Datensicherheit. Konvergenz zwischen Datenschutz und Datensicherheit IT SECURITY ADVISOR. Ausgabe 1/2009 US1

Größe: px
Ab Seite anzeigen:

Download "Datensicherheit. Konvergenz zwischen Datenschutz und Datensicherheit IT SECURITY ADVISOR. Ausgabe 1/2009 US1"

Transkript

1 Ausgabe 1/2009 Datensicherheit IT SECURITY ADVISOR Konvergenz zwischen Datenschutz und Datensicherheit US1 üngste üngste Entwicklungen in PLATZHALTER der Datenschutz- 1 Hier könnte und Sicherheitsgesetzgebung Ihre Überschrift stehen IT-Risiko-Management: Mittel zur Konvergenz THEMATIK von 2 Datenschutz Hier und wäre Datensicherheit? der Platz dafür Datensicherheit AUS - Beyond BEyond DEM INHALT the Hype 3 Noch ein Schwerpunkt Eine Publikation von 1

2 2

3 EINFÜHRUNG Datenschutz und Datensicherheit wachsen zusammen Unter dem Druck der aktuellen Gesetzgebung und aufgrund wachsender Sensibilität wachsen die klassischen Aufgaben des Datenschutzes und der IT-Sicherheit immer stärker zusammen Informationssicherheit bedeutet heute nicht mehr die Abschottung eines Unternehmensnetzes gegenüber dem Internet, sondern den optimalen Schutz aller in einem Unternehmen gespeicherten Informationsressourcen in Form von strukturierten (Datenbanken) und unstrukturierten Daten (Dokumenten). Der Schutz umfasst dabei Informationen, die dem Unternehmen einschränkungslos gehören, und Informationen, die ihm lediglich anvertraut werden darunter Kunden-, Partner- und Mitarbeiterdaten. Speziell vom Umgang mit den zuletzt genannten Daten hängt das Vertrauen ab, dass ein Unternehmen bei seinen Kunden, Geschäftspartnern und Mitarbeitern genießt. Auf die Konvergenz von Datenschutz und IT- Sicherheit sind Unternehmen bisher schlecht vorbereitet bei Managern und Fachleuten beider Richtungen herrscht oft noch die Vorstellung von der Unvereinbarkeit beider Gebiete vor, und die Technik wird dem neuen Konzept nicht gerecht. Aus Management-Sicht war Datenschutz lange Zeit meist den Unternehmenszielen im Weg und vertrug sich schlecht mit der Sicherheit, weil Datenschutz Kontrollmöglichkeiten der Kommunikationsflüsse einengte. Ein typischer Konfliktbereich war in dieser Hinsicht der Mitarbeiter-Datenschutz, der zum Beispiel dem Einsatz von Content- Filtern im Weg war. Diese Ausgangslage beeinflusst die Auffassung des Datenschutzes in den Unternehmen Datenschutz galt außerdem als staatlich geregelter Bereich, Sicherheit als Sache des Unternehmens. Die Existenz von Datenschutzbeauftragten und deren Sonderrolle brachte ein weiteres störendes Element in die Unternehmen. Datenschützer arbeiteten außerdem hauptsächlich mit der Vorgabe von Verfahren und mit Einschränkungen für die Aufbewahrung von Daten. Beides deckte sich nicht mit den Zielen der Sicherheitsfachleute, die vor allem die Infrastruktur eines Unternehmens vor unbefugten Zugriffen schützen wollten und noch nicht die dort gespeicherten Informationen selbst im Blick hatten. Die Aufgaben beider Fachgebiete waren sich also entweder im Weg oder liefen nebeneinander her. Kommunikation zwischen beiden Ebenen fand kaum statt. Große Unternehmen allerdings pflegten weitgehend unbeachtet von der öffentlichen Diskussion einen gänzlich anderen Umgang mit der Datenschutzthematik. In einigen Unternehmen galten alle IT-Sicherheitsmaßnahmen von vornherein dem Schutz von Informationen wie Kundendaten, Firmengeheimnissen und Mitarbeiterdaten, jeweils unter spezifischen Bedingungen, zu unterschiedlichen Zwecken und für die unterschiedlichen Interessengruppen. In solchen Fällen wurden Datenschutz und Sicherheit unter einer Leitung zusammengefasst. Jetzt denken immer mehr Manager um: Compliance-Vorschriften und der Druck der Öffentlichkeit machen nachweislich guten Umgang mit Datenschutz zu einem Qualitätsmerkmal für Unternehmen. Wer den Datenschutz beherrscht, ist vertrauenswürdig. Außerdem denkt man auch beim Datenschutz 3

4 EINFÜHRUNG selbst um: Nicht mehr allein das Vermeiden der Speicherung ist das wichtigste Mittel des Datenschutzes die vor unbefugten Zugriffen geschützte Ablage erhält immer mehr Bedeutung. Sie wiederum lässt sich nur mit den Mitteln der Informationssicherheit bewerkstelligen. Dieser Trend erhält zusätzlichen Schub durch aktuelle Vorschriften, die die Archivierung der gesamten elektronischen Geschäftskorrespondenz von Unternehmen verlangen. Die IT-Sicherheit wandelt sich aus dem Abschotten von Netzen wird angemessener Schutz für jedes Dokument, gestützt auf eine stringente Klassifizierung. Der Datenschutz ist in die IT-Sicherheit integriert. Der juristische Rahmen gewinnt mehr und mehr an Bedeutung Das Einhalten von Datenschutzrichtlinien zu kontrollieren, gestaltet sich schwierig. Es gibt keine Radarfallen für Datensünder, so Prof. Dr. Forgó von der Universität Hannover. Notwendig ist daher eine umfassende Aufklärung über Datenschutzstandards und Datenschutzrecht und das aus dieser Aufklärung resultierende gesellschaftliche Bewusstsein. Persönliche Freiheiten würden durch rechtliche Regulierungen im Internet nicht eingeschränkt, meint Forgó. Im Gegenteil, persönliche Freiheit im Netz sei eine Illusion: Die Privatsphäre kann durch Datenschutzkontrollen nicht gefährdet werden: Privatsphäre ist eine zentrale juristische Kategorie und vor allem im Grundrecht auf Datenschutz verkörpert, erklärt Forgó. Welches Recht im Internet angewendet wird, hängt vom Fall ab. In vielen Fällen, insbesondere im E-Commerce, kommt in der Regel das Recht des Staates zur Anwendung, in dem der Verbraucher seinen Wohnsitz hat, so Forgó. Im Verkehr zwischen Unternehmen kommt es zumeist auf das Recht des Staates an, in dem der Dienstanbieter seinen Sitz hat. Im Strafrecht hingegen sei es in der Regel jenes Recht, in dem sich die Straftat realisiert, bei Internetdelikten daher im Zweifel das Strafrecht jedes Staates, in dem der Inhalt abrufbar ist. An das Recht stellen sich aber im Rahmen von Datenschutz und Datensicherheit noch viele andere interessante Fragen. Fazit: Datenschutz und Datensicherheit gehören zusammen eine isolierte Betrachtung ist schon allein aufgrund der verschärften Regelwerke und Rechtsvorschriften nicht ratsam. Nicht zuletzt die aktuellen Datenschutzverstöße, die in den letzten Monaten bekannt wurden, haben die Relevanz des Datenschutzes auf eine neue gesellschaftspolitische Ebene gehoben. Wir werden gezwungen, uns auf Websites zu registrieren, wenn wir bestimmte Informationen haben wollen, wir werden gezwungen, bestimmte technische Standards einzuhalten, die Anonymität fördern oder behindern können. Wir werden auch dazu gezwungen, bestimmte sicherheitsrelevante Funktionen wie z.b. Cookies zuzulassen. Spezielle rechtliche Regeln, richtig eingesetzt, gefährden die persönliche Freiheit nicht, sondern sichern sie. 4

5 Inhalt EINFÜHRUNG Datenschutz und Datensicherheit wachsen zusammen... 3 Welche Rolle spielt Bewusstsein?... 6 Jüngste Entwicklungen in der Datenschutz- und Sicherheitsgesetzgebung Datenschutz und Sozialethik auf der schiefen Bahn? AUS DER PRAXIS Konvergenz aus Datenschutz und Datensicherheit Interview Wer war Root? Interview mit Jochen Koehler, Deutschland-Chef von Cyber-Ark AUS DER PRAXIS Datensicherheit: Beyond the Hype Phishing, Pharming und Trojaner. Die Netze der Datenmafia À la card: Smartphones sicher im Firmennetzwerk Erst Sicherheit, dann Compliance End-to-End Data Protection zuverlässiger Datenschutz vom Anfang bis zum Ende Sichere Lösung für den Abfallkreislauf Neue Wege für Data Protection dank WAN Acceleration Mit Unified Threat Management vor allen Gefahren sicher SUCCESS STORY Hilfe leisten mit Engagement und Professionalität Erstmals preiswerte IT-Security für Unternehmen mit hohem Sicherheitsanspruch AUS DER PRAXIS Von der Aktenhalde zum sicheren High-Tech-Archiv IT-Risiko-Management: Mittel zur Konvergenz von Datenschutz und Datensicherheit? Impressum

