Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Datensicherheit im Unternehmen Feinwerkmechanik-Kongress 2014 Nürnberg 7. und 8. November Heiko Behrendt ISO 27001 Grundschutzauditor Fon: 0431 988 1212 Mail: behrendt@datenschutzzentrum.de Web: www.datenschutzzentrum.de
Unabhängiges Landeszentrum für Datenschutz SH? Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audits und Gutachten Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung 2
Themen Ist-Situation - Schwachstellen Datensicherheitslecks in Unternehmen Datenkommunikation über das Internet Basis - Fundament Compliance für Datenschutz und Datensicherheit Informationssicherheitsmanagement (ISMS) Check - Wie sicher ist Ihr Unternehmen? 3
Was sind die Kronjuwelen Ihres Unternehmens oder Wie viel Datenschutz braucht das Unternehmen? Werte des Unternehmens Betriebsgeheimnisse Finanz- und Personaldaten Kunden- und Lieferantendaten Image, Ansehen Geschäftsprozesse Produktion Ein- und Verkauf 4
Datensicherheitslecks Medienberichte Kundendaten einsehbar! Post räumt Datenpanne auf DHL-Seite ein Stundenlang konnten Kunden im Netz die Daten anderer Kunden einsehen Quelle: www.spiegel.de 5
Datensicherheitslecks Medienberichte 85 Prozent der Apps klären Nutzer nicht ausreichend darüber auf, welche persönlichen Daten sie auslesen Externe Zugriffe und Datenabflüsse werden nicht bemerkt Quelle: www.spiegel.de 6
Datensicherheitslecks Medienberichte Die US-Investmentbank Goldman Sachs schickt Kundendaten an falsche Mail-Adresse Goldman Sachs will Google per Gerichtsbeschluss dazu zwingen, eine E-Mail mit streng vertraulichen Kundendaten zu löschen Quelle: www.spiegel.de 7
Datensicherheitslecks Medienberichte Quelle: www.thueringer-allgemeine.de 8
Datensicherheitslecks Medienberichte Quelle: https://www.dropbox.com Quelle: http://pastebin.com 9
Datensicherheitslecks Papierentsorgung? Zugriff auf Papiermüll? Standort der Mülltonnen? Entsorgung? 10
Lösung Papiermülltrennung Sammlung in verschließbaren Behältnissen Vernichtung über ein Entsorgungsunternehmen Einsatz von Schreddern Dienstanweisung für Mitarbeiter 11
Datensicherheitslecks Reinigungspersonal? Firma, Personen? Unbeaufsichtigte Reinigung? Schlüsselausgabe? Papierentsorgung? Zugriff auf Akten? Nutzung von PC? Spionage? 12
Lösung Aufbau eines Vertrauensverhältnisses Regelmäßige Kontrolle Verpflichtungserklärung Anweisung über Verhalten im Gebäude Clear-Desk-Anweisung Abgeschlossene Aktenschränke Sensible Räume (Serverraum) nur unter Aufsicht 13
Datensicherheitslecks Digitalkopierer? Standort? Datenspeicherung? Netzzugriff? Administration? Wartung, Ersatz, Aussonderung? 14
Lösung Zugangsgesicherter Standort Zugriff über Authentifizierung Festplatte bleibt im Unternehmen Kennwörter ändern Zugriffe über Netz absichern 15
Datensicherheitslecks Externe Speichermedien? Datenkommunikation? Private Medien? USB-Ports? Flash-Card-Reader? Ausführbare Programme? Installation? Datenlöschung? Verlust, Diebstahl? 16
Lösung Inventarisierung aller Speichermedien Nur dienstliche Speichermedien werden zugelassen Schnittstellenabsicherung durch Einsatz von Sicherheitssoftware, z.b. Devicelock oder Deviceguard Verschlüsselung der Daten z.b. Data Traveler Kingston Physikalisches Löschen Dienstanweisung für Mitarbeiter 17
Datensicherheitslecks Notebooks und Tabletts? Einsatzbereiche? Datenverwaltung? Datenkommunikation? Internetnutzung? Virenschutz? USB-Ports? Datenlöschung? Telearbeit? Private Nutzung? Verlust, Diebstahl? 18
Lösung Inventarisierung der Komponenten Verschlüsselung der Festplatte (SafeGuard Easy) Einsatz von VPN für Unternehmensanbindung Einschränkung der Administrationsrechte Regelungen für Datenverwaltung Dienstanweisung für Mitarbeiter 19
Datensicherheitslecks Smartphone? Art der Nutzung? Datenverwaltung? Datenkommunikation? Internetnutzung? Apps? Virenschutz? Schnittstellen? Datenlöschung? Verlust, Diebstahl? 20
Lösung Standardisierung der eingesetzten Komponenten Nutzung der Sicherheitsfunktionen Einsatz von Sicherheitssoftware Abschaltung nicht benötigter Schnittstellen Zentrale Administration Verschlüsselung der Daten Dienstanweisung für Mitarbeiter 21
Datensicherheitslecks Datenlöschung? Datenspeicherungsorte, Server, Client, Stick etc.? Windows-Papierkorb? Löschfunktion? Aussonderung von IT- Komponenten? Löschfristen? Datensicherungsbänder? Löschfunktionen der Fachanwendungen? Wiederherstellung? 22
Lösung Einsatz physikalischer Löschtools für Mitarbeiter Physikalische Löschung von Datenträgern vor Weitergabe und Aussonderung Festlegung von Löschfristen Mitarbeitersensibilisierung 23
Datensicherheitslecks E-Mail? Unbefugte Kenntnisnahme? Vertrauliche Daten? Private Mails? Behandlung von Anhängen? Ausdruck, Archivierung? Rechtsverbindlichkeit? 24
Lösung Einsatz Content Manager Verifizierung der Anhänge Verschlüsselung bei vertraulichen Daten Protokollierung der Nutzeraktivitäten Regelmäßige Kontrolle der eingestellten Policys Dienstanweisung für die Mitarbeiter 25
Datenkommunikation über das Internet V E R S C H L Ü S S E L U N G 26
Datenkommunikation über das Internet Verschlüsselungsprodukte E-Mail PGP www.chip.de free SOPHOS www.sophos.com Heim- und mobile Anbindung VPN www.cisco.com free Datenträger SafeGuard-Easy www.sophos.com Quelle: http://lf.net/internetdienste/security/vpn.php Truecrypt www.heise.de free CompuSec www.ce-infosys.com free Dateien (Word, Excel, PDF etc.) SafeGuard Private Crypto www.chip.de free 27
Compliance für Datenschutz und Datensicherheit E X T E R N I N T E R N Bundesdatenschutzgesetz Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) Verträge mit Kunden Umsetzung eines anerkannten Sicherheitsstandards www.bsi.de Leitlinie für Informationssicherheit IT-Sicherheitskonzept mit technischen und organisatorischen Maßnahmen Richtlinien für die IT-Verantwortlichen Richtlinien für die Beschäftigten am Arbeitsplatz 28
Informationssicherheitsmanagement (ISMS) Zuständigkeiten und Aufgaben für Geschäftsführung, Datenschutz- und IT-Sicherheitsbeauftragter und Fachverantwortliche festlegen Bestandsaufnahme für Infrastruktur, IT-Systeme, Netz und Anwendungen Schutzbedarfe der Assets / Objekte nach Vertraulichkeit, Integrität und Verfügbarkeit ermittelt Festlegung und Umsetzung von technischen und organisatorischen Maßnahmen Restrisiken analysieren Kontrollen und Audits durchführen I S M S 29
Check - Wie sicher ist Ihr Unternehmen? 1. Ist die Geschäftsführung in den Datenschutz- und IT-Sicherheitsprozess eingebunden? 2. Sind Datenschutz- und Datensicherheitsziele festgelegt? 3. Ist ein betrieblicher Datenschutzbeauftragter bestellt? 4. Werden Datenschutz- und IT-Sicherheit mit hoher Priorität umgesetzt? 5. Ist ein Datenschutz- oder IT-Sicherheitskonzept mit technischen und organisatorischen Maßnahmen vorhanden? 6. Sind alle Datenkommunikationsprozesse bekannt? 7. Ist die IT-Infrastruktur nachvollziehbar dokumentiert? 8. Wird Datenschutz- und IT-Sicherheit an allen Organisationsbereichen und bei einer Auftragsdatenverarbeitung mit gleichem Niveau berücksichtigt? 9. Sind die Mitarbeiter sensibilisiert und wissen sie, was Sicherheitsvorfälle sind? 10. Werden in Ihrem Unternehmen regelmäßig Audits durchgeführt? 30
Vielen Dank für Ihre Aufmerksamkeit! Heiko Behrendt ISO 27001 Grundschutzauditor Fon: 0431 988 1212 Mail: behrendt@datenschutzzentrum.de Web: www.datenschutzzentrum.de 31