Über die im EU AI Act geforderte KI-Kompetenz ist derzeit viel zu lesen. Was es damit auf sich hat, wen der Aufbau von KI-Kompetenz alles betrifft, wie dies in eine organisationsweite KI-Strategie eingebettet sein sollte und warum es keine "Eine Lösung für Alles" gibt, haben wir Ihnen in unserem Blogbeitrag zusammengetragen. Ein Mosaikstein zum Erwerb und Erhalt von KI-Kompetenz für Mitarbeitende kann unser Webinar "KI clever nutzen - Datenschutz- und Sicherheitsrisiken vermeiden" sein. Dennoch sind weitere Schritte einmalig und wiederkehrend für KI-nutzende Organisationen nicht nur empfohlen, sondern teilweise auch rechtlich gefordert. Lesen Sie mehr im Blogbeitrag.
Schenkt man Medien und "sozialen" Netzwerken Gehör, besteht das Leben nur noch aus schlechten Nachrichten. Realität? Oder Trend zu negativer Berichterstattung für das sog. clickbaiting? Wir wollen mit unseren diesjährigen Weihnachtsgrüßen dem Negativen etwas Positives, zumindest als Anregung entgegensetzen. Allen LeserInnen und ihren Lieben wünschen wir gesegnete Weihnachten und einen guten Rutsch ins neue Jahr 2025.
Braucht es wirklich drei unterschiedliche Prozesse zur Meldung und Bearbeitung von IT-Störungen, Sicherheitsvorfällen in der Informationssicherheit und Datenschutzverletzungen? Fragt man die Verantwortlichen, heißt es oft eindeutig "Ja klar". Wir werfen einen Blick auf die dazugehörigen Prozesse und legen diese einfach mal neugierig übereinander. Spoiler: Es braucht nur einen Prozess. Mehr im Blogbeitrag.
Welche technischen und organisatorischen Maßnahmen (TOM) schreibt der Gesetzgeber vor? Und was hat es mit diesem Stand der Technik auf sich? In unserem Blogbeitrag gehen wir auf die Anforderungen des Artikel 32 DSGVO "Sicherheit der Verarbeitung" näher ein. Lesen Sie mehr darüber, was der Gesetzgeber im Hinblick auf zu ergreifende Schutzmaßnahmen von Ihrer Organisation fordert. Warum schreibt der Gesetzgeber für gewöhnlich keine konkreten Schutzmaßnahmen in ein Gesetz, sondern legt lediglich das zu erreichende Ziel fest? Wieso 2FA keine Raketenwissenschaft und Bandsicherung zwar "old school" ist, aber dennoch dem Stand der Technik entspricht.
Am 09.04. und 10.04.2024 findet heuer das Boot Camp 2024 für kommunale Informationssicherheitsbeauftragte im wunderschönen Gunzenhausen statt. Neben Fachvorträgen im Plenum stehen 16 interessante Workshop-Themen mehrfach an beiden Tagen zur Auswahl, die von den Teilnehmern besucht werden können. Im Vordergrund: Praktische Tipps für den Arbeitsalltag eines Informationssicherheitsbeauftragten sowie technische und organisatorische Maßnahmen, um der externen Bedrohungslage möglichst Herr zu werden. Abgerundet werden die Themen mit einer Podiumsdiskussion zum Thema "Digitale Souveränität – Welche Qualifikation brauchen wir zukünftig in der Aus- und Fortbildung in Behörden?". Die Veranstaltung, organisiert von der Bayerischen Verwaltungsschule (BVS), dem Landesamt für Sicherheit in der Informationstechnik Bayern (LSI), der Stadt Gunzenhausen und der a.s.k. Informationssicherheit Sascha Kuhrau dient zusätzlich als Nachweis zum notwendigen Erhalt der Fachkunde ausgebildeter Informationssicherheitsbeauftragter. Mehr Infos zu den Themen und Referenten im Blogbeitrag.
Die aktuelle ISMS-Fördermittelrichtlinie zur finanziellen Untersützung der Einführung eines Informationssicherheitsmanagementsystems im Sinne von Art. 43 BayDiG läuft zum 31.12.2023 aus. Wie Sie sich als bayersiche Kommune noch schnell Fördermittel für eine Umsetzung in 2024 / 2025 sichern, erfahren Sie im Blogbeitrag. Derzeit haben wir noch etwas Luft im zweiten Halbjahr, um Sie in gewohnter Umsetzungsqualität zu unterstützen. Dabei ist es egal, für welchen Standard Sie sich entscheiden: Arbeitshilfe, CISIS12, ISMS4KMO, BSI IT-Grundschutz (Kommunalprofil, Basis-Absicherung, Kern- oder Standardabsicherung) oder ISO 27001. Unser Team ist für alle Standards qualifiziert bzw. zertifiziert. Es heißt "schnell sein". Die Fördermittelstelle kann nach einem Antragseingang nach dem 15.11 2023 nicht mehr garantieren, ob es mit einer Förderzusage noch klappt.
Das BSI stellt vor: WiBA - Weg in die Basis-Absicherung. Wem als Kommune oder Firma das sog. "Kommunalprofil" oder die eigentliche Basis-Absicherung des IT-Grundschutzes noch als zu aufwändig erscheint, kann mittels WiBA erste Schritte in deren Richtung unternehmen. In 18 Kapiteln mit handverlesenen (und wenigen) Fragen zur Informationssicherheit kann der Status Quo des eigenen Sicherheitsniveaus grob identifiziert werden. Einen kontinuierlichen Betrieb eines Sicherheitskonzepts kann WiBA jedoch nicht leisten. Dazu sind die größeren Informationssicherheitsmanagementsysteme notwendig. Wie eben die BSI IT-Grundschutz Basis-Absicherung, ISO 27001, die sog. "Arbeitshilfe" der Innovationsstiftung Bayerische Kommune, ISIS12 / CISIS12 oder z.B. ISMS4KMO. Aber jeder Schritt hin zu mehr Informationssicherheit zählt. Von daher, well done, BSI. Mehr im Blogbeitrag.
Nicht nur für aktive Informationssicherheitsbeauftragte interessant. Und nachdem es die Pandemie-Umstände zulassen, dieses Jahr wieder als 2-tägige Vor-Ort-Veranstaltung: Das BVS ISB Boot Camp 2023 in Gunzenhausen am 28.03. und 29.03.2023. Informationssicherheitsbeauftragte, IT-Sicherheitsbeauftragte, aber auch Datenschutzbeauftragte und IT-Leiter treffen sich zum Erfahrungsaustausch und Netzwerken rund um aktuelle Themen der Informationssicherheit, der IT-Sicherheit und des Datenschutzes. Als Referenten konnten zahlreiche aktive Informationssicherheitsbeauftragte aus Kommunalverwaltungen und Unternehmen gewonnen werden, die gerne ihre Erfahrungen teilen und sich freuen, mit den Teilnehmern in interessante Diskussionen einzutreten. Details zum Programm und der Anmeldung im Blogbeitrag.
Dreh- und Angelpunkt des Artikel 32 DSGVO sind die technischen und organisatorischen Maßnahmen, auch kurz TOM genannt. Mittels einer geeigneten Auswahl und Anwendung dieser Schutzmaßnahmen (quasi eine Art Werkzeugkasten) sollen personenbezogene Daten vor den alltäglichen Risiken bei deren Verarbeitung (also Erhebung, Speicherung, Nutzung, aber auch beabsichtigter Löschung und Vernichtung) geschützt werden. Dabei soll nicht alles an Schutzmaßnahmen ergriffen werden, was irgendwie geht, sondern der Gesetzgeber spricht von einer Angemessenheit. Die Schutzmaßnahmen müssen also zum Schutzwert der betroffenen personenbezogenen Daten passen. Dabei sollen dann auch Faktoren wie die Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß berücksichtigt werden. Das hier eigentlich nichts anderes als ein Informationssicherheitskonzept bzw. Informationssicherheitsmanagementsystem (ISMS) gemeint ist, erklären wir im Blogbeitrag. Dazu stellen wir mögliche Standards vor, mit denen Sie die Anforderungen bestens erfüllen können. Allen voran - als Einstieg für große Organisationen und als ISMS für kleine Kommunen und Firmen bestens geeignet - die sog. "Arbeitshilfe".
Wie eine Komfort-Funktion von Fritz!Fon und Fritz!Box das interne WLAN durch Anzeige der Zugangsdaten im Klartext für Besucher schwächen. Es gibt Abhilfe. Diese ist aber nur suboptimal dokumentiert. Wo das Problem liegt und wie Sie es lösen können, beschreiben wir in diesem Blogbeitrag.