6 EINFÜHRUNG - FAKTOR MENSCH Welche Rolle spielt Bewusstsein? Warum Informationssicherheit nach wie vor kein angenehmes Thema ist. Von Manuel Hüttl Vielerorts wird behauptet, dass der Mensch die eigentliche Schwachstelle sei, wenn es um das Thema Informationssicherheit geht. Insbesondere die Administratoren der IT-Systeme raufen sich manchmal die Haare, wenn sie Anwender beim Umgang mit unternehmenskritischen Daten oder persönlichen Zugangsinformationen beobachten. Doch es wäre zu einfach, das essentielle Problem IT-Sicherheit auf den Menschen zu reduzieren. Richtig ist jedoch, dass der Anwender das Bewusstsein im Umgang mit IT schärfen muss. Hier sind unterschiedlichste Anspruchsgruppen in der Bringschuld. Wenn man die zentralen Diskussionen in der Welt der Informationstechnologie verfolgt, wird man feststellen, dass die wirklich großen Herausforderungen der Branche mit Bildung und Bewusstsein zu tun haben und nicht mit Soft- und Hardware Engineering. Es geht also um weiche Faktoren. Der Mensch selbst ist verantwortlich für technische Innovationen er entwickelt neue Lösungen, die das Leben einfacher gestalten, Arbeitsabläufe optimieren oder neue Geschäftsmodelle eröffnen. Wie kann also derjenige zur eigentlichen Schwachstelle werden, der die Systeme entwickelt. Schnell kommt da die Frage auf, ob uns die Technologie einholt, ja sogar schon überholt? Das Problem ist also an anderer Stelle zu suchen und lässt sich nicht einfach auf einen Bereich reduzieren. Bewusstsein für IT-Sicherheit wächst an vielen Stellen und erst ein Zusammenspiel einzelner Faktoren kann dazu beitragen, dass IT-Sicherheit in Zukunft nichts als einen lästiger Beigeschmack der wunderbaren Vorteile des Cyber-Zeitalters bedeutet. 6

7 Unterteilt man High-Tech-Themen in die vier Aspekte Organisation, Technologie, Recht und Psychologie, so scheint es, dass die beiden ersten Bereiche auf balancierte Weise bereits abgehandelt sind. Die Themenbereiche, die sowohl gesetzliche Rahmenbedingungen als auch Regelwerke tangieren werden derzeit intensiv bearbeitet. Die psychologischen Aspekte beim Umgang mit der Informationstechnologie stellen mit Sicherheit die größten Herausforderungen dar. In diesem Zusammenhang tun sich Fragen auf wie: Steht das Bewusstsein der Konsumenten dem technischen Fortschritt im Weg oder bildet es gerade den notwendigen Gegenpol zur Erkennung der Grenzen im Zuge der progressiven Technokratie? Wie gehen wir damit um, dass die von Menschenhand ausgelöste Entwicklungsgeschwindigkeit der Informationstechnologie die genetisch bedingten Grenzen für die Entwicklung unserer geistigen Kapazität bei weitem überschritten hat? Nach welchen Gesichtspunkten reagieren Verbraucher auf neue Technologien? Kann man diese Wahrnehmungen überhaupt beeinflussen? Welche Protagonisten müssen derartige Fragen beantworten? Dem recht breiten Bewusstsein für das Vorhandensein einer neuen Technologie, steht oftmals ein fehlendes Verständnis für deren Einsatz gegenüber. Wir können den Rahmenbedingungen unserer genetischen Voraussetzungen also offensichtlich nicht entkommen. Demnach stellt die gesellschaftliche Akzeptanz eine zwingende Voraussetzung für die erfolgreiche Umsetzung eines technologischen Potenzials dar. Gerade im Bereich der IT-Sicherheit hat man sich viel zu lange schon auf eine technisch-organisatorische Betrachtungsweise fokussiert. Man konzentrierte sich auf einen rein technischen Pragmatismus, der die unzweifelhaften Wechselwirkungen zwischen Technologie, Gesellschaft und Individuum, mithin also die sogenannten weichen Faktoren, weitgehend außer acht gelassen hat. Weiche Faktoren stehen im Blickpunkt Die Psychologie setzt sich unter anderem mit den Wahrnehmungen einer Technologie, eines Unternehmens, eines Produktes oder einer Dienstleistung auseinander. Wird beispielsweise eine Technologie als negativ oder sogar gefährlich wahrgenommen, verunsichert dies Mitarbeiter, Kunden und Geschäftspartner. Die Risiken im Umgang mit Informationsstrukturen sind dafür ein gutes Beispiel: Niemand kann so recht einschätzen, ob die potentiellen Gefahren nun auch wirklich existent sind oder nur für Marketingzwecke benutzt werden. Eines ist jedoch klar: Wenn das Disaster einsetzt und ein Angriff die Unternehmens-IT lahm gelegt hat, kann die mögliche Zerstörung von Geschäftsbeziehungen oder sonstigem Schaden eine für den Fortbestand einer Organisation bedrohende Krise werden. Prof. Peter Bienert, Vorstand der Unternehmensberatung forte advisors weiß: Information allein reicht nicht aus, um Skepsis gegenüber neuen Technologien abzubauen. Unternehmen müssen vor allem eine vertrauensvolle Beziehung zu ihren Stakeholdern aufbauen. Dieser langwierige Prozess gilt insbesondere für das Thema IT-Sicherheit. Erst ein entsprechendes Bewusstsein für die Risiken zieht eine Affinität nach sich. Einsatz von Technologien erfordert Bewusstsein Der Teilnehmer am digitalen Leben ist in hohem Maße gefordert, sich mit dem Schutz und der Verwaltung seiner Identität persönlich auseinander zu setzen. Technologie ist in Zeiten eines weltumspannenden digitalen Netzes eine zwar notwendige, ohne das entsprechende Bewusstsein jedoch keinesfalls hinreichende Voraussetzung für Sicherheit. Nach dem Verständnis der meisten Bürger fällt es in das Aufgabenspektrum des Staates, die für Sicherheit notwendigen Voraussetzungen für die von ihm vertretene Gemeinschaft sicherzustellen. Da unabhängig davon gemäß Grundgesetz die Trägerschaft aller Bildungseinrichtungen der Bundesrepublik in Bund und Ländern abgebildet ist, müsste man ein deutschlandweites Netz 7

8 EINFÜHRUNG - FAKTOR MENSCH an Weiterbildungsmaßnahmen und einen auf die Erfordernisse der digitalen Gesellschaft abgestimmter Lehrplan an Schulen und Universitäten erwarten. Zu unserer Überraschung stellen wir fest, dass ein Staatswesen, in dem der Begriff der Informationsgesellschaft in beständiger Regelmäßigkeit strapaziert wird, erstaunlich geringe Anstrengungen unternimmt, um seine Bürger auf die spezifischen Anforderungen dieses Zeitalters vorzubereiten. Maßgaben für eine kritische Auseinandersetzung mit Informationen, Informationsquellen, Medien und Identitäten bleiben eine so seltene Ausnahmeerscheinung im Rahmen der schulischen und akademischen Ausbildung, dass sich der zynische Verdacht aufdrängt, der moderne Staat sei aus nachvollziehbarem Grund an aufgeklärten Bürgern nur wenige interessiert. So müsste ein bewusstseinsbildender Prozess also bereits im Kindesalter ansetzen. Denn wir bewegen uns nicht erst auf ein Szenario zu, in dem Informationen das höchste Gut darstellen und Informationstechnologien in alle Lebenslagen Einhalt bekommen nein, wir befinden uns mitten in dieser Welt. Und wenn die Informationsstrukturen jetzt schon derart komplex aufgebaut sind, die Transaktionen von kritischen Daten weltweit in sekundenschnelle ausgeführt werden, müsste es relativ logisch erscheinen, wenn diese Strukturen und der Datenaustausch auch entsprechenden Schutzmechanismen unterliegen. Bewusstseinsbildung geht uns alle an! Die einzige Möglichkeit, dass die Unternehmenswelt den wachsenden Gefahren, die sich über das Web verbreiten, standhalten kann, ist, das Bewusstsein der eigenen Mitarbeiter in Sachen IT-Sicherheit zu schärfen. Dieses Bewusstsein für IT-Sicherheit fehlt in den meisten Führungsetagen, dabei sollte die Sicherheit, wie alles andere in einem Untenehmen auch, vom Management gesteuert und vorgelebt werden. Wichtig für das Management sind einerseits wirtschaftliche Aspekte und andererseits Fakten zur Einschätzung eines Gefahrenpotentials bei der Balance zwischen Sicherheit und Produktivität. Es gibt viele Hürden, die im Kontext Bewusstseinsbildung genommen werden müssen. So gilt es grundsätzlich, jedermann von der Wichtigkeit des Themas zu überzeugen. Darüber hinaus reicht es nicht, Policies in einem Unternehmen festzuschreiben. Sie müssen auch gelebt werden. Im Klartext: Wie sieht es aus mit der Exekution von Sanktionen? Was passiert, wenn die Assistentin am Empfang Downloads durchführt, zu denen sie laut Unternehmensrichtlinien gar nicht befugt gewesen wäre? IT-Geräte unterscheiden sich von anderen Geräten, die unsere moderne industrielle Gesellschaft ausmachen, in einem bedeutenden Punkt. Betrachten wir ein Automobil im Vergleich zu einem vernetzten Heimcomputer: Während ein Automobil in die Transportinfrastruktur einer modernen Gesellschaft ein mehr oder weniger geschlossenes System ist, das ohne andere Fahrzeuge tadellos funktioniert und selten von Verbindungen zu anderen Autos abhängt, ist ein Datenverarbeitungsgerät in Zeiten des Internets geradezu nutzlos, wenn es nicht mit anderen Datenverarbeitungsgeräten verbunden ist. Das heißt, wenn mein Auto unsicher ist, hat dies keine ernsten Konsequenzen für die Funktionsfähigkeit des Autos meines Nachbarn oder die globale Transportinfrastruktur. Wenn jedoch mein Heim-PC Teil eines Botnetzes wird oder Viren verstreut, kann dies verheerende Konsequenzen für andere PCs, Computeranwendungen und sogar für die IT-Infrastruktur als Ganzes haben. Bis zu einem gewissen Grad kann man bei Geräten wie Autos grundsätzlich darauf vertrauen, dass sie so funktionieren, wie es in der Gebrauchsanweisung beschrieben ist. Unliebsame Überraschungen tauchen selten auf oder sind durch ein vertrauenswürdiges Ökosystem (Gesetzgebung, Werkstätten, etc.) abgeschwächt. Datenverarbeitenden Systemen kann nicht vertraut werden und sie arbeiten zumindest in einer Heimanwender- oder Microbusinessumgebung nicht in einem vertrauenswürdigen Ökosystem. 8

9 Wie Untersuchungen zu Vertrauen zeigen, kann das Fehlen von notwendigen Bezugselementen des Vertrauens in der Beziehung zur Softwareindustrie ein wichtiger Faktor für das IT-Verhalten sein Neuartiger Simulationsansatz: Internet Risk Behaviour Index (IRBI) Die Methodik des IRBI wurde in Zusammenarbeit mit der Ludwig-Maximilians-Universität München (LMU) entwickelt. IRBI ist eine adaptive Lernumgebung. Der Simulator spielt dem Benutzer Situationen aus dem realen Umgang mit PC und Internet vor. IRBI verbindet auf völlig neue Art und Weise Forschung sowie positive Einflussnahme auf das Sicherheitsverhalten von Computernutzern im Rahmen einer Online-Plattform. Er bietet mit Hilfe einer Serie von innovativen Online-Tests einen fundierten Ansatz, um Informationen über das Verhalten von privaten PC-Anwendern zu gewinnen. Daraus entsteht ein Verfahren, das einen Index des Wissens über die Einstellungs- und Motivationsmerkmale der privaten Anwender im Bereich Sicherheit ermöglicht. Zugleich stellt IRBI eine E-Learning- und Support-Umgebung dar, die das Verhalten der PC-Nutzer positiv und nachhaltig beeinflusst. Der Anwender muss sich entscheiden, wie er in einer bestimmten Situation am besten handelt. Für richtige oder falsche Entscheidungen gibt es dann mehr oder weniger Punkte und unmittelbares Feedback. Die Simulation macht es so möglich, realitätsnah Erfahrungen mit echten Bedrohungen zu sammeln. IRBI trainiert richtiges Verhalten. Hierin liegt auch das wichtigste Unterscheidungsmerkmal zu gängigen Online-Tests: Es wird nicht nur theoretisches Wissen abgefragt, sondern praktisches Handeln eingeübt. Der Anwender kann sein tatsächliches Verhalten in potenziell gefährlichen Situationen überprüfen und verbessern. Dieser Aspekt ist deshalb so wichtig, weil abstrakte Kenntnisse allein keinen ausreichenden Schutz in Situationen bieten, bei denen richtiges Handeln über den Erfolg der Gefahrenabwehr entscheidet. Gefahren, die man sich nicht vorstellen und auch nicht an Personen festmachen kann, werden leicht unterschätzt. Wer unsicher ist, unter Zeitdruck steht oder unbedingt ein bestimmtes Ziel erreichen will etwa den Download eines Films im Internet erliegt außerdem der Versuchung, abstrakte Risiken zu ignorieren. Wer allerdings zumindest in einer Simulation einmal die Indikatoren für ein vergrößertes Risiko erleben und die richtigen Verhaltensweisen durchspielen konnte, wird sich eher für den ungefährlicheren Weg entscheiden. Wie groß der Schritt vom Wissen um eine Gefahr zum angemessenen Verhalten ist, weiß außerdem jeder, der beispielsweise einmal versucht hat, sich das Rauchen abzugewöhnen. Spielerisch lernen Alle Anwendungsfälle des IRBI basieren auf dem wissenschaftlichen Critical-Incidents- Verfahren nach Flanagan, die im Wesentlichen eine Methode der Informationssammlung über kritische das heißt nennenswerte positive und negative Ereignisse bei der Erfüllung einer Aufgabe verfolgt. Das Situationsrepertoire des IRBI erfasst aktuelle Online-Gefahren. Wichtige Risiken, für die das System Simulationen bereit hält, sind beispielsweise die unterschiedlichen Spielarten des Identitätsdiebstahls, wie sie beim Ausspionieren persönlicher Informationen über 9

10 EINFÜHRUNG - FAKTOR MENSCH 10 Internet-Plattformen oder beim Phishing eine zentrale Rolle spielen. Außerdem simuliert das System die unterschiedlichsten Tricks, mit denen Angreifer Viren und Trojaner auf die PCs von Anwendern schleusen. Das richtige Verhalten aller Internet-Nutzer entscheidet darüber, wie sicher das Internet insgesamt ist. Solange beispielsweise Privatanwender ihre Computer nicht gegen die Installation von Trojanern abschotten, können Angreifer mit den gekaperten Rechnern Botnetze aufbauen, die sie für hoch wirksame Angriffe auf wichtige Dienste und Organisationen einsetzen können etwa auf Institutionen, die Finanz- oder Gesundheitsdaten speichern erläutert Dr. Werner Degenhardt von der Fakultät für Psychologie an der LMU. Aber auch die PCs der Privatanwender selbst werden immer lohnendere Ziele, da auf ihnen wichtige private Daten liegen und weil sie bei der persönlichen Kommunikation eine immer zentralere Rolle spielen. Das Verhalten von Privatanwendern durch Zwang oder Regeln beeinflussen zu wollen, widerspricht den Konzepten einer freien Internetkommunikation und der informationellen Selbstbestimmung. Der einzige Weg zu einem adäquaten Anwenderverhalten führt über offene Weiterbildungsangebote. Deshalb will Microsoft mit dem IRBI einen Anreiz bieten, sich über das richtige Verhalten im Internet spielerisch zu orientieren und es im eigenen Interesse zu trainieren. Als Hersteller eines Großteils der weltweit für den Internetzugriff benutzten Technik möchte Microsoft so seiner Verantwortung für seine Kunden und für die Kommunikationsinfrastrukturen nachkommen. IRBI ist ein Beispiel für die gesellschaftlichen Initiativen des Unternehmens für mehr Sicherheit im Internet. Fazit Der Mensch ist also nicht einfach per se die Schwachstelle im System. Vielmehr sollte sein Verhalten und Agieren in den Vordergrund gestellt werden. Hilfestellung und Bewusstseinsbildung sind die Mechanismen, die einzusetzen sind. Die Erkenntnis des IRBI-Ansatzes ist, dass viele Aktionen im IT-Securitybereich generell motiviertes Verhalten in Reaktion auf Anreize sind, mit denen Personen in Berührung kommen. Durch sorgfältiges Strukturieren der Vorteile, die durch das Nutzen einer Technologie oder ein bestimmtes Verhalten gewonnen werden, können wir die Benutzer dazu bringen, die Entscheidungen zu treffen, von denen das Gesamtsystem profitiert. Sicherheitsversagen aufgrund von zu wenig Informationen kann z.b. als ein Fehlschlag angesehen werden, Anreize zu liefern, sich besser zu informieren. Es ist also zuerst notwendig, zu verstehen, wie die Nutzer Sicherheitsentscheidungen treffen und dann Sicherheitsprobleme zu charakterisieren, die aus diesen Entscheidungen resultieren. In diesem Zusammenhang ist es wichtig die bei Nutzern existierenden Modelle der Sicherheitsrisiken und zu verstehen. Manuel Hüttl ist Vorstandsmitglied der European Expert Group for IT Security (EICAR) und General Manager DACH bei der Kommunikationsagentur Waggener Edstrom Die EICAR wurde 1991 als eingetragener Verein in Deutschland gegründet. Zunächst mit dem Ziel, Know-how im Bereich der Antivirenforschung zu bündeln, gilt die EICAR mittlerweile als anerkanntes IT-Security Expertennetzwerk. Das Institut versteht sich als Plattform für den Informationsaustausch für alle Sicherheitsexperten, die in den Bereichen Forschung und Entwicklung, Implementierung sowie Management tätig sind. Hierdurch soll die globale Zusammenarbeit im Bereich der Computersicherheit gefördert werden. Ziel des Instituts ist es, Lösungen und Präventivmaßnahmen gegenüber allen Arten der Computerkriminalität, wie z.b. das Schreiben und Verbreiten von Computer-Viren, Betrug sowie das Ausspähen von personenbezogenen Daten, zu entwickeln. Dabei arbeitet das Institut sowohl sehr eng mit Unternehmen, politischen Organisationen oder universitären Einrichtungen als auch Medien,Technik- und Rechtsexperten zusammen.

11 Jüngste Entwicklungen in der Datenschutz- und Sicherheitsgesetzgebung Von Prof. Dr. Nikolaus Forgo, Chairman Legal Advisory Board EICAR Der derzeitige Status Quo bei der Gesetzgebung zum Thema Datenschutz in Europa und Deutschland stellt sich uneinheitlich dar. Einerseits erfährt das Thema außergewöhnliche Aufmerksamkeit in den Medien, andererseits wird Deutschland nicht nur von einigen handfesten Datenschutz-Skandalen erschüttert, sondern auch von diversen Rechtsstreitigkeiten und Initiativen auf diesem Gebiet. Das deutsche Bundesverfassungsgericht, welches 1983 das Recht auf informationelle Selbstbestimmung ins Leben rief, übernimmt immer mehr eine Schlüsselrolle in punkto Datenschutz. Dabei stellte das Gericht ein neues grundlegendes Recht auf Privatsphäre und Sicherheit in der Informationsverarbeitung fest (Urteil vom 27. Februar 2008, Aktenzeichen 1 BvR 370/07; 1 BvR 595/07, Grundrecht auf Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme ) und erklärte daher Anfang letzten Jahres ein Bundesgesetz zur Onlinedurchsuchung für verfassungswidrig. In diesem Jahr steht das Gericht erneut im Mittelpunkt des internationalen Interesses. Es muss eine Entscheidung zu einer Sammelklage von mehr als Klägern gegen die deutsche Umsetzung der EU-Direktive 2006/24/EC zur Speicherung von Traffic-Daten fällen. In zwei vorläufigen Urteilen brachte das Gericht bereits deutlich seine Besorgnis über das nationale Vorgehen zum Ausdruck (Aktenzeichen 1 BvR 256/08). Die finale Entscheidung des Gerichts zur Verfassungsmäßigkeit der nationalen Richtlinien zur Datenspeicherung wird auch über Deutschland hinaus von Bedeutung sein. Vor kurzem beschränkte das Verfassungsgericht auch die Aktivitäten des Gesetzgebers in einem anderen Bereich der Datenverarbeitung. Im Urteil vom 3. März 2009 (Aktenzeichen 2 BvC 3/07, 2 BvC 4/07) erklärte das Gericht, dass der Einsatz von Computern für politische Wahlzwecke voraussetze, dass der Wahlprozess für jedermann ohne besondere IT-Vorkenntnisse transparent und nachvollziehbar sei. Das Gericht erklärte daher eine Verordnung über elektronische Wahlgeräte für verfassungswidrig. Bundesregierung plant neue Alternativen Trotz dieser Vorbehalte des Gerichts, entfaltete die Deutsche Bundesregierung auf diesem Gebiet erneut eifrige Aktivität. Zwei Gesetzesentwürfe wurden verabschiedet beide mit dem Ziel, das Bundesdatenschutzgesetz zu ändern. In einem Gesetzesentwurf vom 10. Oktober 2008 (BT- DS 16/10529) bezieht sich die Regierung auf das so genannte Scoring, ein Verfahren der Datenauswertung zur Bonitätsprüfung. Die Übermittlung von Daten an Institutionen, welche 11

12 EINFÜHRUNG 12 mit Informationen zur Bonitätsprüfung handeln, solle beschränkt werden. Ein Datensubjekt solle das Recht haben, auf Anfrage umfangreiche Informationen über die Einstufung seiner Bonität und der zu ihrer Berechnung verwendeten Algorithmen zu erhalten. In einer zweiten Initiative begann die Regierung, den Austausch grundlegender Adressdaten der Bundesbürger zu beschränken. Zukünftig soll es deutschen Unternehmen schwerer gemacht werden, Anzeigen zielgerichtet an mögliche Kunden zu richten. Zudem befindet sich noch ein (sehr allgemein gehaltenes) Gesetz zum Thema Prüfung der Datensicherheit in der Vorbereitung. Genau genommen beschränkte die Bundesregierung ihre Bestrebungen zu einer Reform des Datenschutzgesetzes in keiner Weise. Sie reformierte zudem das Bundesgesetz über die Tätigkeit des Bundeskriminalamtes. Im Dezember 2009 wurde der Einsatz jeglicher Art von Malware legalisiert: Artikel 20k des Gesetzes gestattet dem BKA den Einsatz vom Malware zu kriminaltechnischen Zwecken. Die notwendigen technischen Lösungen für ein derartiges Eindringen werden ausgerechnet vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitgestellt. Daher ist eine Reform des Gesetzes über die Tätigkeit des BSI ebenfalls auf dem Weg. Das Ergebnis dieses Entwurfs, der vom Innenministerium verfasst wurde, wird sein, dass das BSI die Arbeit der Polizei zu unterstützen hat. Malware, die nicht von Hackern oder Kriminellen, sondern von einer Bundesbehörde geschrieben wird, stellt definitiv eine neue Entwicklung dar IT-Sicherheit, die dazu genutzt wird, um Vertrauen und Sicherheit zu schwächen. Datenschutz muss umfassender diskutiert werden Die deutsche Datenschutz-Strategie stellt sich paradox dar. Oberflächlich gibt man sich gern den Anstrich, über Datenschutz zu diskutieren und auch dafür einzutreten. Jedoch existieren weder eine ausreichende Diskussion noch eine zureichende Definition der Prioritäten. Zudem werden einige der grundlegendsten Prinzipien von Datensicherheit und Datenschutz permanent ignoriert. Um nur einige der Plattitüden zu nennen: a. Der beste Schutz für private Daten ist, sie erst gar nicht zu sammeln statt dessen führt die Gesetzgebung über die Datenspeicherung zu einem riesigen Volumen sensibler persönlicher Daten über jeden deutschen (und europäischen) Bürger. b. Eine Agentur, die für Datensicherheit verantwortlich ist, sollte unabhängig und ausschließlich für Datensicherheit verantwortlich sein stattdessen muss sich das BSI regelmäßig an (legalen) Angriffen gegen Datensicherheitsmaßnahmen beteiligen. c. Datensicherheit und Datenschutz sind eine Sache der bewussten Aufmerksamkeit. Diese bewusste Aufmerksamkeit muss nicht nur durch politische Aussagen bestärkt werden, sondern auch durch politische Rahmenbedingungen zur Stärkung und Unterstützung des Datenschutzes. Jedoch ist genau das Gegenteil der Fall, wenn (relativ) zweitrangige Themen in den Gesetzesentwürfen angesprochen und gleichzeitig (relativ) vorrangige Themen (wie zum Beispiel Datenschutz für Beschäftigte) hinten angestellt werden. d. Datenverarbeitung ist ein globales Phänomen. Das Netz sieht nationale Bestimmungen als Schaden an und bietet Möglichkeiten zu ihrer Umgehung (John Gilmore). Daher müssen die bereits ergriffenen Maßnahmen (zumindest) in Europa angepasst werden. EICAR wird auch weiterhin die gesetzlichen Entwicklungen in Deutschland und Europa sehr aufmerksam verfolgen. Generell bedarf es einer verstärkten und grundlegenden Analyse, welche auch die wirtschaftlichen Implikationen der ergriffenen Maßnahmen betrachtet Aus diesem Grund wird im ersten Halbjahr 2009 ein Positionspapier zum Datenschutz veröffentlicht. Darin wird der Versuch unternommen, die Gesamtsituation eingehend zu beleuchten.

13 Datenschutz und Sozialethik auf der schiefen Bahn? Dunkle Seiten von Datensammlungen und Compliance Von Hadi Stiel, freier Journalist in Bad Camberg Die Geschäfte werden zunehmend digital abgewickelt. Was früher offensichtlich auf Papier stand, tritt heute in elektronischer Form in den Hintergrund. Dort haben sich riesige Datenbestände aufgetürmt. Sie werden, eben weil im Hintergrund, über intelligente Filter- und Analysemechanismen auch zu inlegitimen und nicht sozial verträglichen Ergebnissen genutzt. Digitale Bearbeitungswege, weil uneinsichtig und flüchtig, entziehen sich für die daran Beteiligten und Betroffenen der Überwachung. Compliance und egovernance sollen mehr Licht ins Dunkel digitaler Vorgänge bringen. Doch auch ihre Registrierungs- und Überwachungsmechanismen laden zum Missbrauch ein. Die Folgen: Der Datenschutz und die Privatsphäre von Mitarbeitern und Bürgern drohen immer mehr unter die Räder zu kommen. Mit der Öffnung zum Internet werden Kundendaten im Hintergrund gehandelt wie auf einem Basar. Je differenzierter sie Auskunft über die Vorlieben geben, um so lukrativer fällt für die schwarzen Schafe das Geschäft aus. Die Hemmschwelle beim Umgang mit persönlichen Kundendaten senkt sich, registriert Thomas Gläsner, verantwortlich für den Bereich Geschäftstransformation beim IT-Dienstleister Logica. Er macht einen direkten Zusammenhang zwischen der zunehmenden Hinwendung der Unternehmen zu Internet-Geschäften und dem Verfall der Sitten aus. Das wirtschaftliche Interesse an gläsernen Kunden ist groß, weil so die eigenen Offerten gezielter an den Mann respektive die Frau gebracht werden können, erklärt er. Im Hintergrund werden ausgefeilte Filter- und Analysewerkzeuge genutzt, um keine Verkaufschance außer Acht zu lassen. Bedenklich sind die Folgen: Die Kunden werden über alle Kanäle aggressiv mit Angeboten adressiert. Viele sehen sich in der Konsequenz als Individuum 13

14 EINFÜHRUNG buchstäblich ausgezogen. Gläsner wähnt deshalb das Web der zweiten und dritten Generation als gefährdet. Die Anbieter werden künftig verhaltener, sorgsamer und verantwortungsbewusster mit den mitgeschnittenen Profildaten ihrer Kunden umgehen müssen. Andernfalls könnten sich die Kunden schnell enttäuscht von Internet-Käufen abwenden. Bei einigen großen DAX-Unternehmen finde immerhin in punkto Kundenakquise und Datenschutz ein Umdenkprozess statt. Anders bei den Internetlastigen Anbietern; Sie reizen alles aus, was geht, so Gläsner. Peter Schaar, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, moniert Adressverkäufe, Kontenweitergaben und die Überwachung von Kunden. An die Adresse des Staates fordert er auf, Datenvorratshaltungen und Online- Recherchen zurückzuführen. Datenaffairen wie Deutsche Telekom, Deutsche Bahn, Airbus, Lidl und Müller führen drastisch vor Augen, welche Dimension der Missbrauch von Kunden-, Partnerund Mitarbeiterdaten auch bei klassisch aufgestellten Unternehmen angenommen hat. Im ersten Fall wurden gleich mehrfach Kundenverbindungsdaten, so unter anderem an das Bundeskriminalamt (BKA) weitergereicht. Alle vier Anbieter haben sich mehrfach der Daten eigener Mitarbeiter bedient, ohne den Betriebsrat zu unterrichten. Nach Einschätzung von Mathias Hein, freier IT-Berater in Neuburg an der Donau, sind die bisher aufgedeckten Datenaffairen nur die Spitze des Eisbergs. Die professionellen Filter- und Analysemechanismen und die reichlich gefüllten Datentöpfe verführen zahlreiche Top-Manager dazu, illegale Wege zu gehen. Dazu käme ihnen die im Hintergrund verdeckt ablaufende Prozesse entgegen. Bestenfalls die Top-Manager sind noch in der Lage, die digitalen Abläufe und Datenbewegungen im Unternehmen zu überblicken. Hein: Datenaffairen werden nur publik, wenn auf oberster Etage politische Lecks entstehen, der Systemadministrator aus Gewissensgründen nicht still hält oder schlicht und einfach Pannen passieren. So wenn die erfassten Krankheitsdaten zu den Lidl-Mitarbeitern versehentlich ausgedruckt werden und in einem Müllcontainer landen. Was Hein besonders wundert: Hinter mehr als der Hälfte der bisher bekannt gewordener Datenaffairen stecken Ex-Staatsunternehmen, obwohl es davon nur eine handvoll gab. Ob Maßnahmen wie egovernance und Compliance solchen Fehlentwicklungen einen Riegel vorschieben können, ist fraglich. Solange sich das Management bei Finanzdienstleistern und anderen Unternehmen von Audits und Reports ausnimmt, wird beides, egovernance und Compliance, ins Leere laufen, schätzt Dr. Karsten Füser, Verantwortlicher für Qualitäts- und Risikomanagement im Finanzbereich bei der Unternehmensberatung Ernst & Young, ein. Ihre grundsätzliche Einstellung müsse sich ändern, was sich, bedingt durch die Finanzmarktkrise, zumindest andeute. Füser gibt sich optimistisch: Einmal etabliert, werden die neu entwickelten egovernance- und Compliance-Richtlinien den gewünschten Effekt entfalten sofern das Top-Management die Einführung vorbehaltlos mit trägt, wie er einschränkt. Wohin eine mangelnde Überwachung und Kontrolle führe, so Füser, habe der Finanzsektor gezeigt. Viele Akteure haben im Dschungel der Digitalisierung ihrer Finanzgeschäfte und falsch gesetzter Prüfungen buchstäblich den Überblick über die Risiken verloren. Systemische Probleme sind aber nicht auf den Finanzsektor begrenzt. Das beispielsweise egovernance nicht jedes Top-Managers Liebling ist, hat Ernst & Young schon vor drei Jahren durch eine Fraud-Studie im deutschsprachigen Bereich herausgefunden. Zwei Drittel aller Finanzbetrüger sind Manager, die von ganz oben zugreifen, so das Ergebnis. Sie fügen ihrem Unternehmen aufgrund ihrer Verfügungsgewalt einen überproportional hohen Schaden zu. Füser spricht deshalb von einem ethischen Bewusstseinsruck, der durch die Gesamtwirtschaft gehen müsse. Dazu gehöre auch, endlich mehr für den Datenschutz und das Recht auf Privatsphäre der Mitarbeiter und Bürger einzustehen. Bisher ist von diesem Wandel wenig zu verspüren. Zahlreiche Top-Manager unterstreichen mit ihrer Bonus-Mitnahmementalität, dass sie ihre eigenen Geschäftsinteressen weit höher bewerten als soziale Belange und die Datenschutzinteressen ihrer Mitarbeiter. Die Krise könnte die Neigung vieler Unternehmenslenker noch verstärken, sich, solan- 14

15 ge es geht, zu bedienen oder, unter Kostendruck und vorbei an gesellschaftlichen und politischen Regeln, das Mögliche aus ihrem Unternehmen herauszuholen. Erwin Schöndlinger, Geschäftsführer des Sicherheitsspezialisten Evidian Deutschland, verfolgt: Die Unternehmen aller Branchen müssen verantwortungsbewusster mit persönlichen Daten umgehen. Das beginne damit, vor der Erfassung, Speicherung und Archivierung im Rahmen des eigenen Geschäftsmodells deren Inhalt, Bedeutung für das Unternehmen, aber auch die langfristigen Konsequenzen für das Unternehmen und die Gesellschaft abzuwägen. So würden viel zu viele Daten aufgenommen, gehortet und verarbeitet werden, die in keinem direkten Bezug zum Geschäft oder zu notwendigen egovernance- oder Compliance-Auflagen stünden. Schon heute rauben förmlich explodierende Datenbestände und die Befolgung oft unnötiger, meist selbst auferlegter Regelungen den Mitarbeitern viel an Motivation und Produktivität, sagt Schöndlinger. Ein weiteres Problem eines ungezügelten Daten- und Bearbeitungswachstums sei, dass auf dieser unübersichtlichen Basis kaum etwas kontrolliert und geregelt werden könne, weil keine Transparenz herrsche. Eigentlich müssten Datenbestände und Vorgänge zuerst dereguliert, also vereinfacht und entflochten werden, bevor nachhaltig etwas geregelt werden kann, erteilt er einer unreflektierten und unvorbereiteten Regulierung eine Absage. Vielleicht hat das unreflektierte Sammeln und Horten digitaler Informationen für viele Unternehmen - und nicht nur für sie - System. Intelligente Filter- und BI-Werkzeuge durchstöbern mittlerweile gigantische Datenbestände in Sekunden und liefern komplexe Auswertungen in Minuten. Heute scheinbar belanglose Daten könnten morgen, je nach Ausrichtung der Recherche, entscheidend zu Ergebnissen beitragen. Auditing und Reporting, die einerseits dazu angetreten sind, im Sinne von Compliance und egovernance legitimes Licht ins Dunkel zu bringen, liefern andererseits detaillierte Mitschnitte, um Mitarbeiter und Bürger besser zu überwachen und zu beeinflussen. Solange Sozialverantwortung und Sozialethik das Handeln bestimmen, bewegen sich beide Maßnahmen im grünen Bereich. Was passiert aber, wenn andere Beweggründe wie Gier, Macht und Beherrschungswahn überhand nehmen? Dann gehen solche Maßnahmen und Techniken auf Kosten des Datenschutzes, der sozialen Ethik und Ausgewogenheit, schließlich der Demokratie. Rein betriebswirtschaftlich gesehen spricht alles dafür, weder mit den Datensammlungen noch mit den Compliance- und egovernance-vorkehrungen zu übertreiben. Mit einer wachsenden Komplexität schwindet, trotz Einsatz technischer Hilfsmittel, die Beherrschbarkeit. Zu viele, unnötige Regeln gehen auf Kosten der Transparenz. Sie führen zu überbordenden Unternehmensstrukturen, mehr Bürokratie und zusätzlichen Schlupflöchern, die es eigentlich auszumerzen gilt, sagt Wolfgang Kemna, CEO der zetvisions AG. Auch Kemna wendet sich als Compliance- und egovernance-spezialist gegen den aufkommenden Regelwildwuchs. Zumal zuviel des Guten eine effiziente und effektive Unternehmenssteuerung und Risikoabwehr erschwere. Er plädiert für eine Balance zwischen produktiven Freiräumen und zwingenden, generell aber produktivitätshemmenden Regeln. Das Quartett aus Compliance, egovernance, Unternehmenssteuerung und Risikomanagement muss außerdem organisationsweit mit der technischen und Prozessinfrastruktur zusammenspielen, wenn es Früchte tragen sollen, sagt er. Auch das mache es dringend ratsam, soweit wie möglich zu vereinfachen anstatt weiter zu verkomplizieren. Die Datenschützer und Sozialethiker, die die bisherige Entwicklung mit wachsender Sorge betrachten, würden diese Begrenzung auf das Notwendigste begrüßen. Der Elan bei Datensammlungen und bei der Etablierung von Vorschriften und Regeln werden wichtige Indikatoren dafür sein, welcher Geist und welche Absichten tatsächlich hinter diesen Maßnahmen stecken, konstatiert Padeluun vom Foebud (Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e. V.). Das gelte sowohl für die Unternehmen in der Rolle als Anbieter als auch den Staat mit seinen Behörden. Beide, so Padeluun, werden maßgeblich mitverantwortlich dafür sein, ob die Krise ein Umdenken fördert oder Datenschutz und Sozialethik noch weiter unter die Räder kommen werden. 15

16 AUS DER PRAXIS - CONSULTING Konvergenz zwischen Datenschutz und Datensicherheit Konvergenz bezeichnet im Allgemein das Sich- Aufeinander-zu-Entwickeln unterschiedlicher Ausgangszustände. Im Hinblick auf Datenschutz und Datensicherheit lassen sich diese Ausgangszustände wie folgt beschreiben: Datensicherheit soll den Schutz sämtlicher Unternehmensdaten hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten. Der Datenschutz betrifft dagegen ausschließlich personenbezogene Daten und soll das informationelle Selbstbestimmungsrecht der Betroffenen schützen, d.h. selbst darüber bestimmen zu können, ob und wie ihre Daten erhoben, verarbeitet oder genutzt werden. Insofern bestehen unterschiedliche Ausgangssituationen bezüglich des Schutzgegenstandes und des Schutzzieles. Bei einem Sich-Aufeinander-zu-Entwickeln von Datenschutz und Datensicherheit beschränkt sich die Betrachtung meist auf den technischen Datenschutz nach der Anlage zu 9 BDSG. Dort beschrieben sind acht Kontrollmaßnahmen zur Gewährleistung der Datensicherheit personenbezogener Daten, wie Zutritts-, Zugriffs-, Eingabe- oder Weitergabekontrollen. Diese stellen jedoch nur die direkte Schnittmenge zwischen den beiden Ausgangszuständen dar. Der Grenzbereich zwischen Datenschutz und Datensicherheit ist größer und birgt eine Reihe von Schwierigkeiten, die sich vor allem aus den unterschiedlichen Herangehensweise ergeben Datenschutz eher rechtlich, Datensicherheit eher technisch orientiert. In der Praxis finden sich mehrere Beispiele für einen gemeinsamen Grenzbereich beider Gebiete. Eine Aufgabe der IT-Sicherheit ist es, Richtlinien für verschiedene Bereiche zu erstellen, so auch Benutzerrichtlinien für den Bereich Notebooks/mobile Endgeräte. Festzulegen sind Regelungen für den Umgang mit den Geräten, Bestimmungen zu Verschlüsselungen und Notfallmaßnahmen. Es müssen aber auch Belange des Datenschutzes berücksichtigt werden, da in den meisten Fällen auf solchen Geräten personenbezogene Daten gespeichert sind sei es auch nur im persönlichen Adressbuch. Ein weiteres Beispiel, welches in der Beratungspraxis besonders häufig vorkommt, betrifft die private Internet- und nutzung in der Firma. Durch ungeregeltes Erlauben oder Dulden der Privatnutzung setzen sich Unternehmen rechtlichen Risiken aus, welche die Anforderungen aus Datenschutz und Telekommunikationsgesetzen betreffen. Die Protokollierung und Durchführung der erforderlichen Kontrollen von geregelter Nutzung wäre dann wiederum Aufgaben der Datensicherheit. Die hierbei zu erstel- 16

17 lenden Richtlinien liegen also im Grenzbereich beider Gebiete. Auch in anderen Bereichen der IT-Sicherheit ergeben sich Berührungspunkte mit dem Datenschutz. So sind z.b. bei den Schutzbedarfsfeststellungen die besonderen Arten personenbezogener Daten ( 3 Abs. 9 BDSG) wie z.b. Gesundheitsdaten mit einzubeziehen, da sie einen höheren Schutzbedarf haben als unsensible Daten. Der Grenzbereich kann teilweise auch von der Seite des Datenschutzes her erreicht werden. Dies tritt vor allem bei Vertragsgestaltungen, z.b. beim Outsourcing (ggf. Auftragsdatenverarbeitung nach 11 BDSG) auf. Die datenschutzrechtliche Begleitung der Einführung neuer Verfahren bedarf daher regelmäßig der Kommunikation zwischen den Disziplinen. Hier zeigt sich in der Praxis, dass die unterschiedlichen Herangehensweisen und die entgegensetzten Ausgangszustände zu Störungen im Ablauf führen können, da nicht dieselbe (Fach-) Sprache gesprochen wird. Parallel zu den Richtlinien im IT-Sicherheitsbereich ist im Datenschutzbereich ein Konzept zu erstellen (i.s.v. 9a BDSG). Bei der Arbeit an Richtlinien und Konzepten ergeben sich Überschneidungen, die kommuniziert werden müssen. Im Grenzbereich liegen weiterhin Aufgaben, die von beiden Bereichen zu erledigen sind, wie z.b. erforderliche Schulungen. Ein Schulungskonzept, welches Gemeinsamkeiten berücksichtigt und Raum für Unterschiede lässt, kann zu der erwünschten Annäherung und damit zu Synergieeffekten führen. Somit besteht zweifellos ein großer Abstimmungsbedarf sowohl organisatorisch als auch inhaltlich, um eine Konvergenz zwischen Datenschutz und Datensicherheit zu erreichen. Eine mögliche Umsetzung dieser Anforderung könnte in der Vereinigung des Datenschutz- und IT-Sicherheitsbeauftragten in einer Person gesehen werden. Leider wird sich diese Lösung in den seltensten Fällen realisieren lassen, da nur wenige Personen die benötigte Fachkunde in sich vereinen. Zudem könnte es auch aufgrund der eingangs erwähnten unterschiedlichen Ausgangszustände zu einem Zielkonflikt kommen, z.b. wenn Aspekte der Datensicherheit für Protokolle sprechen, diesen jedoch Anforderungen des Datenschutz entgegenstehen - oder wenn eine gegenseitige Kontrolle angebracht ist. Daher wird ein sich ergänzendes Team, das gut aufeinander eingespielt ist und sich aufgrund langjähriger interdisziplinärer Fachkompetenz auf der gleichen Kommunikationsebene befindet, die bessere Wahl für solche Positionen sein, auch, um eine funktionierende Konvergenz zwischen Datenschutz und Datensicherheit herzustellen. Katrin Clüver, Rechtsanwältin und Informatikerin, Consultant Datenschutz und IT-Sicherheit, Matthias Lindner, Rechtsanwalt und Wirtschaftsinformatiker, Consultant Datenschutz und IT-Compliance, intersoft consulting services GmbH intersoft consulting services Die intersoft consulting services GmbH ist ein branchenneutrales Hamburger Beratungsunternehmen, spezialisiert auf Unterstützungsleistungen in den Bereichen IT-Sicherheit, Datenschutz, IT-Compliance und IT-Governance. Unsere Leitidee ist, nachhaltige Lösungen für ihr Unternehmen zu schaffen. Wir orientieren uns an neuesten Standards, wie COBIT, ISO und an den BSI Standards. Wir beraten nach Datenschutzgesetzen des Bundes und der Länder sowie nach den für Ihr Unternehmen zutreffenden weiteren gesetzlichen Anforderungen. Unsere Kunden profitieren sowohl von der langjährigen Tätigkeit unserer Consultants in unterschiedlichen Fachgebieten, als auch von den sich überschneidenden Fachkompetenzen im Datenschutz-, IT-, und Rechtsbereich. Unser Know-how stellen wir in den Dienst Ihres Unternehmens. 17

18 INTERVIEW Wer war Root? Interview mit Jochen Koehler, Deutschland-Chef von Cyber-Ark Welche Lösungen bieten Sie im Segment Privileged Identity Management (PIM) an? Jochen Koehler: Den Bereich Privileged Identity Management decken wir mit drei komplementären Lösungsmodulen ab. Im Mittelpunkt steht dabei der Enterprise Password Vault für die automatische Verwaltung und Änderung von privilegierten Administratoren-Accounts. Mit dem Application Identity Manager bieten wir eine Lösung an, die die automatische Verwaltung und Änderung von Passwörtern in Skripten oder Config-Files den sogenannten Hardcoded Software Accounts ermöglicht. Abgerundet wird unser Lösungs-Portfolio vom Privileged Session Manager zur Aufzeichnung von Admin-Sessions. Durch die Kombination dieser drei Produkte in der Privileged Identity Management Suite sind wir der einzige Anbieter einer kompletten und durchgängigen Lösung für die Sicherung, Verwaltung und Überwachung privilegierter Accounts. Wo sehen Sie heute auf Unternehmensseite den größten Handlungsbedarf? Jochen Koehler: Eindeutig im Bereich der privilegierten Accounts. Passwörter sind schließlich der Schlüssel zu allen unternehmenskritischen Daten. Und Status quo ist leider immer noch: Auf den IT-Systemen finden sich teilweise identische und meistens leicht zu entschlüsselnde Passwörter. Warum ist dies so? Jochen Koehler: Ganz einfach: Wenn keine entsprechende Lösung implementiert ist, kann auch die Änderung und Verwaltung von Passwörtern nur manuell erfolgen und das ist natürlich mit einem immensen Zeitaufwand verbunden. Was bietet hier Ihr Enterprise Password Vault konkret? Jochen Koehler: Der Enterprise Password Vault ermöglicht eine geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern. Darüber hinaus kann mit ihm durch eine vollständige Zugriffskontrolle und Protokollierung die Nutzung von privilegierten Accounts zu jeder Zeit überprüft werden. Neueste Lösung im Portfolio ist der Privileged Session Manager. Warum sehen Sie hier ein hohes Vermarktungspotenzial? Jochen Koehler: Wenn Unternehmen heute über eine Outsourcing-Lösung nachdenken und sich gegen eine solche entscheiden, sind oftmals Sicherheitsbedenken hinsichtlich der Auslagerung unternehmenskritischer Daten der 18

19 ausschlaggebende Faktor: nicht zuletzt auch im Hinblick auf privilegierte Accounts, wie sie Administratoren auf Seiten des externen Dienstleisters beziehungsweise Insourcers besitzen. Mit unserer neuen Lösung Privileged Session Manager zur Aufzeichnung von Admin-Sessions kann nun nicht nur überprüft werden, wer Zugang zu sensiblen Informationen hat, sondern auch, was er mit diesen Informationen macht. Das erhöht die Sicherheit für den Outsourcer an einem kritischen Punkt natürlich nachhaltig. Welchen Zielmarkt adressieren Sie? Wie groß muss das Unternehmen sein? Jochen Koehler: Generell adressieren wir mit unseren Lösungen alle Branchen. Weltweit zählen wir heute über 500 Unternehmen zu unseren Kunden. Mit unserer zentralen Lösung Enterprise Password Vault richten wir uns natürlich vornehmlich an große Unternehmen, da mit der Anzahl an Administratoren natürlich auch das Gefährdungspotenzial und der Verwaltungsaufwand zunehmen. Konkreter: Wir richten uns in diesem Bereich an Unternehmen mit mehr als zehn Administratoren. Welche Lösungen hat Cyber-Ark abgesehen von PIM im Lösungs-Portfolio? Jochen Koehler: Zu nennen sind hier der Sensitive Document Vault, mit dem vertrauliche Dokumente sicher gespeichert und verwaltet werden können, und der Inter-Business Vault, eine Managed-File-Transfer-Lösung für den Datenaustausch über das Internet. Sehen Sie aktuell einen steigenden Bedarf an Ihren Lösungen? Jochen Koehler: Definitiv ja. Ein Ergebnis einer kürzlich von uns durchgeführten Studie war, dass rund 55 Prozent aller Mitarbeiter beim Verlassen ihres Arbeitgebers Daten mitnehmen würden. In einer Zeit steigender Mitarbeiterentlassungen erhöht das natürlich für die Unternehmen auch die Gefahr des Datenabflusses, der gerade mit unseren Lösungen zuverlässig verhindert werden kann. Welche Rolle spielt das gegenwärtig vielfach diskutierte Thema PCI-DSS? Jochen Koehler: Für uns eine sehr große. Aktuell sind wir in mehreren Projekten tätig, die im Zuge einer erforderlichen PCI-DSS-Zertifizierung aufgesetzt wurden. Zentrale Anforderungen, die sich aus dem PCI-Regelwerk ergeben, erfüllen wir mit unseren Lösungen Enterprise Password Vault und Inter-Business Vault exakt: zum Beispiel hinsichtlich der Regelungen zum Schutz gespeicherter Daten oder zur Änderung von Kennwörtern. Abschließende Frage: Wie vertreiben Sie Ihre Lösungen in Deutschland, direkt oder indirekt? Jochen Koehler: Wir setzen in Deutschland eindeutig auf ein indirektes Vertriebsmodell. Zu unseren Partnern gehören unter anderem Computacenter, Controlware, Crocodial und Integralis. Über Cyber-Ark Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich Privileged Identity Management. Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Das Unternehmen hat mit weltweit rund 100 Mitarbeitern im Geschäftsjahr 2008 einen Umsatz von rund 18 Millionen US-Dollar erzielt. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten. 19

20 AUS DER PRAXIS - DATENSICHERHEIT Datensicherheit: Beyond the Hype von Eberhard von Faber, T-Systems und FH Brandenburg Wir leben in einer Wissensgesellschaft, in der geistiges Eigentum zum entscheidenden Kapital eines Unternehmens gehört und dessen Schutz mit über die Wettbewerbsfähigkeit entscheidet. Die elektronische Speicherung und Verarbeitung der Informationen steigert die Produktivität der Unternehmen, macht sie aber gleichzeitig verwundbar für den Verlust vertraulicher Informationen oder die Manipulation von Daten und Systemen. So wundert es nicht, dass Datensicherheit zu den Top-Prioritäten der Verantwortlichen gehört. Der nachfolgende Artikel wirft einen Blick hinter die Kulissen und zeigt verbundene Aufgaben und offene Fragen. 1. Sicherheit ist eine Frage der Organisation. Ob man zentrale Einheiten schafft, mit virtuellen oder projektorientierten Organisationen arbeitet oder Mischformen bevorzugt und unabhängig davon, wie man Aufgaben verteilt und Prozesse gestaltet, am Ende steht immer die Frage, welcher Aufwand adäquat ist. Oder kurz und griffig: Wie viele Sicherheitsverantwortliche braucht ein Unternehmen wirklich? Die entsprechend direkte, ungezierte Antwort auf diese schlichte Frage könnte lauten:...eigentlich nur einen. Denn Sicherheit ist oft lautlos und abseits des geschäftigen Kampfgetümmels am größten. Auf ein Unternehmen übertragen, braucht man nur einen Verantwortlichen, aber natürlich nur bei einem perfekt arbeitenden Ganzen. Jeder muss seinen Beitrag leisten! Dazu muss zunächst das notwendige Sicherheitsbewusstsein die Awareness geschaffen, entwickelt und erhalten werden. Mitunter sind Maßnahmen, die Mitarbeiter stärken, wirkungsvoller und effektiver als vieles, was ihnen technisch auferlegt wird. Die Erfahrung zeigt weiterhin, dass Secu- 20

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes

Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes 2. April 2014 Veranstaltung der EAB und der EAID Digitale Agenda Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes Peter Schaar Europäische Akademie für Informationsfreiheit und Datenschutz

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Datenschutz und Datensicherheit in mittelständischen Betrieben

Datenschutz und Datensicherheit in mittelständischen Betrieben Datenschutz und Datensicherheit in mittelständischen Betrieben Vortrag beim MHUT-Mülheimer Unternehmer Treff e.v. Dienstag, 9. Februar 2010, 19.00 Uhr Datenschutz + Datensicherheit = IT-Sicherheit IT-Sicherheit

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

ikb Data Experten für sensible Daten

ikb Data Experten für sensible Daten ikb Data Experten für sensible Daten Die ikb Data GmbH gehört zu den führenden deutschen Dienstleistungsunternehmen im Bereich IT-Infrastruktur und Datensicherheit. Im Jahr 2004 als Shared-Service-Center

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Privacy Respecting Incident Management - die Datenschutzsicht

Privacy Respecting Incident Management - die Datenschutzsicht Privacy Respecting Incident Management - die Datenschutzsicht Dr. Alexander Dix, LL.M. Landesbeauftragter für den Datenschutz und für das Recht Übersicht Datenschutz und Datensicherheit The Security-Privacy

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Datenschutz für Vereine

Datenschutz für Vereine Datenschutz für Vereine Leitfaden für die Vereinspraxis Von Achim Behn und Dr. Frank Weller ERICH SCHMIDT VER L AG 1. Vorwort Wieso brauchen wir denn jetzt auch noch Datenschutz bei uns im Verein? Interessiert

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Was Kommunen beim Datenschutz beachten müssen

Was Kommunen beim Datenschutz beachten müssen Wiesbaden DiKOM am 08.05.2012 Was Kommunen beim Datenschutz beachten müssen Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Seit 1970 Oberste Landesbehörde Dem Hessischen Landtag zugeordnet Aufsichtsbehörde

Mehr

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz Kurzgutachten zum Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 De-Mail-Gesetz für die Telekom Deutschland GmbH D-53262 Bonn Sachverständige Prüfstelle (Recht und Technik): intersoft

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR.

PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. PRAXISLEITFADEN DATENSICHERHEIT UND DATENSCHUTZ EINE GEFAHR, DIE MAN KENNT, IST KEINE GEFAHR MEHR. Hans Joachim von Zieten DATEN DAS WICHTIGSTE GUT Daten und Informationen sind ein wichtiges, ja sogar

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

So individuell wie Ihr Business! Dienstleistungen rund um das Thema Datenschutz AUSBILDUNG I SEMINARE I COUCHING I EXTERNER DATENSCHUTZBEAUFTRAGTER

So individuell wie Ihr Business! Dienstleistungen rund um das Thema Datenschutz AUSBILDUNG I SEMINARE I COUCHING I EXTERNER DATENSCHUTZBEAUFTRAGTER So individuell wie Ihr Business! Dienstleistungen rund um das Thema Datenschutz AUSBILDUNG I SEMINARE I COUCHING I EXTERNER DATENSCHUTZBEAUFTRAGTER Unternehmensübersicht & unsere Datenschutzbeauftragten

Mehr

Bekanntgabe des Zugangscodes an die Vorstandsmitglieder und Überwachung der Angestellten durch den Arbeitgeber

Bekanntgabe des Zugangscodes an die Vorstandsmitglieder und Überwachung der Angestellten durch den Arbeitgeber Autorité cantonale de la transparence et de la protection des données ATPrD Kantonale Behörde für Öffentlichkeit und Datenschutz ÖDSB Kantonale Datenschutzbeauftragte Chorherrengasse 2, 1700 Freiburg Kantonale

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v.

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v. binsec - binary security UG 13. Juni 2015 Agenda Werbung :-) Einführung Aufgaben eines DSB Kompetenzen und Rechte eines DSB

Mehr

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung

Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung Rechtliche Anforderungen am Beispiel der E-Mail-Archivierung KUMAtronik Systemhaus GmbH Vortrag zur symantec-veranstaltung am 24.04.2007 (it.sec) Inhalt: 1. Rechtliche Anforderungen an E-Mails 2. Compliance-Anforderungen

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security Informationssicherheit in der Praxis @-yet GmbH Hans-Peter Fries Business Security Risikoverantwortung und Know-How Schutz im Unternehmen @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16

Mehr

Technikentwicklung und Grundrechte

Technikentwicklung und Grundrechte Technikentwicklung und Grundrechte Seminar Datenschutz und Gesellschaft SS 2008 Thomas Kemmerer 1 Überblick Historisch-rechtliche Sicht Entwicklung ab 1867 Weitere Entwicklung ab 1949 Kulturelle Sicht

Mehr

Aktivität zahlt sich aus

Aktivität zahlt sich aus 4 Betrieblicher Datenschutz: Aktivität zahlt sich aus Mit der zunehmenden Verbreitung moderner Informationstechnologien in den Betrieben fällt dem Datenschutz für Arbeitnehmer eine immer wichtigere Rolle

Mehr

Datenschutz. im Rahmen der Diskussionsreihe Die Gegenwart der Zukunft. Thilo Weichert, Leiter des ULD

Datenschutz. im Rahmen der Diskussionsreihe Die Gegenwart der Zukunft. Thilo Weichert, Leiter des ULD Datenschutz im Rahmen der Diskussionsreihe Die Gegenwart der Zukunft Thilo Weichert, Leiter des ULD Landesbeauftragter für Datenschutz Schleswig-Holstein Goethe-Institut Moskau, 24.02.2011 Inhalt Datenspuren

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

April 10, 2012 CLOUD SERVICES WEGE ZU EINEM BÜRGERZENTRIERTEN GESUNDHEITSMANAGEMENT

April 10, 2012 CLOUD SERVICES WEGE ZU EINEM BÜRGERZENTRIERTEN GESUNDHEITSMANAGEMENT April 10, 2012 CLOUD SERVICES WEGE ZU EINEM BÜRGERZENTRIERTEN GESUNDHEITSMANAGEMENT Bedeutung der Cloud-Technologie 2 Als neues Schlagwort der Informationstechnik ist "Cloud Computing" in aller Munde,

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q053 MO (3. Modul) Termin: 01.12. 02.12.2015 (3. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

SharePoint - Security

SharePoint - Security SharePoint - Security SharePoint Control Manager Technologien Lösungen Trends Erfahrung Inhalt 1 GRUNDSATZ...3 2 VORGEHENSMODELL UND LÖSUNGSANSATZ...4 3 TECHNISCHES KONZEPT...4 4 COMPLIANCE / REPORTS...4

Mehr

Mitarbeiterinformation

Mitarbeiterinformation Datenschutz & Gesetzliche Regelungen Praktische Hinweise Kontakt zu Ihrem Datenschutzbeauftragten Elmar Brunsch www.dbc.de Seite 1 von 5 Einleitung In den Medien haben Sie sicher schon häufig von Verstößen

Mehr

DIE GRUNDLAGEN DES DATENSCHUTZES

DIE GRUNDLAGEN DES DATENSCHUTZES DIE GRUNDLAGEN DES DATENSCHUTZES Herausforderungen der Zukunft Wie kann der Schutz der Privatsphäre organisiert werden, um zukünftigen Herausforderungen zu begegnen? Wie können die Innovationspotentiale

Mehr

Datenflut und Datenschutz - Rechtsfragen

Datenflut und Datenschutz - Rechtsfragen Der Bayerische Landesbeauftragte für den Datenschutz - Rechtsfragen Deutscher Ethikrat 21.05.2015 Datenflut -Big Data im Gesundheitsbereich Big Data beschreibt aktuelle technische Entwicklungen, die die

Mehr

360 FEEDBACK UND REFERENZEN IM MANAGEMENT AUDIT von KLAUS WÜBBELMANN

360 FEEDBACK UND REFERENZEN IM MANAGEMENT AUDIT von KLAUS WÜBBELMANN 360 FEEDBACK UND REFERENZEN IM MANAGEMENT AUDIT von KLAUS WÜBBELMANN 360 Feedback / Referenzen Referenzen und andere Verfahren der Einbeziehung von Personen aus dem Arbeitsumfeld einer einzuschätzenden

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Wozu sind Firewalls und VPN gut?

Wozu sind Firewalls und VPN gut? Wozu sind Firewalls und VPN gut? Wo wir hin wollen Einführung Was sind und wie funktionieren IP, TCP und UDP? Wie passt eine Firewall in dieses Bild? VPN, Verschlüsselung und ihre Auswirkungen Aktuelle

Mehr

Wertewandel des Datenschutzes

Wertewandel des Datenschutzes Wertewandel des Datenschutzes Internationaler Datenschutz als globale Herausforderung Dr. Kerstin A. Zscherpe Rechtsanwältin, Licenciée en Droit Tutzing, 27. September 2008 Internationaler Datenschutz

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Dr.-Ing. Martin H. Ludwig INGENIEURBÜRO für Systemanalyse und -planung

Dr.-Ing. Martin H. Ludwig INGENIEURBÜRO für Systemanalyse und -planung INGENIEURBÜRO für Systemanalyse und -planung Dr. Martin H. Ludwig Ihr externer, betrieblicher Datenschutzbeauftragter Liebe Leserin, lieber Leser, Sie benötigen einen betrieblichen Datenschutzbeauftragten

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Unternehmensdaten in Mobile Devices: Umgang mit den rechtlichen Risiken

Unternehmensdaten in Mobile Devices: Umgang mit den rechtlichen Risiken Unternehmensdaten in Mobile Devices: Umgang mit den rechtlichen Risiken Unternehmensdaten ausser Haus Immer mehr Mitarbeitende von Unternehmungen verwenden Mobile Devices wie PDA Handys, Smartphones, etc.

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU.

Diese Datenschutzbestimmungen gelten für alle Anwendungen (APPS) von SEMYOU. Datenschutzbestimmungen von SEMYOU Letzte Aktualisierung: Mai 1st, 2015 Der Datenschutz ist eine der Grundlagen der vertrauenswürdigen Datenverarbeitung von SEMYOU. SEMYOU bekennt sich seit langer Zeit

Mehr

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps

Trusted Privacy. eprivacyapp. Prüfung von Datensicherheit und Datenschutz von Apps Trusted Privacy eprivacyapp Prüfung von Datensicherheit und Datenschutz von Apps eprivacyconsult GmbH Michael Eckard eprivacyconsult Wir bieten...... Beratungen und Prüfungen in den Bereichen Datensicherheit,

Mehr

Tablets im Business: Gadget oder sicheres Werkzeug?

Tablets im Business: Gadget oder sicheres Werkzeug? Tablets im Business: Gadget oder sicheres Werkzeug? Daten- und Policy-Management Renato Zanetti CSI Consulting AG, Partner 12.09.2012 Agenda Einleitung, Trends Einsatzkonzepte Anforderungen Lösungsvorschläge

Mehr

Datenschutzbeauftragte

Datenschutzbeauftragte MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit Katastrophenschutz ein angestrebter Zustand, der durch Maßnahmen, wie, Katastrophenschutz und Datensicherung erreicht Datensicherung werden soll, aber niemals vollständig erreicht werden wird die EDV bringt

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Das IT-Sicherheitsgesetz (IT-SiG)

Das IT-Sicherheitsgesetz (IT-SiG) Das IT-Sicherheitsgesetz (IT-SiG) Die Lösung oder ein neues Problem? 11.06.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Hohe Affinität für die IT-Sicherheit

Mehr

Praxiswissen Sportverein & Management 1

Praxiswissen Sportverein & Management 1 Praxiswissen Sportverein & Management 1 Datenschutz für Vereine Leitfaden für die Vereinspraxis Von Achim Behn und Dr. Frank Weller E R I C H SC H M I D T V E R L AG Bibliografische Information der Deutschen

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb

2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb 2.1 Bestellung des betrieblichen Datenschutzbeauftragten 31 2 Praktische Vorgehensweise zur Umsetzung im Handwerksbetrieb Auch wenn nicht alle Handwerksbetriebe einen betrieblichen Datenschutzbeauftragten

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Berichte und Thesen aus den Infobörsen

Berichte und Thesen aus den Infobörsen Berichte und Thesen aus den Infobörsen Sommerakademie 2015 Vertrauenswürdige IT-Infrastruktur ein (un?)erreichbares Datenschutziel Infobörse 1 Sicher verschlüsseln mit GnuPG (Gnu Privacy Guard) Ausgehend

Mehr

Mittagsinfo zum Thema

Mittagsinfo zum Thema Mittagsinfo zum Thema Datenschutz und Datensicherheit in Non-Profit Profit-Organisationen 6. September 2007 Folie 1 Agenda I. Überblick über Datenschutzgesetzgebung und die Datenschutzaufsichtstellen II.

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Datenschutz IT-Sicherheit Compliance. Der Datenschutzbeauftragte

Datenschutz IT-Sicherheit Compliance. Der Datenschutzbeauftragte Datenschutz IT-Sicherheit Compliance Der Datenschutzbeauftragte Über die Einhaltung des Datenschutzes lässt sich nicht diskutieren. Überlegung 1 Keine Aktivitäten starten, Maßnahmen erst bei Problemen

Mehr

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz Datenblatt: Endpoint Security Mehr als nur Viren- und Endgeräteschutz Überblick Symantec Protection Suite Advanced Business Edition ist ein Komplettpaket, das kritische Unternehmensressourcen besser vor

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Unternehmensdaten rundum sicher mobil bereitstellen

Unternehmensdaten rundum sicher mobil bereitstellen im Überblick SAP-Technologie SAP Mobile Documents Herausforderungen Unternehmensdaten rundum sicher mobil bereitstellen Geschäftsdokumente sicher auf mobilen Geräten verfügbar machen Geschäftsdokumente

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte RABER & COLL. Rechtsanwälte INFO-Post Gerhart-Hauptmann-Straße 6 99096 Erfurt Telefon: (0361) 43 05 63 7 E-Mail: recht@raberundcoll.de Telefax: (0361) 43 05 63 99 www.raberundcoll.de 6/2013 Die anlasslose

Mehr

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg Datenschutzrecht in Österreich und Deutschland Ein Vergleich RA Marcel Keienborg Zur Geschichte des Datenschutzes Die Wiege des Datenschutzes: In den USA (1960er/70 Jahre) Privacy Act of 1974 Debatten

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Forschung für die zivile Sicherheit: Sicherheit im Kontext globaler Entwicklungen Wandel zur Informations- und Wissensgesellschaft

Forschung für die zivile Sicherheit: Sicherheit im Kontext globaler Entwicklungen Wandel zur Informations- und Wissensgesellschaft Forschung für die zivile Sicherheit: Sicherheit im Kontext globaler Entwicklungen Wandel zur Informations- und Wissensgesellschaft Prof. Dr. Michael Waidner Institutsleiter, Fraunhofer SIT Darmstadt Stellvertrender

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr