Die hier angebotenen Schulungen und Seminare zum Thema “Datenschutz und Datensicherheit” wenden sich sowohl an Mitarbeiter und Führungskräfte eines Unternehmens als auch an Unternehmer selbst. Auf spielerische Art und Weise sollen abseits trockener Gesetzestexte und Paragraphen die Grundlagen von Datenschutz und Sicherheit vermittelt und für die Themen sensibilisiert werden. Dies erfolgt unter anderem an praktischen Beispielen aus dem beruflichen und privaten Alltag. Jeder Teilnehmer erhält nach der Veranstaltung ein entsprechendes Zertifikat, welches als Nachweis für Schulungen gem. Bundesdatenschutzgesetz (BDSG) gilt. Online Buchungen erhalten einen Preisnachlass (siehe Veranstaltungsdetails). Details zu Inhalten, Ort und Zeit sowie den Buchungsmöglichkeiten entnehmen Sie bitte den einzelnen Veranstaltungsterminen: METASCHULUNGEN Unternehmensinterne Schulungen sind ebenfalls mit entsprechendem Zuschnitt auf Ihre Bedürfnisse und Inhalte möglich. Sprechen Sie mich an. [wpfilebase tag=’file‘ id=’5′]
Während des Studiums der Medien- und Kommunikationswissenschaften freiberuflicher IT Berater in den Bereichen Vernetzung und Unternehmenskommunikation. Langjährige Führung von Franchise-Zentralen bekannter internationaler Franchise-Systeme und Mitglied der Geschäftsleitung für die Bereiche Operations, IT und Business Development. Seit 2007 Berater in den Bereichen Unternehmens- und Organisationsentwicklung, Prozessanalysen und Optimierung, Standort- und Potentialanalysen sowie Franchise Beratung und Konzeption. Auf Basis meiner bisherigen Tätigkeiten Fort- und Weiterbildungen im Bereich Datenschutz und Übernahme der Aufgaben eines externen Datenschutzbeauftragten nach BDSG. Meine Prämisse ist es, das Gleichgewicht zwischen vom gesetzlichen Datenschutz vorgeschriebenen Schutzmaßnahmen auf der einen Seite und den vom Aufwand her vertretbaren, daraus resultierenden Aufwendungen und Investitionen auf der Unternehmensseite herzustellen. Ihr Unternehmen soll auf Basis der aktuellen Erkenntnisse nicht über Gebühr, sondern im vertrebaren Maß durch die notwendigen Schutzmaßnahmen belastet werden. Die enge Zusammenarbeit mit der Unternehmensführung und den Mitarbeitern ist mir sehr wichtig. Ich möchte auf vertrauensvoller Basis Verständnis schaffen und ebenfalls die Vorteile des Datenschutz für jeden Beteiligten verständlich machen. Als Mitglied des Berufsverbands der Datenschutzbeauftragten Deutschlands e.V., Berlin (Webseite) ist für mich die Einhaltung unseres beruflichen Leitbilds selbstverständlich. Sofern Sie einen (externen) Datenschutzbeauftragten benötigen und sich über die Bestellung meiner Person hierzu informieren wollen, empfehle ich Ihnen die Lektüre dieser ausgewählten…
Sie erreichen mich telefonisch unter mobil unter 01520 – 920 06 55 per Fax unter per Email oder via Skype Für eine sichere und verschlüsselte Übertragung Ihrer Email Nachricht an mich können Sie openPGP verwenden. Die notwendige Software zum Herunterladen: gpg4win. Sie benötigen zusätzlich meinen Public PGP Key Sascha Kuhrau Ihr schneller Kontakt: [scaleable-contact-form]
Rechtliches Bundesdatenschutzgesetz Telemediengesetz Betriebsverfassungsgesetz EU Datenschutzrichtline Hilfreiches Bundesamt für Sicherheit in der Informationstechnik Bürger-CERT – Das Bürger-CERT informiert und warnt Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern und Sicherheitslücken in Computeranwendungen – kostenfrei und absolut neutral Eintrag “Bundesdatenschutzgesetz” bei Wikipedia Eintrag “Datenschutzbeauftragter” bei Wikipedia Der Bundesdatenschutzbeauftragte Peter Schaar im Internet ELENA auf der Seite des Bundesdatenschutzbeauftragten Vorratsdatenspeicherung auf der Seite des Bundesdatenschutzbeauftragten “Meine Daten kriegt ihr nicht” – Schulungsmaterialien für Lehrer und Interessierte Datenschutzkonforme Ausgestaltung von Webseiten Tracking und Analyse (Oberste Datenschutzbehörde für den nicht-öffentlichen Bereich Mecklenburg-Vorpommern) Buchtipps Datenschutz / Datensicherheit Datenschutz kompakt und verständlich: Eine praxisorientierte Einführung und Online-Service Datenschutzrecht: Bundesdatenschutzgesetz, Informationsfreiheitsgesetz, Artikel 10-Gesetz, Strafprozessordnung (Auszug), Telemediengesetz, Telekommunikationsgesetz (Auszug), EG-Datenschutz-Richtlinie Aufsichtsbehörden für den nicht-öffentlichen Bereich (Unternehmen etc.) Baden-Württemberg Bayern Berlin Brandenburg Bremen Hamburg Hessen Mecklenburg-Vorpommern Niedersachsen Nordrhein-Westfalen Rheinland-Pfalz Saarland Sachsen Sachsen-Anhalt Schleswig-Holstein Thüringen
Im Zuge der Neufassung der ISMS-Fördermittelrichtlinie (ISMR) vom 7. März 2022, Az. E5-1681–7‑10 können bayerische Kommunen nun endlich auch für die Einführung eines Informationssicherheitskonzepts auf Basis der sog. Arbeitshilfe der Innovationsstiftung Bayerische Kommune Fördermittel erhalten.
Voraussetzungen für Fördermittel zur Arbeitshilfe Informationssicherheit
Das Projekt darf noch nicht vertraglich fixiert sein
Was wird konkret gefördert?
Die Beratung und Begleitung bei der Implementierung durch fachkundige IT-Dienstleister.
Schulungen für Mitarbeiter durch zertifizierte Anbieter.
Wie hoch sind die Fördermittel zur Arbeitshilfe Informationssicherheit?
Bis zu 50 % der zuwendungsfähigen Ausgaben für die Umsetzung der Arbeitshilfe zur Erstellung von Informationssicherheitskonzepten der Innovationsstiftung Bayerische Kommune, höchstens 5 000 Euro.
Wie beantrage ich als bayerische Kommune die Fördermittel zur Arbeitshilfe Informationssicherheit?
BSI: Warnung vor Kaspersky — Kein Einsatz von Produkten aus dem Hause Kaspersky mehr
“Das BSI empfiehlt, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen.” Diese Warnung vor Kaspersky spricht das Bundesamt für Sicherheit in der Informationstechnik mit einiger Verzögerung und auch erst nach drängenden Nachfragen des Heise Verlags nun seit einigen Tagen offiziell aus.
Warnung vor Kaspersky berechtigt oder Panikmache?
Dazu kann man nun stehen wie man will. Wieso erst jetzt? Wieso nicht schon im Zuge der Annexion der Krim, als sich die totalitären Risiken bereits klar abzeichneten? Sei es drum. Ein Risiko ist nicht generell von der Hand zu weisen, von daher ist Vorbeugen besser als hinterher schlauer zu sein.
Das BSI schreibt dazu:
“Virenschutzsoftware hat tiefgehende Eingriffsrechte in PCs, Smartphones, Laptops und andere IT-Infrastrukturen. Vertrauen in die Zuverlässigkeit und den Eigenschutz des jeweiligen Herstellers sowie seiner authentischen Handlungsfähigkeit ist daher entscheidend für den sicheren Einsatz solcher Systeme.”
Schwachstellen in der eigentlichen Software können daher schnell zur Kompromittierung einzelner Geräte, aber auch ganzer Systemlandschaften führen. Das ist kein generelles Problem der Kaspersky-Produkte, sondern von jeder Software, die so tief in die Betriebssysteme verzahnt ist. In diesem konkreten Fall führt das BSI in seiner Warnung vor Kaspersky weiter aus:
“Im Kontext des Krieges, den Russland gegen die Ukraine führt, könnte ein russischer IT-Hersteller selbst offensive Operationen durchführen, oder gegen seinen Willen dazu gezwungen werden, Zielsysteme anzugreifen, oder als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.”
Guter Rat ist teuer
Was heißt diese Warnung vor Kaspersky jetzt konkret? Je weniger komplex die betroffene Systemumgebung ist und gerade auf einem Einzelgerät zuhause, desto leichter fällt der Umstieg auf einen anderen Anbieter. In größeren Systemumgebungen werden jedoch selten nur Virenschutzprodukte, sondern meist ganze Sicherheitssuiten der Anbieter genutzt. Damit fallen dann schnell auch wichtige Schutzmechanismen wie Spam-Filterung, Schutz der USB-Ports und viele mehr weg. Da ist es mit einer einfachen De-Installation und Neu-Installation eines anderen Produkts nicht mal eben so getan. Dazu kommen laufende Lizenzgebühren, die weiterhin bis zum Ende der Vertragslaufzeit zu leisten sind. Sonderkündigungsrecht? Sieht aktuell nicht so aus, aber darüber sollen die Juristen streiten. D.h. durch den Umstieg auf eine andere Lösung bzw. einen anderen Anbieter fallen zusätzlich Lizenzgebühren an, von der notwendigen Arbeitszeit für Planung und Konzeption sowie Roll-Out ganz zu schweigen.
Endlich nun auch für einen der kleinen Standards für Informationssicherheit verfügbar: Software-Unterstützung für die Arbeitshilfe 4.0
Doch der Reihe nach.
Wieso ein Informationssicherheitskonzept?
Viele Organisationen stehen vor der Herausforderung, entweder aufgrund gesetzlicher Vorschriften ein Informationssicherheitskonzept zu benötigen, damit den Nachweis zur Wirksamkeit der eigenen technischen und organisatorischen Maßnahmen im Sinne der Belegpflicht der DSGVO erbringen zu wollen, weil es der eine oder andere Auftraggeber für die Teilnahme an Ausschreibungen fordert oder schlicht, weil sie festgestellt haben, dass nur ein gesamtheitlicher Ansatz schützenswerte Informationen und personenbezogene Daten in der eigenen Organisation absichern kann. Gründe gibt es also viele, sich um die Einführung und den Betrieb eines Informationssicherheitskonzepts zu kümmern.
Welchen Standard zur Informationssicherheit wählen?
Informationssicherheitsmanagementsysteme (kurz ISMS) nach den Standards wie die ISO 27001 oder der BSI IT-Grundschutz sind bewährte Umsetzungsmöglichkeiten. Sagt man der ISO 27001 ein etwas erhöhtes Maß an Abstraktheit nach, leidet der IT-Grundschutz durchaus an seiner Ausführlichkeit (zumindest in 100‑x Standards). Hinzu kommt, dass der Aufwand an Zeit und Kosten gerade für kleine und mittlere Unternehmen (KMU) und Kommunen weit über die gegebenen Möglichkeiten hinausgeht.
Einen Teil dieser Lücke nach unten hat vor einigen Jahren der Standard Informationssicherheit in 12 Schritten (kurz ISIS12) schließen können. Dieser kommt seither in vielen deutschen Unternehmen und Kommunen zum Einsatz, teilweise inklusive der möglichen Zertifizierung durch die DQS GmbH (Und hier reden wir von einer vollwertigen, unabhängigen Zertifizierung, nicht von den durch die beratende Gesellschaft als Zertifikat angepriesenen Testate.) ISIS12 leitet sich aus dem IT-Grundschutz ab und wird derzeit in Richtung der Vorgehensweise der ISO 27001 weiterentwickelt.
Für die drei bisher genannten Standards stehen bewährte Softwarelösungen zur Verfügung. Generell sind diese Standards auch nach unten skalierbar, stellen dennoch gerade kleinere Einrichtungen nach wie vor vor ein Zeit- und Kostenproblem. Diese immer noch bestehende Lücke für kleinere und kleinste Einrichtungen lässt sich mit zwei weiteren Standards in angemessenem Kosten- und Aufwandsrahmen schließen. Die Rede ist vom Standard VdS 10000 (früher 3473) sowie der unter dem Projektnamen “Arbeitshilfe” bekannt gewordenen Systematik der Innovationsstiftung Bayerische Kommune aus München.
Gerade kleine und kleinste Organisationen finden hier einen Werkzeugkasten, um sich dem Thema systematisch zu nähern, vorhandene technische und organisatorische Schwachstellen zu identifizieren und danach kontinuierlich abzustellen und ein Sicherheitskonzept zu betreiben. Die Möglichkeit besteht jederzeit, in die höheren Systematiken upzugraden.
Die “Arbeitshilfe” wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände durch a.s.k. Datenschutz für die Innovationsstiftung Bayerische Kommune entwickelt und ist mittlerweile in Version 4.0 erschienen. Trotz dieses Ursprungs richtet sich die Arbeitshilfe nicht ausschließlich an kommunale Einrichtungen. Informationssicherheit ist universell. Von daher sind lediglich einige Begrifflichkeiten für den Einsatz in Unternehmen anzupassen (Geschäftsführer statt Bürgermeister), das war es schon. Und jetzt mit auch Software-Unterstützung für die Arbeitshilfe.
Informationssicherheitskonzepte besser mit Software-Unterstützung
Selbstverständlich lassen sich Informationssicherheitskonzepte auch mit Papier und Stift oder etwas moderner mittels Word-Formularen und Excel-Tabellen abbilden. Bei der Einführung mag das auch noch ausreichend sein. Doch im späteren Betrieb des Informationssicherheitskonzepts wird es schnell a) unüberschaubar und b) nicht mehr handhabbar, z.B. um Wiedervorlagefristen einzuhalten. Auch in Bezug auf das jederzeitige Reporting / Berichtswesen ist eine geeignete Softwareunterstützung unschlagbar.
Die drei großen Standards ISO 27001, BSI IT-Grundschutz und ISIS12 können aus einem großen Angebot geeigneter Softwarelösungen wählen. Bei den kleineren Standards wird die Luft sehr schnell dünn bis hin zu fehlender Software-Unterstützung.
Software-Unterstützung für die Arbeitshilfe von a.s.k. Datenschutz
Gerade für kleine Organisationen sind leicht verständliche und bedienbare Software-Lösungen ein Muß. Zeit für langwierige Software-Schulungen und Einarbeitungen ist im Zweifel Mangelware. Oftmals werden kleine Einrichtungen bei der Einführung von externen Dienstleistern unterstützt, nutzen möglicherweise auch die Möglichkeit eines externen Informationssicherheitsbeauftragten (sofern sinnvoll umsetzbar).
Hier setzt die Software-Lösung für unsere (potentiellen) Kunden konkret an:
Verschlüsselung bei Übertragung und Speicherung
Mehrfaktor-Authentifizierung
Browserbasiert, Apps für Desktop und mobile Geräte
Bearbeitung und gleichzeitig fortlaufende Dokumentation aller Prüffragen der Arbeitshilfe und deren Umsetzung
Erstellen von notwendigen Unteraufgaben
Zuweisen von Aufgaben und Unteraufgaben an zuständige Personen in der Organisation
Diskussionsmöglichkeit zwischen den Beteiligten direkt in einem Prüfpunkt und damit nachvollziehbare Dokumentation der Entscheidungsfindung und des Umsetzungsstatus sowie dessen Weiterentwicklung
Email-Benachrichtungen über Änderungen und Aufgabenzuweisungen (Hinweise, keine Übermittlung der konkreten Inhalte, die sollen ja verschlüsselt auf der Plattform bleiben 🙂 )
Termin-Erinnerungen
Dokumentenversionierung
Jederzeit um weitere Aufgaben zu ergänzen (z.B. weitere identifizierte Schwachstellen außerhalb der Fragen der Arbeitshilfe, Dokumentation der Bearbeitung von Datenpannen etc.)
Ausführliches Berichtswesen nach Kapiteln, über das gesamte Informationssicherheitskonzept oder nach Zuständigkeiten
Übersichten über erledigte / offene Aufgaben bzw. beseitigte / noch vorhandene Schwachstellen
Diskussionsplattform zur Klärung von offenen Fragen
Betrieb in deutschen Rechenzentren (Ehrensache)
uvm.
Interesse geweckt an der Arbeitshilfe oder der Software-Lösung? Oder Fragen zum Thema Informationssicherheitskonzept oder Informationssicherheitsbeauftragte? Sprechen Sie uns an.
Am 04.11.2020 wurde ein Entwurf für eine E‑PrivacyVerordnung von der EU-Ratspräsidentschaft den Mitgliedsstaaten vorgelegt. Diesem zufolge sind die Verarbeitung etwa von Standort- und Zugriffsdaten / das Setzen von cookies, die auf den Endgeräten von ‘visitors´ gespeichert werden,unter dem pauschalen Verweis auf berechtigtes Interesse und ohne fundierte(re) Rechtsgrundlage nicht zulässig.
Ausnahmen dieser E-Privacy Aspekte
Für vertretbare Verarbeitungen, die aus Sicht der Entwerfenden ohne Rechtsgrundlage zulässig bleiben müssten, sind Erlaubnistatbeständein den E‑Privacy Entwurfeingeflossen. Hier kamen etwa IT-Sicherheit, fraudprevention, Direktwerbung in Betracht.Auch für messaging- und (andere) Telekommunikationsanbieter ist die Verarbeitung der Daten ihrer Nutzer unter Einwilligung weiterhin eingeräumt.Wenn Inhalte auf einer website unentgeltlichangeboten werden und die Finanzierung dessen über Werbebanner erfolgt, dürfe die Nutzung durch die visitorsweiterhin an das Setzen von cookiesohne Einwilligung / Genehmigung gekoppelt werden, soweit ihm verschiedene Optionen mittels ‘präziser Informationen´ aufgezeigt würden.In seinem Beitrag zu diesem Thema führt heise.de ein Beispiel dieser Praxis mit “Spiegel Online” an, wonach man der Verarbeitung seiner Daten im vorgenannten Sinne nur durch Abonnement entgehen könne.
Integrität und Vertraulichkeit
Im Fokus steht auch die mit der geplanten E‑Privacy Verordnungden Mitgliedstaaten einzuräumende Möglichkeit der ‘rechtmäßigen Überwachung´ elektronischer Kommunikation, d.h. Telekommunikationsanbieter entsprechend in die Pflicht zur Herausgabe von Standort- und Verbindungsdaten nehmen zu können. Gesetzen zur Vorratsdatenspeicherung auf nationaler Ebene soll in bestimmten Grenzen ebenfalls Raum gegeben werden.
E‑Privacy und das Nutzerverhalten
Hand aufs Herz — wer kennt die ‘do not track´ Funktionalität und wer nutzt sie? Lassen Sie es uns im Kommentarfeld wissen und was Sie davon halten. Der Ansatz, die Verarbeitung von Userdaten einzugrenzen scheiterte, u.a. weil Werbeindustrie & Co. ihn nicht anerkannte. Wie kann man nur so gemein sein? 🙂 Auch in der vorliegenden E‑Privacy Verordnung in spe ist eine ersetzende oder verbessernde Regelung nicht enthalten. Indes wurde der EDSA (Europäischer Datenschutzausschuss) ersucht, entsprechende Richtlinien sowie Empfehlungenzu fassen.
Weitere Ausnahmen von dem Einwilligungsgebot könnten sich bei Warenkörben, der im Hintergrund ablaufenden Prüfung der Identität von Personen bei online Transaktionen und zum Zwecke des Webdesigns und der Werbung ergeben.
Die vorgeschlagene E‑Privacy Verordnung erstreckt sich auch auf das IoT über öffentliche Netze. Intelligente Habseligkeiten wie medizinische Geräte, Autos, Waschmaschinen etcdürfen auch weiterhin in Datenverarbeitungen durchAnbieter involviert werden, ohne dass eine Einwilligung / Kenntnis des Besitzers notwendig wäre. Indes dürfen die ‘Funktionalitäten´der hard- und softwares nicht abgeändert werden. Das ist schon eine Beruhigung, wenn man die Futurama Folge kennt, in der die (Nutz-)Roboter rebellieren😉 Liebe Verschwörungstheoretiker — dies ist ein Scherz und bitte nutzen Sie diesen nicht weiter.
Nach nur knapp 6 Monaten Einführung eines Informationssicherheitsmanagementsystems, kurz ISMS wurde das Team von a.s.k. Datenschutz für die investierte Zeit und Nerven belohnt. Nach einem erfolgreichen Vor-Ort-Audit Mitte Oktober durch die DQS GmbH haben wir zum 31.10.2020 das Zertifikat über die erfolgreiche Einführung und den nachweislichen Betrieb unseres ISMS auf Basis des Standards ISIS12 2.0 erhalten. Damit sind wir die erste Organisation, die im neuen Katalog 2.0 zertifiziert wurde. Das freut uns natürlich gleich noch etwas mehr.
Neben den rein formalen Anforderungen haben diese 6 Monate auch einige Veränderungen an Arbeitsprozessen und eingesetzten Softwarelösungen z.B. für den Bereich Mobile Device Management und Hardware-Verwaltung mit sich gebracht. So konnten wir bereits die Phase der Einführung zur weiteren Verbesserung der technischen und organisatorischen Schutzmaßnahmen nutzen. Weiterer Vorteil: Der Nachweis geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO wird durch die Zertifizierung deutlich erleichtert.
ISIS12 (Informationssicherheit in 12 Schritten) ist eine aus dem BSI IT-Grundschutz abgeleitete Vorgehensweise, welche es kleinen und mittleren Organisationen ermöglicht, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und zu betreiben. a.s.k. Datenschutz berät und unterstützt seit vielen Jahren zahlreiche Kommunen und Unternehmen bei Einführung und Betrieb eines ISMS auf Basis von ISIS12, aber auch anderer Standards wie dem BSI IT-Grundschutz selbst. Für uns war es daher ein logischer Schritt, unseren Kunden nicht nur gute Ratschläge zur Einführung und Betrieb von ISIS12 zu geben und sie dabei zu begleiten, sondern uns selbst diesen Regularien zu unterwerfen und das Ganze auch mit Zertifizierung abzuschließen.
Nachdem die ISIS12-Katalogreihe 1.x zu April 2022 abgekündigt wurde, war es für uns selbstverständlich, den Nachfolge-Katalog 2.0 einzuführen. Die überarbeitete Struktur sowie deutliche Aktualisierung der Bausteine und Maßnahmen im Katalog 2.0 gegenüber den früher aus dem IT-Grundschutz-Katalog entnommenen Elementen haben eine zügige, nachvollziehbare und transparente Einführung sehr unterstützt.
Wir können daher aus eigener Erfahrung nur empfehlen, neue Projekte generell nur noch im Katalog 2.0 zu starten bzw. vorhandene ISMS auf Basis der 1.x Kataloge bei nächster passender Gelegenheit umzustellen. Die Upgrade-Pfade sind gut dokumentiert und für unsere Kunden haben wir weitere Systematiken zur einfachen Konvertierung entwickelt.
Wie sagte unser Auditor so schön: “Nach dem Audit ist vor dem Audit!” Und so haben wir die letzten Tage bereits genutzt, um uns weiterzuentwickeln. Denn in 12 Monaten müssen wir uns dem ersten Überwachungsaudit (Ü1) stellen und auch das wollen wir mit einem sehr guten Ergebnis abschließen.
Das ISIS12 Zertifikat hat eine Gültigkeit von 3 Jahren und kann hier eingesehen bzw. als PDF abgerufen werden. Wenn Sie mehr über den Standard ISIS12 erfahren wollen, können Sie hier in unserem Blog oder auf der Webseite des IT-Sicherheitsclusters Regensburg weitere Details nachlesen.