Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg

Ähnliche Dokumente
Checkliste für Ihre Informationssicherheit

Informationssicherheit. in den Unternehmen der Marktforschungsbranche

Informationssicherheit - Checkliste für einen schnellen Überblick über die Schwachstellen im eigenen Unternehmen

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Informationssicherheitsmanagement

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Der Schutz von Patientendaten

Sicherheitshinweise für Administratoren. - Beispiel -

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes und nachhaltiges Surf-Vergnügen.

Updatehinweise für die Version forma 5.5.5

ITIL & IT-Sicherheit. Michael Storz CN8

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Sicherheitsaspekte der kommunalen Arbeit

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

GPP Projekte gemeinsam zum Erfolg führen

Verwendung des IDS Backup Systems unter Windows 2000

IT-Revision als Chance für das IT- Management

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

DATENSCHUTZ - INFORMATIONSSICHERHEIT

Security & Safety in einer smarten Energiewelt. Ergebnisse der Breitenbefragung Stand März 2013

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

WLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

IT Security Investments 2003

lññáåé=iáåé===pìééçêíáåñçêã~íáçå=

IT-Sicherheit in Unternehmen


Nutzung dieser Internetseite

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Lösungsansätze-Nicht allein die Firewall macht Unternehmen sicherer. Dipl.-Ing. Dariush Ansari Network Box Deutschland GmbH

Soziale Netzwerke. Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie studivz, Facebook & Co.

Übung - Datensicherung und Wiederherstellung in Windows Vista

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Gute Beratung wird verstanden

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen

Datenschutz in beratenden Berufen 10 Tipps & Fragen zum Umgang mit personenbezogenen Daten

Installationsanleitung CLX.PayMaker Home

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Dieter Brunner ISO in der betrieblichen Praxis

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Installationsanleitung CLX.PayMaker Office

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

D i e n s t e D r i t t e r a u f We b s i t e s

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Erstellung eines Verfahrensverzeichnisses aus QSEC

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

Tipps und Tricks zu Netop Vision und Vision Pro

Verwendung des Terminalservers der MUG

Sicherheits-Tipps für Cloud-Worker

Internet Explorer Version 6

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

BACKUP über Internet funktionsweise & Konfiguration

Übung - Datensicherung und Wiederherstellung in Windows 7

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

GDD-Erfa-Kreis Berlin

System-Update Addendum

Die Post hat eine Umfrage gemacht

LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Was meinen die Leute eigentlich mit: Grexit?

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Informationen zum Thema Datensicherheit

INDUSTRIE- UND PRODUKTIONSLOGISTIK VERSTEHEN VERTRAUEN VERANTWORTEN

SJ OFFICE - Update 3.0

Mobility: Hoher Nutzen

Informations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken. Upload- / Download-Arbeitsbereich

Projekt H.I.D.E. Ralf Watermann (IT-Abteilung) Theo Douwes (Organisation)

Was ist pcon.update? Girsberger Manual Registrierung pcon.update Service - Marketing Edition Sep Seite 1

» IT-Sicherheit nach Maß «

IT-Sicherheit Awareness Nur ein Schlagwort?

4Brain IT-Netzwerke IT-Sicherheit

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Checkliste zum Datenschutz in Kirchengemeinden

Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.

Emnid Studie Sicherheit im Internet

Tag des Datenschutzes

Transkript:

Informationssicherheit in der Markt- und Sozialforschung als Beitrag zum Unternehmenserfolg

Definition - Informationssicherheit Informationssicherheit ist der Präventivschutz für Persönlichkeits- und Unternehmens-Informationen und ist auf kritische Geschäftsprozesse fokussiert. Ein solcher Schutz bezieht sich gleichermaßen auf Personen, Unternehmen, Systeme und Prozesse. Ziele der Informationssicherheit sind, den Verlust, den unberechtigten Zugriff und die Verfälschung von Daten zu verhindern. Die Basis für die Informationssicherheit kann durch konzeptionelle, organisatorische und operative Maßnahmen erreicht werden. Dazu gehört die Umsetzung von sicherheitsrelevanten Grundsätzen eines Unternehmens, der Informationssicherheitsrichtlinie. Ein wichtiger Anhaltspunkt für das Management der Sicherheit von Informationssystemen ist die Norm ISO/IEC 27001 sowie als Implementierungsleitfaden für Informationssicherheit die Norm ISO/IEC 27002.

Definition - Informationssicherheit Informationssicherheit und Datenschutz in den Köpfen der meisten Verbraucher kaum zu trennen. Bundesdatenschutzgesetz: Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes [...] zu gewährleisten.

Ausgangslage 93% der Internetnutzer sprechen dem Datenschutz eine steigende Bedeutung zu 70% der Internetnutzer vertrauen der Wirtschaft nicht, wenn es um die Sicherheit ihrer Daten geht, so BITKOM.

Ausgangslage Drei gute Gründe, dass sich die Branche der Markt- und Sozialforschung und ihre Verbände um das Thema Informationssicherheit kümmern. 1. Das Vertrauen der Bevölkerung ist unabdingbare Voraussetzung für unsere Forschung und somit unsere Geschäftsgrundlage wollen wir repräsentative Daten erheben, dann müssen sich die Befragten auf den bestmöglichen Schutz ihrer Daten verlassen können. 2. Das Vertrauen der Politik und des Gesetzgebers in die Selbstregulierung, Kontrolle und Gewährleistung der Informationssicherheit ist ein hoch relevanter Pfeiler des Status der Markt-und Sozialforschung, Daten erheben, verarbeiten und speichern zu dürfen. 3. Der Umgang mit dem Thema Informationssicherheit hat nicht zuletzt nachhaltigen Einfluss auf der Reputation der Branche und der einzelnen Unternehmen

Studiensteckbrief Status quo Erhebung zum Thema Informationssicherheit WER? - Die gemeinsame Arbeitsgruppe "IT-Sicherheit in der Marktforschung" von TeleTrusT - Bundesverband IT-Sicherheit e.v., ADM Arbeitskreis Deutscher Markt- und Sozialforschungsinstitute e.v. und DGOF Deutsche Gesellschaft für Onlineforschung WAS? - Online-Befragung der Mitgliedsinstitute des ADM und DGOF zur Informationssicherheit in der Marktforschung WANN? - August/September 2014

Fragebogenstruktur Teil A: Informationssicherheitsmanagement Teil D: Beachtung von Sicherheitserfordernissen Teil G: IT-Notfallvorsorge Teil B: Sicherheit von IT-Systemen Teil E: Wartung von IT- Systemen: Umgang mit Updates Teil H: Datensicherung Teil C: Vernetzung und Internet-Anbindung Teil F: Passwörter und Verschlüsselung Teil I: Infrastruktursicherheit

ERGEBNISSESE

Teil A: Informationssicherheitsmanagement Sind wichtige Passwörter für Notfälle sicher hinterlegt? Sind für die Sicherheitsmaßnahmen Zuständigkeiten und Verantwortlichkeiten festgelegt? Sind die vertragsrechtlich relevanten Gesichtspunkte der Informationssicherheit berücksichtigt worden? Ist bei den Sicherheitsmaßnahmen festgelegt, ob sie einmalig oder in regelmäßigen Intervallen ausgeführt werden müssen (z.b. Update des Werden Sicherheitserfordernisse bei Entscheidungen frühzeitig berücksichtigt (z.b. bei Planung eines neuen Netzes, Sind die gesetzlichen Anforderungen an die Informationssicherheit berücksichtigt worden? Besteht ein Überblick über die wichtigsten Anwendungen und IT-Systeme und deren Schutzbedarf? Hat das Management die Informationssicherheitsziele festgelegt und die Verantwortung für die Informationssicherheit übernommen? Gibt es geeignete Vertretungsregelungen für Verantwortliche und sind die Vertreter mit Ihren Aufgaben vertraut? Gibt es einen IT-Sicherheitsbeauftragten? 13. Gibt es dokumentierte Prozesse, die beim Eintritt neuer Mitarbeiter und beim Austritt von Mitarbeitern zu beachten sind (Berechtigungen, Sind die Sicherheitsziele priorisiert und die Umsetzung der beschlossenen Sicherheitsmaßnahmen geregelt? Sind die Richtlinien zur Informationssicherheit und die entsprechenden Zuständigkeiten in der Organisation bekannt? Gibt es ein dokumentiertes Sicherheitskonzept? Wird die Wirksamkeit von Sicherheitsmaßnahmen regelmäßig überprüft? 46 49 51 87 84 81 78 73 73 70 70 68 65 60 95 Ja-Anteil in %

Teil B: Sicherheit von IT-Systemen Werden Viren-Schutzprogramme eingesetzt? 100 Gibt es eigene Rollen und Profile für Administratoren? 100 Ist geregelt, auf welche Datenbestände jeder Mitarbeiter zugreifen darf? 95 Werden den Systembenutzern Rollen und Profile zugeordnet? 92 Werden sicherheitsrelevante Standardeinstellungen von Applikationen und IT-Systemen geeignet angepasst? 81 Werden vorhandene Schutzmechanismen in Applikationen genutzt? 57 Ist bekannt und geregelt, welche Privilegien und Rechte Applikationen haben? 54 Werden Installations- und Systemdokumentationen erstellt und regelmäßig aktualisiert? 43 Werden nicht benötigte sicherheitsrelevante Applikationen und Funktionen deinstalliert bzw. deaktiviert? 41 Ja-Anteil in %

Teil C: Vernetzung und Internet- Anbindung Werden zentrale Firewall-Systeme eingesetzt? 100 Werden Konfiguration und Funktionsfähigkeit der Firewall-Systeme regelmäßig überprüft? 87 Gibt es ein Konzept, welche Services nach außen durch die Firewall- Systeme angeboten werden? 73 Ist festgelegt, wie Webbrowser mit Zusatzprogrammen (Plug-ins, Add-ons) und aktiven Inhalten (z.b. ActiveX, Java) umgehen? 65 Sind die Mitarbeiter im Hinblick auf die Risiken des Internets ausreichend geschult? 62 Werden Intrusion Detection Systeme (IDS) eingesetzt, also Systeme, die Angriffe gegen ein Computersystem oder Computernetz erkennen können? 54 Werden Intrusion Prevention Systeme (IPS) eingesetzt, also Systeme, die entdeckte Angriffe gegen ein Computersystem oder Computernetz abwehren können? 51 Ja-Anteil in %

Teil D: Beachtung von Sicherheitserfordernissen Werden Informationen und Datenträger vor unbefugtem Zugriff geschützt? 95 Werden vertrauliche Informationen auch bei Wartungs- oder Reparaturarbeiten von Datenträgern oder IT-Systemen geschützt? 89 Sind die Informationen nach Vertraulichkeit klassifiziert? 60 Wird die Einhaltung bestehender Sicherheitsvorgaben kontrolliert? 51 Werden die Mitarbeiter regelmäßig in sicherheitsrelevanten Themen geschult? 46 Gibt es Maßnahmen zur Erhöhung des Sicherheitsbewusstseins der Mitarbeiter? 46 Ja-Anteil in %

Teil E: Wartung von IT-Systemen: Umgang mit Updates / Teil F: Passwörter und Verschlüsselung Gibt es Verantwortliche, die sich regelmäßig über Sicherheitseigenschaften der verwendeten Software und relevanter Sicherheits-Updates informieren? 89 Werden Sicherheits-Updates zeitnah eingespielt? 87 Gibt es ein Testkonzept für Softwareänderungen? 32 Gibt es eine Passwort-Richtlinie? 92 Werden Arbeitsplatzrechner bei Verlassen mit Bildschirmschoner und Kennwort gesichert? 81 Wird die Passwort-Richtlinie systemseitig umgesetzt? 73 Sind die Mitarbeiter in der Wahl sicherer Passwörter geschult? 70 Werden vertrauliche Daten und besonders gefährdete Systeme wie Notebooks oder Datensicherungsträger ausreichend durch Verschlüsselung oder andere Maßnahmen geschützt? 60 Ja-Anteil in %

Teil G: IT-Notfallvorsorge Gibt es einen Notfallplan mit Anweisungen und Kontaktadressen? 65 Kennen die Verantwortlichen den Notfallplan? 51 Ist der Notfallplan gut zugänglich? 51 Werden die relevanten Notfallsituationen behandelt? 35 Wird der Notfallplan regelmäßig getestet? 19 Ja-Anteil in %

Teil H: Datensicherung Gibt es eine Backupstrategie? 100 Ist der Zugriff auf die Datensicherungsträger geregelt? 89 Ist festgelegt, welche Daten wie lange gesichert werden? 84 Werden die Datensicherungen regelmäßig kontrolliert? 76 Sind die Sicherungs- und Rücksicherungsverfahren dokumentiert? 60 Bezieht die Sicherung auch tragbare Computer und nicht vernetzte Systeme mit ein? 51 Ja-Anteil in %

Teil I: Infrastruktursicherheit Ist der Zutritt zu wichtigen IT-Systemen und Räumen geregelt? 89 Werden Besucher, Handwerker, Servicekräfte etc. begleitet bzw. beaufsichtigt? 84 Besteht ein ausreichender Schutz vor Einbruch, Diebstahl und Sabotage? 84 Besteht ein angemessener Schutz der IT-Systeme gegen Feuer, Überhitzung, Wasserschäden, Überspannung oder Stromausfall? 73 Ist der Bestand an Hard- und Software in einer Inventarliste erfasst? 73 Ja-Anteil in %

FAZIT UND HANDLUNGSEMPFEHLUNGEN SE

Zusammenfassung: heute schon TOP Viren- Schutzprogramme Zutrittskontrolle/- schutz Eigene Rollen und Profile für Administratoren Regelmäßige Sicherheitsupdates Zentrale Firewall- Systeme Backupstrategie Items mit 100% Ja-Anteil

Zusammenfassung: Baustellen Testkonzept für Softwareänderungen Festlegung von Sicherheitsbeauftragten Notfallmanagement Klassifizierung von Daten und Dokumenten nach Vertraulichkeit Sensibilisierung und Schulung der Mitarbeiter Dokumentation und regelmäßige Überprüfung von Sicherheitskonzepten Items mit 100% Ja-Anteil

Benchmark: wie sieht es in anderen Branchen aus? Lagebericht zur Informationssicherheit 2014 der Fachzeitschrift <KES> 68% halten mangelnde Sensibilisierung der Mitarbeiter für das Haupthindernis bei der Verbesserung der Informationssicherheit Irrtum und Nachlässigkeit eigener Mitarbeiter ist für 30% aller Datenlecks verantwortlich (Platz 2 in der Liste aller Schäden) Unternehmen, die über ein dokumentiertes Sicherheitskonzept verfügen, schneiden in allen Fragen der Informationssicherheit besser ab. - In der Markt- und Sozialforschung verfügen aber weniger als die Hälfte der Unternehmen über ein solches Konzept! 80% aller befragten Unternehmen haben ein Notfallkonzept. - In der Markt-und Sozialforschung sind es nur 65%!

Tipps wo ansetzen? Informationssicherheit ist das Ergebnis eines Systems von Strategien und Verfahren zur Identifizierung, Kontrolle und zum Schutz von Informationen und Geräten, die im Zusammenhang mit ihrer Speicherung, Übermittlung und Verarbeitung genutzt werden. Technische Maßnahmen Passwortschutz, Bildschirmsperre, Firewalls, Virenschutz, Verschlüsselung,

Fazit Die Studie zeigt, die Branche hat viel bereits getan und ist sich der Relevanz des Themas bewusst. Aber auf Unternehmensebene braucht es: - Einen ganzheitlicher Ansatz - Eine methodische Vorgehensweise - Eine sinnvolle Koordination - Ein Konzept zur kontinuierliche Verbesserung - Und ein verantwortliches Managementsystem für Informationssicherheit - Die Mitarbeit jedes Einzelnen - Ein positives Image der Informationssicherheit als Teil der Wertschöpfungskette in der Markt- und Sozialforschung

Fazit Die Geschäftsgrundlage unserer Branche ist das Vertrauen!

Vielen Dank für Ihre Aufmerksamkeit! Alexandra Wachenfeld-Schell Research Director LINK Institut für Markt- und Sozialforschung GmbH DGOF Mitglied des Vorstands Wachenfeld.Alexandra@link-institut.de www.link-institut.de Dr. Volker Scheidemann Direktor Marketing & Personalwesen Applied Security GmbH Volker.Scheidemann@apsec.de www.apsec.de Oliver Bauchinger Chief Technology Officer TNS Infratest Shared Service GmbH & Co. KG Oliver.Bauchinger@tns-infratest.com www.tns-infratest.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback