ist Vorstandsmitglied der European Expert Group for IT Security (EICAR) und General Manager DACH bei der Kommunikationsagentur Waggener Edstrom Die EICAR wurde 1991 als eingetragener Verein in Deutschland gegründet. Zunächst mit dem Ziel, Know-how im Bereich der Antivirenforschung zu bündeln, gilt die EICAR mittlerweile als anerkanntes IT-Security Expertennetzwerk. Das Institut versteht sich als Plattform für den Informationsaustausch für alle Sicherheitsexperten, die in den Bereichen Forschung und Entwicklung, Implementierung sowie Management tätig sind. Hierdurch soll die globale Zusammenarbeit im Bereich der Computersicherheit gefördert werden. Ziel des Instituts ist es, Lösungen und Präventivmaßnahmen gegenüber allen Arten der Computerkriminalität, wie z.b. das Schreiben und Verbreiten von Computer-Viren, Betrug sowie das Ausspähen von personenbezogenen Daten, zu entwickeln. Dabei arbeitet das Institut sowohl sehr eng mit Unternehmen, politischen Organisationen oder universitären Einrichtungen als auch Medien,Technik- und Rechtsexperten zusammen.

11 Jüngste Entwicklungen in der Datenschutz- und Sicherheitsgesetzgebung Von Prof. Dr. Nikolaus Forgo, Chairman Legal Advisory Board EICAR Der derzeitige Status Quo bei der Gesetzgebung zum Thema Datenschutz in Europa und Deutschland stellt sich uneinheitlich dar. Einerseits erfährt das Thema außergewöhnliche Aufmerksamkeit in den Medien, andererseits wird Deutschland nicht nur von einigen handfesten Datenschutz-Skandalen erschüttert, sondern auch von diversen Rechtsstreitigkeiten und Initiativen auf diesem Gebiet. Das deutsche Bundesverfassungsgericht, welches 1983 das Recht auf informationelle Selbstbestimmung ins Leben rief, übernimmt immer mehr eine Schlüsselrolle in punkto Datenschutz. Dabei stellte das Gericht ein neues grundlegendes Recht auf Privatsphäre und Sicherheit in der Informationsverarbeitung fest (Urteil vom 27. Februar 2008, Aktenzeichen 1 BvR 370/07; 1 BvR 595/07, Grundrecht auf Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme ) und erklärte daher Anfang letzten Jahres ein Bundesgesetz zur Onlinedurchsuchung für verfassungswidrig. In diesem Jahr steht das Gericht erneut im Mittelpunkt des internationalen Interesses. Es muss eine Entscheidung zu einer Sammelklage von mehr als Klägern gegen die deutsche Umsetzung der EU-Direktive 2006/24/EC zur Speicherung von Traffic-Daten fällen. In zwei vorläufigen Urteilen brachte das Gericht bereits deutlich seine Besorgnis über das nationale Vorgehen zum Ausdruck (Aktenzeichen 1 BvR 256/08). Die finale Entscheidung des Gerichts zur Verfassungsmäßigkeit der nationalen Richtlinien zur Datenspeicherung wird auch über Deutschland hinaus von Bedeutung sein. Vor kurzem beschränkte das Verfassungsgericht auch die Aktivitäten des Gesetzgebers in einem anderen Bereich der Datenverarbeitung. Im Urteil vom 3. März 2009 (Aktenzeichen 2 BvC 3/07, 2 BvC 4/07) erklärte das Gericht, dass der Einsatz von Computern für politische Wahlzwecke voraussetze, dass der Wahlprozess für jedermann ohne besondere IT-Vorkenntnisse transparent und nachvollziehbar sei. Das Gericht erklärte daher eine Verordnung über elektronische Wahlgeräte für verfassungswidrig. Bundesregierung plant neue Alternativen Trotz dieser Vorbehalte des Gerichts, entfaltete die Deutsche Bundesregierung auf diesem Gebiet erneut eifrige Aktivität. Zwei Gesetzesentwürfe wurden verabschiedet beide mit dem Ziel, das Bundesdatenschutzgesetz zu ändern. In einem Gesetzesentwurf vom 10. Oktober 2008 (BT- DS 16/10529) bezieht sich die Regierung auf das so genannte Scoring, ein Verfahren der Datenauswertung zur Bonitätsprüfung. Die Übermittlung von Daten an Institutionen, welche 11

12 EINFÜHRUNG 12 mit Informationen zur Bonitätsprüfung handeln, solle beschränkt werden. Ein Datensubjekt solle das Recht haben, auf Anfrage umfangreiche Informationen über die Einstufung seiner Bonität und der zu ihrer Berechnung verwendeten Algorithmen zu erhalten. In einer zweiten Initiative begann die Regierung, den Austausch grundlegender Adressdaten der Bundesbürger zu beschränken. Zukünftig soll es deutschen Unternehmen schwerer gemacht werden, Anzeigen zielgerichtet an mögliche Kunden zu richten. Zudem befindet sich noch ein (sehr allgemein gehaltenes) Gesetz zum Thema Prüfung der Datensicherheit in der Vorbereitung. Genau genommen beschränkte die Bundesregierung ihre Bestrebungen zu einer Reform des Datenschutzgesetzes in keiner Weise. Sie reformierte zudem das Bundesgesetz über die Tätigkeit des Bundeskriminalamtes. Im Dezember 2009 wurde der Einsatz jeglicher Art von Malware legalisiert: Artikel 20k des Gesetzes gestattet dem BKA den Einsatz vom Malware zu kriminaltechnischen Zwecken. Die notwendigen technischen Lösungen für ein derartiges Eindringen werden ausgerechnet vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt. Daher ist eine Reform des Gesetzes über die Tätigkeit des BSI ebenfalls auf dem Weg. Das Ergebnis dieses Entwurfs, der vom Innenministerium verfasst wurde, wird sein, dass das BSI die Arbeit der Polizei zu unterstützen hat. Malware, die nicht von Hackern oder Kriminellen, sondern von einer Bundesbehörde geschrieben wird, stellt definitiv eine neue Entwicklung dar IT-Sicherheit, die dazu genutzt wird, um Vertrauen und Sicherheit zu schwächen. Datenschutz muss umfassender diskutiert werden Die deutsche Datenschutz-Strategie stellt sich paradox dar. Oberflächlich gibt man sich gern den Anstrich, über Datenschutz zu diskutieren und auch dafür einzutreten. Jedoch existieren weder eine ausreichende Diskussion noch eine zureichende Definition der Prioritäten. Zudem werden einige der grundlegendsten Prinzipien von Datensicherheit und Datenschutz permanent ignoriert. Um nur einige der Plattitüden zu nennen: a. Der beste Schutz für private Daten ist, sie erst gar nicht zu sammeln statt dessen führt die Gesetzgebung über die Datenspeicherung zu einem riesigen Volumen sensibler persönlicher Daten über jeden deutschen (und europäischen) Bürger. b. Eine Agentur, die für Datensicherheit verantwortlich ist, sollte unabhängig und ausschließlich für Datensicherheit verantwortlich sein stattdessen muss sich das BSI regelmäßig an (legalen) Angriffen gegen Datensicherheitsmaßnahmen beteiligen. c. Datensicherheit und Datenschutz sind eine Sache der bewussten Aufmerksamkeit. Diese bewusste Aufmerksamkeit muss nicht nur durch politische Aussagen bestärkt werden, sondern auch durch politische Rahmenbedingungen zur Stärkung und Unterstützung des Datenschutzes. Jedoch ist genau das Gegenteil der Fall, wenn (relativ) zweitrangige Themen in den Gesetzesentwürfen angesprochen und gleichzeitig (relativ) vorrangige Themen (wie zum Beispiel Datenschutz für Beschäftigte) hinten angestellt werden. d. Datenverarbeitung ist ein globales Phänomen. Das Netz sieht nationale Bestimmungen als Schaden an und bietet Möglichkeiten zu ihrer Umgehung (John Gilmore). Daher müssen die bereits ergriffenen Maßnahmen (zumindest) in Europa angepasst werden. EICAR wird auch weiterhin die gesetzlichen Entwicklungen in Deutschland und Europa sehr aufmerksam verfolgen. Generell bedarf es einer verstärkten und grundlegenden Analyse, welche auch die wirtschaftlichen Implikationen der ergriffenen Maßnahmen betrachtet Aus diesem Grund wird im ersten Halbjahr 2009 ein Positionspapier zum Datenschutz veröffentlicht. Darin wird der Versuch unternommen, die Gesamtsituation eingehend zu beleuchten.

13 Datenschutz und Sozialethik auf der schiefen Bahn? Dunkle Seiten von Datensammlungen und Compliance Von Hadi Stiel, freier Journalist in Bad Camberg Die Geschäfte werden zunehmend digital abgewickelt. Was früher offensichtlich auf Papier stand, tritt heute in elektronischer Form in den Hintergrund. Dort haben sich riesige Datenbestände aufgetürmt. Sie werden, eben weil im Hintergrund, über intelligente Filter- und Analysemechanismen auch zu inlegitimen und nicht sozial verträglichen Ergebnissen genutzt. Digitale Bearbeitungswege, weil uneinsichtig und flüchtig, entziehen sich für die daran Beteiligten und Betroffenen der Überwachung. Compliance und egovernance sollen mehr Licht ins Dunkel digitaler Vorgänge bringen. Doch auch ihre Registrierungs- und Überwachungsmechanismen laden zum Missbrauch ein. Die Folgen: Der Datenschutz und die Privatsphäre von Mitarbeitern und Bürgern drohen immer mehr unter die Räder zu kommen. Mit der Öffnung zum Internet werden Kundendaten im Hintergrund gehandelt wie auf einem Basar. Je differenzierter sie Auskunft über die Vorlieben geben, um so lukrativer fällt für die schwarzen Schafe das Geschäft aus. Die Hemmschwelle beim Umgang mit persönlichen Kundendaten senkt sich, registriert Thomas Gläsner, verantwortlich für den Bereich Geschäftstransformation beim IT-Dienstleister Logica. Er macht einen direkten Zusammenhang zwischen der zunehmenden Hinwendung der Unternehmen zu Internet-Geschäften und dem Verfall der Sitten aus. Das wirtschaftliche Interesse an gläsernen Kunden ist groß, weil so die eigenen Offerten gezielter an den Mann respektive die Frau gebracht werden können, erklärt er. Im Hintergrund werden ausgefeilte Filter- und Analysewerkzeuge genutzt, um keine Verkaufschance außer Acht zu lassen. Bedenklich sind die Folgen: Die Kunden werden über alle Kanäle aggressiv mit Angeboten adressiert. Viele sehen sich in der Konsequenz als Individuum 13

14 EINFÜHRUNG buchstäblich ausgezogen. Gläsner wähnt deshalb das Web der zweiten und dritten Generation als gefährdet. Die Anbieter werden künftig verhaltener, sorgsamer und verantwortungsbewusster mit den mitgeschnittenen Profildaten ihrer Kunden umgehen müssen. Andernfalls könnten sich die Kunden schnell enttäuscht von Internet-Käufen abwenden. Bei einigen großen DAX-Unternehmen finde immerhin in punkto Kundenakquise und Datenschutz ein Umdenkprozess statt. Anders bei den Internetlastigen Anbietern; Sie reizen alles aus, was geht, so Gläsner. Peter Schaar, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, moniert Adressverkäufe, Kontenweitergaben und die Überwachung von Kunden. An die Adresse des Staates fordert er auf, Datenvorratshaltungen und Online- Recherchen zurückzuführen. Datenaffairen wie Deutsche Telekom, Deutsche Bahn, Airbus, Lidl und Müller führen drastisch vor Augen, welche Dimension der Missbrauch von Kunden-, Partnerund Mitarbeiterdaten auch bei klassisch aufgestellten Unternehmen angenommen hat. Im ersten Fall wurden gleich mehrfach Kundenverbindungsdaten, so unter anderem an das Bundeskriminalamt (BKA) weitergereicht. Alle vier Anbieter haben sich mehrfach der Daten eigener Mitarbeiter bedient, ohne den Betriebsrat zu unterrichten. Nach Einschätzung von Mathias Hein, freier IT-Berater in Neuburg an der Donau, sind die bisher aufgedeckten Datenaffairen nur die Spitze des Eisbergs. Die professionellen Filter- und Analysemechanismen und die reichlich gefüllten Datentöpfe verführen zahlreiche Top-Manager dazu, illegale Wege zu gehen. Dazu käme ihnen die im Hintergrund verdeckt ablaufende Prozesse entgegen. Bestenfalls die Top-Manager sind noch in der Lage, die digitalen Abläufe und Datenbewegungen im Unternehmen zu überblicken. Hein: Datenaffairen werden nur publik, wenn auf oberster Etage politische Lecks entstehen, der Systemadministrator aus Gewissensgründen nicht still hält oder schlicht und einfach Pannen passieren. So wenn die erfassten Krankheitsdaten zu den Lidl-Mitarbeitern versehentlich ausgedruckt werden und in einem Müllcontainer landen. Was Hein besonders wundert: Hinter mehr als der Hälfte der bisher bekannt gewordener Datenaffairen stecken Ex-Staatsunternehmen, obwohl es davon nur eine handvoll gab. Ob Maßnahmen wie egovernance und Compliance solchen Fehlentwicklungen einen Riegel vorschieben können, ist fraglich. Solange sich das Management bei Finanzdienstleistern und anderen Unternehmen von Audits und Reports ausnimmt, wird beides, egovernance und Compliance, ins Leere laufen, schätzt Dr. Karsten Füser, Verantwortlicher für Qualitäts- und Risikomanagement im Finanzbereich bei der Unternehmensberatung Ernst & Young, ein. Ihre grundsätzliche Einstellung müsse sich ändern, was sich, bedingt durch die Finanzmarktkrise, zumindest andeute. Füser gibt sich optimistisch: Einmal etabliert, werden die neu entwickelten egovernance- und Compliance-Richtlinien den gewünschten Effekt entfalten sofern das Top-Management die Einführung vorbehaltlos mit trägt, wie er einschränkt. Wohin eine mangelnde Überwachung und Kontrolle führe, so Füser, habe der Finanzsektor gezeigt. Viele Akteure haben im Dschungel der Digitalisierung ihrer Finanzgeschäfte und falsch gesetzter Prüfungen buchstäblich den Überblick über die Risiken verloren. Systemische Probleme sind aber nicht auf den Finanzsektor begrenzt. Das beispielsweise egovernance nicht jedes Top-Managers Liebling ist, hat Ernst & Young schon vor drei Jahren durch eine Fraud-Studie im deutschsprachigen Bereich herausgefunden. Zwei Drittel aller Finanzbetrüger sind Manager, die von ganz oben zugreifen, so das Ergebnis. Sie fügen ihrem Unternehmen aufgrund ihrer Verfügungsgewalt einen überproportional hohen Schaden zu. Füser spricht deshalb von einem ethischen Bewusstseinsruck, der durch die Gesamtwirtschaft gehen müsse. Dazu gehöre auch, endlich mehr für den Datenschutz und das Recht auf Privatsphäre der Mitarbeiter und Bürger einzustehen. Bisher ist von diesem Wandel wenig zu verspüren. Zahlreiche Top-Manager unterstreichen mit ihrer Bonus-Mitnahmementalität, dass sie ihre eigenen Geschäftsinteressen weit höher bewerten als soziale Belange und die Datenschutzinteressen ihrer Mitarbeiter. Die Krise könnte die Neigung vieler Unternehmenslenker noch verstärken, sich, solan- 14

15 ge es geht, zu bedienen oder, unter Kostendruck und vorbei an gesellschaftlichen und politischen Regeln, das Mögliche aus ihrem Unternehmen herauszuholen. Erwin Schöndlinger, Geschäftsführer des Sicherheitsspezialisten Evidian Deutschland, verfolgt: Die Unternehmen aller Branchen müssen verantwortungsbewusster mit persönlichen Daten umgehen. Das beginne damit, vor der Erfassung, Speicherung und Archivierung im Rahmen des eigenen Geschäftsmodells deren Inhalt, Bedeutung für das Unternehmen, aber auch die langfristigen Konsequenzen für das Unternehmen und die Gesellschaft abzuwägen. So würden viel zu viele Daten aufgenommen, gehortet und verarbeitet werden, die in keinem direkten Bezug zum Geschäft oder zu notwendigen egovernance- oder Compliance-Auflagen stünden. Schon heute rauben förmlich explodierende Datenbestände und die Befolgung oft unnötiger, meist selbst auferlegter Regelungen den Mitarbeitern viel an Motivation und Produktivität, sagt Schöndlinger. Ein weiteres Problem eines ungezügelten Daten- und Bearbeitungswachstums sei, dass auf dieser unübersichtlichen Basis kaum etwas kontrolliert und geregelt werden könne, weil keine Transparenz herrsche. Eigentlich müssten Datenbestände und Vorgänge zuerst dereguliert, also vereinfacht und entflochten werden, bevor nachhaltig etwas geregelt werden kann, erteilt er einer unreflektierten und unvorbereiteten Regulierung eine Absage. Vielleicht hat das unreflektierte Sammeln und Horten digitaler Informationen für viele Unternehmen - und nicht nur für sie - System. Intelligente Filter- und BI-Werkzeuge durchstöbern mittlerweile gigantische Datenbestände in Sekunden und liefern komplexe Auswertungen in Minuten. Heute scheinbar belanglose Daten könnten morgen, je nach Ausrichtung der Recherche, entscheidend zu Ergebnissen beitragen. Auditing und Reporting, die einerseits dazu angetreten sind, im Sinne von Compliance und egovernance legitimes Licht ins Dunkel zu bringen, liefern andererseits detaillierte Mitschnitte, um Mitarbeiter und Bürger besser zu überwachen und zu beeinflussen. Solange Sozialverantwortung und Sozialethik das Handeln bestimmen, bewegen sich beide Maßnahmen im grünen Bereich. Was passiert aber, wenn andere Beweggründe wie Gier, Macht und Beherrschungswahn überhand nehmen? Dann gehen solche Maßnahmen und Techniken auf Kosten des Datenschutzes, der sozialen Ethik und Ausgewogenheit, schließlich der Demokratie. Rein betriebswirtschaftlich gesehen spricht alles dafür, weder mit den Datensammlungen noch mit den Compliance- und egovernance-vorkehrungen zu übertreiben. Mit einer wachsenden Komplexität schwindet, trotz Einsatz technischer Hilfsmittel, die Beherrschbarkeit. Zu viele, unnötige Regeln gehen auf Kosten der Transparenz. Sie führen zu überbordenden Unternehmensstrukturen, mehr Bürokratie und zusätzlichen Schlupflöchern, die es eigentlich auszumerzen gilt, sagt Wolfgang Kemna, CEO der zetvisions AG. Auch Kemna wendet sich als Compliance- und egovernance-spezialist gegen den aufkommenden Regelwildwuchs. Zumal zuviel des Guten eine effiziente und effektive Unternehmenssteuerung und Risikoabwehr erschwere. Er plädiert für eine Balance zwischen produktiven Freiräumen und zwingenden, generell aber produktivitätshemmenden Regeln. Das Quartett aus Compliance, egovernance, Unternehmenssteuerung und Risikomanagement muss außerdem organisationsweit mit der technischen und Prozessinfrastruktur zusammenspielen, wenn es Früchte tragen sollen, sagt er. Auch das mache es dringend ratsam, soweit wie möglich zu vereinfachen anstatt weiter zu verkomplizieren. Die Datenschützer und Sozialethiker, die die bisherige Entwicklung mit wachsender Sorge betrachten, würden diese Begrenzung auf das Notwendigste begrüßen. Der Elan bei Datensammlungen und bei der Etablierung von Vorschriften und Regeln werden wichtige Indikatoren dafür sein, welcher Geist und welche Absichten tatsächlich hinter diesen Maßnahmen stecken, konstatiert Padeluun vom Foebud (Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e. V.). Das gelte sowohl für die Unternehmen in der Rolle als Anbieter als auch den Staat mit seinen Behörden. Beide, so Padeluun, werden maßgeblich mitverantwortlich dafür sein, ob die Krise ein Umdenken fördert oder Datenschutz und Sozialethik noch weiter unter die Räder kommen werden. 15

16 AUS DER PRAXIS - CONSULTING Konvergenz zwischen Datenschutz und Datensicherheit Konvergenz bezeichnet im Allgemein das Sich- Aufeinander-zu-Entwickeln unterschiedlicher Ausgangszustände. Im Hinblick auf Datenschutz und Datensicherheit lassen sich diese Ausgangszustände wie folgt beschreiben: Datensicherheit soll den Schutz sämtlicher Unternehmensdaten hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Der Datenschutz betrifft dagegen ausschließlich personenbezogene Daten und soll das informationelle Selbstbestimmungsrecht der Betroffenen schützen, d.h. selbst darüber bestimmen zu können, ob und wie ihre Daten erhoben, verarbeitet oder genutzt werden. Insofern bestehen unterschiedliche Ausgangssituationen bezüglich des Schutzgegenstandes und des Schutzzieles. Bei einem Sich-Aufeinander-zu-Entwickeln von Datenschutz und Datensicherheit beschränkt sich die Betrachtung meist auf den technischen Datenschutz nach der Anlage zu 9 BDSG. Dort beschrieben sind acht Kontrollmaßnahmen zur Gewährleistung der Datensicherheit personenbezogener Daten, wie Zutritts-, Zugriffs-, Eingabe- oder Weitergabekontrollen. Diese stellen jedoch nur die direkte Schnittmenge zwischen den beiden Ausgangszuständen dar. Der Grenzbereich zwischen Datenschutz und Datensicherheit ist größer und birgt eine Reihe von Schwierigkeiten, die sich vor allem aus den unterschiedlichen Herangehensweise ergeben Datenschutz eher rechtlich, Datensicherheit eher technisch orientiert. In der Praxis finden sich mehrere Beispiele für einen gemeinsamen Grenzbereich beider Gebiete. Eine Aufgabe der IT-Sicherheit ist es, Richtlinien für verschiedene Bereiche zu erstellen, so auch Benutzerrichtlinien für den Bereich Notebooks/mobile Endgeräte. Festzulegen sind Regelungen für den Umgang mit den Geräten, Bestimmungen zu Verschlüsselungen und Notfallmaßnahmen. Es müssen aber auch Belange des Datenschutzes berücksichtigt werden, da in den meisten Fällen auf solchen Geräten personenbezogene Daten gespeichert sind sei es auch nur im persönlichen Adressbuch. Ein weiteres Beispiel, welches in der Beratungspraxis besonders häufig vorkommt, betrifft die private Internet- und nutzung in der Firma. Durch ungeregeltes Erlauben oder Dulden der Privatnutzung setzen sich Unternehmen rechtlichen Risiken aus, welche die Anforderungen aus Datenschutz und Telekommunikationsgesetzen betreffen. Die Protokollierung und Durchführung der erforderlichen Kontrollen von geregelter Nutzung wäre dann wiederum Aufgaben der Datensicherheit. Die hierbei zu erstel- 16

17 lenden Richtlinien liegen also im Grenzbereich beider Gebiete. Auch in anderen Bereichen der IT-Sicherheit ergeben sich Berührungspunkte mit dem Datenschutz. So sind z.b. bei den Schutzbedarfsfeststellungen die besonderen Arten personenbezogener Daten ( 3 Abs. 9 BDSG) wie z.b. Gesundheitsdaten mit einzubeziehen, da sie einen höheren Schutzbedarf haben als unsensible Daten. Der Grenzbereich kann teilweise auch von der Seite des Datenschutzes her erreicht werden. Dies tritt vor allem bei Vertragsgestaltungen, z.b. beim Outsourcing (ggf. Auftragsdatenverarbeitung nach 11 BDSG) auf. Die datenschutzrechtliche Begleitung der Einführung neuer Verfahren bedarf daher regelmäßig der Kommunikation zwischen den Disziplinen. Hier zeigt sich in der Praxis, dass die unterschiedlichen Herangehensweisen und die entgegensetzten Ausgangszustände zu Störungen im Ablauf führen können, da nicht dieselbe (Fach-) Sprache gesprochen wird. Parallel zu den Richtlinien im IT-Sicherheitsbereich ist im Datenschutzbereich ein Konzept zu erstellen (i.s.v. 9a BDSG). Bei der Arbeit an Richtlinien und Konzepten ergeben sich Überschneidungen, die kommuniziert werden müssen. Im Grenzbereich liegen weiterhin Aufgaben, die von beiden Bereichen zu erledigen sind, wie z.b. erforderliche Schulungen. Ein Schulungskonzept, welches Gemeinsamkeiten berücksichtigt und Raum für Unterschiede lässt, kann zu der erwünschten Annäherung und damit zu Synergieeffekten führen. Somit besteht zweifellos ein großer Abstimmungsbedarf sowohl organisatorisch als auch inhaltlich, um eine Konvergenz zwischen Datenschutz und Datensicherheit zu erreichen. Eine mögliche Umsetzung dieser Anforderung könnte in der Vereinigung des Datenschutz- und IT-Sicherheitsbeauftragten in einer Person gesehen werden. Leider wird sich diese Lösung in den seltensten Fällen realisieren lassen, da nur wenige Personen die benötigte Fachkunde in sich vereinen. Zudem könnte es auch aufgrund der eingangs erwähnten unterschiedlichen Ausgangszustände zu einem Zielkonflikt kommen, z.b. wenn Aspekte der Datensicherheit für Protokolle sprechen, diesen jedoch Anforderungen des Datenschutz entgegenstehen - oder wenn eine gegenseitige Kontrolle angebracht ist. Daher wird ein sich ergänzendes Team, das gut aufeinander eingespielt ist und sich aufgrund langjähriger interdisziplinärer Fachkompetenz auf der gleichen Kommunikationsebene befindet, die bessere Wahl für solche Positionen sein, auch, um eine funktionierende Konvergenz zwischen Datenschutz und Datensicherheit herzustellen. Katrin Clüver, Rechtsanwältin und Informatikerin, Consultant Datenschutz und IT-Sicherheit, Matthias Lindner, Rechtsanwalt und Wirtschaftsinformatiker, Consultant Datenschutz und IT-Compliance, intersoft consulting services GmbH intersoft consulting services Die intersoft consulting services GmbH ist ein branchenneutrales Hamburger Beratungsunternehmen, spezialisiert auf Unterstützungsleistungen in den Bereichen IT-Sicherheit, Datenschutz, IT-Compliance und IT-Governance. Unsere Leitidee ist, nachhaltige Lösungen für ihr Unternehmen zu schaffen. Wir orientieren uns an neuesten Standards, wie COBIT, ISO und an den BSI Standards. Wir beraten nach Datenschutzgesetzen des Bundes und der Länder sowie nach den für Ihr Unternehmen zutreffenden weiteren gesetzlichen Anforderungen. Unsere Kunden profitieren sowohl von der langjährigen Tätigkeit unserer Consultants in unterschiedlichen Fachgebieten, als auch von den sich überschneidenden Fachkompetenzen im Datenschutz-, IT-, und Rechtsbereich. Unser Know-how stellen wir in den Dienst Ihres Unternehmens. 17

18 INTERVIEW Wer war Root? Interview mit Jochen Koehler, Deutschland-Chef von Cyber-Ark Welche Lösungen bieten Sie im Segment Privileged Identity Management (PIM) an? Jochen Koehler: Den Bereich Privileged Identity Management decken wir mit drei komplementären Lösungsmodulen ab. Im Mittelpunkt steht dabei der Enterprise Password Vault für die automatische Verwaltung und Änderung von privilegierten Administratoren-Accounts. Mit dem Application Identity Manager bieten wir eine Lösung an, die die automatische Verwaltung und Änderung von Passwörtern in Skripten oder Config-Files den sogenannten Hardcoded Software Accounts ermöglicht. Abgerundet wird unser Lösungs-Portfolio vom Privileged Session Manager zur Aufzeichnung von Admin-Sessions. Durch die Kombination dieser drei Produkte in der Privileged Identity Management Suite sind wir der einzige Anbieter einer kompletten und durchgängigen Lösung für die Sicherung, Verwaltung und Überwachung privilegierter Accounts. Wo sehen Sie heute auf Unternehmensseite den größten Handlungsbedarf? Jochen Koehler: Eindeutig im Bereich der privilegierten Accounts. Passwörter sind schließlich der Schlüssel zu allen unternehmenskritischen Daten. Und Status quo ist leider immer noch: Auf den IT-Systemen finden sich teilweise identische und meistens leicht zu entschlüsselnde Passwörter. Warum ist dies so? Jochen Koehler: Ganz einfach: Wenn keine entsprechende Lösung implementiert ist, kann auch die Änderung und Verwaltung von Passwörtern nur manuell erfolgen und das ist natürlich mit einem immensen Zeitaufwand verbunden. Was bietet hier Ihr Enterprise Password Vault konkret? Jochen Koehler: Der Enterprise Password Vault ermöglicht eine geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern. Darüber hinaus kann mit ihm durch eine vollständige Zugriffskontrolle und Protokollierung die Nutzung von privilegierten Accounts zu jeder Zeit überprüft werden. Neueste Lösung im Portfolio ist der Privileged Session Manager. Warum sehen Sie hier ein hohes Vermarktungspotenzial? Jochen Koehler: Wenn Unternehmen heute über eine Outsourcing-Lösung nachdenken und sich gegen eine solche entscheiden, sind oftmals Sicherheitsbedenken hinsichtlich der Auslagerung unternehmenskritischer Daten der 18

19 ausschlaggebende Faktor: nicht zuletzt auch im Hinblick auf privilegierte Accounts, wie sie Administratoren auf Seiten des externen Dienstleisters beziehungsweise Insourcers besitzen. Mit unserer neuen Lösung Privileged Session Manager zur Aufzeichnung von Admin-Sessions kann nun nicht nur überprüft werden, wer Zugang zu sensiblen Informationen hat, sondern auch, was er mit diesen Informationen macht. Das erhöht die Sicherheit für den Outsourcer an einem kritischen Punkt natürlich nachhaltig. Welchen Zielmarkt adressieren Sie? Wie groß muss das Unternehmen sein? Jochen Koehler: Generell adressieren wir mit unseren Lösungen alle Branchen. Weltweit zählen wir heute über 500 Unternehmen zu unseren Kunden. Mit unserer zentralen Lösung Enterprise Password Vault richten wir uns natürlich vornehmlich an große Unternehmen, da mit der Anzahl an Administratoren natürlich auch das Gefährdungspotenzial und der Verwaltungsaufwand zunehmen. Konkreter: Wir richten uns in diesem Bereich an Unternehmen mit mehr als zehn Administratoren. Welche Lösungen hat Cyber-Ark abgesehen von PIM im Lösungs-Portfolio? Jochen Koehler: Zu nennen sind hier der Sensitive Document Vault, mit dem vertrauliche Dokumente sicher gespeichert und verwaltet werden können, und der Inter-Business Vault, eine Managed-File-Transfer-Lösung für den Datenaustausch über das Internet. Sehen Sie aktuell einen steigenden Bedarf an Ihren Lösungen? Jochen Koehler: Definitiv ja. Ein Ergebnis einer kürzlich von uns durchgeführten Studie war, dass rund 55 Prozent aller Mitarbeiter beim Verlassen ihres Arbeitgebers Daten mitnehmen würden. In einer Zeit steigender Mitarbeiterentlassungen erhöht das natürlich für die Unternehmen auch die Gefahr des Datenabflusses, der gerade mit unseren Lösungen zuverlässig verhindert werden kann. Welche Rolle spielt das gegenwärtig vielfach diskutierte Thema PCI-DSS? Jochen Koehler: Für uns eine sehr große. Aktuell sind wir in mehreren Projekten tätig, die im Zuge einer erforderlichen PCI-DSS-Zertifizierung aufgesetzt wurden. Zentrale Anforderungen, die sich aus dem PCI-Regelwerk ergeben, erfüllen wir mit unseren Lösungen Enterprise Password Vault und Inter-Business Vault exakt: zum Beispiel hinsichtlich der Regelungen zum Schutz gespeicherter Daten oder zur Änderung von Kennwörtern. Abschließende Frage: Wie vertreiben Sie Ihre Lösungen in Deutschland, direkt oder indirekt? Jochen Koehler: Wir setzen in Deutschland eindeutig auf ein indirektes Vertriebsmodell. Zu unseren Partnern gehören unter anderem Computacenter, Controlware, Crocodial und Integralis. Über Cyber-Ark Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich Privileged Identity Management. Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Das Unternehmen hat mit weltweit rund 100 Mitarbeitern im Geschäftsjahr 2008 einen Umsatz von rund 18 Millionen US-Dollar erzielt. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten. 19

20 AUS DER PRAXIS - DATENSICHERHEIT Datensicherheit: Beyond the Hype von Eberhard von Faber, T-Systems und FH Brandenburg Wir leben in einer Wissensgesellschaft, in der geistiges Eigentum zum entscheidenden Kapital eines Unternehmens gehört und dessen Schutz mit über die Wettbewerbsfähigkeit entscheidet. Die elektronische Speicherung und Verarbeitung der Informationen steigert die Produktivität der Unternehmen, macht sie aber gleichzeitig verwundbar für den Verlust vertraulicher Informationen oder die Manipulation von Daten und Systemen. So wundert es nicht, dass Datensicherheit zu den Top-Prioritäten der Verantwortlichen gehört. Der nachfolgende Artikel wirft einen Blick hinter die Kulissen und zeigt verbundene Aufgaben und offene Fragen. 1. Sicherheit ist eine Frage der Organisation. Ob man zentrale Einheiten schafft, mit virtuellen oder projektorientierten Organisationen arbeitet oder Mischformen bevorzugt und unabhängig davon, wie man Aufgaben verteilt und Prozesse gestaltet, am Ende steht immer die Frage, welcher Aufwand adäquat ist. Oder kurz und griffig: Wie viele Sicherheitsverantwortliche braucht ein Unternehmen wirklich? Die entsprechend direkte, ungezierte Antwort auf diese schlichte Frage könnte lauten:...eigentlich nur einen. Denn Sicherheit ist oft lautlos und abseits des geschäftigen Kampfgetümmels am größten. Auf ein Unternehmen übertragen, braucht man nur einen Verantwortlichen, aber natürlich nur bei einem perfekt arbeitenden Ganzen. Jeder muss seinen Beitrag leisten! Dazu muss zunächst das notwendige Sicherheitsbewusstsein die Awareness geschaffen, entwickelt und erhalten werden. Mitunter sind Maßnahmen, die Mitarbeiter stärken, wirkungsvoller und effektiver als vieles, was ihnen technisch auferlegt wird. Die Erfahrung zeigt weiterhin, dass Secu- 20

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive

Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive 12. Konferenz Biometrics Institute, Australien Sydney, 26. Mai 2011 Auf dem Weg zu einem umfassenderen Datenschutz in Europa einschließlich Biometrie eine europäische Perspektive Peter Hustinx Europäischer

Mehr

Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes

Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes 2. April 2014 Veranstaltung der EAB und der EAID Digitale Agenda Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes Peter Schaar Europäische Akademie für Informationsfreiheit und Datenschutz

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v.

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. binsec - binary security UG 13. Juni 2015 Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Datenschutzbeauftragte

Datenschutzbeauftragte MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist

Mehr

Guter Datenschutz schafft Vertrauen

Guter Datenschutz schafft Vertrauen Oktober 2009 Guter Datenschutz schafft Vertrauen 27.10.2009 ruhr networker e.v. in Mettmann K.H. Erkens Inhalt Handlungsbedarf, Aktualität Grundlagen oder was bedeutet Datenschutz Pflichten des Unternehmens

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Datenschutz im Web viel mehr als nur lästige Pflicht

Datenschutz im Web viel mehr als nur lästige Pflicht Datenschutz im Web viel mehr als nur lästige Pflicht 7 Tipps zum korrekten Umgang mit Online-Kundendaten Vielen Unternehmen, die online Kundendaten zu Marketing- und CRM-Zwecken erfassen und verarbeiten,

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser Surfen am Arbeitsplatz Ein Datenschutz-Wegweiser Inhalt Allgemeine Fragen zur Wahrung der Privatsphäre 4 Grundsätzliche Anforderungen 6 Allgemeines 6 Dienstliche Nutzung 7 Private Nutzung 8 Protokollierung

Mehr

Datenschutz - Ein Grundrecht

Datenschutz - Ein Grundrecht Datenschutz - Ein Grundrecht? Der Sächsische Datenschutzbeauftragte Datenschutz als Grundrecht Argumente für den Datenschutz Der Sächsische Datenschutzbeauftragte Andreas Schurig GRuSSwort 2 Liebe Leserin,

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Forderungen für eine jugendgerechte Netzpolitik

Forderungen für eine jugendgerechte Netzpolitik aej-mitgliederversammlung 2013 Beschluss Nr.05/2013 Forderungen für eine jugendgerechte Netzpolitik Unsere Gesellschaft wird derzeit durch die Möglichkeiten vernetzter Datenverarbeitung vielfältig und

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

über die complimant ag Die Beraterprofis it Compliance

über die complimant ag Die Beraterprofis it Compliance lso/lec 27001 über die complimant ag Die Beraterprofis it Compliance Spielregeln ISMS-Gestaltung IT-Risikoanalyse IT-Notfallkonzept Datenschutz IT-Systemprüfung durch den Wirtschaftsprüfer Digitale Betriebsprüfung

Mehr

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen? Was ist Datenschutz, und weshalb betrifft er unser Unternehmen? 1 Herzlich willkommen! Die Themen heute: Datenschutz ein aktuelles Thema Gründe für einen guten Datenschutz Welche Grundregeln sind zu beachten?

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

ET CHUTZ-PAK RS CYBE

ET CHUTZ-PAK RS CYBE Wertvolles schützen Ist Ihre Firewall so sicher wie Fort Knox oder ähnelt sie doch eher der Verteidigung von Troja? Mit anderen Worten: Kann man bei Ihnen ein vermeintlich harmlos aussehendes Objekt platzieren,

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

ISO 5500x-Normenfamilie

ISO 5500x-Normenfamilie ISO 5500x-Normenfamilie 5 Fakten zur ISO 5500x-Normenfamilie ISO 55000 - Overview, principles and terminology ISO 55001 - Requirements ISO 55002 - Guidelines on the application of ISO 55001 Generelles

Mehr

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime www.s-con.de 1 Referent Michael J. Schöpf michael.schoepf@s-con.de +49 171 3241977 +49 511 27074450

Mehr

Datenschutz und Kinderschutz - Einheit oder Gegensatz?

Datenschutz und Kinderschutz - Einheit oder Gegensatz? Datenschutz und Kinderschutz - Einheit oder Gegensatz? Dr. Claudia Federrath Berlin, den 11. März 2009 Aufgaben Der Berliner Beauftragte für Datenschutz und Informationsfreiheit kontrolliert die Einhaltung

Mehr

Digitale Revolution : Reicht unser Datenschutz angesichts der Bedrohungen? Georg Schäfer

Digitale Revolution : Reicht unser Datenschutz angesichts der Bedrohungen? Georg Schäfer Digitale Revolution : Reicht unser Datenschutz angesichts der Bedrohungen? Georg Schäfer Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. (EU Datenschutzgrundverordnung)

Mehr

IT IM FOCUS. bes-systemhaus.de

IT IM FOCUS. bes-systemhaus.de IT IM FOCUS. bes-systemhaus.de POTENZIALE AUFZEIGEN. VERANTWORTUNGSVOLL HANDELN. Die Zukunft beginnt hier und jetzt. Unsere moderne Geschäftswelt befindet sich in einem steten Wandel. Kaum etwas hat sich

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar?

Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar? Gesundheits- und Medizin Apps: Stellen sie ein Sicherheitsrisiko dar? Apps für Smartphones werden immer populärer und erleichtern uns den schnellen Zugriff auf bestimmte Informationen. Seit ein paar Jahren

Mehr

DIE GRUNDLAGEN DES DATENSCHUTZES

DIE GRUNDLAGEN DES DATENSCHUTZES DIE GRUNDLAGEN DES DATENSCHUTZES Herausforderungen der Zukunft Wie kann der Schutz der Privatsphäre organisiert werden, um zukünftigen Herausforderungen zu begegnen? Wie können die Innovationspotentiale

Mehr

Online IT Check Frech Michael 15.09.2011

Online IT Check Frech Michael 15.09.2011 Online IT Check Frech Michael 5.9. Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

DIGITALE PRIVATSPHAERE

DIGITALE PRIVATSPHAERE DIGITALE PRIVATSPHAERE WISSEN Die enorme Ausbreitung des Internets über die letzten beiden Jahrzehnte stellt uns vor neue Herausforderungen im Hinblick auf Menschenrechte, insbesondere der Abwägung zwischen

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

«Zertifizierter» Datenschutz

«Zertifizierter» Datenschutz «Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.

Mehr

Begriffe. Rechtliche Grundlagen des Datenschutzes

Begriffe. Rechtliche Grundlagen des Datenschutzes Begriffe Datenschutz Daten werden vor unberechtigtem Zugriff geschützt. Datensicherheit Daten werden vor Verlust oder unberechtigten Änderungen oder unberechtigtem Zugriff geschützt. Datensicherung Methode,

Mehr

Datenschutzunterweisung kompakt

Datenschutzunterweisung kompakt Datenschutzunterweisung kompakt Mitarbeiter gekonnt und dauerhaft sensibilisieren Bearbeitet von Oliver Schonschek, Jochen Brandt, Harald Eul 1. Auflage 2015. CD. ISBN 978 3 8245 8092 7 Format (B x L):

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

SharePoint - Security

SharePoint - Security SharePoint - Security SharePoint Control Manager Technologien Lösungen Trends Erfahrung Inhalt 1 GRUNDSATZ...3 2 VORGEHENSMODELL UND LÖSUNGSANSATZ...4 3 TECHNISCHES KONZEPT...4 4 COMPLIANCE / REPORTS...4

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten

Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten Vom Bewusstsein zur Lösung Angriffszenarien und Schutzmöglichkeiten 25.11.2009 Hessen IT Kongress, Frankfurt/Main Hans Joachim Giegerich Giegerich & Partner GmbH Christian Schülke schuelke.net internet.security.consulting

Mehr

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker

Datenschutz & IT. Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes. Datenschutz & IT. Lothar Becker Wir unterstützen Sie bei Fragen der IT-Sicherheit und des Datenschutzes Datenschutz & IT Lothar Becker Thalacker 5a D-83043 Bad Aibling Telefon: +49 (0)8061/4957-43 Fax: +49 (0)8061/4957-44 E-Mail: info@datenschutz-it.de

Mehr

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten

Mehr

Verhaltenskodex. Verhaltenskodex. SIGNUM Consulting GmbH

Verhaltenskodex. Verhaltenskodex. SIGNUM Consulting GmbH Verhaltenskodex Einleitung Die hat einen Verhaltenskodex erarbeitet, dessen Akzeptanz und Einhaltung für alle Mitarbeiter als Voraussetzung zur Zusammenarbeit gültig und bindend ist. Dieser Verhaltenskodex

Mehr

Digitale Agenda verspricht Modernisierungsschub für die Deutsche Verwaltung

Digitale Agenda verspricht Modernisierungsschub für die Deutsche Verwaltung Pressekontakt: Sascha Walther Presse- und Öffentlichkeitsarbeit Mail: sascha.walther@init.de Phone: + 49 30 97006 759 Mobil: +49 176 63154653 Fax: + 49 30 97006 135 Pressemitteilung Berlin, 17. Oktober

Mehr

HYBRID CLOUD IN DEUTSCHLAND 2015/16

HYBRID CLOUD IN DEUTSCHLAND 2015/16 Fallstudie: IBM Deutschland GmbH IDC Multi-Client-Projekt HYBRID CLOUD IN DEUTSCHLAND 2015/16 Mit hybriden IT-Landschaften zur Digitalen Transformation? IBM DEUTSCHLAND GMBH Fallstudie: Panasonic Europe

Mehr

Secorvo. Partner und Unterstützer

Secorvo. Partner und Unterstützer Partner und Unterstützer Datenschutz Anspruch und Wirklichkeit im Unternehmen Karlsruher IT-Sicherheitsinitiative, 31.03.2004 Dirk Fox fox@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße

Mehr

Informatikleitbild der Kantonalen Verwaltung Zürich

Informatikleitbild der Kantonalen Verwaltung Zürich Informatikleitbild der Kantonalen Verwaltung Zürich Vom KITT verabschiedet am 26. Oktober 2006, vom Regierungsrat genehmigt am 20. Dezember 2006 Einleitung Zweck des Leitbildes Mit dem Informatikleitbild

Mehr

Datenschutzkodex Legislativdekret vom 30. Juni 2003

Datenschutzkodex Legislativdekret vom 30. Juni 2003 Datenschutzkodex Legislativdekret vom 30. Juni 2003 I. TEIL ALLGEMEINE BESTIMMUNGEN I. TITEL ALLGEMEINE GRUNDSÄTZE Art. 1 - Recht auf Datenschutz 1. Alle haben das Recht auf den Schutz der Daten, die ihre

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Sicherheit ist unser Auftrag. Die KKI Kompetenzzentrum Kritische Infrastrukturen GmbH stellt sich vor

Sicherheit ist unser Auftrag. Die KKI Kompetenzzentrum Kritische Infrastrukturen GmbH stellt sich vor Sicherheit ist unser Auftrag Die KKI Kompetenzzentrum Kritische Infrastrukturen GmbH stellt sich vor Vernetzte Sicherheit für vernetzte Strukturen Die KKI Kompetenzzentrum Kritische Infrastrukturen GmbH

Mehr

Datenschutz und IT-Sicherheit

Datenschutz und IT-Sicherheit 15 Jahre IT-Grundschutz Bonn, 23. Juni 2009 Peter Schaar Datenschutz und IT-Sicherheit Jubiläum 15 Jahre IT-Grundschutz Seite 1 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit Übersicht

Mehr

Datenschutz der große Bruder der IT-Sicherheit

Datenschutz der große Bruder der IT-Sicherheit Datenschutz der große Bruder der IT-Sicherheit Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Telefon 0611 / 1408-0 E-mail: Poststelle@datenschutz.hessen.de Der Hessische Datenschutzbeauftragte

Mehr

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit

Mehr

IT Security ist Chefsache

IT Security ist Chefsache IT Security ist Chefsache Rechtliche Aspekte im Umfeld von IT Security RA Wilfried Reiners, MBA Agenda Einführung in das Thema Anspruchsgrundlagen Haftungsrisiken Fallbeispiele für Viren, Würmer, Lücken

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz

RHENUS OFFICE SYSTEMS. Compliance, Informationssicherheit und Datenschutz RHENUS OFFICE SYSTEMS Compliance, Informationssicherheit und Datenschutz SCHUTZ VON INFORMATIONEN Im Informationszeitalter sind Daten ein unverzichtbares Wirtschaftsgut, das professionellen Schutz verdient.

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Dr.-Ing. Martin H. Ludwig INGENIEURBÜRO für Systemanalyse und -planung

Dr.-Ing. Martin H. Ludwig INGENIEURBÜRO für Systemanalyse und -planung INGENIEURBÜRO für Systemanalyse und -planung Dr. Martin H. Ludwig Ihr externer, betrieblicher Datenschutzbeauftragter Liebe Leserin, lieber Leser, Sie benötigen einen betrieblichen Datenschutzbeauftragten

Mehr

Das Handwerkszeug. Teil I

Das Handwerkszeug. Teil I Teil I Das Handwerkszeug Beratung in der IT 3 Beratung ist ein häufig gebrauchter und manchmal auch missbrauchter Begriff in der IT. Wir versuchen in diesem Einstieg etwas Licht und Klarheit in diese Begriffswelt

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Channel-Sales Kongress Cloud Computing, München 9. Mai 2012 Rechtsanwalt Dr. Sebastian Kraska Externer Datenschutzbeauftragter

Mehr

Wahlprüfstein DIE LINKE

Wahlprüfstein DIE LINKE Wahlprüfstein DIE LINKE Aktion Freiheit statt Angst e.v. Rochstr. 3 10178 Berlin 1. Anonyme Kommunikation Derzeit ist es in Deutschland erlaubt aber technisch nur schwer möglich, das Internet anonym zu

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

Big Data Was ist erlaubt - wo liegen die Grenzen?

Big Data Was ist erlaubt - wo liegen die Grenzen? Big Data Was ist erlaubt - wo liegen die Grenzen? mag. iur. Maria Winkler Themen Kurze Einführung ins Datenschutzrecht Datenschutzrechtliche Bearbeitungsgrundsätze und Big Data Empfehlungen für Big Data

Mehr

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant

Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen. Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Schatten-IT Wie Sie die Kontrolle über Ihr Netzwerk zurück erlangen Dipl.-Ing. Lutz Zeutzius Senior IT-Consultant Fünfzehnjährige Erfahrung bei der IT-Beratung und Umsetzung von IT-Projekten bei mittelständischen

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG

PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG PRIVILEGED ACCOUNT SECURITY EIN LEITFADEN FÜR DIE ERFOLGREICHE IMPLEMENTIERUNG Inhalt Privilegierte Benutzerkonten im Überblick...3 Arten von privilegierten Konten...3 Schutz von privilegierten Accounts...4

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI

Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI Oliver Klein Referat Informationssicherheit und Digitalisierung Bundesamt für Sicherheit in der Informationstechnik (BSI) Rüsselsheim,

Mehr

12a HmbDSG - Unterrichtung bei der Erhebung

12a HmbDSG - Unterrichtung bei der Erhebung Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

American Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni 2012. Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter

American Chamber of Commerce in Italy und US-Vertretung Rom, 21. Juni 2012. Giovanni BUTTARELLI Stellvertretender Europäischer Datenschutzbeauftragter Rechtsvorschriften im Bereich Datenschutz und Privatsphäre Auswirkungen auf Unternehmen und Verbraucher Podiumsdiskussion 1 Wie sich der Ansatz in Bezug auf die Privatsphäre entwickelt: die Visionen der

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

ikb Data Experten für sensible Daten

ikb Data Experten für sensible Daten ikb Data Experten für sensible Daten Die ikb Data GmbH gehört zu den führenden deutschen Dienstleistungsunternehmen im Bereich IT-Infrastruktur und Datensicherheit. Im Jahr 2004 als Shared-Service-Center

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr